Migration d’Azure Front Door (classique) vers un niveau Standard/Premium avec Azure PowerShell

Important

Azure Front Door (classique) va être mis hors service le 31 mars 2027. Pour éviter toute interruption de service, il est important de migrer vos profils Azure Front Door (classique) vers le niveau Azure Front Door Standard ou Premium au plus en mars 2027. Pour plus d’informations, consultez Mise hors service d’Azure Front Door (classique).

Les niveaux Azure Front Door Standard et Premium apportent les dernières fonctionnalités de réseau de livraison cloud à Azure. Avec des fonctionnalités de sécurité renforcées et un service tout-en-un, le contenu de votre application est sécurisé et plus proche de vos utilisateurs finaux à l’aide du réseau mondial Microsoft. Cet article vous guide tout au long du processus de migration de votre profil Front Door (classique) vers un profil de niveau Standard ou Premium avec Azure PowerShell.

Prérequis

• Consultez l’article À propos de la migration du niveau Front Door.
• Vérifiez que votre profil Front Door (classique) peut être migré :
  • Azure Front Door Standard et Premium nécessitent que tous les domaines personnalisés utilisent HTTPS. Si vous n’avez pas votre propre certificat, vous pouvez utiliser un certificat managé Azure Front Door. Le certificat est gratuit et géré pour vous.
  • L’affinité de session est activée dans les paramètres du groupe d’origine pour un profil Azure Front Door Standard ou Premium. Dans Azure Front Door (classique), l’affinité de session est définie au niveau du domaine. Dans le cadre de la migration, l’affinité de session est basée sur les paramètres de profile Front Door (classique). Si vous avez deux domaines dans votre profil classique qui partagent le même pool back-end (groupe d’origine), l’affinité de session doit être cohérente entre les deux domaines pour que la migration soit validée.
• Dernier module Azure PowerShell installé localement ou Azure Cloud Shell. Pour plus d’informations, consultez Installer et configurer Azure PowerShell.

Notes

Vous n’avez pas besoin d’apporter de modifications DNS avant ou pendant le processus de migration. Toutefois, une fois la migration terminée et que le trafic transite par votre nouveau profil Azure Front Door, vous devez mettre à jour vos enregistrements DNS. Pour plus d’informations, consultez Mettre à jour les enregistrements DNS.

Valider la compatibilité

1. Ouvrez Azure PowerShell et connectez-vous à votre compte Azure. Pour plus d’informations, consultez Se connecter à Azure PowerShell.

2. Testez la compatibilité pour la migration de votre profil Azure Front Door (classique). Vous pouvez utiliser la commande Test-AzFrontDoorCdnProfileMigration pour tester votre profil. Remplacez les valeurs du nom du groupe de ressources et de l’ID de ressource par vos propres valeurs. Utilisez Get-AzFrontDoor pour obtenir l’ID de ressource de votre profil Front Door (classique).

   Remplacez les valeurs suivantes dans la commande :

   • <subscriptionId> : votre ID d’abonnement.
   • <resourceGroupName> : nom du groupe de ressources Front Door (classique).
   • <frontdoorClassicName> : nom du profil Front Door (classique).

   Test-AzFrontDoorCdnProfileMigration -ResourceGroupName <resourceGroupName> -ClassicResourceReferenceId /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.Network/frontdoors/<frontdoorClassicName>
   

   Si le profil est compatible pour la migration, la sortie suivante s’affiche :

   CanMigrate DefaultSku
   ---------- ----------
   True       Standard_AzureFrontDoor or Premium_AzureFrontDoor
   

   Si la migration n’est pas compatible, la sortie suivante s’affiche :

   CanMigrate DefaultSku
   ---------- ----------
   False      
   

Préparation de la migration

Remarque

• Le certificat managé n’est actuellement pas pris en charge pour Azure Front Door Standard ou Premium dans le cloud Azure Government. Vous devez utiliser BYOC pour Azure Front Door Standard ou Premium dans le cloud Azure Government, ou attendre que cette capacité soit disponible.

Sans WAF et BYOC (Apportez votre propre certificat)

Exécutez la commande Start-AzFrontDoorCdnProfilePrepareMigration pour préparer la migration. Remplacez les valeurs du nom du groupe de ressources, l’ID de ressource et le nom de profil par vos propres valeurs. Pour SkuName, utilisez Standard_AzureFrontDoor ou Premium_AzureFrontDoor. Le SkuName est basé sur la sortie de la commande Test-AzFrontDoorCdnProfileMigration .

