Dotyczy: ✔️ Front Door (wersja klasyczna)
Usługa Azure Front Door w warstwie Standardowa i Premium udostępnia najnowsze funkcje sieci dostarczania w chmurze na platformę Azure. Dzięki ulepszonym funkcjom zabezpieczeń i usłudze typu "wszystko w jednym" zawartość aplikacji jest zabezpieczona i bliżej użytkowników końcowych przy użyciu globalnej sieci firmy Microsoft. Ten artykuł przeprowadzi Cię przez proces migracji w celu przeniesienia profilu usługi Azure Front Door (klasycznego) do profilu warstwy Standardowa lub Premium przy użyciu programu Azure PowerShell.
Wymagania wstępne
- Zapoznaj się z artykułem About Front Door tier migration (Informacje o migracji warstwy usługi Front Door).
- Upewnij się, że profil usługi Front Door (klasyczny) można migrować:
- Usługi Azure Front Door Standard i Premium wymagają, aby wszystkie domeny niestandardowe używały protokołu HTTPS. Jeśli nie masz własnego certyfikatu, możesz użyć certyfikatu zarządzanego usługi Azure Front Door. Certyfikat jest bezpłatny i jest zarządzany za Ciebie.
- Koligacja sesji jest włączana w ustawieniach grupy źródeł dla profilu usługi Azure Front Door Standard lub Premium. W usłudze Azure Front Door (wersja klasyczna) koligacja sesji jest ustawiana na poziomie domeny. W ramach migracji koligacja sesji jest oparta na ustawieniach profilu usługi Front Door (wersja klasyczna). Jeśli masz dwie domeny w profilu klasycznym, które korzystają z tej samej puli zaplecza (grupy źródeł), koligacja sesji musi być spójna w obu domenach, aby weryfikacja migracji zakończyła się sukcesem.
- Najnowszy moduł programu Azure PowerShell zainstalowany lokalnie lub w usłudze Azure Cloud Shell. Aby uzyskać więcej informacji, zobacz Instalowanie i konfigurowanie programu Azure PowerShell.
Uwaga
Nie musisz wprowadzać żadnych zmian DNS przed ani podczas procesu migracji. Jednak po zakończeniu migracji i gdy ruch zacznie przepływać przez nowy profil usługi Azure Front Door, należy zaktualizować rekordy DNS. Aby uzyskać więcej informacji, zobacz Aktualizowanie rekordów DNS.
Weryfikowanie zgodności
Otwórz program Azure PowerShell i połącz się z kontem platformy Azure. Aby uzyskać więcej informacji, zobacz Nawiązywanie połączenia z programem Azure PowerShell.
Przetestuj profil usługi Azure Front Door (wersja klasyczna), aby sprawdzić, czy jest on zgodny z migracją. Możesz użyć polecenia Test-AzFrontDoorCdnProfileMigration, aby przetestować swój profil. Zastąp wartości nazwy grupy zasobów i identyfikatorem zasobu własnymi wartościami. Użyj Get-AzFrontDoor, aby uzyskać identyfikator zasobu dla profilu usługi Front Door (wersja klasyczna).
Zastąp następujące wartości w poleceniu:
-
<subscriptionId>: Identyfikator subskrypcji.
-
<resourceGroupName>: nazwa grupy zasobów usługi Front Door (wersja klasyczna).
-
<frontdoorClassicName>: nazwa profilu usługi Front Door (wersja klasyczna).
Test-AzFrontDoorCdnProfileMigration -ResourceGroupName <resourceGroupName> -ClassicResourceReferenceId /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.Network/frontdoors/<frontdoorClassicName>
Jeśli migracja jest zgodna z migracją, zobaczysz następujące dane wyjściowe:
CanMigrate DefaultSku
---------- ----------
True Standard_AzureFrontDoor or Premium_AzureFrontDoor
Jeśli migracja nie jest zgodna, zobaczysz następujące dane wyjściowe:
CanMigrate DefaultSku
---------- ----------
False
Przygotowanie do migracji
Uwaga
- Certyfikat zarządzany nie jest obecnie obsługiwany w przypadku usługi Azure Front Door Standard ani Premium w chmurze Azure Government. Musisz użyć BYOC dla usługi Azure Front Door Standard lub Premium w chmurze Azure Government lub poczekać, aż ta funkcja będzie dostępna.
Uruchom polecenie Start-AzFrontDoorCdnProfilePrepareMigration, aby przygotować się do migracji. Zastąp wartości nazwy grupy zasobów, identyfikatora zasobu, nazwy profilu własnymi wartościami. Dla SkuName użyj Standard_AzureFrontDoor lub Premium_AzureFrontDoor. Jednostka SkuName jest oparta na danych wyjściowych polecenia Test-AzFrontDoorCdnProfileMigration .
