Verschieben von Azure Application Gateway und Web Application Firewall (WAF) in eine andere Region

Es gibt verschiedene Gründe, warum Sie vielleicht Ihre vorhandenen Azure-Ressourcen aus einer Region in eine andere verschieben möchten. Vielleicht möchten Sie:

• Nutzen Sie die Vorteile einer neuen Azure-Region.
• Stellen Sie Features oder Dienste bereit, die nur in bestimmten Regionen verfügbar sind.
• Erfüllen Sie interne Richtlinien- und Governanceanforderungen.
• Um Unternehmenszusammenschlüssen und Übernahmen zu entsprechen
• Erfüllen Sie die Anforderungen der Kapazitätsplanung.

In diesem Artikel werden die empfohlenen Vorgehensweisen, Richtlinien und Methoden zum Verschieben von Application Gateway und WAF zwischen Azure-Regionen beschrieben.

Voraussetzungen

• Vergewissern Sie sich, dass Sie mit Ihrem Azure-Abonnement Application Gateway-SKUs in der Zielregion erstellen können.

• Planen Sie Ihre Strategie zur Verschiebung in Kenntnis aller Dienstleistungen, die für Application Gateway erforderlich sind. Für die Dienstleistungen, die im Rahmen der Verschiebung vorliegen, müssen Sie die entsprechende Strategie zur Verschiebung auswählen.

  • Stellen Sie sicher, dass das Application Gateway-Subnetz am Zielspeicherort über genügend Adressraum verfügt, um die Anzahl der Instanzen zu berücksichtigen, die für die Verarbeitung des maximal zu erwartenden Datenverkehrs erforderlich sind.

• Für die Bereitstellung des Anwendungsgateways müssen Sie die Einrichtung der folgenden Unterressourcen berücksichtigen und planen:

  • Front-End-Konfiguration (Öffentliche/Private IP-Adresse)
  • Back-End-Poolressourcen (z. B. VMs, VM-Skalierungsgruppen, Azure App Services)
  • Privater Link
  • Zertifikate
  • Diagnoseeinstellungen
  • Warnungsbenachrichtigungen

• Stellen Sie sicher, dass das Application Gateway-Subnetz am Zielspeicherort über genügend Adressraum verfügt, um die Anzahl der Instanzen zu berücksichtigen, die für die Verarbeitung des maximal zu erwartenden Datenverkehrs erforderlich sind.

Umgruppieren

Um Application Gateway und optionale WAF zu verlagern, müssen Sie eine separate Application Gateway-Bereitstellung mit einer neuen öffentlichen IP-Adresse am Zielort erstellen. Workloads werden dann von der Quellkonfiguration des Application Gateways zur neuen Konfiguration migriert. Da Sie die öffentliche IP-Adresse ändern, sind auch Änderungen an der DNS-Konfiguration, virtuellen Netzwerken und Subnetzen erforderlich.

Wenn Sie nur umziehen möchten, um Unterstützung von Verfügbarkeitszonen zu erhalten, finden Sie weitere Informationen unter Migrieren des Application Gateway und WAF zur Unterstützung von Verfügbarkeitszonen.

So erstellen Sie eine separate App Gateway-Instanz, eine WAF-Instanz (optional) und IP-Adresse

1. Öffnen Sie das Azure-Portal.

2. Wenn Sie die TLS-Beendigung für Key Vault verwenden, befolgen Sie das Umsiedlungsverfahren für Key Vault. Stellen Sie sicher, dass sich Key Vault im selben Abonnement wie die verschobene Application Gateway-Instanz befindet. Sie können ein neues Zertifikat erstellen oder das vorhandene Zertifikat für die verschobene Application Gateway-Instanz verwenden.

3. Vergewissern Sie sich, dass das virtuelle Netzwerk umgezogen ist, bevor Sie umziehen. Informationen zum Verschieben Ihres virtuellen Netzwerks finden Sie unter Verschieben eines virtuellen Azure-Netzwerks.

4. Vergewissern Sie sich, dass der Back-End-Poolserver oder -dienst, wie beispielsweise virtuelle Maschinen, VM-Skalierungsgruppen oder PaaS-Dienste, bereits verschoben wurde, bevor Sie Ihren Standort wechseln.

5. Erstellen Sie eine Application Gateway-Bereitstellung, und konfigurieren Sie eine neue öffentliche Front-End-IP-Adresse für das virtuelle Netzwerk:

   • Ohne WAF: Erstellen Sie ein Application Gateway.
   • Mit WAF: Erstellen eines Anwendungsgateway mit einer Webanwendungs-Firewall.

6. Wenn Sie über eine WAF-Konfiguration oder eine WAF-Richtlinie nur mit benutzerdefinierten Regeln verfügen, führen Sie einen Übergang zu einer vollständigen WAF-Richtlinie durch.

7. Wenn Sie ein Zero-Trust-Netzwerk (Quellregion) für Webanwendungen mit Azure Firewall und Application Gateway verwenden, befolgen Sie die Richtlinien und Strategien unter Zero Trust-Netzwerk für Webanwendungen mit Azure Firewall und Application Gateway.

8. Vergewissern Sie sich, dass die Application Gateway-Bereitstellung und die WAF wie gewünscht funktionieren.

9. Migrieren Sie Ihre Konfiguration zur neuen öffentlichen IP-Adresse.

   1. Wechseln Sie öffentliche und private Endpunkte, um auf das neue Anwendungsgateway zu verweisen.
   2. Migrieren Sie Ihre DNS-Konfiguration zur neuen öffentlichen und/oder privaten IP-Adresse.
   3. Aktualisieren Sie Endpunkte in Consumeranwendungen/-diensten. Aktualisierungen von Anwendungen/Diensten für Verbraucher werden mit einer Änderung der Eigenschaften und einer erneuten Bereitstellung durchgeführt. Führen Sie diese Methode jedoch aus, wenn ein neuer Hostname in Bezug auf die Bereitstellung in der alten Region verwendet wird.

10. Löschen Sie die Application Gateway- und WAF-Quellressourcen.

Verschieben von Zertifikaten für Premium-TLS-Beendigung (Application Gateway v2)

Die Zertifikate für die TLS-Beendigung können auf zwei Arten bereitgestellt werden:

• Hochladen. Stellen Sie ein TLS/SSL-Zertifikat bereit, indem Sie es direkt in Ihre Application Gateway-Bereitstellung hochladen.
• Key Vault-Verweis. Stellen Sie einen Verweis auf ein vorhandenes Key Vault-Zertifikat bereit, wenn Sie einen HTTPS/TLS-fähigen Listener erstellen. Weitere Informationen zum Herunterladen eines Zertifikats finden Sie unter Verschieben einer Key Vault-Instanz in eine andere Region.

Befolgen Sie das dokumentierte Verfahren, um die TLS-Beendigung mit Key Vault-Zertifikaten für Ihr verschobenes Application Gateway zu aktivieren.