關於自 Microsoft 的 Azure CDN (傳統) 移轉至 Azure Front Door 移轉
重要
Azure CDN Standard from Microsoft (classic) 將於 2027 年 9 月 30 日淘汰。 為了避免任何服務中斷,請務必在 2027 年 9 月 30 日之前,移轉您的 Azure CDN Standard from Microsoft (classic) 設定檔至 Azure Front Door Standard 或 Premium 層。 如需詳細資訊,請參閱 Azure CDN Standard from Microsoft (classic) 淘汰。
Azure Front Door 標準層和進階層在 2022 年 3 月發行,做為新一代的內容傳遞網路服務。 較新的層結合 Azure Front Door (傳統)、Microsoft CDN (傳統),以及 Web 應用程式防火牆 (WAF) 的功能。 使用 Private Link 整合、增強的規則引擎和進階診斷等功能,您可以保護及加速您的 Web 應用程式,為客戶帶來更好的體驗。
建議您將傳統設定檔移轉至其中一個較新的階層,以受益於新功能和改善。 為了讓您能夠輕鬆移至新的階層,Azure Front Door 提供了零停機移轉,以將您的工作負載從 Azure Front Door (傳統) 移至標準層或進階層。
在本文中,您將學習到移轉程序、了解涉及的重大變更,以及移轉期間和之後要執行的動作。
移轉處理序概觀
根據您是否使用憑證而定,Azure Front Door 的標準層或進階層移轉會在三個或五個階段中發生。 移轉所需的時間取決於來自 Microsoft 的 Azure CDN (傳統) 設定檔的複雜度。 簡單 Azure CDN 設定檔的移轉預期只需要幾分鐘的時間,而具有多個網域、後端集區、路由傳送規則和規則引擎規則的設定檔則預期需要較長的時間。
移轉階段
驗證相容性
移轉工具會檢查來自 Microsoft 的 Azure CDN (傳統) 設定檔是否與移轉相容。 如果驗證失敗,系統會提供有關如何解決問題才能再次驗證的建議。
Azure Front Door 標準層和進階層會要求所有自訂網域使用 HTTPS。 如果您沒有自己的憑證,則可以使用來自 Microsoft 的 Azure CDN 受控憑證。 此憑證可免費使用,並由系統為您管理。
來自 Microsoft 的 Azure CDN (傳統) 與 Azure Front Door 標準或進階端點具有一對一對應。 無法移轉處於「已停止」狀態的 Microsoft 的 CDN (傳統)。 您需要啟動或刪除端點,才能再次驗證。
適用於來自 Microsoft 的 Azure CDN 的 Web 應用程式防火牆 (WAF) 僅處於預覽狀態。 如果您有與來自 Microsoft 的 Azure CDN (傳統) 設定檔相關聯的 WAF 原則,則需要先移除關聯,才能再次驗證。 移轉之後,您可以在 Azure Front Door 標準或進階中建立新的 WAF 原則。
注意
在 Azure Government Cloud 中,Azure Front Door 標準或進階層目前「不支援」受控憑證。 您需要針對 Azure Government Cloud 中的 Azure Front Door 標準或進階層使用自備憑證 (BYOC),或等到支援受控憑證為止。
為移轉做準備
您可以根據業務需求來選取 [標準] 或 [進階]。 建議選取 [進階] 層,以利用進階安全性功能。 其中包括受控 WAF 規則、增強型規則引擎、Bot 保護和私人連結整合。
注意
- 如果您的來自 Microsoft 的 Azure CDN (傳統) 設定檔可以符合移轉至 [標準] 層的資格,但資源數目超過 [標準] 層配額限制,則會改為移轉至 [進階] 層。
- 在移轉後,標準層 Front Door 設定檔可以升級為進階層。 不過,在移轉後,進階層 Front Door 設定檔無法降級為標準層。
重要
起始準備階段之後,就無法再變更來自 Microsoft 的 Azure CDN (傳統) 設定。
啟用受控識別
在此步驟期間,如果您尚未針對來自 Microsoft 的 Azure CDN (傳統) 設定檔設定受控識別,則可以設定 Azure Front Door 的受控識別,以存取 Azure Key Vault 中的憑證。 受控識別在 Azure Front Door 中會相同,因為它們使用相同的資源提供者。 如果您要使用 BYOC (自備憑證),則需要受控識別。 如果您使用 Azure Front Door 受控憑證,則不必授與 Key Vault 存取權。