Zastąp następujące wartości w poleceniu:
-
<subscriptionId>: Identyfikator subskrypcji.
-
<resourceGroupName>: nazwa grupy zasobów usługi Front Door (wersja klasyczna).
-
<frontdoorClassicName>: nazwa profilu usługi Front Door (wersja klasyczna).
Start-AzFrontDoorCdnProfilePrepareMigration -ResourceGroupName <resourceGroupName> -ClassicResourceReferenceId /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.Network/frontdoors/<frontdoorClassicName> -ProfileName myAzureFrontDoor -SkuName Premium_AzureFrontDoor
Dane wyjściowe wyglądają podobnie do następujących:
Starting the parameter validation process.
The parameters have been successfully validated.
Your new Front Door profile is being created. Please wait until the process has finished completely. This may take several minutes.
Your new Front Door profile with the configuration has been successfully created.
Uruchom polecenie Get-AzFrontDoorWafPolicy, aby uzyskać identyfikator zasobu dla zasad zapory Web Application Firewall. Zastąp wartości dla nazwy grupy zasobów i nazwy zasad zapory aplikacji internetowej swoimi wartościami.
Get-AzFrontDoorWafPolicy -ResourceGroupName myAFDResourceGroup -Name myClassicFrontDoorWAF
Dane wyjściowe wyglądają podobnie do następujących:
PolicyMode : Detection
PolicyEnabledState : Enabled
RedirectUrl :
CustomBlockResponseStatusCode : 403
CustomBlockResponseBody :
RequestBodyCheck : Disabled
CustomRules : {}
ManagedRules : {Microsoft.Azure.Commands.FrontDoor.Models.PSAzureManagedRule}
Etag :
ProvisioningState : Succeeded
Sku : Classic_AzureFrontDoor
Tags :
Id : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myClassicFrontDoorWAF
Name : myFrontDoorWAF
Type :
Uruchom polecenie New-AzFrontDoorCdnMigrationWebApplicationFirewallMappingObject, aby utworzyć obiekt w pamięci na potrzeby migracji zasad zapory aplikacji internetowej. Użyj WAF ID w ostatnim kroku dla elementu MigratedFromId. Aby użyć istniejącej polityki WAF, zastąp wartość MigratedToId identyfikatorem zasobu polityki WAF, który pasuje do poziomu usługi Front Door, do której migrujesz. Jeśli tworzysz nową kopię polityki WAF, możesz zmienić nazwę polityki WAF w identyfikatorze zasobu.
$wafMapping = New-AzFrontDoorCdnMigrationWebApplicationFirewallMappingObject -MigratedFromId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myClassicFrontDoorWAF -MigratedToId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myFrontDoorWAF
Uruchom polecenie Start-AzFrontDoorCdnProfilePrepareMigration, aby przygotować się do migracji. Zastąp wartości nazwy grupy zasobów, identyfikatora zasobu, nazwy profilu własnymi wartościami. Dla SkuName użyj Standard_AzureFrontDoor lub Premium_AzureFrontDoor. Jednostka SkuName jest oparta na danych wyjściowych polecenia Test-AzFrontDoorCdnProfileMigration .
Zastąp następujące wartości w poleceniu:
-
<subscriptionId>: Identyfikator subskrypcji.
-
<resourceGroupName>: nazwa grupy zasobów usługi Front Door (wersja klasyczna).
-
<frontdoorClassicName>: nazwa profilu usługi Front Door (wersja klasyczna).
Start-AzFrontDoorCdnProfilePrepareMigration -ResourceGroupName <resourceGroupName> -ClassicResourceReferenceId /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.Network/frontdoors/<frontdoorClassicName> -ProfileName myAzureFrontDoor -SkuName Premium_AzureFrontDoor -MigrationWebApplicationFirewallMapping $wafMapping
Dane wyjściowe wyglądają podobnie do następujących:
Starting the parameter validation process.
The parameters have been successfully validated.
Your new Front Door profile is being created. Please wait until the process has finished completely. This may take several minutes.
Your new Front Door profile with the configuration has been successfully created.
W przypadku migrowania profilu usługi Front Door z funkcją BYOC należy włączyć tożsamość zarządzaną w profilu usługi Front Door. Musisz przyznać profilowi usługi Front Door dostęp do magazynu kluczy, w którym jest przechowywany certyfikat.
Uruchom polecenie Start-AzFrontDoorCdnProfilePrepareMigration, aby przygotować się do migracji. Zastąp wartości nazwy grupy zasobów, identyfikatora zasobu, nazwy profilu własnymi wartościami. Dla SkuName użyj Standard_AzureFrontDoor lub Premium_AzureFrontDoor. Jednostka SkuName jest oparta na danych wyjściowych polecenia Test-AzFrontDoorCdnProfileMigration .
