Azure Front Door (klassiek) migreren naar de Standard-/Premium-laag met Azure PowerShell

Belangrijk

Azure Front Door (klassiek) wordt op 31 maart 2027 buiten gebruik gesteld. Om serviceonderbrekingen te voorkomen, is het belangrijk dat u uw Azure Front Door-profielen (klassiek) tegen maart 2027 migreert naar de Azure Front Door Standard- of Premium-laag. Zie De buitengebruikstelling van Azure Front Door (klassiek) voor meer informatie.

De Azure Front Door Standard- en Premium-laag brengen de nieuwste netwerkfuncties voor cloudlevering naar Azure. Met verbeterde beveiligingsfuncties en een alles-in-één-service wordt uw toepassingsinhoud beveiligd en dichter bij uw eindgebruikers met behulp van het wereldwijde Microsoft-netwerk. In dit artikel wordt u begeleid bij het migratieproces om uw Azure Front Door-profiel (klassiek) te verplaatsen naar een Standard- of Premium-laagprofiel met Azure PowerShell.

Vereisten

• Raadpleeg het artikel over migratie van de Front Door-laag.
• Zorg ervoor dat uw Front Door-profiel (klassiek) kan worden gemigreerd:
  • Voor Azure Front Door Standard en Premium moeten alle aangepaste domeinen HTTPS gebruiken. Als u geen eigen certificaat hebt, kunt u een beheerd Azure Front Door-certificaat gebruiken. Het certificaat is gratis en wordt voor u beheerd.
  • Sessieaffiniteit wordt ingeschakeld in de oorspronkelijke groepsinstellingen voor een Azure Front Door Standard- of Premium-profiel. In Azure Front Door (klassiek) wordt sessieaffiniteit ingesteld op domeinniveau. Als onderdeel van de migratie is sessieaffiniteit gebaseerd op de profielinstellingen van Front Door (klassiek). Als u twee domeinen in uw klassieke profiel hebt die dezelfde back-endpool (oorspronkelijke groep) delen, moet sessieaffiniteit consistent zijn voor beide domeinen om migratievalidatie door te geven.
• De meest recente Azure PowerShell-module die lokaal of Azure Cloud Shell is geïnstalleerd. Zie Azure PowerShell installeren en configureren voor meer informatie.

Notitie

U hoeft geen DNS-wijzigingen aan te brengen vóór of tijdens het migratieproces. Zodra de migratie is voltooid en het verkeer door uw nieuwe Azure Front Door-profiel stroomt, moet u uw DNS-records bijwerken. Zie DNS-records bijwerken voor meer informatie.

Compatibiliteit valideren

1. Open Azure PowerShell en maak verbinding met uw Azure-account. Zie Verbinding maken naar Azure PowerShell voor meer informatie.

2. Test uw Azure Front Door-profiel (klassiek) om te zien of het compatibel is met migratie. U kunt de opdracht Test-AzFrontDoorCdnProfileMigration gebruiken om uw profiel te testen. Vervang de waarden voor de naam en resource-id van de resourcegroep door uw eigen waarden. Gebruik Get-AzFrontDoor om de resource-id voor uw Front Door-profiel (klassiek) op te halen.

   Vervang de volgende waarden in de opdracht:

   • <subscriptionId>: uw abonnements-id.
   • <resourceGroupName>: De naam van de resourcegroep van de Front Door (klassiek).
   • <frontdoorClassicName>: De naam van het Front Door-profiel (klassiek).

   Test-AzFrontDoorCdnProfileMigration -ResourceGroupName <resourceGroupName> -ClassicResourceReferenceId /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.Network/frontdoors/<frontdoorClassicName>
   

   Als de migratie compatibel is voor migratie, ziet u de volgende uitvoer:

   CanMigrate DefaultSku
   ---------- ----------
   True       Standard_AzureFrontDoor or Premium_AzureFrontDoor
   

   Als de migratie niet compatibel is, ziet u de volgende uitvoer:

   CanMigrate DefaultSku
   ---------- ----------
   False      
   

Voorbereiden op migratie

Notitie

• Beheerd certificaat wordt momenteel niet ondersteund voor Azure Front Door Standard of Premium in Azure Government Cloud. U moet BYOC gebruiken voor Azure Front Door Standard of Premium in Azure Government Cloud of wachten tot deze mogelijkheid beschikbaar is.

