Verschieben von Azure Application Gateway und Web Application Firewall (WAF) in eine andere Region

Es gibt verschiedene mögliche Gründe, warum Sie Ihre vorhandenen Azure-Ressourcen aus einer Region in eine andere verschieben möchten. Möglicherweise möchten Sie Folgendes ausführen:

• Um die Vorteile einer neuen Azure-Region zu nutzen
• Um Features oder Dienste bereitzustellen, die nur in bestimmten Regionen verfügbar sind
• Um interne Richtlinien- und Governanceanforderungen zu erfüllen
• Um Unternehmenszusammenschlüssen und Übernahmen zu entsprechen
• Um die Anforderungen an die Kapazitätsplanung zu erfüllen

In diesem Artikel werden die empfohlenen Vorgehensweisen, Richtlinien und Methoden zum Verschieben von Application Gateway und WAF zwischen Azure-Regionen beschrieben.

Wichtig

Die Schritte zur erneuten Bereitstellung in diesem Dokument gelten nur für das Anwendungsgateway selbst und nicht für die Back-End-Dienste, an die die Anwendungsgatewayregeln Datenverkehr weiterleiten.

Voraussetzungen

• Vergewissern Sie sich, dass Sie mit Ihrem Azure-Abonnement Application Gateway-SKUs in der Zielregion erstellen können.

• Planen Sie Ihre Strategie zur Verschiebung in Kenntnis aller Dienstleistungen, die für Application Gateway erforderlich sind. Für die Dienstleistungen, die im Rahmen der Verschiebung vorliegen, müssen Sie die entsprechende Strategie zur Verschiebung auswählen.

  • Stellen Sie sicher, dass das Application Gateway-Subnetz am Zielspeicherort über genügend Adressraum verfügt, um die Anzahl der Instanzen zu berücksichtigen, die für die Verarbeitung des maximal zu erwartenden Datenverkehrs erforderlich sind.

• Für die Bereitstellung von Application Gateway müssen Sie die Einrichtung der folgenden Unterressourcen berücksichtigen und planen:

  • Front-End-Konfiguration (Öffentliche/Private IP-Adresse)
  • Back-End-Poolressourcen (z. B. Virtuelle Computer, VM-Skalierungsgruppen, Azure App Services)
  • Private Link
  • Zertifikate
  • Diagnoseeinstellungen
  • Warnungsbenachrichtigungen

• Stellen Sie sicher, dass das Application Gateway-Subnetz am Zielspeicherort über genügend Adressraum verfügt, um die Anzahl der Instanzen zu berücksichtigen, die für die Verarbeitung des maximal zu erwartenden Datenverkehrs erforderlich sind.

Erneute Bereitstellung

Um Application Gateway und die optionale WAF zu verschieben, müssen Sie eine separate Application Gateway-Bereitstellung mit einer neuen öffentlichen IP-Adresse am Zielspeicherort erstellen. Workloads werden dann von der Application Gateway-Quelleneinrichtung in die neue Region migriert. Da Sie die öffentliche IP-Adresse ändern, sind auch Änderungen an der DNS-Konfiguration, virtuellen Netzwerken und Subnetzen erforderlich.

Wenn Sie nur verschieben möchten, um Unterstützung für Verfügbarkeitszonen zu erhalten, finden Sie weitere Informationen unter Migrieren von Application Gateway und WAF zur Unterstützung für Verfügbarkeitszone.

So erstellen Sie eine separate App Gateway-Bereitstellung, WAF (optional) und IP-Adresse:

1. Öffnen Sie das Azure-Portal.

2. Wenn Sie den TLS-Abschluss für Key Vault verwenden, befolgen Sie das Verfahren zur Verschiebung für Key Vault. Stellen Sie sicher, dass sich Key Vault im selben Abonnement wie die verschobene Application Gateway-Bereitstellung befindet. Sie können ein neues Zertifikat erstellen oder das vorhandene Zertifikat für die verschobene Application Gateway-Bereitstellung verwenden.

3. Vergewissern Sie sich, dass das virtuelle Netzwerk verschoben wird, bevor Sie verschieben. Informationen zum Verschieben Ihres virtuellen Netzwerks finden Sie unter Verschieben eines virtuellen Azure-Netzwerks.

4. Vergewissern Sie sich, dass der Back-End-Poolserver oder -dienst, z. B. virtuelle Computer, VM-Skalierungsgruppen, PaaS, verschoben wird, bevor Sie verschieben.

5. Erstellen Sie eine Application Gateway-Bereitstellung, und konfigurieren Sie eine neue öffentliche Front-End-IP-Adresse für das virtuelle Netzwerk:

   • Ohne WAF: Erstellen einer Application Gateway-Ressource.
   • Mit WAF: Erstellen eines Anwendungsgateways mit einer Web Application Firewall

6. Wenn Sie über eine WAF-Konfiguration oder eine WAF-Richtlinie nur mit benutzerdefinierten Regeln verfügen, führen Sie einen Übergang zu einer vollständigen WAF-Richtlinie durch.

7. Wenn Sie ein Zero-Trust-Netzwerk (Quellregion) für Webanwendungen mit Azure Firewall und Application Gateway verwenden, befolgen Sie die Richtlinien und Strategien unter Zero Trust-Netzwerk für Webanwendungen mit Azure Firewall und Application Gateway.

8. Vergewissern Sie sich, dass die Application Gateway-Bereitstellung und die WAF wie gewünscht funktionieren.

9. Migrieren Sie Ihre Konfiguration zur neuen öffentlichen IP-Adresse.

   1. Wechseln Sie öffentliche und private Endpunkte, um auf das neue Anwendungsgateway zu verweisen.
   2. Migrieren Sie Ihre DNS-Konfiguration zur neuen öffentlichen und/oder privaten IP-Adresse.
   3. Aktualisieren Sie Endpunkte in Consumeranwendungen/-diensten. Aktualisierungen von Consumeranwendungen/-diensten werden in der Regel durch eine Änderung und erneute Bereitstellung von Eigenschaften durchgeführt. Führen Sie diese Methode jedoch aus, wenn ein neuer Hostname in Bezug auf die Bereitstellung in der alten Region verwendet wird.

10. Löschen Sie die Application Gateway- und WAF-Quellressourcen.

Verschieben von Zertifikaten für Premium-TLS-Abschluss (Application Gateway v2)

Die Zertifikate für den TLS-Abschluss können auf zwei Arten bereitgestellt werden:

• Hochladen. Stellen Sie ein TLS/SSL-Zertifikat bereit, indem Sie es direkt in Ihre Application Gateway-Bereitstellung hochladen.

• Key Vault-Verweis. Stellen Sie einen Verweis auf ein vorhandenes Key Vault-Zertifikat bereit, wenn Sie einen HTTPS/TLS-fähigen Listener erstellen. Weitere Informationen zum Herunterladen eines Zertifikats finden Sie unter Verschieben einer Key Vault-Instanz in eine andere Region.

Warnung

Verweise auf Key Vault-Instanzen in anderen Azure-Abonnements werden unterstützt, müssen jedoch über ARM-Vorlage, Azure PowerShell, CLI, Bicep usw. konfiguriert werden. Die abonnementübergreifende Konfiguration des Schlüsseltresors wird von Application Gateway über das Azure-Portal nicht unterstützt.

Befolgen Sie das dokumentierte Verfahren, um den TLS-Abschluss mit Key Vault-Zertifikaten für Ihre verschobene Anwendungsgateway-Bereitstellung zu aktivieren.