Remplacez les valeurs suivantes dans la commande :

• <subscriptionId> : votre ID d’abonnement.
• <resourceGroupName> : nom du groupe de ressources Front Door (classique).
• <frontdoorClassicName> : nom du profil Front Door (classique).

Start-AzFrontDoorCdnProfilePrepareMigration -ResourceGroupName <resourceGroupName> -ClassicResourceReferenceId /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.Network/frontdoors/<frontdoorClassicName> -ProfileName myAzureFrontDoor -SkuName Premium_AzureFrontDoor

Le résultat ressemble à ce qui suit :

Starting the parameter validation process.
The parameters have been successfully validated.
Your new Front Door profile is being created. Please wait until the process has finished completely. This may take several minutes.

Your new Front Door profile with the configuration has been successfully created.

Avec WAF

1. Exécutez la commande Get-AzFrontDoorWafPolicy pour obtenir l’ID de ressource de votre stratégie WAF. Remplacez les valeurs du nom du groupe de ressources et le nom de stratégie WAF par vos propres valeurs.

   Get-AzFrontDoorWafPolicy -ResourceGroupName myAFDResourceGroup -Name myClassicFrontDoorWAF
   

   Le résultat ressemble à ce qui suit :

   PolicyMode                    : Detection
   PolicyEnabledState            : Enabled
   RedirectUrl                   : 
   CustomBlockResponseStatusCode : 403
   CustomBlockResponseBody       : 
   RequestBodyCheck              : Disabled
   CustomRules                   : {}
   ManagedRules                  : {Microsoft.Azure.Commands.FrontDoor.Models.PSAzureManagedRule}
   Etag                          : 
   ProvisioningState             : Succeeded
   Sku                           : Classic_AzureFrontDoor
   Tags                          : 
   Id                            : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myClassicFrontDoorWAF
   Name                          : myFrontDoorWAF
   Type                          :
   

2. Exécutez la commande New-AzFrontDoorCdnMigrationWebApplicationFirewallMappingObject pour créer un objet en mémoire pour la migration de stratégie WAF. Utilisez l’ID WAF à la dernière étape pour MigratedFromId. Pour utiliser une stratégie WAF existante, remplacez la valeur de MigratedToId par un ID de ressource d’une stratégie WAF qui correspond au niveau Front Door vers lequel vous effectuez la migration. Si vous créez une copie de stratégie WAF, vous pouvez modifier le nom de la stratégie WAF dans l’ID de ressource.

   $wafMapping = New-AzFrontDoorCdnMigrationWebApplicationFirewallMappingObject -MigratedFromId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myClassicFrontDoorWAF -MigratedToId  /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myFrontDoorWAF
   
   

3. Exécutez la commande Start-AzFrontDoorCdnProfilePrepareMigration pour préparer la migration. Remplacez les valeurs du nom du groupe de ressources, l’ID de ressource et le nom de profil par vos propres valeurs. Pour SkuName, utilisez Standard_AzureFrontDoor ou Premium_AzureFrontDoor. Le SkuName est basé sur la sortie de la commande Test-AzFrontDoorCdnProfileMigration .

   Remplacez les valeurs suivantes dans la commande :

   • <subscriptionId> : votre ID d’abonnement.
   • <resourceGroupName> : nom du groupe de ressources Front Door (classique).
   • <frontdoorClassicName> : nom du profil Front Door (classique).

   Start-AzFrontDoorCdnProfilePrepareMigration -ResourceGroupName <resourceGroupName> -ClassicResourceReferenceId /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.Network/frontdoors/<frontdoorClassicName> -ProfileName myAzureFrontDoor -SkuName Premium_AzureFrontDoor -MigrationWebApplicationFirewallMapping $wafMapping
   

   Le résultat ressemble à ce qui suit :

   Starting the parameter validation process.
   The parameters have been successfully validated.
   Your new Front Door profile is being created. Please wait until the process has finished completely. This may take several minutes.
   
   Your new Front Door profile with the configuration has been successfully created.
   

Avec BYOC

Si vous migrez un profil Front Door avec BYOC, vous devez activer l’identité managée sur le profil Front Door. Vous devez accorder au profil Front Door l’accès au coffre de clés dans lequel le certificat est stocké.

Exécutez la commande Start-AzFrontDoorCdnProfilePrepareMigration pour préparer la migration. Remplacez les valeurs du nom du groupe de ressources, l’ID de ressource et le nom de profil par vos propres valeurs. Pour SkuName, utilisez Standard_AzureFrontDoor ou Premium_AzureFrontDoor. Le SkuName est basé sur la sortie de la commande Test-AzFrontDoorCdnProfileMigration .

Attribuée par le système

Pour IdentityType, utilisez SystemAssigned.

