Migrowanie usługi Azure Front Door (wersja klasyczna) do warstwy Standardowa/Premium przy użyciu programu Azure PowerShell

Artykuł
10/15/2024

Ważne

Usługa Azure Front Door (klasyczna) zostanie wycofana 31 marca 2027 r. Aby uniknąć zakłóceń w działaniu usługi, należy przeprowadzić migrację profilów usługi Azure Front Door (wersja klasyczna) do warstwy Azure Front Door Standard lub Premium do marca 2027 r. Aby uzyskać więcej informacji, zobacz Wycofywanie usługi Azure Front Door (wersja klasyczna).

Usługa Azure Front Door w warstwie Standardowa i Premium udostępnia najnowsze funkcje sieci dostarczania w chmurze na platformę Azure. Dzięki ulepszonym funkcjom zabezpieczeń i usłudze typu "wszystko w jednym" zawartość aplikacji jest zabezpieczona i bliżej użytkowników końcowych przy użyciu globalnej sieci firmy Microsoft. Ten artykuł przeprowadzi Cię przez proces migracji w celu przeniesienia profilu usługi Azure Front Door (klasycznego) do profilu warstwy Standardowa lub Premium przy użyciu programu Azure PowerShell.

Wymagania wstępne

Zapoznaj się z artykułem About Front Door tier migration (Informacje o migracji warstwy usługi Front Door).
Upewnij się, że profil usługi Front Door (klasyczny) można migrować:
- Usługi Azure Front Door Standard i Premium wymagają, aby wszystkie domeny niestandardowe używały protokołu HTTPS. Jeśli nie masz własnego certyfikatu, możesz użyć certyfikatu zarządzanego usługi Azure Front Door. Certyfikat jest bezpłatny i jest zarządzany za Ciebie.
- Koligacja sesji jest włączana w ustawieniach grupy źródeł dla profilu usługi Azure Front Door Standard lub Premium. W usłudze Azure Front Door (wersja klasyczna) koligacja sesji jest ustawiana na poziomie domeny. W ramach migracji koligacja sesji jest oparta na ustawieniach profilu usługi Front Door (wersja klasyczna). Jeśli masz dwie domeny w profilu klasycznym, które współudzielą tę samą pulę zaplecza (grupę pochodzenia), koligacja sesji musi być spójna w obu domenach, aby weryfikacja migracji została przekazana.
Najnowszy moduł programu Azure PowerShell zainstalowany lokalnie lub w usłudze Azure Cloud Shell. Aby uzyskać więcej informacji, zobacz Instalowanie i konfigurowanie programu Azure PowerShell.

Uwaga

Nie musisz wprowadzać żadnych zmian DNS przed ani podczas procesu migracji. Jednak po zakończeniu migracji i przepływ ruchu przez nowy profil usługi Azure Front Door należy zaktualizować rekordy DNS. Aby uzyskać więcej informacji, zobacz Aktualizowanie rekordów DNS.

Weryfikowanie zgodności

Otwórz program Azure PowerShell i połącz się z kontem platformy Azure. Aby uzyskać więcej informacji, zobacz Nawiązywanie połączenia z programem Azure PowerShell.
Przetestuj profil usługi Azure Front Door (wersja klasyczna), aby sprawdzić, czy jest on zgodny z migracją. Aby przetestować swój profil, możesz użyć polecenia Test-AzFrontDoorCdnProfileMigration . Zastąp wartości nazwy grupy zasobów i identyfikatorem zasobu własnymi wartościami. Użyj polecenia Get-AzFrontDoor , aby uzyskać identyfikator zasobu dla profilu usługi Front Door (wersja klasyczna).

