Eseguire la migrazione di Frontdoor di Azure (versione classica) al livello Standard/Premium con Azure PowerShell

Articolo
10/15/2024

Importante

Frontdoor di Azure (classico) verrà ritirato il 31 marzo 2027. Per evitare interruzioni del servizio, è importante eseguire la migrazione dei profili di Frontdoor di Azure (classico) al livello Standard o Premium di Frontdoor di Azure entro marzo 2027. Per altre informazioni, vedere Ritiro di Frontdoor di Azure (classico).

I livelli Standard e Premium di Frontdoor di Azure offrono le funzionalità di rete per la distribuzione cloud più recenti in Azure. Con funzionalità di sicurezza avanzate e un servizio integrato, il contenuto dell'applicazione è protetto e più vicino agli utenti finali che usano la rete globale Microsoft. Questo articolo illustra il processo di migrazione di un profilo di Frontdoor di Azure (versione classica) a un profilo di livello Standard o Premium con Azure PowerShell.

Prerequisiti

Vedere l'articolo Informazioni sulla migrazione tra livelli di FrontDoor di Azure.
Verificare che sia possibile eseguire la migrazione del profilo di Frontdoor di Azure (versione classica):
- Frontdoor di Azure Standard e Premium richiedono che tutti i domini personalizzati usino HTTPS. Se non si ha un certificato personalizzato, è possibile usare un certificato gestito di Frontdoor di Azure. Il certificato è gratuito e viene gestito per l'utente.
- L'affinità di sessione viene abilitata nelle impostazioni del gruppo di origine per un profilo di Frontdoor di Azure Standard o Premium. In Frontdoor di Azure (versione classica), l'affinità di sessione viene impostata a livello di dominio. Nell'ambito della migrazione, l'affinità di sessione si basa sulle impostazioni del profilo di Frontdoor (versione classica). Se nel profilo della versione classica sono presenti due domini che condividono lo stesso pool back-end (gruppo di origine), l'affinità di sessione deve essere coerente tra entrambi i domini per consentire il passaggio della convalida di migrazione.
Il modulo Azure PowerShell più recente installato in locale o Azure Cloud Shell. Per altre informazioni, vedere Installare e configurare Azure PowerShell.

Nota

Prima o durante il processo di migrazione, non è necessario apportare alcuna modifica al DNS. Tuttavia, nel momento in cui la migrazione è completata e il traffico passa attraverso il nuovo profilo di Frontdoor di Azure, sarà necessario aggiornare i record DNS. Per altre informazioni, vedere Aggiornare record DNS.

Convalidare la compatibilità

Aprire Azure PowerShell e accedere al proprio account di Azure. Per altre informazioni, vedere Connettersi ad Azure PowerShell.
Testare il profilo di Frontdoor di Azure (versione classica) per verificare che sia compatibile per la migrazione. Per testare il profilo è possibile usare il comando Test-AzFrontDoorCdnProfileMigration. Sostituire i valori del nome del gruppo di risorse e dell'ID della risorsa con i propri valori. Usare Get-AzFrontDoor per ottenere l'ID della risorsa associato al profilo Frontdoor (versione classica) in uso.

Nel comando sostituire i valori seguenti:
- <subscriptionId>: l'ID sottoscrizione.
- <resourceGroupName>: nome del gruppo di risorse di Frontdoor di Azure (versione classica).
- <frontdoorClassicName>: nome del profilo di Frontdoor (versione classica).
```
Test-AzFrontDoorCdnProfileMigration -ResourceGroupName <resourceGroupName> -ClassicResourceReferenceId /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.Network/frontdoors/<frontdoorClassicName>
```
Se la migrazione è compatibile, viene visualizzato l'output seguente:
```
CanMigrate DefaultSku
---------- ----------
True       Standard_AzureFrontDoor or Premium_AzureFrontDoor
```
Se invece la migrazione non è compatibile, viene visualizzato l'output seguente:
```
CanMigrate DefaultSku
---------- ----------
False      
```

Preparare la migrazione

Nota

Il certificato gestito non è supportato attualmente per Frontdoor di Azure Standard o Premium nel cloud di Azure per enti pubblici. È necessario usare BYOC per Frontdoor di Azure Standard o Premium nel cloud di Azure per enti pubblici o attendere che questa funzionalità sia disponibile.

