Azure Front Door (クラシック) から Standard および Premium レベルへの移行について
重要
Azure Front Door (クラシック) は、2027 年 3 月 31 日に廃止されます。 サービスの中断を回避するには、2027 年 3 月までに Azure Front Door の Standard または Premium レベルに Azure Front Door (クラシック) プロファイルを移行することが重要です。 詳細については、Azure Front Door (クラシック) の廃止に関するページを参照してください。
Azure Front Door Standard および Premium レベルは、次世代のコンテンツ配信ネットワーク サービスとして 2022 年 5 月にリリースされました。 この新しいレベルは、Azure Front Door (クラシック)、Microsoft CDN (クラシック)、Web Application Firewall (WAF) の機能を組み合わせたものです。 Private Link 統合、強化されたルール エンジン、高度な診断などの機能により、Web アプリケーションをセキュリティで保護して高速化し、顧客により優れたエクスペリエンスを提供できます。
新しい機能と改善のメリットを得るために、クラシック プロファイルをいずれかの新しいレベルに移行することをお勧めします。 新しいレベルへの移行を容易にするために、Azure Front Door では、Azure Front Door (クラシック) から Standard または Premium にワークロードを移行するためのダウンタイムなしの移行を可能にしています。
この記事では、移行プロセスについて学習し、関連する破壊的変更と、移行前、移行中、移行後に行う必要がある作業を理解します。
移行プロセスの概要
Azure Front Door の Standard レベルまたは Premium レベルへの移行は、証明書を使用しているかどうかに応じて、3 つまたは 5 つのフェーズで行われます。 移行にかかる時間は、Azure Front Door (クラシック) プロファイルの複雑さによって異なります。 単純な Azure Front Door プロファイルの場合は数分で済み、フロントエンド ドメイン、バックエンド プール、ルーティング規則、ルール エンジン規則が複数含まれるプロファイルの場合は長くなることが予想されます。
移行のフェーズ
互換性を検証する
移行ツールは、Azure Front Door (クラシック) プロファイルが移行に対応しているかどうかを確認します。 検証に失敗した場合は、もう一度検証する前に、問題を解決する方法に関する提案が表示されます。
Azure Front Door Standard および Premium では,すべてのカスタム ドメインが HTTPS を使用する必要があります。 独自の証明書がない場合は、Azure Front Door マネージド証明書を使用できます。 このための証明書は無料であり、その管理は自動的に行われます。
セッション アフィニティは、Azure Front Door Standard または Premium プロファイルの配信元グループの設定で有効になります。 Azure Front Door (クラシック) では、セッション アフィニティはドメイン レベルで設定されています。 移行の一環として、セッション アフィニティは Front Door (クラシック) プロファイルの設定に基づいて設定されます。 Front Door (クラシック ) プロファイルに同じバックエンド プールを共有する 2 つのドメインがある場合、移行の検証に合格するためには、その 2 つのドメインのセッション アフィニティが一致している必要があります。
Azure Front Door (クラシック) で BYOC (Bring Your Own Certificate) を使用している場合は、Azure Front Door Standard または Premium への Key Vault アクセス権を付与する必要があります。 この手順は、Azure Front Door Standard または Premium が Key Vault 内の証明書にアクセスするために必要です。 Azure Front Door マネージド証明書を使用している場合は、Key Vault アクセス権を付与する必要はありません。
Note
現在、マネージド証明書 Azure Government Cloud の Azure Front Door Standard または Premium ではサポートされていません。 Azure Government Cloud で Azure Front Door Standard または Premium に BYOC を使用するか、この機能が使用可能になるまで待つ必要があります。
移行を準備する
Azure Front Door では、Front Door (クラシック) プロファイルの構成に基づいて、新しい Standard プロファイルまたは Premium プロファイルが作成されます。 新しい Front Door プロファイル レベルは、プロファイルに関連付けるWeb Application Firewall (WAF) ポリシー設定によって異なります。