Zastąp następujące wartości w poleceniu:
- <subscriptionId>: Identyfikator subskrypcji.
- <resourceGroupName>: nazwa grupy zasobów usługi Front Door (wersja klasyczna).
- <frontdoorClassicName>: nazwa profilu usługi Front Door (wersja klasyczna).
```
Test-AzFrontDoorCdnProfileMigration -ResourceGroupName <resourceGroupName> -ClassicResourceReferenceId /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.Network/frontdoors/<frontdoorClassicName>
```
Jeśli migracja jest zgodna z migracją, zobaczysz następujące dane wyjściowe:
```
CanMigrate DefaultSku
---------- ----------
True       Standard_AzureFrontDoor or Premium_AzureFrontDoor
```
Jeśli migracja nie jest zgodna, zobaczysz następujące dane wyjściowe:
```
CanMigrate DefaultSku
---------- ----------
False      
```

Przygotowanie do migracji

Uwaga

Certyfikat zarządzany nie jest obecnie obsługiwany w przypadku usługi Azure Front Door Standard ani Premium w chmurze Azure Government. Musisz użyć byOC dla usługi Azure Front Door Standard lub Premium w chmurze Azure Government Lub poczekać, aż ta funkcja będzie dostępna.

Uruchom polecenie Start-AzFrontDoorCdnProfilePrepareMigration, aby przygotować się do migracji. Zastąp wartości nazwy grupy zasobów, identyfikatora zasobu, nazwy profilu własnymi wartościami. W przypadku jednostki SkuName użyj Standard_AzureFrontDoor lub Premium_AzureFrontDoor. Jednostka SkuName jest oparta na danych wyjściowych polecenia Test-AzFrontDoorCdnProfileMigration .

Zastąp następujące wartości w poleceniu:

<subscriptionId>: Identyfikator subskrypcji.
<resourceGroupName>: nazwa grupy zasobów usługi Front Door (wersja klasyczna).
<frontdoorClassicName>: nazwa profilu usługi Front Door (wersja klasyczna).

Start-AzFrontDoorCdnProfilePrepareMigration -ResourceGroupName <resourceGroupName> -ClassicResourceReferenceId /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.Network/frontdoors/<frontdoorClassicName> -ProfileName myAzureFrontDoor -SkuName Premium_AzureFrontDoor

Dane wyjściowe wyglądają podobnie do następujących:

Starting the parameter validation process.
The parameters have been successfully validated.
Your new Front Door profile is being created. Please wait until the process has finished completely. This may take several minutes.

Your new Front Door profile with the configuration has been successfully created.

Uruchom polecenie Get-AzFrontDoorWafPolicy, aby uzyskać identyfikator zasobu dla zasad zapory aplikacji internetowej. Zastąp wartości nazwa grupy zasobów i nazwa zasad zapory aplikacji internetowej własnymi wartościami.

Get-AzFrontDoorWafPolicy -ResourceGroupName myAFDResourceGroup -Name myClassicFrontDoorWAF

Dane wyjściowe wyglądają podobnie do następujących:

PolicyMode                    : Detection
PolicyEnabledState            : Enabled
RedirectUrl                   : 
CustomBlockResponseStatusCode : 403
CustomBlockResponseBody       : 
RequestBodyCheck              : Disabled
CustomRules                   : {}
ManagedRules                  : {Microsoft.Azure.Commands.FrontDoor.Models.PSAzureManagedRule}
Etag                          : 
ProvisioningState             : Succeeded
Sku                           : Classic_AzureFrontDoor
Tags                          : 
Id                            : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myClassicFrontDoorWAF
Name                          : myFrontDoorWAF
Type                          :

