Migrieren von Azure Front Door (klassisch) zum Standard-/Premium-Tarif mit Azure PowerShell

Wichtig

Azure Front Door (klassisch) wird am 31. März 2027 eingestellt. Um Dienstunterbrechungen zu vermeiden, ist es wichtig, dass Sie Ihre (klassischen) Azure Front Door-Profile bis März 2027 zur Azure Front Door Standard- oder Premium-Stufe migrieren. Weitere Informationen finden Sie unter Einstellung von Azure Front Door (klassisch).

Die Azure Front Door Standard- und Premium-Tarife führen die neuesten Features des Cloudbereitstellungsnetzwerks in Azure ein. Mit erweiterten Sicherheitsfeatures und einem All-in-One-Dienst sind Ihre Anwendungsinhalte geschützt und mit dem globalen Microsoft-Netzwerk näher an Ihren Endbenutzern. Dieser Artikel führt Sie durch den Prozess zum Migrieren Ihres Azure Front Door (klassisch)-Profils zu einem Profil im Standard- oder Premium-Tarif mit Azure PowerShell.

Voraussetzungen

• Lesen Sie den Artikel Informationen zur Migration des Front Door-Tarifs .
• Stellen Sie sicher, dass Ihr Front Door (klassisch)-Profil migriert werden kann:
  • Azure Front Door Standard und Premium erfordern, dass alle benutzerdefinierten Domänen HTTPS verwenden. Wenn Sie nicht über ein eigenes Zertifikat verfügen, können Sie ein verwaltetes Azure Front Door-Zertifikat verwenden. Das Zertifikat ist kostenlos und wird für Sie verwaltet.
  • Die Sitzungsaffinität wird in den Ursprungsgruppeneinstellungen für ein Azure Front Door Standard- oder Premium-Profil aktiviert. In Azure Front Door (klassisch) wird die Sitzungsaffinität auf Domänenebene festgelegt. Im Rahmen der Migration basiert die Sitzungsaffinität auf den Profileinstellungen von Front Door (klassisch). Wenn Sie über zwei Domänen in einem klassischen Profil verfügen, die denselben Back-End-Pool (Ursprungsgruppe) verwenden, muss die Sitzungsaffinität in beiden Domänen konsistent sein, damit die Migration erfolgreich validiert wird.
• Neuestes Azure PowerShell-Modul lokal installiert oder Azure Cloud Shell. Weitere Informationen finden Sie unter Installieren und Konfigurieren von Azure PowerShell.

Hinweis

Sie müssen vor oder während des Migrationsprozesses keine DNS-Änderungen vornehmen. Sobald die Migration abgeschlossen ist und der Datenverkehr über Ihr neues Azure Front Door-Profil fließt, müssen Sie jedoch Ihre DNS-Einträge aktualisieren. Weitere Informationen finden Sie unter Aktualisieren von DNS-Einträgen.

Kompatibilität überprüfen

1. Öffnen Sie Azure PowerShell, und verbinden Sie sich mit Ihrem Azure-Konto. Weitere Informationen finden Sie unter Herstellen einer Verbindung mit Azure PowerShell.

2. Testen Sie Ihr Azure Front Door-Profil (klassisch), um festzustellen, ob es für die Migration kompatibel ist. Sie können den Befehl Test-AzFrontDoorCdnProfileMigration verwenden, um Ihr Profil zu testen. Ersetzen Sie die Werte für den Ressourcengruppennamen und die Ressourcen-ID durch Ihre eigenen Werte. Verwenden Sie Get-AzFrontDoor, um die Ressourcen-ID für Ihr Front Door-Profil (klassisch) abzurufen.

   Ersetzen Sie die folgenden Werte im Befehl:

   • <subscriptionId>: Ihre Abonnement-ID.
   • <resourceGroupName>: Der Ressourcengruppenname von Front Door (klassisch).
   • <frontdoorClassicName>: Der Name des Front Door (klassisch)-Profils.

