Rilocare il gateway applicazione di Azure e il web application firewall (WAF) in un'altra area

Esistono diversi motivi per cui è possibile spostare le risorse di Azure esistenti da un'area a un'altra. È possibile:

• Sfruttare i vantaggi di una nuova area di Azure.
• Distribuire funzionalità o servizi disponibili solo in aree specifiche.
• Soddisfare i requisiti di governance e criteri interni.
• Allinearsi alle fusioni e alle acquisizioni aziendali
• Soddisfare i requisiti di pianificazione della capacità.

Questo articolo illustra l'approccio consigliato, le linee guida e le procedure per rilocare il gateway applicazione e il WAF tra aree di Azure.

Importante

I passaggi di ridistribuzione descritti in questo documento si applicano solo al gateway applicazione stesso e non ai servizi back-end a cui le regole del gateway applicazione instradano il traffico.

Prerequisiti

• Verificare che la sottoscrizione di Azure consenta di creare SKU del gateway applicazione nell'area di destinazione.

• Pianificare la strategia di rilocazione essendo a conoscenza di tutti i servizi necessari per il gateway applicazione. Per i servizi inclusi nell'ambito della rilocazione, è necessario selezionare la strategia di rilocazione appropriata.

  • Assicurarsi che la subnet del gateway applicazione nella posizione di destinazione disponga di spazio indirizzi sufficiente per supportare il numero di istanze necessarie per gestire il traffico massimo previsto.

• Per la distribuzione del gateway applicazione, è necessario prendere in considerazione e pianificare la configurazione delle risorse secondarie seguenti:

  • Configurazione front-end (IP pubblico/privato)
  • Risorse del pool back-end (ad es. VM, set di scalabilità di macchine virtuali, Servizi app di Azure)
  • Collegamento privato
  • Certificati
  • Impostazioni di diagnostica
  • Notifiche di avviso

• Assicurarsi che la subnet del gateway applicazione nella posizione di destinazione disponga di spazio indirizzi sufficiente per supportare il numero di istanze necessarie per gestire il traffico massimo previsto.

Ripetere la distribuzione

Per rilocare il gateway applicazione e il WAF facoltativo, è necessario creare una distribuzione separata del gateway applicazione con un nuovo indirizzo IP pubblico nel percorso di destinazione. I carichi di lavoro vengono quindi migrati dalla configurazione del gateway applicazione di origine a quella nuova. Poiché si modifica l'indirizzo IP pubblico, sono necessarie anche modifiche alla configurazione DNS, alle reti virtuali e alle subnet.

Se si vuole solo rilocare per ottenere il supporto delle zone di disponibilità, vedere Eseguire la migrazione del gateway applicazione e del WAF per il supporto della zona di disponibilità.

Per creare un gateway applicazione, WAF (facoltativo) e indirizzo IP separati:

1. Vai al portale di Azure.

2. Se si usa la terminazione TLS per Key Vault, seguire la procedura di rilocazione per Key Vault. Assicurarsi che Key Vault si trovi nella stessa sottoscrizione del gateway applicazione rilocato. È possibile creare un nuovo certificato o usare il certificato esistente per il gateway applicazione rilocato.

3. Verificare che la rete virtuale sia rilocata prima di eseguire la rilocazione. Per informazioni su come rilocare la rete virtuale, vedere Rilocare la rete virtuale di Azure.

4. Verificare che il servizio o il server del pool back-end, ad esempio VM, set di scalabilità di macchine virtuali, PaaS, sia rilocato prima di eseguire la rilocazione.

5. Creare un gateway applicazione e configurare un nuovo indirizzo IP pubblico front-end per la rete virtuale:

   • Senza WAF: creare un gateway applicazione.
   • Con WAF: creare un gateway applicazione con un web application firewall

6. Se si dispone di una configurazione WAF o di criteri WAF di sole regole personalizzate, passarli a un criterio WAF completo.

7. Se si usa una rete senza attendibilità (area di origine) per le applicazioni Web con Firewall di Azure e gateway applicazione, seguire le linee guida e le strategie indicate in Rete Zero Trust per le applicazioni Web con Firewall di Azure e gateway applicazione.

8. Verificare che il gateway applicazione e il WAF funzionino come previsto.

9. Eseguire la migrazione della configurazione al nuovo indirizzo IP pubblico.

   1. Cambiare endpoint pubblici e privati in modo che puntino al nuovo gateway applicazione.
   2. Eseguire la migrazione della configurazione DNS al nuovo indirizzo IP pubblico e/o privato.
   3. Aggiornare gli endpoint nelle applicazioni/servizi consumer. Gli aggiornamenti delle applicazioni e dei servizi consumer vengono in genere eseguiti tramite una modifica e una ridistribuzione delle proprietà. Tuttavia, adottare questo metodo ogni volta che viene usato un nuovo nome host rispetto alla distribuzione nell'area precedente.

10. Eliminare le risorse del gateway applicazione e del WAF di origine.

Rilocare i certificati per la terminazione TLS Premium (gateway applicazione v2)

I certificati per la terminazione TLS possono essere forniti in due modi:

• Caricamento. Fornire un certificato TLS/SSL caricandolo direttamente nel gateway applicazione.

• Riferimento Key Vault. Specificare un riferimento a un certificato di Key Vault esistente quando si crea un listener abilitato per HTTPS/TLS. Per altre informazioni sul download di un certificato, vedere Rilocare Key Vault in un'altra area.

Avviso

I riferimenti a Key Vault in altre sottoscrizioni di Azure sono supportati, ma devono essere configurati tramite il modello di Resource Manager, Azure PowerShell, l'interfaccia della riga di comando, Bicep e così via. La configurazione dell'insieme di credenziali delle chiavi tra sottoscrizioni non è supportata dal gateway applicazione tramite il portale di Azure.

Seguire la procedura documentata per abilitare la terminazione TLS con i certificati di Key Vault per il gateway applicazione rilocato.