Se aplica a: ✔️ Front Door (clásico)
Los niveles Estándar y Premium de Azure Front Door aportan las últimas características de red de entrega en la nube a Azure. Con las características de seguridad mejoradas y un servicio todo en uno, el contenido de la aplicación está protegido y está más cerca de los usuarios finales mediante la red global de Microsoft. Este artículo le guía a través del proceso de migración para migrar el perfil de Azure Front Door (clásico) a un perfil de nivel Estándar o Premium con Azure PowerShell.
Requisitos previos
- Revise el artículo acerca de la migración del nivel de Front Door.
- Asegúrese de que el perfil de Front Door (clásico) se puede migrar:
- Azure Front Door Estándar y Premium requieren que todos los dominios personalizados usen HTTPS. Si no tiene su propio certificado, puede usar un certificado administrado de Azure Front Door. El certificado es gratuito y lo administra usted.
- La afinidad de sesión se habilita en la configuración del grupo de origen para un perfil Estándar o Premium de Azure Front Door. En Azure Front Door (clásico), la afinidad de sesión se establece en el nivel de dominio. Como parte de la migración, la afinidad de sesión se basa en la configuración del perfil de Front Door (clásico). Si tiene dos dominios en su perfil clásico que comparten el mismo grupo de back-end (grupo de origen), la afinidad de sesión tiene que ser consistente en ambos dominios para que la validación de la migración se supere.
- El más reciente módulo de Azure PowerShell instalado localmente o Azure Cloud Shell. Para más información, consulte Instalación y configuración de Azure PowerShell.
Nota:
No es necesario realizar ningún cambio de DNS antes o durante el proceso de migración. Sin embargo, después de que la migración finalice y cuando el tráfico fluya a través del nuevo perfil de Azure Front Door, debe actualizar los registros DNS. Para obtener más información, consulte Actualización de registros de DNS.
Validar la compatibilidad
Abra Azure PowerShell y conecte su cuenta de Azure. Para más información, consulte Conectarse a Azure PowerShell.
Pruebe el perfil de Azure Front Door (clásico) para ver si es compatible con la migración. Puede usar el comando Test-AzFrontDoorCdnProfileMigration para probar el perfil. Reemplace los valores del nombre del grupo de recursos y el id. de recurso por sus propios valores. Use Get-AzFrontDoor para obtener el identificador de recurso del perfil de Front Door (clásico).
Reemplace los valores siguientes en el comando:
-
<subscriptionId>: el identificador de suscripción.
-
<resourceGroupName>: nombre del grupo de recursos de Front Door (clásico).
-
<frontdoorClassicName>: nombre del perfil de Front Door (clásico).
Test-AzFrontDoorCdnProfileMigration -ResourceGroupName <resourceGroupName> -ClassicResourceReferenceId /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.Network/frontdoors/<frontdoorClassicName>
Si la migración es compatible con la migración, verá la siguiente salida:
CanMigrate DefaultSku
---------- ----------
True Standard_AzureFrontDoor or Premium_AzureFrontDoor
Si la migración no es compatible, verá la siguiente salida:
CanMigrate DefaultSku
---------- ----------
False
Preparación para la migración
Nota:
- Actualmente, el certificado administrado no se admite para Azure Front Door Estándar o Premium en la nube de Azure Government. Debe usar BYOC para Azure Front Door Estándar o Premium en la nube de Azure Government, o bien esperar hasta que esta funcionalidad esté disponible.
Ejecute el comando Start-AzFrontDoorCdnProfilePrepareMigration para prepararse para la migración. Reemplace los valores del nombre del grupo de recursos, el id. de recurso y el nombre del perfil por sus propios valores. Para SkuName, use Standard_AzureFrontDoor o Premium_AzureFrontDoor.
SkuName se basa en la salida del comando Test-AzFrontDoorCdnProfileMigration.
Reemplace los valores siguientes en el comando:
-
<subscriptionId>: el identificador de suscripción.
-
<resourceGroupName>: nombre del grupo de recursos de Front Door (clásico).
-
<frontdoorClassicName>: nombre del perfil de Front Door (clásico).
