Memigrasikan Azure Front Door (klasik) ke tingkat Standar/Premium dengan Azure PowerShell

Penting

Azure Front Door (klasik) akan dihentikan pada 31 Maret 2027. Untuk menghindari gangguan layanan apa pun, penting untuk memigrasikan profil Azure Front Door (klasik) Anda ke Azure Front Door Standard atau tingkat Premium paling lambat Maret 2027. Untuk informasi selengkapnya, lihat Penghentian Azure Front Door (klasik).

Tingkat Azure Front Door Standard dan Premium menghadirkan fitur jaringan pengiriman cloud terbaru ke Azure. Dengan fitur keamanan yang ditingkatkan dan layanan all-in-one, konten aplikasi Anda diamankan dan lebih dekat dengan pengguna akhir Anda menggunakan jaringan global Microsoft. Artikel ini memandu Anda melalui proses migrasi untuk memindahkan profil Azure Front Door (klasik) Anda ke profil tingkat Standar atau Premium dengan Azure PowerShell.

Prasyarat

• Tinjau artikel Tentang migrasi tingkat Front Door.
• Pastikan profil Front Door (klasik) Anda dapat dimigrasikan:
  • Azure Front Door Standard dan Premium mengharuskan semua domain kustom menggunakan HTTPS. Jika Anda tidak memiliki sertifikat Anda sendiri, Anda dapat menggunakan sertifikat terkelola Azure Front Door. Sertifikat ini gratis dan dikelola untuk Anda.
  • Afinitas sesi diaktifkan di pengaturan grup asal untuk profil Azure Front Door Standard atau Premium. Di Azure Front Door (klasik), afinitas sesi diatur di tingkat domain. Sebagai bagian dari migrasi, afinitas sesi didasarkan pada pengaturan profil Front Door (klasik). Jika Anda memiliki dua domain di profil klasik yang berbagi kumpulan backend (grup asal) yang sama, afinitas sesi harus konsisten di kedua domain agar validasi migrasi lulus.
• Modul Azure PowerShell terbaru diinstal secara lokal atau Azure Cloud Shell. Untuk informasi selengkapnya, lihat Cara memasang dan mengonfigurasikan Azure PowerShell.

Catatan

Anda tidak perlu membuat perubahan DNS sebelum atau selama proses migrasi. Namun, setelah migrasi selesai dan lalu lintas mengalir melalui profil Azure Front Door baru, Anda perlu memperbarui catatan DNS Anda. Untuk informasi selengkapnya, lihat Memperbarui catatan DNS.

Memvalidasi kompatibilitas

1. Buka Azure PowerShell dan sambungkan ke akun Azure Anda. Untuk informasi selengkapnya, lihat Koneksi ke Azure PowerShell.

2. Uji profil Azure Front Door (klasik) Anda untuk melihat apakah profil tersebut kompatibel untuk migrasi. Anda dapat menggunakan perintah Test-AzFrontDoorCdnProfileMigration untuk menguji profil Anda. Ganti nilai untuk nama grup sumber daya dan ID sumber daya dengan nilai Anda sendiri. Gunakan Get-AzFrontDoor untuk mendapatkan ID sumber daya untuk profil Front Door (klasik) Anda.

   Ganti nilai berikut dalam perintah:

   • <subscriptionId>: ID langganan Anda.
   • <resourceGroupName>: Nama grup sumber daya Front Door (klasik).
   • <frontdoorClassicName>: Nama profil Front Door (klasik).

   Test-AzFrontDoorCdnProfileMigration -ResourceGroupName <resourceGroupName> -ClassicResourceReferenceId /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.Network/frontdoors/<frontdoorClassicName>
   

   Jika migrasi kompatibel untuk migrasi, Anda akan melihat output berikut:

   CanMigrate DefaultSku
   ---------- ----------
   True       Standard_AzureFrontDoor or Premium_AzureFrontDoor
   

   Jika migrasi tidak kompatibel, Anda akan melihat output berikut:

   CanMigrate DefaultSku
   ---------- ----------
   False      
   

Penyiapan untuk migrasi

Catatan

• Sertifikat terkelola saat ini tidak didukung untuk Azure Front Door Standard atau Premium di Azure Government Cloud. Anda perlu menggunakan BYOC untuk Azure Front Door Standard atau Premium di Azure Government Cloud atau menunggu hingga kemampuan ini tersedia.