Eseguire il comando Start-AzFrontDoorCdnProfilePrepareMigration per prepararsi alla migrazione. Sostituire i valori del nome del gruppo di risorse, dell'ID della risorsa e del nome del profilo con i propri valori. Per SkuName usare Standard_AzureFrontDoor o Premium_AzureFrontDoor. Il valore del parametro SkuName si basa sull'output del comando Test-AzFrontDoorCdnProfileMigration.

Nel comando sostituire i valori seguenti:

<subscriptionId>: l'ID sottoscrizione.
<resourceGroupName>: nome del gruppo di risorse di Frontdoor di Azure (versione classica).
<frontdoorClassicName>: nome del profilo di Frontdoor (versione classica).

Start-AzFrontDoorCdnProfilePrepareMigration -ResourceGroupName <resourceGroupName> -ClassicResourceReferenceId /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.Network/frontdoors/<frontdoorClassicName> -ProfileName myAzureFrontDoor -SkuName Premium_AzureFrontDoor

L'output è simile al seguente:

Starting the parameter validation process.
The parameters have been successfully validated.
Your new Front Door profile is being created. Please wait until the process has finished completely. This may take several minutes.

Your new Front Door profile with the configuration has been successfully created.

Eseguire il comando Get-AzFrontDoorWafPolicy per ottenere l'ID della risorsa per i criteri WAF. Sostituire i valori del nome del gruppo di risorse e del nome dei criteri WAF con i propri valori.

Get-AzFrontDoorWafPolicy -ResourceGroupName myAFDResourceGroup -Name myClassicFrontDoorWAF

L'output è simile al seguente:

PolicyMode                    : Detection
PolicyEnabledState            : Enabled
RedirectUrl                   : 
CustomBlockResponseStatusCode : 403
CustomBlockResponseBody       : 
RequestBodyCheck              : Disabled
CustomRules                   : {}
ManagedRules                  : {Microsoft.Azure.Commands.FrontDoor.Models.PSAzureManagedRule}
Etag                          : 
ProvisioningState             : Succeeded
Sku                           : Classic_AzureFrontDoor
Tags                          : 
Id                            : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myClassicFrontDoorWAF
Name                          : myFrontDoorWAF
Type                          :

Eseguire il comando New-AzFrontDoorCdnMigrationWebApplicationFirewallMappingObject per creare un oggetto memoria per la migrazione dei criteri WAF. Nell'ultimo passaggio usare l'ID WAF per MigratedFromId. Per usare criteri WAF esistenti, sostituire il valore di MigratedToId con un ID della risorsa dei criteri WAF corrispondenti al livello di Frontdoor a cui si sta eseguendo la migrazione. Se si sta creando una nuova copia di criteri WAF, è possibile modificare il nome dei criteri WAF nell'ID della risorsa.
```
$wafMapping = New-AzFrontDoorCdnMigrationWebApplicationFirewallMappingObject -MigratedFromId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myClassicFrontDoorWAF -MigratedToId  /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myFrontDoorWAF
```

Nel comando sostituire i valori seguenti:

<subscriptionId>: l'ID sottoscrizione.
<resourceGroupName>: nome del gruppo di risorse di Frontdoor di Azure (versione classica).
<frontdoorClassicName>: nome del profilo di Frontdoor (versione classica).

Start-AzFrontDoorCdnProfilePrepareMigration -ResourceGroupName <resourceGroupName> -ClassicResourceReferenceId /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.Network/frontdoors/<frontdoorClassicName> -ProfileName myAzureFrontDoor -SkuName Premium_AzureFrontDoor -MigrationWebApplicationFirewallMapping $wafMapping

L'output è simile al seguente:

Starting the parameter validation process.
The parameters have been successfully validated.
Your new Front Door profile is being created. Please wait until the process has finished completely. This may take several minutes.

Your new Front Door profile with the configuration has been successfully created.

Se si sta eseguendo la migrazione di un profilo di Frontdoor con BYOC, è necessario abilitare l'identità gestita nel profilo di Frontdoor. È necessario concedere al profilo di Frontdoor l'accesso all'insieme di credenziali delle chiavi in cui è archiviato il certificato.

Assegnata dal sistema

Per IdentityType usare SystemAssigned.

Start-AzFrontDoorCdnProfilePrepareMigration -ResourceGroupName myAFDResourceGroup -ClassicResourceReferenceId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/Frontdoors/myAzureFrontDoorClassic -ProfileName myAzureFrontDoor -SkuName Premium_AzureFrontDoor -IdentityType SystemAssigned

Assegnata dall'utente

Eseguire il comando Get-AzUserAssignedIdentity per ottenere l'ID della risorsa per un'identità assegnata dall'utente.