   Test-AzFrontDoorCdnProfileMigration -ResourceGroupName <resourceGroupName> -ClassicResourceReferenceId /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.Network/frontdoors/<frontdoorClassicName>
   

   Wenn das Profil für die Migration kompatibel ist, wird die folgende Ausgabe angezeigt:

   CanMigrate DefaultSku
   ---------- ----------
   True       Standard_AzureFrontDoor or Premium_AzureFrontDoor
   

   Wenn die Migration nicht kompatibel ist, wird die folgende Ausgabe angezeigt:

   CanMigrate DefaultSku
   ---------- ----------
   False      
   

Vorbereiten der Migration

Hinweis

• Verwaltetes Zertifikat wird derzeit für Azure Front Door Standard oder Premium in Azure Government Cloud nicht unterstützt. Sie müssen BYOC für Azure Front Door Standard oder Premium in Azure Government Cloud verwenden oder warten, bis diese Funktion verfügbar ist.

Ohne WAF und BYOC (Bring Your Own Certificate)

Führen Sie den Befehl Start-AzFrontDoorCdnProfilePrepareMigration aus, um die Migration vorzubereiten. Ersetzen Sie die Werte für den Ressourcengruppennamen, die Ressourcen-ID und den Profilnamen durch Ihre eigenen Werte. Verwenden Sie für SkuNameentweder Standard_AzureFrontDoor oder Premium_AzureFrontDoor. Der SkuName basiert auf der Ausgabe des Befehls Test-AzFrontDoorCdnProfileMigration.

Ersetzen Sie die folgenden Werte im Befehl:

• <subscriptionId>: Ihre Abonnement-ID.
• <resourceGroupName>: Der Ressourcengruppenname von Front Door (klassisch).
• <frontdoorClassicName>: Der Name des Front Door (klassisch)-Profils.

Start-AzFrontDoorCdnProfilePrepareMigration -ResourceGroupName <resourceGroupName> -ClassicResourceReferenceId /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.Network/frontdoors/<frontdoorClassicName> -ProfileName myAzureFrontDoor -SkuName Premium_AzureFrontDoor

Die Ausgabe sieht in etwa wie folgt aus:

Starting the parameter validation process.
The parameters have been successfully validated.
Your new Front Door profile is being created. Please wait until the process has finished completely. This may take several minutes.

Your new Front Door profile with the configuration has been successfully created.

Mit WAF

1. Führen Sie den Befehl Get-AzFrontDoorWafPolicy aus, um die Ressourcen-ID für Ihre WAF-Richtlinie abzurufen. Ersetzen Sie die Werte für den Ressourcengruppennamen und den WAF-Richtliniennamen durch Ihre eigenen Werte.

   Get-AzFrontDoorWafPolicy -ResourceGroupName myAFDResourceGroup -Name myClassicFrontDoorWAF
   

   Die Ausgabe sieht in etwa wie folgt aus:

   PolicyMode                    : Detection
   PolicyEnabledState            : Enabled
   RedirectUrl                   : 
   CustomBlockResponseStatusCode : 403
   CustomBlockResponseBody       : 
   RequestBodyCheck              : Disabled
   CustomRules                   : {}
   ManagedRules                  : {Microsoft.Azure.Commands.FrontDoor.Models.PSAzureManagedRule}
   Etag                          : 
   ProvisioningState             : Succeeded
   Sku                           : Classic_AzureFrontDoor
   Tags                          : 
   Id                            : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myClassicFrontDoorWAF
   Name                          : myFrontDoorWAF
   Type                          :
   

2. Führen Sie den Befehl New-AzFrontDoorCdnMigrationWebApplicationFirewallMappingObject aus, um ein In-Memory-Objekt für die WAF-Richtlinienmigration zu erstellen. Verwenden Sie die WAF-ID im letzten Schritt für MigratedFromId. Um eine vorhandene WAF-Richtlinie zu verwenden, ersetzen Sie den Wert für MigratedToId durch eine Ressourcen-ID einer WAF-Richtlinie, die der Front Door-Ebene entspricht, zu der Sie migrieren. Wenn Sie eine neue WAF-Richtlinienkopie erstellen, können Sie den Namen der WAF-Richtlinie in der Ressourcen-ID ändern.

