Przenoszenie bramy aplikacja systemu Azure i zapory aplikacji internetowej (WAF) do innego regionu

W tym artykule opisano zalecane podejście, wytyczne i praktyki dotyczące przenoszenia usługi Application Gateway i zapory aplikacji internetowej między regionami świadczenia usługi Azure.

Ważne

Kroki ponownego wdrażania w tym dokumencie dotyczą tylko samej bramy aplikacji, a nie usług zaplecza, do których reguły bramy aplikacji są routingiem ruchu.

Wymagania wstępne

• Sprawdź, czy subskrypcja platformy Azure umożliwia tworzenie jednostek SKU usługi Application Gateway w regionie docelowym.

• Zaplanuj strategię relokacji, rozumiejąc wszystkie usługi wymagane dla usługi Application Gateway. W przypadku usług, które znajdują się w zakresie relokacji, należy wybrać odpowiednią strategię relokacji.

  • Upewnij się, że podsieć usługi Application Gateway w lokalizacji docelowej ma wystarczającą przestrzeń adresową, aby pomieścić liczbę wystąpień wymaganych do obsługi maksymalnego oczekiwanego ruchu.

• W przypadku wdrożenia usługi Application Gateway należy rozważyć i zaplanować konfigurację następujących zasobów podrzędnych:

  • Konfiguracja frontonu (publiczny/prywatny adres IP)
  • Zasoby puli zaplecza (np. maszyny wirtualne, zestawy skalowania maszyn wirtualnych, usługi aplikacja systemu Azure)
  • Private Link
  • Certyfikaty
  • Ustawienia diagnostyczne
  • Powiadomienia o alertach

• Upewnij się, że podsieć usługi Application Gateway w lokalizacji docelowej ma wystarczającą przestrzeń adresową, aby pomieścić liczbę wystąpień wymaganych do obsługi maksymalnego oczekiwanego ruchu.

Wdróż ponownie

Aby przenieść usługę Application Gateway i opcjonalną zaporę aplikacji internetowej, należy utworzyć oddzielne wdrożenie usługi Application Gateway z nowym publicznym adresem IP w lokalizacji docelowej. Obciążenia są następnie migrowane ze źródłowej konfiguracji usługi Application Gateway do nowej. Ponieważ zmieniasz publiczny adres IP, wymagane są również zmiany konfiguracji DNS, sieci wirtualnych i podsieci.

Jeśli chcesz przenieść się tylko w celu uzyskania obsługi stref dostępności, zobacz Migrowanie usługi Application Gateway i zapory aplikacji internetowej do obsługi stref dostępności.

Aby utworzyć oddzielną usługę Application Gateway, zaporę aplikacji internetowej (opcjonalnie) i adres IP:

1. Przejdź do portalu Azure Portal.

2. Jeśli używasz zakończenia protokołu TLS dla usługi Key Vault, postępuj zgodnie z procedurą relokacji dla usługi Key Vault. Upewnij się, że usługa Key Vault znajduje się w tej samej subskrypcji co przeniesiona usługa Application Gateway. Możesz utworzyć nowy certyfikat lub użyć istniejącego certyfikatu do przeniesienia usługi Application Gateway.

3. Przed przeniesieniem upewnij się, że sieć wirtualna zostanie przeniesiona. Aby dowiedzieć się, jak przenieść sieć wirtualną, zobacz Przenoszenie usługi Azure Virtual Network.

4. Przed przeniesieniem upewnij się, że serwer lub usługa puli zaplecza, na przykład maszyna wirtualna, zestawy skalowania maszyn wirtualnych, usługa PaaS, zostanie przeniesiona.

5. Utwórz usługę Application Gateway i skonfiguruj nowy publiczny adres IP frontonu dla sieci wirtualnej:

   • Bez zapory aplikacji internetowej: utwórz bramę aplikacji.
   • Za pomocą zapory aplikacji internetowej: tworzenie bramy aplikacji za pomocą zapory aplikacji internetowej

6. Jeśli masz konfigurację zapory aplikacji internetowej lub niestandardowe zasady zapory aplikacji internetowej tylko dla zasad zapory aplikacji internetowej, przejdź do pełnych zasad zapory aplikacji internetowej.

7. Jeśli używasz sieci o zerowym zaufaniu (regionie źródłowym) dla aplikacji internetowych z usługami Azure Firewall i Application Gateway, postępuj zgodnie z wytycznymi i strategiami w sieci zero zaufania dla aplikacji internetowych za pomocą usługi Azure Firewall i usługi Application Gateway.

8. Sprawdź, czy usługa Application Gateway i zapora aplikacji internetowej działają zgodnie z oczekiwaniami.

9. Przeprowadź migrację konfiguracji do nowego publicznego adresu IP.

   1. Przełącz publiczne i prywatne punkty końcowe, aby wskazać nową bramę aplikacji.
   2. Przeprowadź migrację konfiguracji DNS do nowego publicznego i/lub prywatnego adresu IP.
   3. Aktualizowanie punktów końcowych w aplikacjach/usługach konsumenckich. Aktualizacje aplikacji/usług konsumenckich są zwykle wykonywane za pomocą zmiany właściwości i ponownego wdrażania. Należy jednak wykonać tę metodę za każdym razem, gdy nowa nazwa hosta jest używana w odniesieniu do wdrożenia w starym regionie.

10. Usuń źródłowe zasoby usługi Application Gateway i zapory aplikacji internetowej.

Przenoszenie certyfikatów na potrzeby kończenia żądań protokołu TLS w warstwie Premium (Application Gateway w wersji 2)

Certyfikaty zakończenia protokołu TLS można dostarczyć na dwa sposoby:

• Przesłać. Podaj certyfikat TLS/SSL, przekazując go bezpośrednio do usługi Application Gateway.

• Dokumentacja usługi Key Vault. Podaj odwołanie do istniejącego certyfikatu usługi Key Vault podczas tworzenia odbiornika z obsługą protokołu HTTPS/TLS. Aby uzyskać więcej informacji na temat pobierania certyfikatu, zobacz Przenoszenie usługi Key Vault do innego regionu.

Ostrzeżenie

Obsługiwane są odwołania do usługi Key Vault w innych subskrypcjach platformy Azure, ale muszą być skonfigurowane za pomocą szablonu usługi ARM, programu Azure PowerShell, interfejsu wiersza polecenia, Bicep itp. Konfiguracja magazynu kluczy między subskrypcjami nie jest obsługiwana przez usługę Application Gateway za pośrednictwem witryny Azure Portal.

Postępuj zgodnie z udokumentowaną procedurą, aby włączyć zakończenie protokołu TLS z certyfikatami usługi Key Vault dla przeniesionej usługi Application Gateway.