Zonder WAF en BYOC (Bring Your Own Certificate)

Voer de opdracht Start-AzFrontDoorCdnProfilePrepareMigration uit om de migratie voor te bereiden. Vervang de waarden voor de naam van de resourcegroep, resource-id, profielnaam door uw eigen waarden. Gebruik voor SkuNameStandard_AzureFrontDoor of Premium_AzureFrontDoor. De SkuName is gebaseerd op de uitvoer van de opdracht Test-AzFrontDoorCdnProfileMigration .

Vervang de volgende waarden in de opdracht:

• <subscriptionId>: uw abonnements-id.
• <resourceGroupName>: De naam van de resourcegroep van de Front Door (klassiek).
• <frontdoorClassicName>: De naam van het Front Door-profiel (klassiek).

Start-AzFrontDoorCdnProfilePrepareMigration -ResourceGroupName <resourceGroupName> -ClassicResourceReferenceId /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.Network/frontdoors/<frontdoorClassicName> -ProfileName myAzureFrontDoor -SkuName Premium_AzureFrontDoor

De uitvoer ziet er ongeveer als volgt uit:

Starting the parameter validation process.
The parameters have been successfully validated.
Your new Front Door profile is being created. Please wait until the process has finished completely. This may take several minutes.

Your new Front Door profile with the configuration has been successfully created.

Met WAF

1. Voer de opdracht Get-AzFrontDoorWafPolicy uit om de resource-id voor uw WAF-beleid op te halen. Vervang de waarden voor de naam van de resourcegroep en de naam van het WAF-beleid door uw eigen waarden.

   Get-AzFrontDoorWafPolicy -ResourceGroupName myAFDResourceGroup -Name myClassicFrontDoorWAF
   

   De uitvoer ziet er ongeveer als volgt uit:

   PolicyMode                    : Detection
   PolicyEnabledState            : Enabled
   RedirectUrl                   : 
   CustomBlockResponseStatusCode : 403
   CustomBlockResponseBody       : 
   RequestBodyCheck              : Disabled
   CustomRules                   : {}
   ManagedRules                  : {Microsoft.Azure.Commands.FrontDoor.Models.PSAzureManagedRule}
   Etag                          : 
   ProvisioningState             : Succeeded
   Sku                           : Classic_AzureFrontDoor
   Tags                          : 
   Id                            : /subscriptions/abcdef12-3456-7890-abcd-ef1234567890/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myClassicFrontDoorWAF
   Name                          : myFrontDoorWAF
   Type                          :
   

2. Voer de opdracht New-AzFrontDoorCdnMigrationWebApplicationFirewallMappingObject uit om een in-memory object te maken voor WAF-beleidsmigratie. Gebruik de WAF-id in de laatste stap voor MigratedFromId. Als u een bestaand WAF-beleid wilt gebruiken, vervangt u de waarde voor MigratedToId door een resource-id van een WAF-beleid dat overeenkomt met de Front Door-laag waarnaar u migreert. Als u een nieuwe WAF-beleidskopie maakt, kunt u de naam van het WAF-beleid in de resource-id wijzigen.

   $wafMapping = New-AzFrontDoorCdnMigrationWebApplicationFirewallMappingObject -MigratedFromId /subscriptions/abcdef12-3456-7890-abcd-ef1234567890/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myClassicFrontDoorWAF -MigratedToId  /subscriptions/abcdef12-3456-7890-abcd-ef1234567890/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myFrontDoorWAF
   
   

3. Voer de opdracht Start-AzFrontDoorCdnProfilePrepareMigration uit om de migratie voor te bereiden. Vervang de waarden voor de naam van de resourcegroep, resource-id, profielnaam door uw eigen waarden. Gebruik voor SkuNameStandard_AzureFrontDoor of Premium_AzureFrontDoor. De SkuName is gebaseerd op de uitvoer van de opdracht Test-AzFrontDoorCdnProfileMigration .