Uruchom polecenie New-AzFrontDoorCdnMigrationWebApplicationFirewallMappingObject, aby utworzyć obiekt w pamięci na potrzeby migracji zasad zapory aplikacji internetowej. Użyj identyfikatora zapory aplikacji internetowej w ostatnim kroku dla elementu MigratedFromId. Aby użyć istniejących zasad zapory aplikacji internetowej, zastąp wartość MigratedToId parametru identyfikatorem zasobu zasad zapory aplikacji internetowej zgodnym z warstwą usługi Front Door, do której migrujesz. Jeśli tworzysz nową kopię zasad zapory aplikacji internetowej, możesz zmienić nazwę zasad zapory aplikacji internetowej w identyfikatorze zasobu.
```
$wafMapping = New-AzFrontDoorCdnMigrationWebApplicationFirewallMappingObject -MigratedFromId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myClassicFrontDoorWAF -MigratedToId  /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myFrontDoorWAF
```
Uruchom polecenie Start-AzFrontDoorCdnProfilePrepareMigration, aby przygotować się do migracji. Zastąp wartości nazwy grupy zasobów, identyfikatora zasobu, nazwy profilu własnymi wartościami. W przypadku jednostki SkuName użyj Standard_AzureFrontDoor lub Premium_AzureFrontDoor. Jednostka SkuName jest oparta na danych wyjściowych polecenia Test-AzFrontDoorCdnProfileMigration .

Zastąp następujące wartości w poleceniu:
- <subscriptionId>: Identyfikator subskrypcji.
- <resourceGroupName>: nazwa grupy zasobów usługi Front Door (wersja klasyczna).
- <frontdoorClassicName>: nazwa profilu usługi Front Door (wersja klasyczna).
```
Start-AzFrontDoorCdnProfilePrepareMigration -ResourceGroupName <resourceGroupName> -ClassicResourceReferenceId /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.Network/frontdoors/<frontdoorClassicName> -ProfileName myAzureFrontDoor -SkuName Premium_AzureFrontDoor -MigrationWebApplicationFirewallMapping $wafMapping
```
Dane wyjściowe wyglądają podobnie do następujących:
```
Starting the parameter validation process.
The parameters have been successfully validated.
Your new Front Door profile is being created. Please wait until the process has finished completely. This may take several minutes.

Your new Front Door profile with the configuration has been successfully created.
```

W przypadku migrowania profilu usługi Front Door z funkcją BYOC należy włączyć tożsamość zarządzaną w profilu usługi Front Door. Musisz przyznać profilowi usługi Front Door dostęp do magazynu kluczy, w którym jest przechowywany certyfikat.

Przypisana przez system

W przypadku parametru IdentityType użyj elementu SystemAssigned.

Start-AzFrontDoorCdnProfilePrepareMigration -ResourceGroupName myAFDResourceGroup -ClassicResourceReferenceId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/Frontdoors/myAzureFrontDoorClassic -ProfileName myAzureFrontDoor -SkuName Premium_AzureFrontDoor -IdentityType SystemAssigned

Przypisana przez użytkownika

Uruchom polecenie Get-AzUserAssignedIdentity, aby uzyskać identyfikator zasobu dla tożsamości przypisanej przez użytkownika.

$id = Get-AzUserAssignedIdentity -ResourceGroupName myResourceGroup -Name afduseridentity
$id.Id

Dane wyjściowe wyglądają podobnie do następujących:

/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity

W polu IdentityType użyj wartości UserAssigned i IdentityUserAssignedIdentity* użyj identyfikatora zasobu z poprzedniego kroku.

Zastąp następujące wartości w poleceniu:

<subscriptionId>: Identyfikator subskrypcji.
<resourceGroupName>: nazwa grupy zasobów usługi Front Door (wersja klasyczna).
<frontdoorClassicName>: nazwa profilu usługi Front Door (wersja klasyczna).

Start-AzFrontDoorCdnProfilePrepareMigration -ResourceGroupName <resourceGroupName> -ClassicResourceReferenceId /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.Network/frontdoors/<frontdoorClassicName> -ProfileName myAzureFrontDoor -SkuName Premium_AzureFrontDoor -IdentityType UserAssigned -IdentityUserAssignedIdentity @{"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity" = @{}}

Dane wyjściowe wyglądają podobnie do następujących:

Starting the parameter validation process.
The parameters have been successfully validated.
Your new Front Door profile is being created. Please wait until the process has finished completely. This may take several minutes.

Your new Front Door profile with the configuration has been successfully created.

W tym przykładzie pokazano, jak przeprowadzić migrację profilu usługi Front Door z wieloma zasadami zapory aplikacji internetowej i włączyć tożsamość przypisaną przez system i przypisaną przez użytkownika.