   $wafMapping = New-AzFrontDoorCdnMigrationWebApplicationFirewallMappingObject -MigratedFromId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myClassicFrontDoorWAF -MigratedToId  /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myFrontDoorWAF
   
   

3. Führen Sie den Befehl Start-AzFrontDoorCdnProfilePrepareMigration aus, um die Migration vorzubereiten. Ersetzen Sie die Werte für den Ressourcengruppennamen, die Ressourcen-ID und den Profilnamen durch Ihre eigenen Werte. Verwenden Sie für SkuNameentweder Standard_AzureFrontDoor oder Premium_AzureFrontDoor. Der SkuName basiert auf der Ausgabe des Befehls Test-AzFrontDoorCdnProfileMigration.

   Ersetzen Sie die folgenden Werte im Befehl:

   • <subscriptionId>: Ihre Abonnement-ID.
   • <resourceGroupName>: Der Ressourcengruppenname von Front Door (klassisch).
   • <frontdoorClassicName>: Der Name des Front Door (klassisch)-Profils.

   Start-AzFrontDoorCdnProfilePrepareMigration -ResourceGroupName <resourceGroupName> -ClassicResourceReferenceId /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.Network/frontdoors/<frontdoorClassicName> -ProfileName myAzureFrontDoor -SkuName Premium_AzureFrontDoor -MigrationWebApplicationFirewallMapping $wafMapping
   

   Die Ausgabe sieht in etwa wie folgt aus:

   Starting the parameter validation process.
   The parameters have been successfully validated.
   Your new Front Door profile is being created. Please wait until the process has finished completely. This may take several minutes.
   
   Your new Front Door profile with the configuration has been successfully created.
   

Mit BYOC

Wenn Sie ein Front Door-Profil mit BYOC migrieren, müssen Sie die verwaltete Identität im Front Door-Profil aktivieren. Sie müssen dem Front Door-Profil Zugriff auf den Schlüsseltresor gewähren, in dem das Zertifikat gespeichert ist.

Führen Sie den Befehl Start-AzFrontDoorCdnProfilePrepareMigration aus, um die Migration vorzubereiten. Ersetzen Sie die Werte für den Ressourcengruppennamen, die Ressourcen-ID und den Profilnamen durch Ihre eigenen Werte. Verwenden Sie für SkuNameentweder Standard_AzureFrontDoor oder Premium_AzureFrontDoor. Der SkuName basiert auf der Ausgabe des Befehls Test-AzFrontDoorCdnProfileMigration.

Vom System zugewiesen

Verwenden Sie für IdentityType die Option SystemAssigned.

Start-AzFrontDoorCdnProfilePrepareMigration -ResourceGroupName myAFDResourceGroup -ClassicResourceReferenceId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/Frontdoors/myAzureFrontDoorClassic -ProfileName myAzureFrontDoor -SkuName Premium_AzureFrontDoor -IdentityType SystemAssigned

Vom Benutzer zugewiesen

1. Führen Sie den Befehl Get-AzUserAssignedIdentity aus, um die Ressourcen-ID für eine benutzerseitig zugewiesene Identität abzurufen.

   $id = Get-AzUserAssignedIdentity -ResourceGroupName myResourceGroup -Name afduseridentity
   $id.Id
   

   Die Ausgabe sieht in etwa wie folgt aus:

   /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity
   

2. Verwenden Sie für „IdentityType“ die Option „UserAssigned“ und für „IdentityUserAssignedIdentity*“ die Ressourcen-ID aus dem vorherigen Schritt.

   Ersetzen Sie die folgenden Werte im Befehl:

   • <subscriptionId>: Ihre Abonnement-ID.
   • <resourceGroupName>: Der Ressourcengruppenname von Front Door (klassisch).
   • <frontdoorClassicName>: Der Name des Front Door (klassisch)-Profils.

   Start-AzFrontDoorCdnProfilePrepareMigration -ResourceGroupName <resourceGroupName> -ClassicResourceReferenceId /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.Network/frontdoors/<frontdoorClassicName> -ProfileName myAzureFrontDoor -SkuName Premium_AzureFrontDoor -IdentityType UserAssigned -IdentityUserAssignedIdentity @{"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity" = @{}}
   

   Die Ausgabe sieht in etwa wie folgt aus:

   Starting the parameter validation process.
   The parameters have been successfully validated.
   Your new Front Door profile is being created. Please wait until the process has finished completely. This may take several minutes.
   