向 Key Vault 授與受控識別
此步驟會向來自 Microsoft 的 Azure CDN (傳統) 設定檔中所使用的所有 Azure Key Vault 新增受控識別存取權。
移轉
移轉開始之後,來自 Microsoft 的 Azure CDN (傳統) 設定檔會升級至 Azure Front Door。 移轉之後,您將無法在 Azure 入口網站中檢視來自 Microsoft 的 Azure CDN (傳統) 設定檔。
如果您決定不再繼續進行移轉程序,則可以選取 [中止移轉]。 中止移轉會刪除已建立的新 Azure Front Door 設定檔。 來自 Microsoft 的 Azure CDN (傳統) 設定檔會保持啟用,而且您可以繼續予以使用。 所有 WAF 原則複本則必須手動刪除。
移轉完成後,Azure Front Door 標準層或進階層的服務會開始計費。
移轉至標準層或進階層時的中斷性變更
Dev-ops
移轉 Azure Front Door 設定檔之後,您需要將 Dev-ops 指令碼變更為使用新的 API、已更新的 Azure PowerShell 模組、CLI 命令和 API。
具有雜湊值的端點
系統會產生 Azure Front Door 標準和進階端點,以包含雜湊值,以防止您的網域遭受接管。 端點名稱的格式為 <endpointname>-<hashvalue>.z01.azurefd.net。 Front Door (傳統) 端點名稱會在移轉後繼續運作,但建議您將其取代為新標準層或進階層設定檔中新建立的端點名稱。 如需詳細資訊,請參閱端點網域名稱。 如果您要在應用程式碼中使用 Azure CDN 端點,則建議使用自訂網域名稱來進行更新。
記錄、計量、核心分析
診斷記錄和計量不會移轉。 Azure Front Door 標準和進階記錄欄位會與來自 Microsoft 的 Azure CDN (傳統) 不同。 標準層和進階層具有健全狀態探查記錄,建議您在移轉後啟用診斷記錄。
Azure Front Door 標準或進階層不支援核心分析。 而是會提供內建報表,並在移轉完成之後開始顯示資料。 如需詳細資訊,請參閱 Azure Front Door 報告。
資源狀態
下表說明移轉程序的各種階段,以及是否可以對設定檔進行變更。
| 移轉狀態 | Microsoft 的 CDN (傳統) 資源狀態 | 是否可以進行變更? | Front Door 標準/進階 | 是否可以進行變更? |
|---|---|---|---|---|
| 移轉前 | 使用中 | 是 | N/A | N/A |
| 驗證相容性 | 使用中 | 是 | N/A | N/A |
| 為移轉做準備 | 移轉 | No | No | |
| 認可移轉 | CommittingMigration | No | ||
| 已認可移轉 | 使用中 | Yes | ||
| 中止移轉 | AbortingMigration | No | ||
| 已中止移轉 | 使用中 | Yes |
移轉後的資源對應
當您將來自 Microsoft 的 Azure CDN (傳統) 移轉至 Azure Front Door 標準或進階時,會發現某些設定已變更或重新定位以提供更好的體驗,來協助管理 Azure Front Door 設定檔。 在本節中,您會了解如何在 Azure Front Door 中對應 Azure CDN 資源。 移轉之後,Azure Front Door 資源識別碼不會變更。
| 資源 | CDN 或 AFD | 移轉後的資源對應 |
|---|---|---|
| 端點 | 兩者 | 來自 Microsoft 的 Azure CDN (傳統) 與 Azure Front Door 標準/進階端點具有一對一對應。 來自 Microsoft 的 Azure CDN (傳統) 端點必須處於已啟動狀態,或必須將其移除。 |
| 路由和路由狀態 | AFD | 來自 Microsoft 的 Azure CDN (傳統) 中沒有路由概念。 移轉之後,會使用所有 CDN 資源以在 Azure Front Door 標準和進階中建立預設路由。 路由處於「已啟用」狀態,而且名稱格式為已移除連字號的 endpointName。 例如,名為 contoso-1.azureedge.net 的端點具有路由名稱 contoso1。 |
| 強制執行憑證名稱檢查 | AFD | Microsoft CDN 中已停用強制憑證名稱檢查,但預設會在 Azure Front Door 標準/進階中予以啟用。 其在移轉之後將會繼續停用,以避免造成重大變更。 建議在 Azure Front Door 中於移轉後啟用檢查。 |
