S’applique à : ✔️ Front Door (classique)
Important
Azure Front Door (classique) va être mis hors service le 31 mars 2027. Pour éviter toute interruption de service, il est important que vous migriez vos profils Azure Front Door (classique) vers les niveaux Azure Front Door Standard ou Premium d’ici mars 2027. Pour plus d’informations, consultez Mise hors service d’Azure Front Door (classique).
Les niveaux Azure Front Door Standard et Premium apportent les dernières fonctionnalités de réseau de livraison cloud à Azure. Avec des fonctionnalités de sécurité renforcées et un service tout-en-un, le contenu de votre application est sécurisé et plus proche de vos utilisateurs finaux à l’aide du réseau mondial Microsoft. Cet article vous guide tout au long du processus de migration de votre profil Front Door (classique) vers un profil de niveau Standard ou Premium avec Azure PowerShell.
Prérequis
- Consultez l’article À propos de la migration du niveau Front Door.
- Vérifiez que votre profil Front Door (classique) peut être migré :
- Azure Front Door Standard et Premium nécessitent que tous les domaines personnalisés utilisent HTTPS. Si vous n’avez pas votre propre certificat, vous pouvez utiliser un certificat managé Azure Front Door. Le certificat est gratuit et géré pour vous.
- L’affinité de session est activée dans les paramètres du groupe d’origine pour un profil Azure Front Door Standard ou Premium. Dans Azure Front Door (classique), l’affinité de session est définie au niveau du domaine. Dans le cadre de la migration, l’affinité de session est basée sur les paramètres de profile Front Door (classique). Si vous avez deux domaines dans votre profil classique qui partagent le même pool back-end (groupe d’origine), l’affinité de session doit être cohérente entre les deux domaines pour que la migration soit validée.
- Dernier module Azure PowerShell installé localement ou Azure Cloud Shell. Pour plus d’informations, consultez Installer et configurer Azure PowerShell.
Notes
Vous n’avez pas besoin d’apporter de modifications DNS avant ou pendant le processus de migration. Toutefois, une fois la migration terminée et que le trafic transite par votre nouveau profil Azure Front Door, vous devez mettre à jour vos enregistrements DNS. Pour plus d’informations, consultez Mettre à jour les enregistrements DNS.
Valider la compatibilité
Ouvrez Azure PowerShell et connectez-vous à votre compte Azure. Pour plus d’informations, consultez Se connecter à Azure PowerShell.
Testez la compatibilité pour la migration de votre profil Azure Front Door (classique). Vous pouvez utiliser la commande Test-AzFrontDoorCdnProfileMigration pour tester votre profil. Remplacez les valeurs du nom du groupe de ressources et de l’ID de ressource par vos propres valeurs. Utilisez Get-AzFrontDoor pour obtenir l’ID de ressource de votre profil Front Door (classique).
Remplacez les valeurs suivantes dans la commande :
-
<subscriptionId> : votre ID d’abonnement.
-
<resourceGroupName> : nom du groupe de ressources Front Door (classique).
-
<frontdoorClassicName> : nom du profil Front Door (classique).
Test-AzFrontDoorCdnProfileMigration -ResourceGroupName <resourceGroupName> -ClassicResourceReferenceId /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.Network/frontdoors/<frontdoorClassicName>
Si le profil est compatible pour la migration, la sortie suivante s’affiche :
CanMigrate DefaultSku
---------- ----------
True Standard_AzureFrontDoor or Premium_AzureFrontDoor
Si la migration n’est pas compatible, la sortie suivante s’affiche :
CanMigrate DefaultSku
---------- ----------
False
Préparation de la migration
Notes
- Le certificat managé n’est actuellement pas pris en charge pour Azure Front Door Standard ou Premium dans le cloud Azure Government. Vous devez utiliser BYOC pour Azure Front Door Standard ou Premium dans le cloud Azure Government, ou attendre que cette capacité soit disponible.
Exécutez la commande Start-AzFrontDoorCdnProfilePrepareMigration pour préparer la migration. Remplacez les valeurs du nom du groupe de ressources, l’ID de ressource et le nom de profil par vos propres valeurs. Pour SkuName, utilisez Standard_AzureFrontDoor ou Premium_AzureFrontDoor. Le SkuName est basé sur la sortie de la commande Test-AzFrontDoorCdnProfileMigration .
Remplacez les valeurs suivantes dans la commande :
-
<subscriptionId> : votre ID d’abonnement.