Premium - WAF ポリシーに Azure Front Door (クラシック) プロファイルに関連付けられたマネージド WAF ルールがある場合。
Standard - WAF ポリシーに Azure Front Door (クラシック) プロファイルに関連付けられたカスタム WAF ルールがある場合。
Note
移行後、Standard レベルの Front Door プロファイルを Premium レベルにアップグレードできます。 ただし、移行後、Premium レベルの Front Door プロファイルを Standard レベルにダウングレードすることはできません。
準備フェーズ中に、Azure Front Door によって、Front Door (クラシック) プロファイルに関連付けられている各 WAF ポリシーのコピーが作成されます。 WAF ポリシー レベルは、移行先のレベルに固有です。 各 WAF ポリシーに既定の名前が指定されており、このフェーズ中に名前を変更できます。 コピーを作成する代わりに、移行先のレベルと一致する既存の WAF ポリシーを選択することもできます。 準備フェーズが完了すると、構成を確認するための新しい Front Door プロファイルの読み取り専用ビューが提供されます。
重要
準備フェーズが開始された後に、Front Door (クラシック) 構成を変更することはできません。
マネージド ID の有効化
この手順では、Azure Key Vault の証明書にアクセスするための Azure Front Door のマネージド ID を構成します。 Azure Front Door (クラシック) で BYOC (Bring Your Own Certificate) を使用している場合は、マネージド ID が必要です。 Azure Front Door マネージド証明書を使用している場合は、Key Vault アクセス権を付与する必要はありません。
マネージド ID をキー コンテナーに付与する
この手順では、Front Door (クラシック) プロファイルで使用されているすべての Azure Key Vault にマネージド ID を追加します。
Migrate
移行が開始されると、Azure Front Door (クラシック) プロファイルが無効になり、Azure Front Door Standard または Premium プロファイルがアクティブになります。 移行が完了すると、トラフィックは新しいプロファイルを通過するようになります。
移行プロセスを進める必要がなくなった場合は、[Abort migration] (移行の中止) を選択できます。 移行を中止すると、作成された新しい Front Door プロファイルが削除されます。 Azure Front Door (クラシック) プロファイルはアクティブなままであり、引き続き使用できます。 WAF ポリシー のコピーは、すべて手動で削除する必要があります。
Azure Front Door Standard または Premium レベルのサービス料金の課金は、移行が完了した時点で開始されます。
Standard レベルまたは Premium レベルに移行するときの重大な変更
重要
- Azure Front Door (クラシック) プロファイルは、Standard レベルに移行する資格はあるが、リソースの数が Standard レベルのクォータ制限を超える場合、代わりに Premium レベルに移行されます。
- Azure PowerShell、Azure CLI、API、または Terraform を使用して移行を行う場合、WAF ポリシーを個別に作成する必要があります。
Dev-ops
Azure Front Door Standard および Premium では、Microsoft.Cdn という別のリソース プロバイダー名前空間が使用されるのに対して、Azure Front Door (クラシック) では、Microsoft.Network が使用されます。 Azure Front Door プロファイルを移行した後、新しい名前空間と、更新された Azure PowerShell モジュール、CLI コマンド、API を使用するように Dev-ops スクリプトを変更する必要があります。
ハッシュ値を持つエンドポイント
Azure Front Door Standard および Premium のエンドポイントは、ドメインの乗っ取りを防ぐためのハッシュ値を含めるために生成されます。 エンドポイント名の形式は、<endpointname>-<hashvalue>.z01.azurefd.net です。 Front Door (クラシック) のエンドポイントは、移行後も引き続き機能しますが、新しい Standard または Premium プロファイルから新しく作成されたエンドポイント名に置き換えることをお勧めします。 詳細については、「エンドポイント ドメイン名」を参照してください。
ログとメトリック
診断ログとメトリックは移行されません。 Azure Front Door Standard および Premium のログ フィールドは、Azure Front Door (クラシック) とは異なります。 Standard レベルと Premium レベルには正常性プローブ ログが含まれているので、移行後に診断ログを有効にすることをお勧めします。 Standard および Premium レベルでは、移行完了後にデータの表示を開始する組み込みレポートもサポートされます。 詳細については、Azure Front Door のレポートに関するページを参照してください。
