Verplaats Azure-toepassing Gateway en Web Application Firewall (WAF) naar een andere regio

Er zijn verschillende redenen waarom u uw bestaande Azure-resources mogelijk van de ene regio naar de andere wilt verplaatsen. U kunt het volgende doen:

• Profiteer van een nieuwe Azure-regio.
• Implementeer functies of services die alleen beschikbaar zijn in specifieke regio's.
• Voldoen aan interne beleids- en governancevereisten.
• In overeenstemming met bedrijfsfusies en overnames
• Voldoen aan vereisten voor capaciteitsplanning.

In dit artikel worden de aanbevolen benaderingen, richtlijnen en procedures beschreven voor het verplaatsen van Application Gateway en WAF tussen Azure-regio's.

Belangrijk

De stappen voor opnieuw implementeren in dit document zijn alleen van toepassing op de toepassingsgateway zelf en niet op de back-endservices waarop de regels voor de toepassingsgateway verkeer routeren.

Vereisten

• Controleer of u met uw Azure-abonnement Application Gateway-SKU's in de doelregio kunt maken.

• Plan uw herlocatiestrategie met inzicht in alle services die vereist zijn voor uw Application Gateway. Voor de diensten die binnen het bereik van de herlocatie vallen, moet u de juiste herlocatiestrategie selecteren.

  • Zorg ervoor dat het Application Gateway-subnet op de doellocatie voldoende adresruimte heeft om het aantal exemplaren dat nodig is om uw maximaal verwachte verkeer te verwerken.

• Voor de implementatie van Application Gateway moet u de installatie van de volgende subbronnen overwegen en plannen:

  • Front-endconfiguratie (openbaar/privé-IP-adres)
  • Resources voor back-endpools (bijvoorbeeld VM's, virtuele-machineschaalsets, Azure-app Services)
  • Private Link
  • Certificaten
  • Diagnostische instellingen
  • Waarschuwingsmeldingen

• Zorg ervoor dat het Application Gateway-subnet op de doellocatie voldoende adresruimte heeft om het aantal exemplaren dat nodig is om uw maximaal verwachte verkeer te verwerken.

Opnieuw implementeren

Als u Application Gateway en optionele WAF wilt verplaatsen, moet u een afzonderlijke Application Gateway-implementatie maken met een nieuw openbaar IP-adres op de doellocatie. Workloads worden vervolgens gemigreerd van de brontoepassingsgateway naar de nieuwe. Omdat u het openbare IP-adres wijzigt, zijn ook wijzigingen in DNS-configuratie, virtuele netwerken en subnetten vereist.

Als u alleen wilt verhuizen om ondersteuning voor beschikbaarheidszones te krijgen, raadpleegt u Application Gateway en WAF migreren naar ondersteuning voor beschikbaarheidszones.

Een afzonderlijke Application Gateway, WAF (optioneel) en IP-adres maken:

1. Ga naar de Azure Portal.

2. Als u TLS-beëindiging voor Key Vault gebruikt, volgt u de herlocatieprocedure voor Key Vault. Zorg ervoor dat de Key Vault zich in hetzelfde abonnement bevindt als de verplaatste Application Gateway. U kunt een nieuw certificaat maken of het bestaande certificaat gebruiken voor verplaatste Application Gateway.

3. Controleer of het virtuele netwerk is verplaatst voordat u gaat verhuizen. Zie Azure Virtual Network verplaatsen voor meer informatie over het verplaatsen van uw virtuele netwerk.

4. Controleer of de back-endpoolserver of -service, zoals VM, Virtuele-machineschaalsets, PaaS, is verplaatst voordat u de site verplaatst.

5. Maak een toepassingsgateway en configureer een nieuw openbaar IP-adres van de front-end voor het virtuele netwerk:

   • Zonder WAF: Maak een toepassingsgateway.
   • Met WAF: Een toepassingsgateway maken met een Web Application Firewall

6. Als u een WAF-configuratie of aangepast WAF-beleid hebt, moet u dit overschakelen naar een volledig WAF-beleid.

7. Als u een nulvertrouwensnetwerk (bronregio) gebruikt voor webtoepassingen met Azure Firewall en Application Gateway, volgt u de richtlijnen en strategieën in zero-trust-netwerk voor webtoepassingen met Azure Firewall en Application Gateway.

8. Controleer of de Application Gateway en WAF werken zoals bedoeld.

9. Migreer uw configuratie naar het nieuwe openbare IP-adres.

   1. Schakel over naar openbare en privé-eindpunten om naar de nieuwe toepassingsgateway te verwijzen.
   2. Migreer uw DNS-configuratie naar het nieuwe openbare en/of privé-IP-adres.
   3. Eindpunten bijwerken in consumententoepassingen/-services. Updates voor consumententoepassingen/-services worden meestal uitgevoerd door middel van een wijziging en opnieuw implementeren van eigenschappen. Voer deze methode echter uit wanneer een nieuwe hostnaam wordt gebruikt voor de implementatie in de oude regio.

10. Verwijder de bron-Application Gateway- en WAF-resources.

Certificaten verplaatsen voor Premium TLS-beëindiging (Application Gateway v2)

De certificaten voor TLS-beëindiging kunnen op twee manieren worden opgegeven:

• Uploaden. Geef een TLS/SSL-certificaat op door het rechtstreeks te uploaden naar uw Toepassingsgateway.

• Naslaginformatie over Key Vault. Geef een verwijzing op naar een bestaand Key Vault-certificaat wanneer u een HTTPS/TLS-listener maakt. Zie Key Vault verplaatsen naar een andere regio voor meer informatie over het downloaden van een certificaat.

Waarschuwing

Verwijzingen naar Key Vaults in andere Azure-abonnementen worden ondersteund, maar moeten worden geconfigureerd via een ARM-sjabloon, Azure PowerShell, CLI, Bicep, enzovoort. Sleutelkluisconfiguratie voor meerdere abonnementen wordt niet ondersteund door Application Gateway via Azure Portal.

Volg de gedocumenteerde procedure om TLS-beëindiging met Key Vault-certificaten in te schakelen voor uw verplaatste Application Gateway.