Przypisane przez system
W przypadku parametru IdentityType użyj elementu SystemAssigned.
Start-AzFrontDoorCdnProfilePrepareMigration -ResourceGroupName myAFDResourceGroup -ClassicResourceReferenceId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/Frontdoors/myAzureFrontDoorClassic -ProfileName myAzureFrontDoor -SkuName Premium_AzureFrontDoor -IdentityType SystemAssigned
Przypisana przez użytkownika
Uruchom polecenie Get-AzUserAssignedIdentity, aby uzyskać identyfikator zasobu dla tożsamości przypisanej przez użytkownika.
$id = Get-AzUserAssignedIdentity -ResourceGroupName myResourceGroup -Name afduseridentity
$id.Id
Dane wyjściowe wyglądają podobnie do następujących:
/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity
W polu IdentityType użyj wartości UserAssigned, a dla IdentityUserAssignedIdentity* użyj identyfikatora zasobu z poprzedniego kroku.
Zastąp następujące wartości w poleceniu:
-
<subscriptionId>: Identyfikator subskrypcji.
-
<resourceGroupName>: nazwa grupy zasobów usługi Front Door (wersja klasyczna).
-
<frontdoorClassicName>: nazwa profilu usługi Front Door (wersja klasyczna).
Start-AzFrontDoorCdnProfilePrepareMigration -ResourceGroupName <resourceGroupName> -ClassicResourceReferenceId /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.Network/frontdoors/<frontdoorClassicName> -ProfileName myAzureFrontDoor -SkuName Premium_AzureFrontDoor -IdentityType UserAssigned -IdentityUserAssignedIdentity @{"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity" = @{}}
Dane wyjściowe wyglądają podobnie do następujących:
Starting the parameter validation process.
The parameters have been successfully validated.
Your new Front Door profile is being created. Please wait until the process has finished completely. This may take several minutes.
Your new Front Door profile with the configuration has been successfully created.
W tym przykładzie pokazano, jak przeprowadzić migrację profilu usługi Azure Front Door z wieloma politykami WAF (zapory aplikacji internetowej) oraz włączyć tożsamości przypisane przez system i użytkownika.
Uruchom polecenie Get-AzFrontDoorWafPolicy, aby uzyskać identyfikator zasobu dla zasad zapory Web Application Firewall. Zastąp wartości dla nazwy grupy zasobów i nazwy zasad zapory aplikacji internetowej swoimi wartościami.
Get-AzFrontDoorWafPolicy -ResourceGroupName myAFDResourceGroup -Name myClassicFrontDoorWAF
Dane wyjściowe wyglądają podobnie do następujących:
PolicyMode : Detection
PolicyEnabledState : Enabled
RedirectUrl :
CustomBlockResponseStatusCode : 403
CustomBlockResponseBody :
RequestBodyCheck : Disabled
CustomRules : {}
ManagedRules : {Microsoft.Azure.Commands.FrontDoor.Models.PSAzureManagedRule}
Etag :
ProvisioningState : Succeeded
Sku : Classic_AzureFrontDoor
Tags :
Id : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myClassicFrontDoorWAF
Name : myFrontDoorWAF
Type :
Uruchom polecenie New-AzFrontDoorCdnMigrationWebApplicationFirewallMappingObject, aby utworzyć obiekt w pamięci na potrzeby migracji zasad zapory aplikacji internetowej. Użyj WAF ID w ostatnim kroku dla elementu MigratedFromId. Aby użyć istniejącej polityki WAF, zastąp wartość MigratedToId identyfikatorem zasobu polityki WAF, który pasuje do poziomu usługi Front Door, do której migrujesz. Jeśli tworzysz nową kopię polityki WAF, możesz zmienić nazwę polityki WAF w identyfikatorze zasobu.
$wafMapping1 = New-AzFrontDoorCdnMigrationWebApplicationFirewallMappingObject -MigratedFromId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myClassicFrontDoorWAF1 -MigratedToId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myFrontDoorWAF1
$wafMapping2 = New-AzFrontDoorCdnMigrationWebApplicationFirewallMappingObject -MigratedFromId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myClassicFrontDoorWAF2 -MigratedToId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myFrontDoorWAF2
Zdefiniuj oba typy tożsamości zarządzanych jako zmienną.
$identityType = "SystemAssigned, UserAssigned"
Uruchom polecenie Get-AzUserAssignedIdentity, aby uzyskać identyfikator zasobu dla tożsamości przypisanej przez użytkownika.
$id1 = Get-AzUserAssignedIdentity -ResourceGroupName myResourceGroup -Name afduseridentity1
$id1.Id
$id2 = Get-AzUserAssignedIdentity -ResourceGroupName myResourceGroup -Name afduseridentity2
$id2.Id
Dane wyjściowe wyglądają podobnie do następujących:
/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity1
/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity2
Określ identyfikator zasobu tożsamości przypisanej użytkownikowi w zmiennej.
