Megosztás a következőn keresztül:

Azure-alkalmazás átjáró és webalkalmazás tűzfalának (WAF) áthelyezése másik régióba

  • Cikk

Számos oka lehet annak, hogy a meglévő Azure-erőforrásokat érdemes egyik régióból a másikba áthelyezni. Érdemes lehet:

  • Használjon ki egy új Azure-régiót.
  • Csak bizonyos régiókban elérhető szolgáltatások vagy szolgáltatások üzembe helyezése.
  • A belső szabályzat és a szabályozási követelményeknek való megfelelés.
  • Összhangban a vállalati egyesülésekkel és felvásárlásokkal
  • A kapacitástervezési követelményeknek való megfelelés.

Ez a cikk az Application Gateway és a WAF Azure-régiók közötti áthelyezéséhez javasolt megközelítést, irányelveket és eljárásokat ismerteti.

Fontos

A dokumentumban szereplő újratelepítési lépések csak az Application Gatewayre vonatkoznak, és nem azokra a háttérszolgáltatásokra, amelyekre az Application Gateway-szabályok irányítják a forgalmat.

Előfeltételek

  • Ellenőrizze, hogy az Azure-előfizetés lehetővé teszi-e az Application Gateway termékváltozatainak létrehozását a célrégióban.

  • Tervezze meg az áthelyezési stratégiát az Application Gatewayhez szükséges összes szolgáltatás ismeretével. Az áthelyezés hatókörébe tartozó szolgáltatások esetében ki kell választania a megfelelő áthelyezési stratégiát.

    • Győződjön meg arról, hogy a célhely Application Gateway-alhálózata elegendő címtérrel rendelkezik a maximálisan várt forgalom kiszolgálásához szükséges példányok számához.

  • Az Application Gateway üzembe helyezéséhez figyelembe kell vennie és megterveznie kell a következő alerőforrásokat:

    • Előtérbeli konfiguráció (nyilvános/privát IP-cím)
    • Háttérkészlet erőforrásai (például virtuális gépek, virtuálisgép-méretezési csoportok, Azure-alkalmazás-szolgáltatások)
    • Private Link
    • Diplomák
    • Diagnosztikai beállítások
    • Riasztási értesítések

  • Győződjön meg arról, hogy a célhely Application Gateway-alhálózata elegendő címtérrel rendelkezik a maximálisan várt forgalom kiszolgálásához szükséges példányok számához.

Ismételt üzembe helyezés

Az Application Gateway és az opcionális WAF áthelyezéséhez külön Application Gateway-üzembe helyezést kell létrehoznia egy új nyilvános IP-címmel a célhelyen. A számítási feladatok ezután át lesznek migrálva az Application Gateway forrásbeállításából az újba. Mivel módosítja a nyilvános IP-címet, a DNS-konfiguráció, a virtuális hálózatok és az alhálózatok módosítása is szükséges.

Ha csak a rendelkezésre állási zónák támogatása érdekében szeretne áttelepülni, olvassa el az Application Gateway és a WAF áttelepítése a rendelkezésre állási zónák támogatásához című témakört.

Külön Application Gateway, WAF (nem kötelező) és IP-cím létrehozásához:

  1. Nyissa meg az Azure Portalt.

  2. Ha TLS-lezárásokat használ a Key Vaulthoz, kövesse a Key Vault áthelyezési eljárását. Győződjön meg arról, hogy a Key Vault ugyanabban az előfizetésben található, mint az áthelyezett Application Gateway. Létrehozhat egy új tanúsítványt, vagy használhatja a meglévő tanúsítványt az áthelyezett Application Gatewayhez.

  3. Az áthelyezés előtt győződjön meg arról, hogy a virtuális hálózat áthelyezésre kerül. A virtuális hálózat áthelyezéséről az Azure Virtual Network áthelyezéséről olvashat.

  4. Az áthelyezés előtt győződjön meg arról, hogy a háttérkészlet-kiszolgáló vagy szolgáltatás , például a virtuális gép, a virtuálisgép-méretezési csoportok és a PaaS áthelyezve van.

  5. Hozzon létre egy Application Gatewayt, és konfiguráljon egy új előtérbeli nyilvános IP-címet a virtuális hálózathoz:

  6. Ha WAF-konfigurációval vagy csak egyéni szabályokkal rendelkező WAF-szabályzattal rendelkezik, váltsa át egy teljes WAF-szabályzatra.

  7. Ha nulla megbízhatóságú hálózatot (forrásrégiót) használ webalkalmazásokhoz az Azure Firewall és az Application Gateway használatával, kövesse az Azure Firewall és az Application Gateway használatával rendelkező webalkalmazások nulla megbízhatóságú hálózatának irányelveit és stratégiáit.

  8. Ellenőrizze, hogy az Application Gateway és a WAF a kívánt módon működik-e.

  9. A konfiguráció áttelepítése az új nyilvános IP-címre.

    1. Váltson nyilvános és privát végpontokra, hogy az új application gatewayre mutasson.
    2. Migrálja a DNS-konfigurációt az új nyilvános és/vagy privát IP-címre.
    3. Végpontok frissítése a fogyasztói alkalmazásokban/szolgáltatásokban. A fogyasztói alkalmazások/szolgáltatások frissítése általában tulajdonságok módosítása és ismételt üzembe helyezése révén történik. Ezt a módszert azonban akkor végezze el, amikor új állomásnevet használ a régi régióban való üzembe helyezéshez.

  10. Törölje a forrás Application Gateway- és WAF-erőforrásokat.

Tanúsítványok áthelyezése prémium szintű TLS-leállításhoz (Application Gateway v2)

A TLS-lezáráshoz tartozó tanúsítványok kétféleképpen adhatók meg:

  • Feltölt. Adjon meg egy TLS/SSL-tanúsítványt úgy, hogy közvetlenül feltölti azt az Application Gatewayre.

  • Key Vault-referencia. Adjon meg egy hivatkozást egy meglévő Key Vault-tanúsítványra HTTPS/TLS-kompatibilis figyelő létrehozásakor. A tanúsítvány letöltéséről további információt a Key Vault áthelyezése egy másik régióba című témakörben talál.

Figyelmeztetés

Más Azure-előfizetésekben a Key Vaultokra mutató hivatkozások támogatottak, de ARM-sablonon, Azure PowerShellen, CLI-en, Bicep-en stb. keresztül kell konfigurálni. Az Application Gateway nem támogatja az előfizetések közötti kulcstartó konfigurációját az Azure Portalon keresztül.

Kövesse a dokumentált eljárást a TLS leállításának engedélyezéséhez az áthelyezett Application Gateway Key Vault-tanúsítványaival .