Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Существуют различные причины, по которым может потребоваться переместить существующие ресурсы Azure из одного региона в другой. Возможно, вам потребуется:
- Воспользуйтесь новым регионом Azure.
- Развертывание функций или служб, доступных только в определенных регионах.
- Отвечайте требованиям к внутренней политике и управлению.
- Согласование со слияниями и приобретениями компаниями
- Соответствуйте требованиям к планированию мощностей.
В этой статье рассматриваются рекомендуемые подходы и руководства по перемещению Шлюза приложений и WAF между регионами Azure.
Это важно
Шаги повторного развертывания в этом документе применяются только к самому шлюзу приложений, а не к службам серверной части, на которые направляются правила маршрутизации трафика шлюза приложений.
Предпосылки
Убедитесь, что ваша подписка Azure позволяет создавать SKU Application Gateway в целевом регионе.
Запланируйте стратегию перемещения с пониманием всех служб, необходимых для Шлюз приложений. Для служб, подлежащих перемещению, необходимо выбрать соответствующую стратегию перемещения.
- Убедитесь, что в целевом расположении Шлюз приложений подсеть достаточно адресного пространства для размещения количества экземпляров, необходимых для обслуживания максимального ожидаемого трафика.
Для развертывания шлюза приложений необходимо рассмотреть и запланировать настройку следующих подресурсов:
- Конфигурация внешнего интерфейса (общедоступный или частный IP-адрес)
- Ресурсы пула серверной части (например, виртуальные машины, масштабируемые наборы виртуальных машин, службы приложений Azure)
- Приватная ссылка
- Сертификаты
- Параметры диагностики
- Оповещения
Убедитесь, что в целевом расположении Шлюз приложений подсеть достаточно адресного пространства для размещения количества экземпляров, необходимых для обслуживания максимального ожидаемого трафика.
Повторное развертывание
Чтобы переместить Шлюз приложений и необязательный компонент WAF, необходимо создать развертывание отдельного Шлюза приложений с новым общедоступным IP-адресом в месте назначения. Затем рабочие нагрузки переносятся из исходного Шлюз приложений установки в новую. Так как вы изменяете общедоступный IP-адрес, также требуются изменения конфигурации DNS, виртуальных сетей и подсетей.
Если вы хотите переехать только для получения поддержки зон доступности, см. статью "Миграция шлюза приложений и WAF на поддержку зон доступности".
Чтобы создать отдельный шлюз приложений, WAF (необязательно) и IP-адрес:
Перейдите на портал Azure.
Если вы используете завершение TLS для Key Vault, выполните процедуру перемещений для Key Vault. Убедитесь, что Хранилище ключей находится в той же подписке, что и перемещаемый маршрутизатор приложений. Вы можете создать сертификат или использовать существующий сертификат для перемещенного Шлюз приложений.
Убедитесь, что виртуальная сеть перемещена перед перемещением. Сведения о перемещении виртуальной сети см. в статье "Перемещение Azure виртуальная сеть".
Убедитесь, что сервер внутреннего пула или служба, например виртуальная машина, Масштабируемые наборы виртуальных машин, PaaS, перемещается перед перемещением.
Создайте Шлюз приложений и настройте новый общедоступный IP-адрес внешнего интерфейса для виртуальной сети:
- Без WAF: создание шлюза приложений.
- С помощью WAF : создайте шлюз приложений с брандмауэром веб-приложения.
Если у вас есть конфигурация WAF или политика WAF, состоящая только из настраиваемых правил, переключите ее на полноценную политику WAF.
Если вы используете сеть нулевого доверия (исходный регион) для веб-приложений с Брандмауэр Azure и Шлюз приложений, следуйте рекомендациям и стратегиям в сети нулевого доверия для веб-приложений с Брандмауэр Azure и Шлюз приложений.
Убедитесь, что Шлюз приложений и WAF работают должным образом.
Перенесите конфигурацию на новый общедоступный IP-адрес.
- Переключите общедоступные и частные конечные точки, чтобы указать новый шлюз приложений.
- Перенесите конфигурацию DNS на новый общедоступный и/или частный IP-адрес.
- Обновите конечные точки в потребительских приложениях и службах. Обновления приложений и служб потребителей выполняются с изменением свойств и развертыванием. Однако выполните этот метод всякий раз, когда новое имя хоста используется в связи с развертыванием в старом регионе.
Удалите исходные ресурсы Шлюза приложений и WAF.
Перемещение сертификатов для завершения TLS класса Premium (Шлюз приложений версии 2)
Сертификаты для завершения TLS можно предоставить двумя способами:
- Загрузка Предоставьте TLS/SSL-сертификат, отправив его непосредственно в Шлюз приложений.
- Справочник по Key Vault. Укажите ссылку на существующий сертификат Key Vault при создании прослушивателя с поддержкой HTTPS/TLS. Дополнительные сведения о скачивании сертификата см. в статье "Перемещение Key Vault в другой регион".
Предупреждение
Ссылки на Key Vault в других подписках Azure поддерживаются, но их необходимо настроить с помощью шаблона ARM, Azure PowerShell, CLI, Bicep и т. д. Конфигурация хранилища ключей между подписками не поддерживается шлюзом приложений через портал Azure.
Выполните документированную процедуру, чтобы включить завершение TLS с сертификатами Key Vault для перемещённого Шлюза приложений.