   Vervang de volgende waarden in de opdracht:

   • <subscriptionId>: uw abonnements-id.
   • <resourceGroupName>: De naam van de resourcegroep van de Front Door (klassiek).
   • <frontdoorClassicName>: De naam van het Front Door-profiel (klassiek).

   Start-AzFrontDoorCdnProfilePrepareMigration -ResourceGroupName <resourceGroupName> -ClassicResourceReferenceId /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.Network/frontdoors/<frontdoorClassicName> -ProfileName myAzureFrontDoor -SkuName Premium_AzureFrontDoor -MigrationWebApplicationFirewallMapping $wafMapping
   

   De uitvoer ziet er ongeveer als volgt uit:

   Starting the parameter validation process.
   The parameters have been successfully validated.
   Your new Front Door profile is being created. Please wait until the process has finished completely. This may take several minutes.
   
   Your new Front Door profile with the configuration has been successfully created.
   

Met BYOC

Als u een Front Door-profiel migreert met BYOC, moet u beheerde identiteit inschakelen in het Front Door-profiel. U moet het Front Door-profiel toegang verlenen tot de sleutelkluis waar het certificaat is opgeslagen.

Voer de opdracht Start-AzFrontDoorCdnProfilePrepareMigration uit om de migratie voor te bereiden. Vervang de waarden voor de naam van de resourcegroep, resource-id, profielnaam door uw eigen waarden. Gebruik voor SkuNameStandard_AzureFrontDoor of Premium_AzureFrontDoor. De SkuName is gebaseerd op de uitvoer van de opdracht Test-AzFrontDoorCdnProfileMigration .

Door het systeem toegewezen

Gebruik SystemAssigned voor IdentityType.

Start-AzFrontDoorCdnProfilePrepareMigration -ResourceGroupName myAFDResourceGroup -ClassicResourceReferenceId /subscriptions/abcdef12-3456-7890-abcd-ef1234567890/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/Frontdoors/myAzureFrontDoorClassic -ProfileName myAzureFrontDoor -SkuName Premium_AzureFrontDoor -IdentityType SystemAssigned

Door de gebruiker toegewezen

1. Voer de opdracht Get-AzUserAssignedIdentity uit om de resource-id voor een door de gebruiker toegewezen identiteit op te halen.

   $id = Get-AzUserAssignedIdentity -ResourceGroupName myResourceGroup -Name afduseridentity
   $id.Id
   

   De uitvoer ziet er ongeveer als volgt uit:

   /subscriptions/abcdef12-3456-7890-abcd-ef1234567890/resourcegroups/myAFDResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity
   

2. Gebruik voor IdentityType UserAssigned en voor IdentityUserAssignedIdentity*de resource-id uit de vorige stap.

   Vervang de volgende waarden in de opdracht:

   • <subscriptionId>: uw abonnements-id.
   • <resourceGroupName>: De naam van de resourcegroep van de Front Door (klassiek).
   • <frontdoorClassicName>: De naam van het Front Door-profiel (klassiek).

   Start-AzFrontDoorCdnProfilePrepareMigration -ResourceGroupName <resourceGroupName> -ClassicResourceReferenceId /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.Network/frontdoors/<frontdoorClassicName> -ProfileName myAzureFrontDoor -SkuName Premium_AzureFrontDoor -IdentityType UserAssigned -IdentityUserAssignedIdentity @{"/subscriptions/abcdef12-3456-7890-abcd-ef1234567890/resourceGroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity" = @{}}
   

   De uitvoer ziet er ongeveer als volgt uit:

   Starting the parameter validation process.
   The parameters have been successfully validated.
   Your new Front Door profile is being created. Please wait until the process has finished completely. This may take several minutes.
   
   Your new Front Door profile with the configuration has been successfully created.
   

Meerdere WAF en beheerde identiteit

In dit voorbeeld ziet u hoe u een Front Door-profiel met meerdere WAF-beleidsregels migreert en zowel door het systeem toegewezen als de door de gebruiker toegewezen identiteit inschakelt.