Tanpa WAF dan BYOC (Bawa sertifikat Anda sendiri)

Jalankan perintah Start-AzFrontDoorCdnProfilePrepareMigration untuk mempersiapkan migrasi. Ganti nilai untuk nama grup sumber daya, ID sumber daya, nama profil dengan nilai Anda sendiri. Untuk SkuName , gunakan Standard_AzureFrontDoor atau Premium_AzureFrontDoor. SkuName didasarkan pada output dari perintah Test-AzFrontDoorCdnProfileMigration.

Ganti nilai berikut dalam perintah:

• <subscriptionId>: ID langganan Anda.
• <resourceGroupName>: Nama grup sumber daya Front Door (klasik).
• <frontdoorClassicName>: Nama profil Front Door (klasik).

Start-AzFrontDoorCdnProfilePrepareMigration -ResourceGroupName <resourceGroupName> -ClassicResourceReferenceId /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.Network/frontdoors/<frontdoorClassicName> -ProfileName myAzureFrontDoor -SkuName Premium_AzureFrontDoor

Outputnya mirip dengan berikut ini:

Starting the parameter validation process.
The parameters have been successfully validated.
Your new Front Door profile is being created. Please wait until the process has finished completely. This may take several minutes.

Your new Front Door profile with the configuration has been successfully created.

Dengan WAF

1. Jalankan perintah Get-AzFrontDoorWafPolicy untuk mendapatkan ID sumber daya untuk kebijakan WAF Anda. Ganti nilai untuk nama grup sumber daya dan nama kebijakan WAF dengan nilai Anda sendiri.

   Get-AzFrontDoorWafPolicy -ResourceGroupName myAFDResourceGroup -Name myClassicFrontDoorWAF
   

   Outputnya mirip dengan berikut ini:

   PolicyMode                    : Detection
   PolicyEnabledState            : Enabled
   RedirectUrl                   : 
   CustomBlockResponseStatusCode : 403
   CustomBlockResponseBody       : 
   RequestBodyCheck              : Disabled
   CustomRules                   : {}
   ManagedRules                  : {Microsoft.Azure.Commands.FrontDoor.Models.PSAzureManagedRule}
   Etag                          : 
   ProvisioningState             : Succeeded
   Sku                           : Classic_AzureFrontDoor
   Tags                          : 
   Id                            : /subscriptions/abcdef12-3456-7890-abcd-ef1234567890/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myClassicFrontDoorWAF
   Name                          : myFrontDoorWAF
   Type                          :
   

2. Jalankan perintah New-AzFrontDoorCdnMigrationWebApplicationFirewallMappingObject untuk membuat objek dalam memori untuk migrasi kebijakan WAF. Gunakan ID WAF di langkah terakhir untuk MigratedFromId. Untuk menggunakan kebijakan WAF yang ada, ganti nilai untuk MigratedToId dengan ID sumber daya kebijakan WAF yang cocok dengan tingkat Front Door yang Anda migrasikan. Jika Anda membuat salinan kebijakan WAF baru, Anda dapat mengubah nama kebijakan WAF di ID sumber daya.

   $wafMapping = New-AzFrontDoorCdnMigrationWebApplicationFirewallMappingObject -MigratedFromId /subscriptions/abcdef12-3456-7890-abcd-ef1234567890/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myClassicFrontDoorWAF -MigratedToId  /subscriptions/abcdef12-3456-7890-abcd-ef1234567890/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myFrontDoorWAF
   
   

3. Jalankan perintah Start-AzFrontDoorCdnProfilePrepareMigration untuk mempersiapkan migrasi. Ganti nilai untuk nama grup sumber daya, ID sumber daya, nama profil dengan nilai Anda sendiri. Untuk SkuName , gunakan Standard_AzureFrontDoor atau Premium_AzureFrontDoor. SkuName didasarkan pada output dari perintah Test-AzFrontDoorCdnProfileMigration.