Start-AzFrontDoorCdnProfilePrepareMigration -ResourceGroupName myAFDResourceGroup -ClassicResourceReferenceId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/Frontdoors/myAzureFrontDoorClassic -ProfileName myAzureFrontDoor -SkuName Premium_AzureFrontDoor -IdentityType SystemAssigned

Attribuée par l'utilisateur

1. Exécutez la commande Get-AzUserAssignedIdentity pour obtenir l’ID de ressource d’une identité affectée par l’utilisateur.

   $id = Get-AzUserAssignedIdentity -ResourceGroupName myResourceGroup -Name afduseridentity
   $id.Id
   

   Le résultat ressemble à ce qui suit :

   /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity
   

2. Pour IdentityType, utilisez UserAssigned et pour IdentityUserAssignedIdentity*, utilisez l’ID de ressource de l’étape précédente.

   Remplacez les valeurs suivantes dans la commande :

   • <subscriptionId> : votre ID d’abonnement.
   • <resourceGroupName> : nom du groupe de ressources Front Door (classique).
   • <frontdoorClassicName> : nom du profil Front Door (classique).

   Start-AzFrontDoorCdnProfilePrepareMigration -ResourceGroupName <resourceGroupName> -ClassicResourceReferenceId /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.Network/frontdoors/<frontdoorClassicName> -ProfileName myAzureFrontDoor -SkuName Premium_AzureFrontDoor -IdentityType UserAssigned -IdentityUserAssignedIdentity @{"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity" = @{}}
   

   Le résultat ressemble à ce qui suit :

   Starting the parameter validation process.
   The parameters have been successfully validated.
   Your new Front Door profile is being created. Please wait until the process has finished completely. This may take several minutes.
   
   Your new Front Door profile with the configuration has been successfully created.
   

Identité managée et WAF multiples

Cet exemple montre comment migrer un profil Front Door avec plusieurs stratégies WAF et activer à la fois l’identité affectée par le système et par l’utilisateur.

1. Exécutez la commande Get-AzFrontDoorWafPolicy pour obtenir l’ID de ressource de votre stratégie WAF. Remplacez les valeurs du nom du groupe de ressources et le nom de stratégie WAF par vos propres valeurs.

   Get-AzFrontDoorWafPolicy -ResourceGroupName myAFDResourceGroup -Name myClassicFrontDoorWAF
   

   Le résultat ressemble à ce qui suit :

   PolicyMode                    : Detection
   PolicyEnabledState            : Enabled
   RedirectUrl                   : 
   CustomBlockResponseStatusCode : 403
   CustomBlockResponseBody       : 
   RequestBodyCheck              : Disabled
   CustomRules                   : {}
   ManagedRules                  : {Microsoft.Azure.Commands.FrontDoor.Models.PSAzureManagedRule}
   Etag                          : 
   ProvisioningState             : Succeeded
   Sku                           : Classic_AzureFrontDoor
   Tags                          : 
   Id                            : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myClassicFrontDoorWAF
   Name                          : myFrontDoorWAF
   Type                          :
   

2. Exécutez la commande New-AzFrontDoorCdnMigrationWebApplicationFirewallMappingObject pour créer un objet en mémoire pour la migration de stratégie WAF. Utilisez l’ID WAF à la dernière étape pour MigratedFromId. Pour utiliser une stratégie WAF existante, remplacez la valeur de MigratedToId par un ID de ressource d’une stratégie WAF qui correspond au niveau Front Door vers lequel vous effectuez la migration. Si vous créez une copie de stratégie WAF, vous pouvez modifier le nom de la stratégie WAF dans l’ID de ressource.

   $wafMapping1 = New-AzFrontDoorCdnMigrationWebApplicationFirewallMappingObject -MigratedFromId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myClassicFrontDoorWAF1 -MigratedToId  /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myFrontDoorWAF1
   
   $wafMapping2 = New-AzFrontDoorCdnMigrationWebApplicationFirewallMappingObject -MigratedFromId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myClassicFrontDoorWAF2 -MigratedToId  /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myFrontDoorWAF2
   

3. Spécifiez les deux types d’identité managée dans une variable.

   $identityType = "SystemAssigned, UserAssigned"
   

4. Exécutez la commande Get-AzUserAssignedIdentity pour obtenir l’ID de ressource d’une identité affectée par l’utilisateur.