Get-AzFrontDoorWafPolicy -ResourceGroupName myAFDResourceGroup -Name myClassicFrontDoorWAF

Dane wyjściowe wyglądają podobnie do następujących:

PolicyMode                    : Detection
PolicyEnabledState            : Enabled
RedirectUrl                   : 
CustomBlockResponseStatusCode : 403
CustomBlockResponseBody       : 
RequestBodyCheck              : Disabled
CustomRules                   : {}
ManagedRules                  : {Microsoft.Azure.Commands.FrontDoor.Models.PSAzureManagedRule}
Etag                          : 
ProvisioningState             : Succeeded
Sku                           : Classic_AzureFrontDoor
Tags                          : 
Id                            : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myClassicFrontDoorWAF
Name                          : myFrontDoorWAF
Type                          :

Uruchom polecenie New-AzFrontDoorCdnMigrationWebApplicationFirewallMappingObject, aby utworzyć obiekt w pamięci na potrzeby migracji zasad zapory aplikacji internetowej. Użyj identyfikatora zapory aplikacji internetowej w ostatnim kroku dla elementu MigratedFromId. Aby użyć istniejących zasad zapory aplikacji internetowej, zastąp wartość MigratedToId parametru identyfikatorem zasobu zasad zapory aplikacji internetowej zgodnym z warstwą usługi Front Door, do której migrujesz. Jeśli tworzysz nową kopię zasad zapory aplikacji internetowej, możesz zmienić nazwę zasad zapory aplikacji internetowej w identyfikatorze zasobu.

$wafMapping1 = New-AzFrontDoorCdnMigrationWebApplicationFirewallMappingObject -MigratedFromId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myClassicFrontDoorWAF1 -MigratedToId  /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myFrontDoorWAF1

$wafMapping2 = New-AzFrontDoorCdnMigrationWebApplicationFirewallMappingObject -MigratedFromId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myClassicFrontDoorWAF2 -MigratedToId  /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myFrontDoorWAF2

Określ oba typy tożsamości zarządzanych w zmiennej.
```
$identityType = "SystemAssigned, UserAssigned"
```

Uruchom polecenie Get-AzUserAssignedIdentity, aby uzyskać identyfikator zasobu dla tożsamości przypisanej przez użytkownika.

$id1 = Get-AzUserAssignedIdentity -ResourceGroupName myResourceGroup -Name afduseridentity1
$id1.Id
$id2 = Get-AzUserAssignedIdentity -ResourceGroupName myResourceGroup -Name afduseridentity2
$id2.Id

Dane wyjściowe wyglądają podobnie do następujących:

/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity1
/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity2

Określ identyfikator zasobu tożsamości przypisanej przez użytkownika w zmiennej.

$userInfo = @{
    "subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity1" = @{}}
    "subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity2" = @{}}
}

Uruchom polecenie Start-AzFrontDoorCdnProfilePrepareMigration, aby przygotować się do migracji. Zastąp wartości nazwy grupy zasobów, identyfikatora zasobu, nazwy profilu własnymi wartościami. W przypadku jednostki SkuName użyj Standard_AzureFrontDoor lub Premium_AzureFrontDoor. Jednostka SkuName jest oparta na danych wyjściowych polecenia Test-AzFrontDoorCdnProfileMigration . Parametr MigrationWebApplicationFirewallMapping przyjmuje tablicę obiektów migracji zasad zapory aplikacji internetowej. Parametr IdentityType przyjmuje rozdzielaną przecinkami listę typów tożsamości. Parametr IdentityUserAssignedIdentity przyjmuje tabelę skrótów identyfikatorów zasobów tożsamości przypisanych przez użytkownika.