   Your new Front Door profile with the configuration has been successfully created.
   

Mehrere WAF und verwaltete Identität

In diesem Beispiel wird gezeigt, wie Sie ein Front Door-Profil mit mehreren WAF-Richtlinien migrieren und sowohl systemseitig als auch benutzerseitig zugewiesene Identität aktivieren.

1. Führen Sie den Befehl Get-AzFrontDoorWafPolicy aus, um die Ressourcen-ID für Ihre WAF-Richtlinie abzurufen. Ersetzen Sie die Werte für den Ressourcengruppennamen und den WAF-Richtliniennamen durch Ihre eigenen Werte.

   Get-AzFrontDoorWafPolicy -ResourceGroupName myAFDResourceGroup -Name myClassicFrontDoorWAF
   

   Die Ausgabe sieht in etwa wie folgt aus:

   PolicyMode                    : Detection
   PolicyEnabledState            : Enabled
   RedirectUrl                   : 
   CustomBlockResponseStatusCode : 403
   CustomBlockResponseBody       : 
   RequestBodyCheck              : Disabled
   CustomRules                   : {}
   ManagedRules                  : {Microsoft.Azure.Commands.FrontDoor.Models.PSAzureManagedRule}
   Etag                          : 
   ProvisioningState             : Succeeded
   Sku                           : Classic_AzureFrontDoor
   Tags                          : 
   Id                            : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myClassicFrontDoorWAF
   Name                          : myFrontDoorWAF
   Type                          :
   

2. Führen Sie den Befehl New-AzFrontDoorCdnMigrationWebApplicationFirewallMappingObject aus, um ein In-Memory-Objekt für die WAF-Richtlinienmigration zu erstellen. Verwenden Sie die WAF-ID im letzten Schritt für MigratedFromId. Um eine vorhandene WAF-Richtlinie zu verwenden, ersetzen Sie den Wert für MigratedToId durch eine Ressourcen-ID einer WAF-Richtlinie, die der Front Door-Ebene entspricht, zu der Sie migrieren. Wenn Sie eine neue WAF-Richtlinienkopie erstellen, können Sie den Namen der WAF-Richtlinie in der Ressourcen-ID ändern.

   $wafMapping1 = New-AzFrontDoorCdnMigrationWebApplicationFirewallMappingObject -MigratedFromId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myClassicFrontDoorWAF1 -MigratedToId  /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myFrontDoorWAF1
   
   $wafMapping2 = New-AzFrontDoorCdnMigrationWebApplicationFirewallMappingObject -MigratedFromId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myClassicFrontDoorWAF2 -MigratedToId  /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myFrontDoorWAF2
   

3. Geben Sie beide verwalteten Identitätstypen in einer Variablen an.

   $identityType = "SystemAssigned, UserAssigned"
   

4. Führen Sie den Befehl Get-AzUserAssignedIdentity aus, um die Ressourcen-ID für eine benutzerseitig zugewiesene Identität abzurufen.

   $id1 = Get-AzUserAssignedIdentity -ResourceGroupName myResourceGroup -Name afduseridentity1
   $id1.Id
   $id2 = Get-AzUserAssignedIdentity -ResourceGroupName myResourceGroup -Name afduseridentity2
   $id2.Id
   

   Die Ausgabe sieht in etwa wie folgt aus:

   /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity1
   /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity2
   

5. Geben Sie die benutzerseitig zugewiesene Identitätsressourcen-ID in einer Variablen an.

   $userInfo = @{
       "subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity1" = @{}}
       "subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity2" = @{}}
   }
   

6. Führen Sie den Befehl Start-AzFrontDoorCdnProfilePrepareMigration aus, um die Migration vorzubereiten. Ersetzen Sie die Werte für den Ressourcengruppennamen, die Ressourcen-ID und den Profilnamen durch Ihre eigenen Werte. Verwenden Sie für SkuNameentweder Standard_AzureFrontDoor oder Premium_AzureFrontDoor. Der SkuName basiert auf der Ausgabe des Befehls Test-AzFrontDoorCdnProfileMigration. Der Parameter MigrationWebApplicationFirewallMapping verwendet ein Array von WAF-Richtlinienmigrationsobjekten. Der Parameter IdentityType akzeptiert eine durch Kommas getrennte Liste von Identitätstypen. Der Parameter IdentityUserAssignedIdentity akzeptiert eine Hashtabelle mit benutzerseitig zugewiesenen Identitätsressourcen-IDs.