-
<resourceGroupName> : nom du groupe de ressources Front Door (classique).
-
<frontdoorClassicName> : nom du profil Front Door (classique).
Start-AzFrontDoorCdnProfilePrepareMigration -ResourceGroupName <resourceGroupName> -ClassicResourceReferenceId /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.Network/frontdoors/<frontdoorClassicName> -ProfileName myAzureFrontDoor -SkuName Premium_AzureFrontDoor
Le résultat ressemble à ce qui suit :
Starting the parameter validation process.
The parameters have been successfully validated.
Your new Front Door profile is being created. Please wait until the process has finished completely. This may take several minutes.
Your new Front Door profile with the configuration has been successfully created.
Exécutez la commande Get-AzFrontDoorWafPolicy pour obtenir l’ID de ressource de votre stratégie WAF. Remplacez les valeurs du nom du groupe de ressources et le nom de stratégie WAF par vos propres valeurs.
Get-AzFrontDoorWafPolicy -ResourceGroupName myAFDResourceGroup -Name myClassicFrontDoorWAF
Le résultat ressemble à ce qui suit :
PolicyMode : Detection
PolicyEnabledState : Enabled
RedirectUrl :
CustomBlockResponseStatusCode : 403
CustomBlockResponseBody :
RequestBodyCheck : Disabled
CustomRules : {}
ManagedRules : {Microsoft.Azure.Commands.FrontDoor.Models.PSAzureManagedRule}
Etag :
ProvisioningState : Succeeded
Sku : Classic_AzureFrontDoor
Tags :
Id : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myClassicFrontDoorWAF
Name : myFrontDoorWAF
Type :
Exécutez la commande New-AzFrontDoorCdnMigrationWebApplicationFirewallMappingObject pour créer un objet en mémoire pour la migration de stratégie WAF. Utilisez l’ID WAF à la dernière étape pour MigratedFromId. Pour utiliser une stratégie WAF existante, remplacez la valeur de MigratedToId par un ID de ressource d’une stratégie WAF qui correspond au niveau Front Door vers lequel vous effectuez la migration. Si vous créez une copie de stratégie WAF, vous pouvez modifier le nom de la stratégie WAF dans l’ID de ressource.
$wafMapping = New-AzFrontDoorCdnMigrationWebApplicationFirewallMappingObject -MigratedFromId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myClassicFrontDoorWAF -MigratedToId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myFrontDoorWAF
Exécutez la commande Start-AzFrontDoorCdnProfilePrepareMigration pour préparer la migration. Remplacez les valeurs du nom du groupe de ressources, l’ID de ressource et le nom de profil par vos propres valeurs. Pour SkuName, utilisez Standard_AzureFrontDoor ou Premium_AzureFrontDoor. Le SkuName est basé sur la sortie de la commande Test-AzFrontDoorCdnProfileMigration .
Remplacez les valeurs suivantes dans la commande :
-
<subscriptionId> : votre ID d’abonnement.
-
<resourceGroupName> : nom du groupe de ressources Front Door (classique).
-
<frontdoorClassicName> : nom du profil Front Door (classique).
Start-AzFrontDoorCdnProfilePrepareMigration -ResourceGroupName <resourceGroupName> -ClassicResourceReferenceId /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.Network/frontdoors/<frontdoorClassicName> -ProfileName myAzureFrontDoor -SkuName Premium_AzureFrontDoor -MigrationWebApplicationFirewallMapping $wafMapping
Le résultat ressemble à ce qui suit :
Starting the parameter validation process.
The parameters have been successfully validated.
Your new Front Door profile is being created. Please wait until the process has finished completely. This may take several minutes.
Your new Front Door profile with the configuration has been successfully created.
Si vous migrez un profil Front Door avec BYOC, vous devez activer l’identité managée sur le profil Front Door. Vous devez accorder au profil Front Door l’accès au coffre de clés dans lequel le certificat est stocké.
Exécutez la commande Start-AzFrontDoorCdnProfilePrepareMigration pour préparer la migration. Remplacez les valeurs du nom du groupe de ressources, l’ID de ressource et le nom de profil par vos propres valeurs. Pour SkuName, utilisez Standard_AzureFrontDoor ou Premium_AzureFrontDoor. Le SkuName est basé sur la sortie de la commande Test-AzFrontDoorCdnProfileMigration .