Zastąp następujące wartości w poleceniu:
- <subscriptionId>: Identyfikator subskrypcji.
- <resourceGroupName>: nazwa grupy zasobów usługi Front Door (wersja klasyczna).
- <frontdoorClassicName>: nazwa profilu usługi Front Door (wersja klasyczna).
```
Start-AzFrontDoorCdnProfilePrepareMigration -ResourceGroupName <resourceGroupName> -ClassicResourceReferenceId /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.Network/frontdoors/<frontdoorClassicName> -ProfileName myAzureFrontDoor -SkuName Premium_AzureFrontDoor -MigrationWebApplicationFirewallMapping @($wafMapping1, $wafMapping2) -IdentityType $identityType -IdentityUserAssignedIdentity $userInfo
```
Dane wyjściowe wyglądają podobnie do następujących:
```
Starting the parameter validation process.
The parameters have been successfully validated.
Your new Front Door profile is being created. Please wait until the process has finished completely. This may take several minutes.

Your new Front Door profile with the configuration has been successfully created.
```

Uruchom polecenie Enable-AzFrontDoorCdnProfileMigration, aby przeprowadzić migrację usługi Front Door (wersja klasyczna).

Enable-AzFrontDoorCdnProfileMigration -ProfileName myAzureFrontDoor -ResourceGroupName myAFDResourceGroup

Dane wyjściowe wyglądają podobnie do następujących:

Start to migrate.
This process will disable your Front Door (classic) profile and move all your traffic and configurations to the new Front Door profile.
Migrate succeeded.

Uruchom polecenie Stop-AzFrontDoorCdnProfileMigration, aby przerwać proces migracji.

Stop-AzFrontDoorCdnProfileMigration -ProfileName myAzureFrontDoor -ResourceGroupName myAFDResourceGroup

Dane wyjściowe wyglądają podobnie do następujących:

Start to abort the migration.
Your new Front Door Profile will be deleted and your existing profile will remain active. WAF policies will not be deleted.
Please wait until the process has finished completely. This may take several minutes.
Abort succeeded.

Aktualizowanie rekordów DNS

Stare wystąpienie usługi Azure Front Door (klasyczne) używa innej w pełni kwalifikowanej nazwy domeny (FQDN) niż usługa Azure Front Door Standard i Premium. Na przykład punkt końcowy usługi Azure Front Door (wersja klasyczna) może mieć wartość contoso.azurefd.net, a punkt końcowy usługi Azure Front Door w warstwie Standardowa lub Premium może mieć wartość contoso-mdjf2jfgjf82mnzx.z01.azurefd.net. Aby uzyskać więcej informacji na temat punktów końcowych usługi Azure Front Door Standard i Premium, zobacz Punkty końcowe w usłudze Azure Front Door.

Nie musisz aktualizować rekordów DNS przed ani podczas procesu migracji. Usługa Azure Front Door automatycznie wysyła ruch odbierany w punkcie końcowym usługi Azure Front Door (wersja klasyczna) do profilu usługi Azure Front Door Standard lub Premium bez wprowadzania żadnych zmian konfiguracji.

Jednak po zakończeniu migracji zdecydowanie zalecamy zaktualizowanie rekordów DNS w celu kierowania ruchu do nowego punktu końcowego usługi Azure Front Door Standard lub Premium. Zmiana rekordów DNS pomaga zapewnić, że profil będzie nadal działać w przyszłości. Zmiana rekordu DNS nie powoduje żadnych przestojów. Nie musisz planować przed wykonaniem tej aktualizacji i zaplanować ją u wygody.

Następne kroki

Omówienie mapowania między ustawieniami warstw usługi Front Door.
Dowiedz się więcej o procesie migracji warstwy usługi Azure Front Door.

Udostępnij za pośrednictwem

Migrowanie usługi Azure Front Door (wersja klasyczna) do warstwy Standardowa/Premium przy użyciu programu Azure PowerShell

Wymagania wstępne

Weryfikowanie zgodności

Przygotowanie do migracji

Przypisana przez system

Przypisana przez użytkownika

Migrate

Aktualizowanie rekordów DNS

Następne kroki

Opinia

Dodatkowe zasoby