   $id1 = Get-AzUserAssignedIdentity -ResourceGroupName myResourceGroup -Name afduseridentity1
   $id1.Id
   $id2 = Get-AzUserAssignedIdentity -ResourceGroupName myResourceGroup -Name afduseridentity2
   $id2.Id
   

   Le résultat ressemble à ce qui suit :

   /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity1
   /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity2
   

5. Spécifiez l’ID de ressource d’identité affecté par l’utilisateur dans une variable.

   $userInfo = @{
       "subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity1" = @{}}
       "subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity2" = @{}}
   }
   

6. Exécutez la commande Start-AzFrontDoorCdnProfilePrepareMigration pour préparer la migration. Remplacez les valeurs du nom du groupe de ressources, l’ID de ressource et le nom de profil par vos propres valeurs. Pour SkuName, utilisez Standard_AzureFrontDoor ou Premium_AzureFrontDoor. Le SkuName est basé sur la sortie de la commande Test-AzFrontDoorCdnProfileMigration . Le paramètre MigrationWebApplicationFirewallMapping prend un tableau d’objets de migration de stratégie WAF. Le paramètre IdentityType prend une liste séparée par des virgules de types d’identités. Le paramètre IdentityUserAssignedIdentity prend une table de hachage des ID de ressource d’identité attribués par l’utilisateur.

   Remplacez les valeurs suivantes dans la commande :

   • <subscriptionId> : votre ID d’abonnement.
   • <resourceGroupName> : nom du groupe de ressources Front Door (classique).
   • <frontdoorClassicName> : nom du profil Front Door (classique).

   Start-AzFrontDoorCdnProfilePrepareMigration -ResourceGroupName <resourceGroupName> -ClassicResourceReferenceId /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.Network/frontdoors/<frontdoorClassicName> -ProfileName myAzureFrontDoor -SkuName Premium_AzureFrontDoor -MigrationWebApplicationFirewallMapping @($wafMapping1, $wafMapping2) -IdentityType $identityType -IdentityUserAssignedIdentity $userInfo
   

   Le résultat ressemble à ce qui suit :

   Starting the parameter validation process.
   The parameters have been successfully validated.
   Your new Front Door profile is being created. Please wait until the process has finished completely. This may take several minutes.
   
   Your new Front Door profile with the configuration has been successfully created.
   

Migrate

Migrer le profil

Exécutez la commande Enable-AzFrontDoorCdnProfileMigration pour migrer votre Front Door (classique).

Enable-AzFrontDoorCdnProfileMigration -ProfileName myAzureFrontDoor -ResourceGroupName myAFDResourceGroup

Le résultat ressemble à ce qui suit :

Start to migrate.
This process will disable your Front Door (classic) profile and move all your traffic and configurations to the new Front Door profile.
Migrate succeeded.

Abandonner la migration

Exécutez la commande Stop-AzFrontDoorCdnProfileMigration pour abandonner le processus de migration.

Stop-AzFrontDoorCdnProfileMigration -ProfileName myAzureFrontDoor -ResourceGroupName myAFDResourceGroup

Le résultat ressemble à ce qui suit :

Start to abort the migration.
Your new Front Door Profile will be deleted and your existing profile will remain active. WAF policies will not be deleted.
Please wait until the process has finished completely. This may take several minutes.
Abort succeeded.

Mise à jour des enregistrements DNS

Votre ancienne instance Azure Front Door (classique) utilise un nom de domaine complet (FQDN) différent de celui d’Azure Front Door Standard et Premium. Par exemple, un point de terminaison Azure Front Door (classique) peut être contoso.azurefd.net, tandis que le point de terminaison Azure Front Door Standard ou Premium peut être contoso-mdjf2jfgjf82mnzx.z01.azurefd.net. Pour plus d’informations sur les points de terminaison Azure Front Door Standard et Premium, consultez Points de terminaison dans Azure Front Door.

Vous n’avez pas besoin de mettre à jour vos enregistrements DNS avant ou pendant le processus de migration. Azure Front Door envoie automatiquement le trafic qu’il reçoit sur le point de terminaison Azure Front Door (classique) à votre profil Azure Front Door Standard ou Premium sans que vous apportiez de modifications à la configuration.

Toutefois, une fois votre migration est terminée, nous vous recommandons vivement de mettre à jour vos enregistrements DNS pour diriger le trafic vers le nouveau point de terminaison Azure Front Door Standard ou Premium. Modifier vos enregistrements DNS permet de garantir que votre profil continue à fonctionner à l’avenir. La modification de l’enregistrement DNS n’entraîne aucun temps d’arrêt. Il n’est pas nécessaire de planifier cette mise à jour à l’avance pour qu’elle se produise, vous pouvez la planifier comme vous le souhaitez.

Étapes suivantes

• Comprendre le mappage entre les paramètres des niveaux Front Door.
• En savoir plus sur le processus de migration du niveau Azure Front Door.