$userInfo = @{
"subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity1" = @{}}
"subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity2" = @{}}
}
Uruchom polecenie Start-AzFrontDoorCdnProfilePrepareMigration, aby przygotować się do migracji. Zastąp wartości nazwy grupy zasobów, identyfikatora zasobu, nazwy profilu własnymi wartościami. Dla SkuName użyj Standard_AzureFrontDoor lub Premium_AzureFrontDoor. Jednostka SkuName jest oparta na danych wyjściowych polecenia Test-AzFrontDoorCdnProfileMigration . Parametr MigrationWebApplicationFirewallMapping przyjmuje tablicę obiektów migracji polityk zapory aplikacji internetowej. Parametr IdentityType przyjmuje rozdzielaną przecinkami listę typów tożsamości. Parametr IdentityUserAssignedIdentity przyjmuje tabelę skrótów identyfikatorów zasobów tożsamości przypisanych przez użytkownika.
Zastąp następujące wartości w poleceniu:
-
<subscriptionId>: Identyfikator subskrypcji.
-
<resourceGroupName>: nazwa grupy zasobów usługi Front Door (wersja klasyczna).
-
<frontdoorClassicName>: nazwa profilu usługi Front Door (wersja klasyczna).
Start-AzFrontDoorCdnProfilePrepareMigration -ResourceGroupName <resourceGroupName> -ClassicResourceReferenceId /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.Network/frontdoors/<frontdoorClassicName> -ProfileName myAzureFrontDoor -SkuName Premium_AzureFrontDoor -MigrationWebApplicationFirewallMapping @($wafMapping1, $wafMapping2) -IdentityType $identityType -IdentityUserAssignedIdentity $userInfo
Dane wyjściowe wyglądają podobnie do następujących:
Starting the parameter validation process.
The parameters have been successfully validated.
Your new Front Door profile is being created. Please wait until the process has finished completely. This may take several minutes.
Your new Front Door profile with the configuration has been successfully created.
Migrować
Uruchom polecenie Enable-AzFrontDoorCdnProfileMigration, aby przeprowadzić migrację usługi Front Door (wersja klasyczna).
Enable-AzFrontDoorCdnProfileMigration -ProfileName myAzureFrontDoor -ResourceGroupName myAFDResourceGroup
Dane wyjściowe wyglądają podobnie do następujących:
Start to migrate.
This process will disable your Front Door (classic) profile and move all your traffic and configurations to the new Front Door profile.
Migrate succeeded.
Uruchom polecenie Stop-AzFrontDoorCdnProfileMigration, aby przerwać proces migracji.
Stop-AzFrontDoorCdnProfileMigration -ProfileName myAzureFrontDoor -ResourceGroupName myAFDResourceGroup
Dane wyjściowe wyglądają podobnie do następujących:
Start to abort the migration.
Your new Front Door Profile will be deleted and your existing profile will remain active. WAF policies will not be deleted.
Please wait until the process has finished completely. This may take several minutes.
Abort succeeded.
Aktualizowanie rekordów DNS
Stare wystąpienie usługi Azure Front Door (klasyczne) korzysta z innej w pełni kwalifikowanej nazwy domeny (FQDN) niż usługa Azure Front Door Standard i Premium. Na przykład punkt końcowy usługi Azure Front Door (wersja klasyczna) może mieć wartość contoso.azurefd.net, a punkt końcowy usługi Azure Front Door w warstwie Standardowa lub Premium może mieć wartość contoso-mdjf2jfgjf82mnzx.z01.azurefd.net. Aby uzyskać więcej informacji na temat punktów końcowych usługi Azure Front Door Standard i Premium, zobacz Punkty końcowe w usłudze Azure Front Door.
Nie musisz aktualizować rekordów DNS przed ani podczas procesu migracji. Usługa Azure Front Door automatycznie wysyła ruch odbierany w punkcie końcowym usługi Azure Front Door (wersja klasyczna) do profilu usługi Azure Front Door Standard lub Premium bez wprowadzania żadnych zmian konfiguracji.
Jednak po zakończeniu migracji zdecydowanie zalecamy zaktualizowanie rekordów DNS w celu kierowania ruchu do nowego punktu końcowego usługi Azure Front Door Standard lub Premium. Zmiana rekordów DNS pomaga zapewnić, że profil będzie nadal działać w przyszłości. Zmiana rekordu DNS nie powoduje żadnych przestojów. Nie musisz planować tej aktualizacji z wyprzedzeniem, możesz ją zaplanować w dogodnym dla siebie czasie.
Następne kroki