   Ganti nilai berikut dalam perintah:

   • <subscriptionId>: ID langganan Anda.
   • <resourceGroupName>: Nama grup sumber daya Front Door (klasik).
   • <frontdoorClassicName>: Nama profil Front Door (klasik).

   Start-AzFrontDoorCdnProfilePrepareMigration -ResourceGroupName <resourceGroupName> -ClassicResourceReferenceId /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.Network/frontdoors/<frontdoorClassicName> -ProfileName myAzureFrontDoor -SkuName Premium_AzureFrontDoor -MigrationWebApplicationFirewallMapping $wafMapping
   

   Outputnya mirip dengan berikut ini:

   Starting the parameter validation process.
   The parameters have been successfully validated.
   Your new Front Door profile is being created. Please wait until the process has finished completely. This may take several minutes.
   
   Your new Front Door profile with the configuration has been successfully created.
   

Dengan BYOC

Jika Anda memigrasikan profil Front Door dengan BYOC, Anda perlu mengaktifkan identitas terkelola di profil Front Door. Anda perlu memberikan akses profil Front Door ke brankas kunci tempat sertifikat disimpan.

Jalankan perintah Start-AzFrontDoorCdnProfilePrepareMigration untuk mempersiapkan migrasi. Ganti nilai untuk nama grup sumber daya, ID sumber daya, nama profil dengan nilai Anda sendiri. Untuk SkuName , gunakan Standard_AzureFrontDoor atau Premium_AzureFrontDoor. SkuName didasarkan pada output dari perintah Test-AzFrontDoorCdnProfileMigration.

Sistem yang ditetapkan

Untuk IdentityType , gunakan SystemAssigned.

Start-AzFrontDoorCdnProfilePrepareMigration -ResourceGroupName myAFDResourceGroup -ClassicResourceReferenceId /subscriptions/abcdef12-3456-7890-abcd-ef1234567890/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/Frontdoors/myAzureFrontDoorClassic -ProfileName myAzureFrontDoor -SkuName Premium_AzureFrontDoor -IdentityType SystemAssigned

Pengguna yang ditetapkan

1. Jalankan perintah Get-AzUserAssignedIdentity untuk mendapatkan ID sumber daya untuk identitas yang ditetapkan pengguna.

   $id = Get-AzUserAssignedIdentity -ResourceGroupName myResourceGroup -Name afduseridentity
   $id.Id
   

   Outputnya mirip dengan berikut ini:

   /subscriptions/abcdef12-3456-7890-abcd-ef1234567890/resourcegroups/myAFDResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity
   

2. Untuk IdentityType gunakan UserAssigned dan untuk IdentityUserAssignedIdentity,* gunakan ID sumber daya dari langkah sebelumnya.

   Ganti nilai berikut dalam perintah:

   • <subscriptionId>: ID langganan Anda.
   • <resourceGroupName>: Nama grup sumber daya Front Door (klasik).
   • <frontdoorClassicName>: Nama profil Front Door (klasik).

   Start-AzFrontDoorCdnProfilePrepareMigration -ResourceGroupName <resourceGroupName> -ClassicResourceReferenceId /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.Network/frontdoors/<frontdoorClassicName> -ProfileName myAzureFrontDoor -SkuName Premium_AzureFrontDoor -IdentityType UserAssigned -IdentityUserAssignedIdentity @{"/subscriptions/abcdef12-3456-7890-abcd-ef1234567890/resourceGroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity" = @{}}
   

   Outputnya mirip dengan berikut ini:

   Starting the parameter validation process.
   The parameters have been successfully validated.
   Your new Front Door profile is being created. Please wait until the process has finished completely. This may take several minutes.
   
   Your new Front Door profile with the configuration has been successfully created.
   

Beberapa WAF dan identitas terkelola

Contoh ini menunjukkan cara memigrasikan profil Front Door dengan beberapa kebijakan WAF dan mengaktifkan identitas yang ditetapkan sistem dan yang ditetapkan pengguna.