1. Voer de opdracht Get-AzFrontDoorWafPolicy uit om de resource-id voor uw WAF-beleid op te halen. Vervang de waarden voor de naam van de resourcegroep en de naam van het WAF-beleid door uw eigen waarden.

   Get-AzFrontDoorWafPolicy -ResourceGroupName myAFDResourceGroup -Name myClassicFrontDoorWAF
   

   De uitvoer ziet er ongeveer als volgt uit:

   PolicyMode                    : Detection
   PolicyEnabledState            : Enabled
   RedirectUrl                   : 
   CustomBlockResponseStatusCode : 403
   CustomBlockResponseBody       : 
   RequestBodyCheck              : Disabled
   CustomRules                   : {}
   ManagedRules                  : {Microsoft.Azure.Commands.FrontDoor.Models.PSAzureManagedRule}
   Etag                          : 
   ProvisioningState             : Succeeded
   Sku                           : Classic_AzureFrontDoor
   Tags                          : 
   Id                            : /subscriptions/abcdef12-3456-7890-abcd-ef1234567890/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myClassicFrontDoorWAF
   Name                          : myFrontDoorWAF
   Type                          :
   

2. Voer de opdracht New-AzFrontDoorCdnMigrationWebApplicationFirewallMappingObject uit om een in-memory object te maken voor WAF-beleidsmigratie. Gebruik de WAF-id in de laatste stap voor MigratedFromId. Als u een bestaand WAF-beleid wilt gebruiken, vervangt u de waarde voor MigratedToId door een resource-id van een WAF-beleid dat overeenkomt met de Front Door-laag waarnaar u migreert. Als u een nieuwe WAF-beleidskopie maakt, kunt u de naam van het WAF-beleid in de resource-id wijzigen.

   $wafMapping1 = New-AzFrontDoorCdnMigrationWebApplicationFirewallMappingObject -MigratedFromId /subscriptions/abcdef12-3456-7890-abcd-ef1234567890/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myClassicFrontDoorWAF1 -MigratedToId  /subscriptions/abcdef12-3456-7890-abcd-ef1234567890/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myFrontDoorWAF1
   
   $wafMapping2 = New-AzFrontDoorCdnMigrationWebApplicationFirewallMappingObject -MigratedFromId /subscriptions/abcdef12-3456-7890-abcd-ef1234567890/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myClassicFrontDoorWAF2 -MigratedToId  /subscriptions/abcdef12-3456-7890-abcd-ef1234567890/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myFrontDoorWAF2
   

3. Geef beide typen beheerde identiteiten op in een variabele.

   $identityType = "SystemAssigned, UserAssigned"
   

4. Voer de opdracht Get-AzUserAssignedIdentity uit om de resource-id voor een door de gebruiker toegewezen identiteit op te halen.

   $id1 = Get-AzUserAssignedIdentity -ResourceGroupName myResourceGroup -Name afduseridentity1
   $id1.Id
   $id2 = Get-AzUserAssignedIdentity -ResourceGroupName myResourceGroup -Name afduseridentity2
   $id2.Id
   

   De uitvoer ziet er ongeveer als volgt uit:

   /subscriptions/abcdef12-3456-7890-abcd-ef1234567890/resourcegroups/myAFDResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity1
   /subscriptions/abcdef12-3456-7890-abcd-ef1234567890/resourcegroups/myAFDResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity2
   

5. Geef de door de gebruiker toegewezen id-resource-id op in een variabele.

   $userInfo = @{
       "subscriptions/abcdef12-3456-7890-abcd-ef1234567890/resourceGroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity1" = @{}}
       "subscriptions/abcdef12-3456-7890-abcd-ef1234567890/resourceGroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity2" = @{}}
   }
   

6. Voer de opdracht Start-AzFrontDoorCdnProfilePrepareMigration uit om de migratie voor te bereiden. Vervang de waarden voor de naam van de resourcegroep, resource-id, profielnaam door uw eigen waarden. Gebruik voor SkuNameStandard_AzureFrontDoor of Premium_AzureFrontDoor. De SkuName is gebaseerd op de uitvoer van de opdracht Test-AzFrontDoorCdnProfileMigration . De parameter MigrationWebApplicationFirewallMapping neemt een matrix van WAF-beleidsmigratieobjecten. De parameter IdentityType gebruikt een door komma's gescheiden lijst met identiteitstypen. De parameter IdentityUserAssignedIdentity gebruikt een hash-tabel met door de gebruiker toegewezen id's voor identiteitsresources.

