Dela via

Flytta Azure Application Gateway och brandväggen för webbprogram (WAF) till en annan region

  • Artikel

Det finns olika orsaker till varför du kanske vill flytta dina befintliga Azure-resurser från en region till en annan. Du kanske vill:

  • Dra nytta av en ny Azure-region.
  • Distribuera endast funktioner eller tjänster som är tillgängliga i specifika regioner.
  • Uppfylla interna policy- och styrningskrav.
  • Justera med företagsfusioner och förvärv
  • Uppfylla kapacitetsplaneringskraven.

Den här artikeln beskriver den rekommenderade metoden, riktlinjerna och metoderna för att flytta Application Gateway och WAF mellan Azure-regioner.

Viktigt!

Omdistributionsstegen i det här dokumentet gäller endast för själva programgatewayen och inte de serverdelstjänster som programgatewayreglerna dirigerar trafik till.

Förutsättningar

  • Kontrollera att azure-prenumerationen gör att du kan skapa Application Gateway-SKU:er i målregionen.

  • Planera din omlokaliseringsstrategi med en förståelse för alla tjänster som krävs för din Application Gateway. För de tjänster som omfattas av omlokaliseringen måste du välja lämplig omlokaliseringsstrategi.

    • Se till att Application Gateway-undernätet på målplatsen har tillräckligt med adressutrymme för att hantera det antal instanser som krävs för att hantera din maximala förväntade trafik.

  • För Application Gateway-distributionen måste du överväga och planera konfigurationen av följande underresurser:

    • Klientdelskonfiguration (offentlig/privat IP)
    • Resurser för serverdelspooler (till exempel virtuella datorer, VM-skalningsuppsättningar, Azure App Services)
    • Private Link
    • Certifikat
    • Diagnostikinställningar
    • Aviseringsaviseringar

  • Se till att Application Gateway-undernätet på målplatsen har tillräckligt med adressutrymme för att hantera det antal instanser som krävs för att hantera din maximala förväntade trafik.

Omdistribuera

Om du vill flytta Application Gateway och valfri WAF måste du skapa en separat Application Gateway-distribution med en ny offentlig IP-adress på målplatsen. Arbetsbelastningar migreras sedan från application gateway-källkonfigurationen till den nya. Eftersom du ändrar den offentliga IP-adressen krävs även ändringar i DNS-konfigurationen, virtuella nätverk och undernät.

Om du bara vill flytta för att få stöd för tillgänglighetszoner kan du läsa Migrera Application Gateway och WAF till stöd för tillgänglighetszoner.

Så här skapar du en separat Application Gateway, WAF (valfritt) och IP-adress:

  1. Gå till Azure-portalen.

  2. Om du använder TLS-avslutning för Key Vault följer du omlokaliseringsproceduren för Key Vault. Kontrollera att Key Vault finns i samma prenumeration som den flyttade Application Gateway. Du kan skapa ett nytt certifikat eller använda det befintliga certifikatet för att flytta Application Gateway.

  3. Bekräfta att det virtuella nätverket flyttas innan du flyttar. Information om hur du flyttar ditt virtuella nätverk finns i Flytta Azure Virtual Network.

  4. Kontrollera att serverdelspoolservern eller tjänsten, till exempel VM, Vm Scale Sets, PaaS, flyttas innan du flyttar.

  5. Skapa en Application Gateway och konfigurera en ny offentlig IP-adress för klientdelen för det virtuella nätverket:

  6. Om du har en WAF-konfiguration eller en anpassad WAF-princip för regler övergår du den till en fullständig WAF-princip.

  7. Om du använder ett nätverk med noll förtroende (källregion) för webbprogram med Azure Firewall och Application Gateway följer du riktlinjerna och strategierna i Nollförtroendenätverk för webbprogram med Azure Firewall och Application Gateway.

  8. Kontrollera att Application Gateway och WAF fungerar som avsett.

  9. Migrera konfigurationen till den nya offentliga IP-adressen.

    1. Växla offentliga och privata slutpunkter för att peka på den nya programgatewayen.
    2. Migrera DNS-konfigurationen till den nya offentliga och/eller privata IP-adressen.
    3. Uppdatera slutpunkter i konsumentprogram/-tjänster. Uppdateringar av konsumentprogram/tjänster görs vanligtvis med hjälp av en ändring och omdistribution av egenskaper. Utför dock den här metoden när ett nytt värdnamn används för distribution i den gamla regionen.

  10. Ta bort application gateway- och WAF-källresurserna.

Flytta certifikat för Premium TLS-avslutning (Application Gateway v2)

Certifikaten för TLS-avslutning kan anges på två sätt:

  • Ladda upp. Ange ett TLS/SSL-certifikat genom att ladda upp det direkt till din Application Gateway.

  • Key Vault-referens. Ange en referens till ett befintligt Key Vault-certifikat när du skapar en HTTPS/TLS-aktiverad lyssnare. Mer information om hur du laddar ned ett certifikat finns i Flytta Key Vault till en annan region.

Varning

Referenser till Key Vaults i andra Azure-prenumerationer stöds, men måste konfigureras via ARM-mall, Azure PowerShell, CLI, Bicep osv. Konfiguration av nyckelvalv mellan prenumerationer stöds inte av Application Gateway via Azure-portalen.

Följ den dokumenterade proceduren för att aktivera TLS-avslutning med Key Vault-certifikat för din omlokaliserade Application Gateway.