Start-AzFrontDoorCdnProfilePrepareMigration -ResourceGroupName <resourceGroupName> -ClassicResourceReferenceId /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.Network/frontdoors/<frontdoorClassicName> -ProfileName myAzureFrontDoor -SkuName Premium_AzureFrontDoor
La salida es similar a la siguiente:
Starting the parameter validation process.
The parameters have been successfully validated.
Your new Front Door profile is being created. Please wait until the process has finished completely. This may take several minutes.
Your new Front Door profile with the configuration has been successfully created.
Ejecute el comando Get-AzFrontDoorWafPolicy para obtener el id. de recurso de la directiva WAF. Reemplace los valores del nombre del grupo de recursos y el nombre de la directiva WAF por sus propios valores.
Get-AzFrontDoorWafPolicy -ResourceGroupName myAFDResourceGroup -Name myClassicFrontDoorWAF
La salida es similar a la siguiente:
PolicyMode : Detection
PolicyEnabledState : Enabled
RedirectUrl :
CustomBlockResponseStatusCode : 403
CustomBlockResponseBody :
RequestBodyCheck : Disabled
CustomRules : {}
ManagedRules : {Microsoft.Azure.Commands.FrontDoor.Models.PSAzureManagedRule}
Etag :
ProvisioningState : Succeeded
Sku : Classic_AzureFrontDoor
Tags :
Id : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myClassicFrontDoorWAF
Name : myFrontDoorWAF
Type :
Ejecute el comando New-AzFrontDoorCdnMigrationWebApplicationFirewallMappingObject para crear un objeto en memoria para la migración de directivas WAF. Use el id. de WAF en el último paso para MigratedFromId. Para usar una directiva WAF existente, reemplace el valor de MigratedToId por un identificador de recurso de una directiva WAF que coincida con el nivel de Front Door al que va a migrar. Si va a crear una nueva copia de directiva WAF, puede cambiar el nombre de la directiva WAF en el id. de recurso.
$wafMapping = New-AzFrontDoorCdnMigrationWebApplicationFirewallMappingObject -MigratedFromId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myClassicFrontDoorWAF -MigratedToId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myFrontDoorWAF
Ejecute el comando Start-AzFrontDoorCdnProfilePrepareMigration para prepararse para la migración. Reemplace los valores del nombre del grupo de recursos, el id. de recurso y el nombre del perfil por sus propios valores. Para SkuName, use Standard_AzureFrontDoor o Premium_AzureFrontDoor.
SkuName se basa en la salida del comando Test-AzFrontDoorCdnProfileMigration.
Reemplace los valores siguientes en el comando:
-
<subscriptionId>: el identificador de suscripción.
-
<resourceGroupName>: nombre del grupo de recursos de Front Door (clásico).
-
<frontdoorClassicName>: nombre del perfil de Front Door (clásico).
Start-AzFrontDoorCdnProfilePrepareMigration -ResourceGroupName <resourceGroupName> -ClassicResourceReferenceId /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.Network/frontdoors/<frontdoorClassicName> -ProfileName myAzureFrontDoor -SkuName Premium_AzureFrontDoor -MigrationWebApplicationFirewallMapping $wafMapping
La salida es similar a la siguiente:
Starting the parameter validation process.
The parameters have been successfully validated.
Your new Front Door profile is being created. Please wait until the process has finished completely. This may take several minutes.
Your new Front Door profile with the configuration has been successfully created.
Si va a migrar un perfil de Front Door con BYOC, debe habilitar la identidad administrada en el perfil de Front Door. Debe conceder acceso al perfil de Front Door al almacén de claves donde se almacena el certificado.
Ejecute el comando Start-AzFrontDoorCdnProfilePrepareMigration para prepararse para la migración. Reemplace los valores del nombre del grupo de recursos, el id. de recurso y el nombre del perfil por sus propios valores. Para SkuName, use Standard_AzureFrontDoor o Premium_AzureFrontDoor.
SkuName se basa en la salida del comando Test-AzFrontDoorCdnProfileMigration.
Asignado por el sistema
Para IdentityType, use SystemAssigned.