Attribuée par le système
Pour IdentityType, utilisez SystemAssigned.
Start-AzFrontDoorCdnProfilePrepareMigration -ResourceGroupName myAFDResourceGroup -ClassicResourceReferenceId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/Frontdoors/myAzureFrontDoorClassic -ProfileName myAzureFrontDoor -SkuName Premium_AzureFrontDoor -IdentityType SystemAssigned
Attribuée par l'utilisateur
Exécutez la commande Get-AzUserAssignedIdentity pour obtenir l’ID de ressource d’une identité affectée par l’utilisateur.
$id = Get-AzUserAssignedIdentity -ResourceGroupName myResourceGroup -Name afduseridentity
$id.Id
Le résultat ressemble à ce qui suit :
/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity
Pour IdentityType, utilisez UserAssigned et pour IdentityUserAssignedIdentity*, utilisez l’ID de ressource de l’étape précédente.
Remplacez les valeurs suivantes dans la commande :
-
<subscriptionId> : votre ID d’abonnement.
-
<resourceGroupName> : nom du groupe de ressources Front Door (classique).
-
<frontdoorClassicName> : nom du profil Front Door (classique).
Start-AzFrontDoorCdnProfilePrepareMigration -ResourceGroupName <resourceGroupName> -ClassicResourceReferenceId /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.Network/frontdoors/<frontdoorClassicName> -ProfileName myAzureFrontDoor -SkuName Premium_AzureFrontDoor -IdentityType UserAssigned -IdentityUserAssignedIdentity @{"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity" = @{}}
Le résultat ressemble à ce qui suit :
Starting the parameter validation process.
The parameters have been successfully validated.
Your new Front Door profile is being created. Please wait until the process has finished completely. This may take several minutes.
Your new Front Door profile with the configuration has been successfully created.
Cet exemple montre comment migrer un profil Front Door avec plusieurs stratégies WAF et activer à la fois l’identité affectée par le système et par l’utilisateur.
Exécutez la commande Get-AzFrontDoorWafPolicy pour obtenir l’ID de ressource de votre stratégie WAF. Remplacez les valeurs du nom du groupe de ressources et le nom de stratégie WAF par vos propres valeurs.
Get-AzFrontDoorWafPolicy -ResourceGroupName myAFDResourceGroup -Name myClassicFrontDoorWAF
Le résultat ressemble à ce qui suit :
PolicyMode : Detection
PolicyEnabledState : Enabled
RedirectUrl :
CustomBlockResponseStatusCode : 403
CustomBlockResponseBody :
RequestBodyCheck : Disabled
CustomRules : {}
ManagedRules : {Microsoft.Azure.Commands.FrontDoor.Models.PSAzureManagedRule}
Etag :
ProvisioningState : Succeeded
Sku : Classic_AzureFrontDoor
Tags :
Id : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myClassicFrontDoorWAF
Name : myFrontDoorWAF
Type :
Exécutez la commande New-AzFrontDoorCdnMigrationWebApplicationFirewallMappingObject pour créer un objet en mémoire pour la migration de stratégie WAF. Utilisez l’ID WAF à la dernière étape pour MigratedFromId. Pour utiliser une stratégie WAF existante, remplacez la valeur de MigratedToId par un ID de ressource d’une stratégie WAF qui correspond au niveau Front Door vers lequel vous effectuez la migration. Si vous créez une copie de stratégie WAF, vous pouvez modifier le nom de la stratégie WAF dans l’ID de ressource.
$wafMapping1 = New-AzFrontDoorCdnMigrationWebApplicationFirewallMappingObject -MigratedFromId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myClassicFrontDoorWAF1 -MigratedToId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myFrontDoorWAF1
$wafMapping2 = New-AzFrontDoorCdnMigrationWebApplicationFirewallMappingObject -MigratedFromId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myClassicFrontDoorWAF2 -MigratedToId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myFrontDoorWAF2
Spécifiez les deux types d’identité managée dans une variable.
$identityType = "SystemAssigned, UserAssigned"
Exécutez la commande Get-AzUserAssignedIdentity pour obtenir l’ID de ressource d’une identité affectée par l’utilisateur.
$id1 = Get-AzUserAssignedIdentity -ResourceGroupName myResourceGroup -Name afduseridentity1
$id1.Id
$id2 = Get-AzUserAssignedIdentity -ResourceGroupName myResourceGroup -Name afduseridentity2
$id2.Id
Le résultat ressemble à ce qui suit :
/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity1
/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity2
Spécifiez l’ID de ressource d’identité affecté par l’utilisateur dans une variable.
