Relocaliser dans une autre région Azure Application Gateway et le Pare-feu d’applications web (WAF)
Il existe différentes raisons pour lesquelles vous pouvez avoir besoin de déplacer vos ressources Azure existantes d’une région à une autre. Vous pouvez :
- Tirer parti d’une nouvelle région Azure.
- Déployer des fonctionnalités ou des services disponibles uniquement dans des régions spécifiques.
- Respecter les exigences de gouvernance et de stratégie internes.
- Être en phase avec les fusions et acquisitions de l’entreprise
- Répondre à la planification de la capacité requise.
Cet article décrit l’approche, les instructions et les pratiques recommandées pour relocaliser Application Gateway et WAF entre des régions Azure.
Important
Les étapes de redéploiement de ce document s’appliquent uniquement à la passerelle applicative elle-même et non aux services de back-end vers lesquels les règles de passerelle applicative routent le trafic.
Prérequis
Vérifiez que votre abonnement Azure vous permet de créer des références SKU Application Gateway dans la région cible.
Planifiez votre stratégie de relocalisation en comprenant tous les services nécessaires pour votre passerelle applicative. Pour les services qui sont dans l’étendue de la relocalisation, vous devez sélectionner la stratégie de relocalisation appropriée.
- Vérifiez que le sous-réseau Application Gateway au niveau de la localisation cible a un espace d’adressage suffisant pour accueillir le nombre d’instances nécessaires pour servir le trafic maximal attendu.
Pour le déploiement d’Application Gateway, vous devez envisager et planifier la configuration des sous-ressources suivantes :
- Configuration du front-end (IP publique/privée)
- Ressources du pool de back-ends (par exemple, machines virtuelles, groupes de machines virtuelles identiques, instances Azure App Service)
- Liaison privée
- Certificats
- Paramètres de diagnostic
- Notifications d’alerte
Vérifiez que le sous-réseau Application Gateway au niveau de la localisation cible a un espace d’adressage suffisant pour accueillir le nombre d’instances nécessaires pour servir le trafic maximal attendu.
Redeploy
Pour relocaliser Application Gateway et éventuellement WAF, vous devez créer un déploiement Application Gateway distinct avec une nouvelle adresse IP publique dans la localisation cible. Les charges de travail sont ensuite migrées de la configuration Application Gateway source vers la nouvelle. Comme vous changez l’adresse IP publique, vous devez aussi changer la configuration DNS, les réseaux virtuels et les sous-réseaux.
Si la relocalisation a pour seul but d’obtenir la prise en charge des zones de disponibilité, consultez Migrer Application Gateway et WAF vers la prise en charge des zones de disponibilité.
Pour créer une passerelle applicative distincte, un pare-feu d’applications web (facultatif) et une adresse IP :
Accédez au portail Azure.
Si vous utilisez la terminaison TLS pour Key Vault, suivez la procédure de relocalisation pour Key Vault. Vérifiez que le coffre de clés se trouve dans le même abonnement que la passerelle applicative relocalisée. Vous pouvez créer un certificat ou utiliser le certificat existant pour la passerelle applicative relocalisée.
Vérifiez que le réseau virtuel est relocalisé avant d’exécuter la relocalisation. Pour savoir comment relocaliser votre réseau virtuel, consultez Relocaliser le réseau virtuel Azure.
Vérifiez que le serveur ou le service du pool de back-ends, comme les machines virtuelles, les groupes de machines virtuelles identiques, PaaS, est relocalisé avant d’exécuter la relocalisation.
Créez une passerelle applicative et configurez une nouvelle adresse IP publique de front-end pour le réseau virtuel :
Si vous avez une configuration WAF ou une stratégie WAF avec des règles personnalisée uniquement, convertissez-la en stratégie WAF complète.
Si vous utilisez un réseau de confiance zéro (région source) pour les applications web avec le Pare-feu Azure et Application Gateway, suivez les instructions et les stratégies décrites dans Réseau de confiance zéro pour les applications web avec le Pare-feu Azure et Application Gateway.
Vérifiez que la passerelle applicative et le pare-feu d’applications web (WAF) fonctionnent comme prévu.
Migrez votre configuration vers la nouvelle adresse IP publique.
- Basculez les points de terminaison publics et privés pour qu’ils pointent vers la nouvelle passerelle applicative.
- Migrez votre configuration DNS vers la nouvelle adresse IP publique et/ou privée.
- Mettez à jour les points de terminaison dans les applications/services des consommateurs. Les mises à jour des applications/services des consommateurs sont généralement effectuées en changeant les propriétés et en lançant un redéploiement. Toutefois, utilisez cette méthode chaque fois qu’un nouveau nom d’hôte est utilisé pour le déploiement dans l’ancienne région.
Supprimez les ressources Application Gateway et WAF sources.
Relocaliser les certificats pour la terminaison TLS Premium (Application Gateway v2)
Les certificats pour la terminaison TLS peuvent être fournis de deux manières :
Télécharger. Fournissez un certificat TLS/SSL en le chargeant directement dans votre passerelle applicative.
Référence Key Vault. Fournissez une référence vers un certificat Key Vault existant quand vous créez un écouteur HTTPS/TLS. Pour plus d’informations sur le téléchargement d’un certificat, consultez Relocaliser Key Vault vers une autre région.
Avertissement
Les références vers les coffres de clés dans d’autres abonnements Azure sont prises en charge, mais doivent être configurées avec un modèle ARM, Azure PowerShell, l’interface CLI, Bicep, etc. La configuration du coffre de clés entre abonnements n’est pas prise en charge par Application Gateway dans le portail Azure.
Suivez la procédure documentée pour activer la terminaison TLS avec des certificats Key Vault pour votre passerelle applicative relocalisée.