Start-AzFrontDoorCdnProfilePrepareMigration -ResourceGroupName myAFDResourceGroup -ClassicResourceReferenceId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/Frontdoors/myAzureFrontDoorClassic -ProfileName myAzureFrontDoor -SkuName Premium_AzureFrontDoor -IdentityType SystemAssigned
Asignado por el usuario
Ejecute el comando Get-AzUserAssignedIdentity para obtener el identificador de recurso de una identidad asignada por el usuario.
$id = Get-AzUserAssignedIdentity -ResourceGroupName myResourceGroup -Name afduseridentity
$id.Id
La salida es similar a la siguiente:
/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity
Para IdentityType, use UserAssigned y para IdentityUserAssignedIdentity,* use el id. de recurso del paso anterior.
Reemplace los valores siguientes en el comando:
-
<subscriptionId>: el identificador de suscripción.
-
<resourceGroupName>: nombre del grupo de recursos de Front Door (clásico).
-
<frontdoorClassicName>: nombre del perfil de Front Door (clásico).
Start-AzFrontDoorCdnProfilePrepareMigration -ResourceGroupName <resourceGroupName> -ClassicResourceReferenceId /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.Network/frontdoors/<frontdoorClassicName> -ProfileName myAzureFrontDoor -SkuName Premium_AzureFrontDoor -IdentityType UserAssigned -IdentityUserAssignedIdentity @{"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity" = @{}}
La salida es similar a la siguiente:
Starting the parameter validation process.
The parameters have been successfully validated.
Your new Front Door profile is being created. Please wait until the process has finished completely. This may take several minutes.
Your new Front Door profile with the configuration has been successfully created.
En este ejemplo, se muestra cómo migrar un perfil de Front Door con varias directivas WAF y habilitar la identidad asignada por el sistema y por el usuario.
Ejecute el comando Get-AzFrontDoorWafPolicy para obtener el id. de recurso de la directiva WAF. Reemplace los valores del nombre del grupo de recursos y el nombre de la directiva WAF por sus propios valores.
Get-AzFrontDoorWafPolicy -ResourceGroupName myAFDResourceGroup -Name myClassicFrontDoorWAF
La salida es similar a la siguiente:
PolicyMode : Detection
PolicyEnabledState : Enabled
RedirectUrl :
CustomBlockResponseStatusCode : 403
CustomBlockResponseBody :
RequestBodyCheck : Disabled
CustomRules : {}
ManagedRules : {Microsoft.Azure.Commands.FrontDoor.Models.PSAzureManagedRule}
Etag :
ProvisioningState : Succeeded
Sku : Classic_AzureFrontDoor
Tags :
Id : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myClassicFrontDoorWAF
Name : myFrontDoorWAF
Type :
Ejecute el comando New-AzFrontDoorCdnMigrationWebApplicationFirewallMappingObject para crear un objeto en memoria para la migración de directivas WAF. Use el id. de WAF en el último paso para MigratedFromId. Para usar una directiva WAF existente, reemplace el valor de MigratedToId por un identificador de recurso de una directiva WAF que coincida con el nivel de Front Door al que va a migrar. Si va a crear una nueva copia de directiva WAF, puede cambiar el nombre de la directiva WAF en el id. de recurso.
$wafMapping1 = New-AzFrontDoorCdnMigrationWebApplicationFirewallMappingObject -MigratedFromId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myClassicFrontDoorWAF1 -MigratedToId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myFrontDoorWAF1
$wafMapping2 = New-AzFrontDoorCdnMigrationWebApplicationFirewallMappingObject -MigratedFromId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myClassicFrontDoorWAF2 -MigratedToId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myFrontDoorWAF2
Especifique ambos tipos de identidad administrada en una variable.
$identityType = "SystemAssigned, UserAssigned"
Ejecute el comando Get-AzUserAssignedIdentity para obtener el identificador de recurso de una identidad asignada por el usuario.
$id1 = Get-AzUserAssignedIdentity -ResourceGroupName myResourceGroup -Name afduseridentity1
$id1.Id
$id2 = Get-AzUserAssignedIdentity -ResourceGroupName myResourceGroup -Name afduseridentity2
$id2.Id
La salida es similar a la siguiente:
/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity1
/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity2
Especifique el identificador de recurso de identidad asignado por el usuario en una variable.