$userInfo = @{
"subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity1" = @{}}
"subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity2" = @{}}
}
Exécutez la commande Start-AzFrontDoorCdnProfilePrepareMigration pour préparer la migration. Remplacez les valeurs du nom du groupe de ressources, l’ID de ressource et le nom de profil par vos propres valeurs. Pour SkuName, utilisez Standard_AzureFrontDoor ou Premium_AzureFrontDoor. Le SkuName est basé sur la sortie de la commande Test-AzFrontDoorCdnProfileMigration . Le paramètre MigrationWebApplicationFirewallMapping prend un tableau d’objets de migration de stratégie WAF. Le paramètre IdentityType prend une liste séparée par des virgules de types d’identités. Le paramètre IdentityUserAssignedIdentity prend une table de hachage des ID de ressource d’identité attribués par l’utilisateur.
Remplacez les valeurs suivantes dans la commande :
-
<subscriptionId> : votre ID d’abonnement.
-
<resourceGroupName> : nom du groupe de ressources Front Door (classique).
-
<frontdoorClassicName> : nom du profil Front Door (classique).
Start-AzFrontDoorCdnProfilePrepareMigration -ResourceGroupName <resourceGroupName> -ClassicResourceReferenceId /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.Network/frontdoors/<frontdoorClassicName> -ProfileName myAzureFrontDoor -SkuName Premium_AzureFrontDoor -MigrationWebApplicationFirewallMapping @($wafMapping1, $wafMapping2) -IdentityType $identityType -IdentityUserAssignedIdentity $userInfo
Le résultat ressemble à ce qui suit :
Starting the parameter validation process.
The parameters have been successfully validated.
Your new Front Door profile is being created. Please wait until the process has finished completely. This may take several minutes.
Your new Front Door profile with the configuration has been successfully created.
Émigrer
Exécutez la commande Enable-AzFrontDoorCdnProfileMigration pour migrer votre Front Door (classique).
Enable-AzFrontDoorCdnProfileMigration -ProfileName myAzureFrontDoor -ResourceGroupName myAFDResourceGroup
Le résultat ressemble à ce qui suit :
Start to migrate.
This process will disable your Front Door (classic) profile and move all your traffic and configurations to the new Front Door profile.
Migrate succeeded.
Exécutez la commande Stop-AzFrontDoorCdnProfileMigration pour abandonner le processus de migration.
Stop-AzFrontDoorCdnProfileMigration -ProfileName myAzureFrontDoor -ResourceGroupName myAFDResourceGroup
Le résultat ressemble à ce qui suit :
Start to abort the migration.
Your new Front Door Profile will be deleted and your existing profile will remain active. WAF policies will not be deleted.
Please wait until the process has finished completely. This may take several minutes.
Abort succeeded.
Mise à jour des enregistrements DNS
Votre ancienne instance Azure Front Door (classique) utilise un nom de domaine complet (FQDN) différent de celui d’Azure Front Door Standard et Premium. Par exemple, un point de terminaison Azure Front Door (classique) peut être contoso.azurefd.net, tandis que le point de terminaison Azure Front Door Standard ou Premium peut être contoso-mdjf2jfgjf82mnzx.z01.azurefd.net. Pour plus d’informations sur les points de terminaison Azure Front Door Standard et Premium, consultez Points de terminaison dans Azure Front Door.
Vous n’avez pas besoin de mettre à jour vos enregistrements DNS avant ou pendant le processus de migration. Azure Front Door envoie automatiquement le trafic qu’il reçoit sur le point de terminaison Azure Front Door (classique) à votre profil Azure Front Door Standard ou Premium sans que vous apportiez de modifications à la configuration.
Toutefois, une fois votre migration est terminée, nous vous recommandons vivement de mettre à jour vos enregistrements DNS pour diriger le trafic vers le nouveau point de terminaison Azure Front Door Standard ou Premium. Modifier vos enregistrements DNS permet de garantir que votre profil continue à fonctionner à l’avenir. La modification de l’enregistrement DNS n’entraîne aucun temps d’arrêt. Il n’est pas nécessaire de planifier cette mise à jour à l’avance pour qu’elle se produise, vous pouvez la planifier comme vous le souhaitez.
Étapes suivantes