Migrar o Azure Front Door (clássico) para a camada Standard/Premium com o Azure PowerShell

Importante

O Azure Front Door (clássico) será desativado em 31 de março de 2027. Para evitar qualquer interrupção do serviço, é importante migrar seus perfis do Azure Front Door (clássico) para a camada Azure Front Door Standard ou Premium até março de 2027. Para obter mais informações, consulte Aposentadoria (clássica) do Azure Front Door.

O Azure Front Door Standard e a camada Premium trazem os recursos mais recentes da rede de entrega em nuvem para o Azure. Com recursos de segurança aprimorados e um serviço tudo-em-um, o conteúdo do seu aplicativo é protegido e mais próximo dos usuários finais usando a rede global da Microsoft. Este artigo orienta você pelo processo de migração para mover seu perfil do Azure Front Door (clássico) para um perfil de camada Standard ou Premium com o Azure PowerShell.

Pré-requisitos

• Analise o artigo Sobre a migração da camada Front Door.
• Certifique-se de que o seu perfil Front Door (clássico) pode ser migrado:
  • O Azure Front Door Standard e Premium exigem que todos os domínios personalizados usem HTTPS. Se você não tiver seu próprio certificado, poderá usar um certificado gerenciado do Azure Front Door. O certificado é gratuito e é gerido por si.
  • A afinidade de sessão é habilitada nas configurações do grupo de origem para um perfil do Azure Front Door Standard ou Premium. No Azure Front Door (clássico), a afinidade de sessão é definida no nível do domínio. Como parte da migração, a afinidade de sessão é baseada nas configurações de perfil da porta frontal (clássica). Se você tiver dois domínios em seu perfil clássico que compartilham o mesmo pool de back-end (grupo de origem), a afinidade de sessão deve ser consistente em ambos os domínios para que a validação da migração seja aprovada.
• Módulo mais recente do Azure PowerShell instalado localmente ou Azure Cloud Shell. Para obter mais informações, veja nstall and configure Azure PowerShell (Instalar e configurar o Azure PowerShell).

Nota

Não é necessário fazer alterações de DNS antes ou durante o processo de migração. No entanto, quando a migração for concluída e o tráfego estiver fluindo pelo seu novo perfil do Azure Front Door, você precisará atualizar seus registros DNS. Para obter mais informações, consulte Atualizar registros DNS.

Validar compatibilidade

1. Abra o Azure PowerShell e conecte-se à sua conta do Azure. Para obter mais informações, consulte Conectar-se ao Azure PowerShell.

2. Teste seu perfil do Azure Front Door (clássico) para ver se ele é compatível para migração. Você pode usar o comando Test-AzFrontDoorCdnProfileMigration para testar seu perfil. Substitua os valores para o nome do grupo de recursos e ID do recurso por seus próprios valores. Use Get-AzFrontDoor para obter o ID de recurso para o seu perfil Front Door (clássico).

   Substitua os seguintes valores no comando:

   • <subscriptionId>: O seu ID de subscrição.
   • <resourceGroupName>: O nome do grupo de recursos da Porta da frente (clássico).
   • <frontdoorClassicName>: O nome do perfil da porta da frente (clássico).

   Test-AzFrontDoorCdnProfileMigration -ResourceGroupName <resourceGroupName> -ClassicResourceReferenceId /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.Network/frontdoors/<frontdoorClassicName>
   

   Se a migração for compatível com a migração, você verá a seguinte saída:

   CanMigrate DefaultSku
   ---------- ----------
   True       Standard_AzureFrontDoor or Premium_AzureFrontDoor
   

   Se a migração não for compatível, você verá a seguinte saída:

   CanMigrate DefaultSku
   ---------- ----------
   False      
   

Prepare para a migração

Nota

• Atualmente, não há suporte para o certificado gerenciado para o Azure Front Door Standard ou Premium no Azure Government Cloud. Você precisa usar o BYOC para o Azure Front Door Standard ou Premium no Azure Government Cloud ou aguardar até que esse recurso esteja disponível.

Sem WAF e BYOC (Traga seu próprio certificado)

Execute o comando Start-AzFrontDoorCdnProfilePrepareMigration para se preparar para a migração. Substitua os valores do nome do grupo de recursos, ID do recurso, nome do perfil pelos seus próprios valores. Para SkuName , use Standard_AzureFrontDoor ou Premium_AzureFrontDoor. O SkuName é baseado na saída do comando Test-AzFrontDoorCdnProfileMigration .

Substitua os seguintes valores no comando:

• <subscriptionId>: O seu ID de subscrição.
• <resourceGroupName>: O nome do grupo de recursos da Porta da frente (clássico).
• <frontdoorClassicName>: O nome do perfil da porta da frente (clássico).

Start-AzFrontDoorCdnProfilePrepareMigration -ResourceGroupName <resourceGroupName> -ClassicResourceReferenceId /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.Network/frontdoors/<frontdoorClassicName> -ProfileName myAzureFrontDoor -SkuName Premium_AzureFrontDoor

A saída é semelhante à seguinte:

Starting the parameter validation process.
The parameters have been successfully validated.
Your new Front Door profile is being created. Please wait until the process has finished completely. This may take several minutes.

Your new Front Door profile with the configuration has been successfully created.