$userInfo = @{
"subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity1" = @{}}
"subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity2" = @{}}
}
Ejecute el comando Start-AzFrontDoorCdnProfilePrepareMigration para prepararse para la migración. Reemplace los valores del nombre del grupo de recursos, el id. de recurso y el nombre del perfil por sus propios valores. Para SkuName, use Standard_AzureFrontDoor o Premium_AzureFrontDoor.
SkuName se basa en la salida del comando Test-AzFrontDoorCdnProfileMigration. El parámetro MigrationWebApplicationFirewallMapping toma una matriz de objetos de migración de directivas WAF. El parámetro IdentityType toma una lista separada por comas de tipos de identidad. El parámetro IdentityUserAssignedIdentity toma una tabla hash de id. de recursos de identidad asignados por el usuario.
Reemplace los valores siguientes en el comando:
-
<subscriptionId>: el identificador de suscripción.
-
<resourceGroupName>: nombre del grupo de recursos de Front Door (clásico).
-
<frontdoorClassicName>: nombre del perfil de Front Door (clásico).
Start-AzFrontDoorCdnProfilePrepareMigration -ResourceGroupName <resourceGroupName> -ClassicResourceReferenceId /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.Network/frontdoors/<frontdoorClassicName> -ProfileName myAzureFrontDoor -SkuName Premium_AzureFrontDoor -MigrationWebApplicationFirewallMapping @($wafMapping1, $wafMapping2) -IdentityType $identityType -IdentityUserAssignedIdentity $userInfo
La salida es similar a la siguiente:
Starting the parameter validation process.
The parameters have been successfully validated.
Your new Front Door profile is being created. Please wait until the process has finished completely. This may take several minutes.
Your new Front Door profile with the configuration has been successfully created.
Migrar
Ejecute el comando Enable-AzFrontDoorCdnProfileMigration para migrar Front Door (clásico).
Enable-AzFrontDoorCdnProfileMigration -ProfileName myAzureFrontDoor -ResourceGroupName myAFDResourceGroup
La salida es similar a la siguiente:
Start to migrate.
This process will disable your Front Door (classic) profile and move all your traffic and configurations to the new Front Door profile.
Migrate succeeded.
Ejecute el comando Stop-AzFrontDoorCdnProfileMigration para anular el proceso de migración.
Stop-AzFrontDoorCdnProfileMigration -ProfileName myAzureFrontDoor -ResourceGroupName myAFDResourceGroup
La salida es similar a la siguiente:
Start to abort the migration.
Your new Front Door Profile will be deleted and your existing profile will remain active. WAF policies will not be deleted.
Please wait until the process has finished completely. This may take several minutes.
Abort succeeded.
Actualizar registros de DNS
La instancia anterior de Azure Front Door (clásica) usa un nombre de dominio completo (FQDN) distinto al de Azure Front Door Estándar o Premium. Por ejemplo, un punto de conexión de Azure Front Door (clásico) podría ser contoso.azurefd.net, mientras que el punto de conexión de Azure Front Door Estándar o Premium podría ser contoso-mdjf2jfgjf82mnzx.z01.azurefd.net. Para obtener más información sobre los puntos de conexión de Azure Front Door Estándar o Premium, consulte Puntos de conexión en Azure Front Door.
No es necesario actualizar los registros de DNS antes o durante el proceso de migración. Azure Front Door envía automáticamente el tráfico que recibe en el punto de conexión de Azure Front Door (clásico) a su perfil de Azure Front Door Estándar o Premium sin que usted tenga que realizar ningún cambio de configuración.
Sin embargo, cuando finalice la migración, se recomienda encarecidamente actualizar los registros de DNS para dirigir el tráfico al nuevo punto de conexión de Azure Front Door Estándar o Premium. El cambio de los registros de DNS ayuda a garantizar que el perfil siga funcionando en el futuro. El cambio en el registro de DNS no provoca ningún tiempo de inactividad. No es necesario planificar con antelación esta actualización y puede programarla cuando más le convenga.
Pasos siguientes