Web アプリケーション ファイアウォール (WAF)
移行のために選択される既定の Azure Front Door レベルは、WAF ポリシーに含まれる規則の種類によって決まります。 このセクションでは、WAF ポリシーのさまざまな規則の種類のシナリオについて説明します。
カスタム ルールのみを使用するクラシック WAF ポリシー - 新しい Azure Front Door プロファイルは既定で Standard レベルに設定され、移行中に Premium にアップグレードできます。 移行にポータルを使用する場合、Azure によって Standard 用のカスタム WAF ルールが作成されます。 移行中に Premium にアップグレードした場合、カスタム WAF ルールが移行プロセスの一部として作成されます。 マネージド ルールを使用する場合は、移行後に手動でマネージド WAF ルールを追加する必要があります。
マネージド WAF ルールのみ、またはマネージド WAF ルールとカスタム WAF ルールの両方を使用するクラシック WAF ポリシー - 新しい Azure Front Door プロファイルは既定で Premium レベルに設定され、移行中にダウングレードすることはできません。 Standard レベルを使用する場合は、WAF ポリシーの関連付けを削除するか、Front Door (クラシック) WAF ポリシーからマネージド WAF ルールを削除する必要があります。
Note
移行中に WAF ポリシーが重複して作成されるのを回避するために、移行機能により、コピーを作成するか、既存の Azure Front Door Standard または Premium WAF ポリシーを再利用するためのオプションが提供されます。
Azure Front Door WAF 用のAzure Policy
WAF のAzure Policy は、Azure Front Door Standard および Premium では使用できません。 Azure Policy では、組織の WAF 標準を大規模に設定して確認できます。 この機能は近い将来に利用可能になる予定です。
移行で使用される名前付け規則
移行中、既定のプロファイル名が <endpointprefix>-migrated の形式で使用されます。 たとえば、myEndpoint.azurefd.net という名前の Azure Front Door (クラシック) エンドポイントの既定の名前は myEndpoint-migrated です。
WAF ポリシー名では、クラシック WAF ポリシー名に -standard または -premium が追加されます。 たとえば、contosoWAF1 という名前の Front Door (クラシック) WAF ポリシーは、既定の名前が contosoWAF1-premium になります。 Front Door プロファイルと WAF ポリシーの両方の名前を、移行プロセス中に変更できます。 ルール エンジンの構成とルートの名前変更はサポートされておらず、代わりに既定の名前が割り当てられます。
Azure Front Door Standard および Premium では、ルール エンジンを通じて URL リダイレクトと URL 書き換えがサポートされるのに対して、Azure Front Door (クラシック) では、ルーティング規則を通じてサポートされます。 移行中、これら 2 つの規則は、Standard および Premium プロファイルでルール エンジン セットとして作成されます。 これらの規則の名前は、urlRewriteMigrated と urlRedirectMigrated です。
リソースの状態
次の表は、移行プロセスのさまざまな段階と、プロファイルを変更できるかどうかを示しています。
| 移行の状態 | Front Door (クラシック) リソースの状態 | 変更可/不可 | Front Door Standard または Premium | 変更可/不可 |
|---|---|---|---|---|
| 移行前 | アクティブ | はい | 該当なし | 該当なし |
| 互換性の検証 | アクティブ | はい | 該当なし | 該当なし |
| 移行を準備する | 移行 | いいえ | 作成 | いいえ |
| 移行のコミット | 移行 | いいえ | CommittingMigration | いいえ |
| コミットされた移行 | 移行対象 | No | アクティブ | はい |
| 移行の中止 | AbortingMigration | いいえ | 削除中 | いいえ |
| 中止された移行 | アクティブ | はい | Deleted | 該当なし |
次のステップ
- Azure Front Door レベル間の設定マッピングについて理解してください。
- Azure portal を使用して Azure Front Door (クラシック) から Standard または Premium レベルに移行する方法について確認してください。
- Azure PowerShell を使用して Azure Front Door (クラシック) から Standard または Premium レベルに移行する方法について確認してください。