   Ersetzen Sie die folgenden Werte im Befehl:

   • <subscriptionId>: Ihre Abonnement-ID.
   • <resourceGroupName>: Der Ressourcengruppenname von Front Door (klassisch).
   • <frontdoorClassicName>: Der Name des Front Door (klassisch)-Profils.

   Start-AzFrontDoorCdnProfilePrepareMigration -ResourceGroupName <resourceGroupName> -ClassicResourceReferenceId /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.Network/frontdoors/<frontdoorClassicName> -ProfileName myAzureFrontDoor -SkuName Premium_AzureFrontDoor -MigrationWebApplicationFirewallMapping @($wafMapping1, $wafMapping2) -IdentityType $identityType -IdentityUserAssignedIdentity $userInfo
   

   Die Ausgabe sieht in etwa wie folgt aus:

   Starting the parameter validation process.
   The parameters have been successfully validated.
   Your new Front Door profile is being created. Please wait until the process has finished completely. This may take several minutes.
   
   Your new Front Door profile with the configuration has been successfully created.
   

Migrieren

Migrieren des Profils

Führen Sie den Befehl Enable-AzFrontDoorCdnProfileMigration aus, um Ihre Front Door (klassisch)-Instanz zu migrieren.

Enable-AzFrontDoorCdnProfileMigration -ProfileName myAzureFrontDoor -ResourceGroupName myAFDResourceGroup

Die Ausgabe sieht in etwa wie folgt aus:

Start to migrate.
This process will disable your Front Door (classic) profile and move all your traffic and configurations to the new Front Door profile.
Migrate succeeded.

Abbrechen der Migration

Führen Sie den Befehl Stop-AzFrontDoorCdnProfileMigration aus, um den Migrationsprozess abzubrechen.

Stop-AzFrontDoorCdnProfileMigration -ProfileName myAzureFrontDoor -ResourceGroupName myAFDResourceGroup

Die Ausgabe sieht in etwa wie folgt aus:

Start to abort the migration.
Your new Front Door Profile will be deleted and your existing profile will remain active. WAF policies will not be deleted.
Please wait until the process has finished completely. This may take several minutes.
Abort succeeded.

Aktualisieren von DNS-Einträgen

Ihre alte Azure Front Door-Instanz (klassisch) verwendet einen anderen vollqualifizierten Domänennamen (FQDN) als Azure Front Door Standard und Premium. Ein Azure Front Door-Endpunkt (klassisch) kann beispielsweise contoso.azurefd.net sein, während der Azure Front Door Standard- oder Premium-Endpunkt contoso-mdjf2jfgjf82mnzx.z01.azurefd.net sein kann. Weitere Informationen zu Azure Front Door Standard- und Premium-Endpunkten finden Sie unter Endpunkte in Azure Front Door.

Sie müssen Ihre DNS-Einträge vor oder während des Migrationsprozesses nicht aktualisieren. Azure Front Door sendet automatisch den Datenverkehr, den es auf dem Azure Front Door-Endpunkt (klassisch) empfängt, an Ihr Azure Front Door Standard- oder Premium-Profil, ohne dass Sie Änderungen an der Konfiguration vornehmen müssen.

Nach Abschluss der Migration wird jedoch dringend empfohlen, dass Sie Ihre DNS-Einträge aktualisieren, um den Datenverkehr an den neuen Azure Front Door Standard- oder Premium-Endpunkt weiterzuleiten. Durch die Änderung Ihrer DNS-Einträge können Sie sicherstellen, dass Ihr Profil auch in Zukunft funktioniert. Die Änderung des DNS-Eintrags verursacht keine Ausfallzeiten. Sie müssen dieses Update nicht im Voraus vornehmen. Sie können es nach Belieben planen.

Nächste Schritte

• Grundlegendes zur Zuordnung zwischen den Front Door-Tarif-Einstellungen.
• Erfahren Sie mehr über den Prozess der Migration zum Azure Front Door-Tarif.