$id = Get-AzUserAssignedIdentity -ResourceGroupName myResourceGroup -Name afduseridentity
$id.Id

L'output è simile al seguente:

/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity

Per IdentityType usare UserAssigned e per IdentityUserAssignedIdentity, usare l'ID della risorsa del passaggio precedente.

Nel comando sostituire i valori seguenti:

<subscriptionId>: l'ID sottoscrizione.
<resourceGroupName>: nome del gruppo di risorse di Frontdoor di Azure (versione classica).
<frontdoorClassicName>: nome del profilo di Frontdoor (versione classica).

Start-AzFrontDoorCdnProfilePrepareMigration -ResourceGroupName <resourceGroupName> -ClassicResourceReferenceId /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.Network/frontdoors/<frontdoorClassicName> -ProfileName myAzureFrontDoor -SkuName Premium_AzureFrontDoor -IdentityType UserAssigned -IdentityUserAssignedIdentity @{"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity" = @{}}

L'output è simile al seguente:

Starting the parameter validation process.
The parameters have been successfully validated.
Your new Front Door profile is being created. Please wait until the process has finished completely. This may take several minutes.

Your new Front Door profile with the configuration has been successfully created.

Questo esempio illustra come eseguire la migrazione di un profilo di Frontdoor con più criteri WAF e abilitare sia l'identità assegnata dal sistema che quella assegnata dall'utente.

Eseguire il comando Get-AzFrontDoorWafPolicy per ottenere l'ID della risorsa per i criteri WAF. Sostituire i valori del nome del gruppo di risorse e del nome dei criteri WAF con i propri valori.

Get-AzFrontDoorWafPolicy -ResourceGroupName myAFDResourceGroup -Name myClassicFrontDoorWAF

L'output è simile al seguente:

PolicyMode                    : Detection
PolicyEnabledState            : Enabled
RedirectUrl                   : 
CustomBlockResponseStatusCode : 403
CustomBlockResponseBody       : 
RequestBodyCheck              : Disabled
CustomRules                   : {}
ManagedRules                  : {Microsoft.Azure.Commands.FrontDoor.Models.PSAzureManagedRule}
Etag                          : 
ProvisioningState             : Succeeded
Sku                           : Classic_AzureFrontDoor
Tags                          : 
Id                            : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myClassicFrontDoorWAF
Name                          : myFrontDoorWAF
Type                          :

Eseguire il comando New-AzFrontDoorCdnMigrationWebApplicationFirewallMappingObject per creare un oggetto memoria per la migrazione dei criteri WAF. Nell'ultimo passaggio usare l'ID WAF per MigratedFromId. Per usare criteri WAF esistenti, sostituire il valore di MigratedToId con un ID della risorsa dei criteri WAF corrispondenti al livello di Frontdoor a cui si sta eseguendo la migrazione. Se si sta creando una nuova copia di criteri WAF, è possibile modificare il nome dei criteri WAF nell'ID della risorsa.

$wafMapping1 = New-AzFrontDoorCdnMigrationWebApplicationFirewallMappingObject -MigratedFromId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myClassicFrontDoorWAF1 -MigratedToId  /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myFrontDoorWAF1

$wafMapping2 = New-AzFrontDoorCdnMigrationWebApplicationFirewallMappingObject -MigratedFromId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myClassicFrontDoorWAF2 -MigratedToId  /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myFrontDoorWAF2

Specificare entrambi i tipi di identità gestita in una variabile.
```
$identityType = "SystemAssigned, UserAssigned"
```

Eseguire il comando Get-AzUserAssignedIdentity per ottenere l'ID della risorsa per un'identità assegnata dall'utente.

$id1 = Get-AzUserAssignedIdentity -ResourceGroupName myResourceGroup -Name afduseridentity1
$id1.Id
$id2 = Get-AzUserAssignedIdentity -ResourceGroupName myResourceGroup -Name afduseridentity2
$id2.Id

L'output è simile al seguente:

/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity1
/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity2

Specificare l'ID risorsa dell'identità assegnata dall'utente in una variabile.