1. Jalankan perintah Get-AzFrontDoorWafPolicy untuk mendapatkan ID sumber daya untuk kebijakan WAF Anda. Ganti nilai untuk nama grup sumber daya dan nama kebijakan WAF dengan nilai Anda sendiri.

   Get-AzFrontDoorWafPolicy -ResourceGroupName myAFDResourceGroup -Name myClassicFrontDoorWAF
   

   Outputnya mirip dengan berikut ini:

   PolicyMode                    : Detection
   PolicyEnabledState            : Enabled
   RedirectUrl                   : 
   CustomBlockResponseStatusCode : 403
   CustomBlockResponseBody       : 
   RequestBodyCheck              : Disabled
   CustomRules                   : {}
   ManagedRules                  : {Microsoft.Azure.Commands.FrontDoor.Models.PSAzureManagedRule}
   Etag                          : 
   ProvisioningState             : Succeeded
   Sku                           : Classic_AzureFrontDoor
   Tags                          : 
   Id                            : /subscriptions/abcdef12-3456-7890-abcd-ef1234567890/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myClassicFrontDoorWAF
   Name                          : myFrontDoorWAF
   Type                          :
   

2. Jalankan perintah New-AzFrontDoorCdnMigrationWebApplicationFirewallMappingObject untuk membuat objek dalam memori untuk migrasi kebijakan WAF. Gunakan ID WAF di langkah terakhir untuk MigratedFromId. Untuk menggunakan kebijakan WAF yang ada, ganti nilai untuk MigratedToId dengan ID sumber daya kebijakan WAF yang cocok dengan tingkat Front Door yang Anda migrasikan. Jika Anda membuat salinan kebijakan WAF baru, Anda dapat mengubah nama kebijakan WAF di ID sumber daya.

   $wafMapping1 = New-AzFrontDoorCdnMigrationWebApplicationFirewallMappingObject -MigratedFromId /subscriptions/abcdef12-3456-7890-abcd-ef1234567890/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myClassicFrontDoorWAF1 -MigratedToId  /subscriptions/abcdef12-3456-7890-abcd-ef1234567890/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myFrontDoorWAF1
   
   $wafMapping2 = New-AzFrontDoorCdnMigrationWebApplicationFirewallMappingObject -MigratedFromId /subscriptions/abcdef12-3456-7890-abcd-ef1234567890/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myClassicFrontDoorWAF2 -MigratedToId  /subscriptions/abcdef12-3456-7890-abcd-ef1234567890/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myFrontDoorWAF2
   

3. Tentukan kedua jenis identitas terkelola dalam variabel.

   $identityType = "SystemAssigned, UserAssigned"
   

4. Jalankan perintah Get-AzUserAssignedIdentity untuk mendapatkan ID sumber daya untuk identitas yang ditetapkan pengguna.

   $id1 = Get-AzUserAssignedIdentity -ResourceGroupName myResourceGroup -Name afduseridentity1
   $id1.Id
   $id2 = Get-AzUserAssignedIdentity -ResourceGroupName myResourceGroup -Name afduseridentity2
   $id2.Id
   

   Outputnya mirip dengan berikut ini:

   /subscriptions/abcdef12-3456-7890-abcd-ef1234567890/resourcegroups/myAFDResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity1
   /subscriptions/abcdef12-3456-7890-abcd-ef1234567890/resourcegroups/myAFDResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity2
   

5. Tentukan ID sumber daya identitas yang ditetapkan pengguna dalam variabel.

   $userInfo = @{
       "subscriptions/abcdef12-3456-7890-abcd-ef1234567890/resourceGroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity1" = @{}}
       "subscriptions/abcdef12-3456-7890-abcd-ef1234567890/resourceGroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity2" = @{}}
   }
   

6. Jalankan perintah Start-AzFrontDoorCdnProfilePrepareMigration untuk mempersiapkan migrasi. Ganti nilai untuk nama grup sumber daya, ID sumber daya, nama profil dengan nilai Anda sendiri. Untuk SkuName , gunakan Standard_AzureFrontDoor atau Premium_AzureFrontDoor. SkuName didasarkan pada output dari perintah Test-AzFrontDoorCdnProfileMigration. Parameter MigrationWebApplicationFirewallMapping mengambil array objek migrasi kebijakan WAF. Parameter IdentityType mengambil daftar jenis identitas yang dipisahkan koma. Parameter IdentityUserAssignedIdentity mengambil tabel hash ID sumber daya identitas yang ditetapkan pengguna.