   Vervang de volgende waarden in de opdracht:

   • <subscriptionId>: uw abonnements-id.
   • <resourceGroupName>: De naam van de resourcegroep van de Front Door (klassiek).
   • <frontdoorClassicName>: De naam van het Front Door-profiel (klassiek).

   Start-AzFrontDoorCdnProfilePrepareMigration -ResourceGroupName <resourceGroupName> -ClassicResourceReferenceId /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.Network/frontdoors/<frontdoorClassicName> -ProfileName myAzureFrontDoor -SkuName Premium_AzureFrontDoor -MigrationWebApplicationFirewallMapping @($wafMapping1, $wafMapping2) -IdentityType $identityType -IdentityUserAssignedIdentity $userInfo
   

   De uitvoer ziet er ongeveer als volgt uit:

   Starting the parameter validation process.
   The parameters have been successfully validated.
   Your new Front Door profile is being created. Please wait until the process has finished completely. This may take several minutes.
   
   Your new Front Door profile with the configuration has been successfully created.
   

Migrate

Profiel migreren

Voer de opdracht Enable-AzFrontDoorCdnProfileMigration uit om uw Front Door (klassiek) te migreren.

Enable-AzFrontDoorCdnProfileMigration -ProfileName myAzureFrontDoor -ResourceGroupName myAFDResourceGroup

De uitvoer ziet er ongeveer als volgt uit:

Start to migrate.
This process will disable your Front Door (classic) profile and move all your traffic and configurations to the new Front Door profile.
Migrate succeeded.

Migratie afbreken

Voer de opdracht Stop-AzFrontDoorCdnProfileMigration uit om het migratieproces af te breken.

Stop-AzFrontDoorCdnProfileMigration -ProfileName myAzureFrontDoor -ResourceGroupName myAFDResourceGroup

De uitvoer ziet er ongeveer als volgt uit:

Start to abort the migration.
Your new Front Door Profile will be deleted and your existing profile will remain active. WAF policies will not be deleted.
Please wait until the process has finished completely. This may take several minutes.
Abort succeeded.

DNS-records bijwerken

Uw oude Instantie van Azure Front Door (klassiek) gebruikt een andere FQDN (Fully Qualified Domain Name) dan Azure Front Door Standard en Premium. Een Azure Front Door-eindpunt (klassiek) kan bijvoorbeeld zijn contoso.azurefd.net, terwijl het Azure Front Door Standard- of Premium-eindpunt mogelijk is contoso-mdjf2jfgjf82mnzx.z01.azurefd.net. Zie Eindpunten in Azure Front Door voor meer informatie over Azure Front Door Standard- en Premium-eindpunten.

U hoeft uw DNS-records niet bij te werken vóór of tijdens het migratieproces. Azure Front Door verzendt automatisch verkeer dat het ontvangt op het Azure Front Door-eindpunt (klassiek) naar uw Azure Front Door Standard- of Premium-profiel zonder dat u configuratiewijzigingen aanbrengt.

Zodra uw migratie is voltooid, raden we u echter ten zeerste aan uw DNS-records bij te werken om verkeer naar het nieuwe Azure Front Door Standard- of Premium-eindpunt te leiden. Als u uw DNS-records wijzigt, zorgt u ervoor dat uw profiel in de toekomst blijft werken. De wijziging in de DNS-record veroorzaakt geen downtime. U hoeft niet vooruit te plannen voor deze update en kunt deze op uw gemak plannen.

Volgende stappen

• Inzicht in de toewijzing tussen instellingen voor Front Door-lagen .
• Meer informatie over het migratieproces van de Azure Front Door-laag.