$userInfo = @{
    "subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity1" = @{}}
    "subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity2" = @{}}
}

Eseguire il comando Start-AzFrontDoorCdnProfilePrepareMigration per prepararsi alla migrazione. Sostituire i valori del nome del gruppo di risorse, dell'ID della risorsa e del nome del profilo con i propri valori. Per SkuName usare Standard_AzureFrontDoor o Premium_AzureFrontDoor. Il valore del parametro SkuName si basa sull'output del comando Test-AzFrontDoorCdnProfileMigration. Il parametro MigrationWebApplicationFirewallMapping accetta una matrice di oggetti di migrazione dei criteri WAF. Il parametro IdentityType accetta un elenco delimitato da virgole di tipi di identità. Il parametro IdentityUserAssignedIdentity accetta una tabella hash degli ID risorsa dell'identità assegnata dall'utente.

Nel comando sostituire i valori seguenti:
- <subscriptionId>: l'ID sottoscrizione.
- <resourceGroupName>: nome del gruppo di risorse di Frontdoor di Azure (versione classica).
- <frontdoorClassicName>: nome del profilo di Frontdoor (versione classica).
```
Start-AzFrontDoorCdnProfilePrepareMigration -ResourceGroupName <resourceGroupName> -ClassicResourceReferenceId /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.Network/frontdoors/<frontdoorClassicName> -ProfileName myAzureFrontDoor -SkuName Premium_AzureFrontDoor -MigrationWebApplicationFirewallMapping @($wafMapping1, $wafMapping2) -IdentityType $identityType -IdentityUserAssignedIdentity $userInfo
```
L'output è simile al seguente:
```
Starting the parameter validation process.
The parameters have been successfully validated.
Your new Front Door profile is being created. Please wait until the process has finished completely. This may take several minutes.

Your new Front Door profile with the configuration has been successfully created.
```

Eseguire il comando Enable-AzFrontDoorCdnProfileMigration per eseguire la migrazione di Frontdoor (versione classica).

Enable-AzFrontDoorCdnProfileMigration -ProfileName myAzureFrontDoor -ResourceGroupName myAFDResourceGroup

L'output è simile al seguente:

Start to migrate.
This process will disable your Front Door (classic) profile and move all your traffic and configurations to the new Front Door profile.
Migrate succeeded.

Eseguire il comando Stop-AzFrontDoorCdnProfileMigration per interrompere il processo di migrazione.

Stop-AzFrontDoorCdnProfileMigration -ProfileName myAzureFrontDoor -ResourceGroupName myAFDResourceGroup

L'output è simile al seguente:

Start to abort the migration.
Your new Front Door Profile will be deleted and your existing profile will remain active. WAF policies will not be deleted.
Please wait until the process has finished completely. This may take several minutes.
Abort succeeded.

Aggiornare record DNS

L'istanza precedente di Frontdoor di Azure (versione classica) usava un nome di dominio completo (FQDN) diverso rispetto a un'istanza di Frontdoor di Azure di livello Standard o Premium. Un endpoint di Frontdoor di Azure (versione classica), ad esempio, potrebbe essere contoso.azurefd.net, mentre l'endpoint di Frontdoor di Azure Standard o Premium potrebbe essere contoso-mdjf2jfgjf82mnzx.z01.azurefd.net. Per altre informazioni sugli endpoint di Frontdoor di Azure Standard e Premium, vedere Endpoint in Frontdoor di Azure.

Prima o durante il processo di migrazione, non è necessario aggiornare i record DNS. Frontdoor di Azure invia automaticamente il traffico ricevuto sull'endpoint di Frontdoor di Azure (versione classica) al profilo Frontdoor di Azure Standard o Premium senza dover apportare modifiche di configurazione.

Tuttavia, al termine della migrazione, è consigliabile aggiornare i record DNS in modo da indirizzare il traffico verso il nuovo endpoint di Frontdoor di Azure Standard o Premium. La modifica dei record DNS garantisce che il profilo continui a funzionare anche in futuro e non provoca tempi di inattività. Non è necessario pianificare in anticipo l'esecuzione di questo aggiornamento, che può essere programmato in base alle necessità.

Passaggi successivi

Informazioni sulle impostazioni di mapping tra i livelli di Frontdoor.
Altre informazioni sul processo di migrazione dei livelli di Frontdoor di Azure .

Condividi tramite

Eseguire la migrazione di Frontdoor di Azure (versione classica) al livello Standard/Premium con Azure PowerShell

Prerequisiti

Convalidare la compatibilità

Preparare la migrazione

Assegnata dal sistema

Assegnata dall'utente

Migrazione

Aggiornare record DNS

Passaggi successivi

Commenti e suggerimenti

Risorse aggiuntive