| 原點和原點群組 | 兩者 | 1.針對具有單一原點且沒有原點群組的 CDN 資源,會針對名稱為 defaultOriginGroup_EndpointName 的原點建立預設原點群組。 2.針對多重原點 CDN,如果原點與多個原點群組相關聯,則移轉之後,將會在所有原點群組中建立這些原點。 3.針對其他所有項目,原點和原點群組名稱會維持不變。 4.如果 CDN 設定檔具有未與任何運作 CDN 端點相關聯的原點,則會為其建立預設原點群組,但未與任何路由相關聯。 |
| 原點回應逾時 | AFD | 在來自 Microsoft 的 Azure CDN (傳統) 中,目前的預設回應逾時是 30 秒。 移轉之後,此值將會維持不變,但可以進行修改。 |
| 轉送通訊協定 (僅限比對通訊協定) | 兩者 | 如果同時選取 HTTP 和 HTTPS,則 Azure Front Door 會比對傳入要求。 |
| 規則集名稱 | AFD | Microsoft CDN 中沒有規則集概念。 移轉之後,所有規則都將會分組為名稱格式為 endpointprefixMigratedRule 的單一規則集。 例如,端點 contoso.azureedge.net,規則集名稱為 contosoMigratedRuleSet |
| 快取功能 | 兩者 | 快取一律會設定為啟用並對應至來自 Microsoft 的 Azure CDN (傳統) 中的快取和壓縮設定。 針對 BypassCachingforQueryString,在移轉之後,將會建立名稱為 bypassCachingforQueryStringMigrated 的規則集。 如果傳統端點具有其他規則,則會將其分組至與 bypassCachingforQueryStringMigrated 規則相同的規則集。 IF "Query String" GreaterThan 0 THEN "Route Configuration Overrid" -> "Override origin group" No -> "Caching" Disabled |
| 工作階段親和性 | 兩者 | 除非已設定,否則在 Azure CDN 中預設會予以停用,而且會在移轉之後予以停用。 您可以在 Azure Front Door 中啟用此設定。 |
| 全域規則引擎規則 | CDN | 在來自 Microsoft 的 Azure CDN (傳統) 中,具有全域規則引擎規則。 移轉之後,會將其建立為沒有任何條件的規則集,並且與針對傳統端點所建立的路由相關聯。 |
| 地區篩選 | CDN | 移轉之後,將會建立具有您所選擇的對應 SKU 和自訂 WAF 規則的 WAF 原則,以對應地區篩選規則,並與對應的路由相關聯。 |
| 相關聯的 WAF 原則 | 適用於來自 Microsoft 的 Azure CDN (傳統) 的 Web 應用程式防火牆處於預覽狀態。 針對具有預覽 WAF 原則的 CDN 資源,將需要在移轉之後重新建立這些原則。 | |
| 自訂網域 | 本節使用 www.contoso.com 作為範例,以顯示正在進行移轉的網域發生什麼情況。 自訂網域 www.contoso.com 指向來自 Microsoft 的 Azure CDN (傳統) 中的 contoso.azureedge.net 以作為 CNAME 記錄。 www.contoso.com 移至新的 Azure Front Door 設定檔時:- 自訂網域的關聯會將新的 Front Door 端點顯示為 contoso-<hashvalue>.z01.azurefd.net。 請注意,z01 可以是任何具有英文字母和兩個數字的值。 自訂網域的 CNAME 會自動指向後端中具有雜湊值的新端點名稱。 此時,您可以將具有 DNS 提供者的 CNAME 記錄變更為具有雜湊值的新端點名稱。 - 在 [網域] 頁面的 [已移轉網域] 索引標籤下方,傳統端點 contoso.azureedge.net 會顯示為已移轉 Azure Front Door 設定檔中的自訂網域。 此網域會與預設已移轉路由相關聯。 只有在網域解除與此預設路由的關聯後,才能移除該路由。 網域屬性無法更新,但從路由建立關聯和移除關聯時除外。 只有在您將 CNAME 變更為新的端點名稱之後,才能刪除網域。 - www.contoso.com 的憑證狀態和 DNS 狀態與來自 Microsoft 的 Azure CDN (傳統) 設定檔相同。 受控憑證自動輪替設定沒有任何變更。 |
下一步
- 了解如何使用 Azure 入口網站以從來自 Microsoft 的 Azure CDN (傳統) 移轉至 Azure Front Door。