Reubicar Azure Application Gateway y Web Application Firewall (WAF) a otra región
Hay varias razones por las que puede desear mover los recursos de Azure existentes de una región a otra. Quizá también desea:
- Aproveche las ventajas de una nueva región de Azure.
- Implemente características o servicios que solo están disponibles en regiones determinadas.
- Cumpla requisitos internos de gobernanza y directivas.
- Alineación con fusiones y adquisiciones de la empresa
- Cumpla los requisitos de planeamiento de capacidad.
En este artículo se describe el enfoque recomendado, las directrices y los procedimientos para reubicar Application Gateway y WAF entre regiones de Azure.
Garrantzitsua
Los pasos de reimplementación de este documento solo se aplican a la propia puerta de enlace de aplicaciones y no a los servicios back-end a los que las reglas de puerta de enlace de aplicaciones están enrutando el tráfico.
Compruebe que la suscripción de Azure le permite crear SKU de Application Gateway en la región de destino.
Planee la estrategia de reubicación con una comprensión de todos los servicios necesarios para Application Gateway. Para los servicios que están en el ámbito de la reubicación, debe seleccionar la estrategia de reubicación adecuada.
- Asegúrese de que la subred Application Gateway en la ubicación de destino tenga suficiente espacio de direcciones para dar cabida al número de instancias necesarias para atender el tráfico máximo esperado.
Para la implementación de Application Gateway, debe tener en cuenta y planear la configuración de los siguientes subrecursos:
- Configuración de front-end (IP pública/privada)
- Recursos del grupo de back-end (por ejemplo, máquinas virtuales, Virtual Machine Scale Sets, Azure App Service)
- Private Link
- Certificados
- Configuración de diagnóstico
- Notificaciones de alertas
Asegúrese de que la subred Application Gateway en la ubicación de destino tenga suficiente espacio de direcciones para dar cabida al número de instancias necesarias para atender el tráfico máximo esperado.
Para reubicar Application Gateway y WAF opcional, debe crear una implementación independiente de Application Gateway con una nueva dirección IP pública en la ubicación de destino. A continuación, las cargas de trabajo se migran desde la configuración de Application Gateway de origen a la nueva. Dado que va a cambiar la dirección IP pública, también se requieren cambios en la configuración de DNS, las redes virtuales y las subredes.
Si solo desea reubicar para obtener compatibilidad con zonas de disponibilidad, consulte Migrar Application Gateway y WAF a compatibilidad con zonas de disponibilidad.
Para crear una implementación de Application Gateway independiente, WAF (opcional) y una dirección IP:
Vaya a Azure Portal.
Si usa la terminación TLS para Key Vault, siga el procedimiento de reubicación para Key Vault. Asegúrese de que Key Vault está en la misma suscripción que la Application Gateway reubicada. Puede crear un nuevo certificado o usar el certificado existente para a Application Gateway reubicada.
Confirme que la red virtual se ha reubicado antes de reubicar. Para obtener información sobre cómo reubicar la red virtual, consulte Reubicación de Azure Virtual Network.
Confirme que el servidor o el servicio del grupo de back-end, como máquinas virtuales, Virtual Machine Scale Sets, PaaS, se han reubicado antes de reubicar.
Cree una instancia de Application Gateway y configure una nueva dirección IP pública de front-end para la red virtual:
Si tiene una configuración de WAF o una directiva WAF personalizada de solo reglas, realice la transición a una directiva de WAF completa.
Si usa una red de confianza cero (región de origen) para aplicaciones web con Azure Firewall y Application Gateway, siga las directrices y estrategias de Red de confianza cero para aplicaciones web con Azure Firewall y Application Gateway.
Compruebe que Application Gateway y WAF funcionan según lo previsto.
Migre la configuración a la nueva dirección IP pública.
- Cambie los puntos de conexión públicos y privados para apuntar a la nueva puerta de enlace de aplicaciones.
- Migre la configuración de DNS a la nueva dirección IP pública y o privada.
- Actualice los puntos de conexión en aplicaciones o servicios de consumidor. Normalmente, las actualizaciones de aplicaciones o servicios de consumidor se realizan mediante un cambio y reimplementación de propiedades. Sin embargo, realice este método siempre que se use un nuevo nombre de host con respecto a la implementación en la región antigua.
Elimine los recursos de origen de Application Gateway y WAF.
Los certificados para la terminación TLS se pueden proporcionar de dos maneras:
Cargar. Proporcione un certificado TLS/SSL cargándolo directamente en Application Gateway.
Referencia del Key Vault. Proporcione una referencia a un certificado de Key Vault existente al crear un cliente de escucha habilitado para HTTPS/TLS. Para obtener más información sobre cómo descargar un certificado, consulte Reubicación de Key Vault en otra región.
Abisua
Se admiten referencias a Key Vault en otras suscripciones de Azure, pero se deben configurar mediante la plantilla de ARM, Azure PowerShell, CLI, Bicep, etc. La configuración del almacén de claves entre suscripciones no es compatible con Application Gateway a través de Azure Portal.
Siga el procedimiento documentado para habilitar la Terminación TLS con certificados de Key Vault para la Application Gateway reubicada.