   Ganti nilai berikut dalam perintah:

   • <subscriptionId>: ID langganan Anda.
   • <resourceGroupName>: Nama grup sumber daya Front Door (klasik).
   • <frontdoorClassicName>: Nama profil Front Door (klasik).

   Start-AzFrontDoorCdnProfilePrepareMigration -ResourceGroupName <resourceGroupName> -ClassicResourceReferenceId /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.Network/frontdoors/<frontdoorClassicName> -ProfileName myAzureFrontDoor -SkuName Premium_AzureFrontDoor -MigrationWebApplicationFirewallMapping @($wafMapping1, $wafMapping2) -IdentityType $identityType -IdentityUserAssignedIdentity $userInfo
   

   Outputnya mirip dengan berikut ini:

   Starting the parameter validation process.
   The parameters have been successfully validated.
   Your new Front Door profile is being created. Please wait until the process has finished completely. This may take several minutes.
   
   Your new Front Door profile with the configuration has been successfully created.
   

Migrate

Memigrasikan profil

Jalankan perintah Enable-AzFrontDoorCdnProfileMigration untuk memigrasikan Front Door Anda (klasik).

Enable-AzFrontDoorCdnProfileMigration -ProfileName myAzureFrontDoor -ResourceGroupName myAFDResourceGroup

Outputnya mirip dengan berikut ini:

Start to migrate.
This process will disable your Front Door (classic) profile and move all your traffic and configurations to the new Front Door profile.
Migrate succeeded.

Membatalkan migrasi

Jalankan perintah Stop-AzFrontDoorCdnProfileMigration untuk membatalkan proses migrasi.

Stop-AzFrontDoorCdnProfileMigration -ProfileName myAzureFrontDoor -ResourceGroupName myAFDResourceGroup

Outputnya mirip dengan berikut ini:

Start to abort the migration.
Your new Front Door Profile will be deleted and your existing profile will remain active. WAF policies will not be deleted.
Please wait until the process has finished completely. This may take several minutes.
Abort succeeded.

Memperbarui catatan DNS

Instans Azure Front Door (klasik) lama Anda menggunakan nama domain yang sepenuhnya memenuhi syarat (FQDN) yang berbeda dari Azure Front Door Standard dan Premium. Misalnya, titik akhir Azure Front Door (klasik) mungkin , contoso.azurefd.netsementara titik akhir Azure Front Door Standard atau Premium mungkin contoso-mdjf2jfgjf82mnzx.z01.azurefd.net. Untuk informasi selengkapnya tentang Titik akhir Azure Front Door Standard dan Premium, lihat Titik akhir di Azure Front Door.

Anda tidak perlu memperbarui catatan DNS Anda sebelum atau selama proses migrasi. Azure Front Door secara otomatis mengirim lalu lintas yang diterimanya di titik akhir Azure Front Door (klasik) ke profil Azure Front Door Standard atau Premium Tanpa Anda membuat perubahan konfigurasi apa pun.

Namun, setelah migrasi Anda selesai, kami sangat menyarankan Anda memperbarui catatan DNS Anda untuk mengarahkan lalu lintas ke titik akhir Azure Front Door Standard atau Premium baru. Mengubah catatan DNS Anda membantu memastikan bahwa profil Anda terus berfungsi di masa mendatang. Perubahan dalam catatan DNS tidak menyebabkan waktu henti. Anda tidak perlu merencanakan ke depan agar pembaruan ini terjadi, dan dapat menjadwalkannya sesuai keinginan Anda.

Langkah berikutnya

• Pahami pemetaan antara pengaturan tingkat Front Door.
• Pelajari selengkapnya tentang proses migrasi tingkat Azure Front Door.