Sdílet prostřednictvím

Přemístění brány Aplikace Azure lication a firewallu webových aplikací (WAF) do jiné oblasti

  • Článek

Existují různé důvody, proč můžete chtít přesunout existující prostředky Azure z jedné oblasti do jiné. Možná budete chtít:

  • Využijte výhod nové oblasti Azure.
  • Nasaďte funkce nebo služby dostupné pouze v konkrétních oblastech.
  • Splnění interních zásad a požadavků zásad správného řízení
  • Sladění s fúzemi a akvizicemi společností
  • Splnění požadavků na plánování kapacity

Tento článek popisuje doporučený přístup, pokyny a postupy pro přemístění služby Application Gateway a WAF mezi oblastmi Azure.

Důležité

Kroky opětovného nasazení v tomto dokumentu se vztahují pouze na samotnou aplikační bránu, nikoli na back-endové služby, na které pravidla aplikační brány směrují provoz.

Požadavky

  • Ověřte, že vaše předplatné Azure umožňuje vytvořit skladové položky služby Application Gateway v cílové oblasti.

  • Naplánujte strategii přemístění s porozuměním všem službám, které jsou pro vaši službu Application Gateway potřeba. Pro služby, které jsou v rozsahu přemístění, musíte vybrat odpovídající strategii přemístění.

    • Ujistěte se, že podsíť služby Application Gateway v cílovém umístění má dostatek adresního prostoru, aby vyhovovala počtu instancí potřebných k poskytování maximálního očekávaného provozu.

  • Pro nasazení služby Application Gateway musíte zvážit a naplánovat nastavení následujících dílčích prostředků:

    • Konfigurace front-endu (veřejná/privátní IP adresa)
    • Prostředky back-endového fondu (např. virtuální počítače, škálovací sady virtuálních počítačů, služby Aplikace Azure)
    • Private Link
    • Certifikáty
    • Nastavení diagnostiky
    • Oznámení o upozorněních

  • Ujistěte se, že podsíť služby Application Gateway v cílovém umístění má dostatek adresního prostoru, aby vyhovovala počtu instancí potřebných k poskytování maximálního očekávaného provozu.

Opětovné nasazení

Pokud chcete přemístit službu Application Gateway a volitelný WAF, musíte vytvořit samostatné nasazení služby Application Gateway s novou veřejnou IP adresou v cílovém umístění. Úlohy se pak migrují ze zdrojového nastavení služby Application Gateway na novou. Vzhledem k tomu, že měníte veřejnou IP adresu, vyžadují se také změny konfigurace DNS, virtuálních sítí a podsítí.

Pokud chcete přemístit jenom kvůli získání podpory zón dostupnosti, přečtěte si téma Migrace služby Application Gateway a WAF do podpory zón dostupnosti.

Vytvoření samostatné služby Application Gateway, WAF (volitelné) a IP adresy:

  1. Přejděte na Azure Portal.

  2. Pokud pro Službu Key Vault používáte ukončení protokolu TLS, postupujte podle postupu přemístění služby Key Vault. Ujistěte se, že je služba Key Vault ve stejném předplatném jako přemísťovaná služba Application Gateway. Můžete vytvořit nový certifikát nebo použít existující certifikát pro přemísťovanou službu Application Gateway.

  3. Před přemístěním ověřte, že se virtuální síť přemísťuje. Informace o přemístění virtuální sítě najdete v tématu Přemístění virtuální sítě Azure.

  4. Před přemístěním ověřte, že se server nebo služba back-endového fondu, jako je virtuální počítač, škálovací sady virtuálních počítačů, PaaS, přemísťuje.

  5. Vytvořte službu Application Gateway a nakonfigurujte novou veřejnou IP adresu front-endu pro virtuální síť:

  6. Pokud máte konfiguraci WAF nebo vlastní zásady WAF jenom pro pravidla, převést ji na úplnou zásadu WAF.

  7. Pokud pro webové aplikace se službou Azure Firewall a Application Gateway používáte síť nulové důvěryhodnosti (zdrojová oblast), postupujte podle pokynů a strategií v síti nulové důvěryhodnosti pro webové aplikace se službou Azure Firewall a službou Application Gateway.

  8. Ověřte, že služba Application Gateway a WAF fungují podle očekávání.

  9. Migrujte konfiguraci na novou veřejnou IP adresu.

    1. Přepněte veřejné a privátní koncové body tak, aby odkazy na novou aplikační bránu.
    2. Migrujte konfiguraci DNS na novou veřejnou a/nebo privátní IP adresu.
    3. Aktualizace koncových bodů v uživatelských aplikacích nebo službách Aktualizace aplikací a služeb uživatelů se obvykle provádějí prostřednictvím změny a opětovného nasazení vlastností. Tuto metodu však proveďte při každém použití nového názvu hostitele v souvislosti s nasazením ve staré oblasti.

  10. Odstraňte zdrojové prostředky služby Application Gateway a WAF.

Přemístění certifikátů pro ukončení protokolu TLS úrovně Premium (Application Gateway v2)

Certifikáty pro ukončení protokolu TLS je možné zadat dvěma způsoby:

  • Upload. Zadejte certifikát TLS/SSL tak, že ho přímo nahrajete do služby Application Gateway.

  • Referenční informace ke službě Key Vault Při vytváření naslouchacího procesu s podporou PROTOKOLU HTTPS/TLS zadejte odkaz na existující certifikát služby Key Vault. Další informace o stažení certifikátu najdete v tématu Přemístění služby Key Vault do jiné oblasti.

Upozorňující

Podporují se odkazy na služby Key Vault v jiných předplatných Azure, ale je potřeba je nakonfigurovat prostřednictvím šablony ARM, Azure PowerShellu, rozhraní příkazového řádku, Bicep atd. Služba Application Gateway prostřednictvím webu Azure Portal nepodporuje konfiguraci trezoru klíčů mezi předplatnými.

Postupujte podle zdokumentovaného postupu a povolte ukončení protokolu TLS s certifikáty služby Key Vault pro přemísťovanou službu Application Gateway.