Com WAF

1. Execute o comando Get-AzFrontDoorWafPolicy para obter a ID do recurso para sua política WAF. Substitua os valores do nome do grupo de recursos e do nome da política WAF pelos seus próprios valores.

   Get-AzFrontDoorWafPolicy -ResourceGroupName myAFDResourceGroup -Name myClassicFrontDoorWAF
   

   A saída é semelhante à seguinte:

   PolicyMode                    : Detection
   PolicyEnabledState            : Enabled
   RedirectUrl                   : 
   CustomBlockResponseStatusCode : 403
   CustomBlockResponseBody       : 
   RequestBodyCheck              : Disabled
   CustomRules                   : {}
   ManagedRules                  : {Microsoft.Azure.Commands.FrontDoor.Models.PSAzureManagedRule}
   Etag                          : 
   ProvisioningState             : Succeeded
   Sku                           : Classic_AzureFrontDoor
   Tags                          : 
   Id                            : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myClassicFrontDoorWAF
   Name                          : myFrontDoorWAF
   Type                          :
   

2. Execute o comando New-AzFrontDoorCdnMigrationWebApplicationFirewallMappingObject para criar um objeto na memória para migração de política WAF. Use o ID WAF na última etapa para MigratedFromId. Para usar uma política WAF existente, substitua o valor for MigratedToId por uma ID de recurso de uma política WAF que corresponda à camada Front Door para a qual você está migrando. Se você estiver criando uma nova cópia da política WAF, poderá alterar o nome da política WAF na ID do recurso.

   $wafMapping = New-AzFrontDoorCdnMigrationWebApplicationFirewallMappingObject -MigratedFromId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myClassicFrontDoorWAF -MigratedToId  /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myFrontDoorWAF
   
   

3. Execute o comando Start-AzFrontDoorCdnProfilePrepareMigration para se preparar para a migração. Substitua os valores do nome do grupo de recursos, ID do recurso, nome do perfil pelos seus próprios valores. Para SkuName , use Standard_AzureFrontDoor ou Premium_AzureFrontDoor. O SkuName é baseado na saída do comando Test-AzFrontDoorCdnProfileMigration .

   Substitua os seguintes valores no comando:

   • <subscriptionId>: O seu ID de subscrição.
   • <resourceGroupName>: O nome do grupo de recursos da Porta da frente (clássico).
   • <frontdoorClassicName>: O nome do perfil da porta da frente (clássico).

   Start-AzFrontDoorCdnProfilePrepareMigration -ResourceGroupName <resourceGroupName> -ClassicResourceReferenceId /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.Network/frontdoors/<frontdoorClassicName> -ProfileName myAzureFrontDoor -SkuName Premium_AzureFrontDoor -MigrationWebApplicationFirewallMapping $wafMapping
   

   A saída é semelhante à seguinte:

   Starting the parameter validation process.
   The parameters have been successfully validated.
   Your new Front Door profile is being created. Please wait until the process has finished completely. This may take several minutes.
   
   Your new Front Door profile with the configuration has been successfully created.
   

Com BYOC

Se você estiver migrando um perfil de porta frontal com BYOC, precisará habilitar a identidade gerenciada no perfil de porta frontal. Você precisa conceder ao perfil Front Door acesso ao cofre de chaves onde o certificado está armazenado.

Execute o comando Start-AzFrontDoorCdnProfilePrepareMigration para se preparar para a migração. Substitua os valores do nome do grupo de recursos, ID do recurso, nome do perfil pelos seus próprios valores. Para SkuName , use Standard_AzureFrontDoor ou Premium_AzureFrontDoor. O SkuName é baseado na saída do comando Test-AzFrontDoorCdnProfileMigration .

Sistema atribuído

Para IdentityType use SystemAssigned.

Start-AzFrontDoorCdnProfilePrepareMigration -ResourceGroupName myAFDResourceGroup -ClassicResourceReferenceId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/Frontdoors/myAzureFrontDoorClassic -ProfileName myAzureFrontDoor -SkuName Premium_AzureFrontDoor -IdentityType SystemAssigned

Utilizador atribuído

1. Execute o comando Get-AzUserAssignedIdentity para obter a ID do recurso para uma identidade atribuída ao usuário.

   $id = Get-AzUserAssignedIdentity -ResourceGroupName myResourceGroup -Name afduseridentity
   $id.Id
   

   A saída é semelhante à seguinte:

   /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity
   

2. Para IdentityType use UserAssigned e para IdentityUserAssignedIdentity,* use o ID do recurso da etapa anterior.

   Substitua os seguintes valores no comando:

   • <subscriptionId>: O seu ID de subscrição.
   • <resourceGroupName>: O nome do grupo de recursos da Porta da frente (clássico).
   • <frontdoorClassicName>: O nome do perfil da porta da frente (clássico).

   Start-AzFrontDoorCdnProfilePrepareMigration -ResourceGroupName <resourceGroupName> -ClassicResourceReferenceId /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.Network/frontdoors/<frontdoorClassicName> -ProfileName myAzureFrontDoor -SkuName Premium_AzureFrontDoor -IdentityType UserAssigned -IdentityUserAssignedIdentity @{"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity" = @{}}
   

   A saída é semelhante à seguinte:

   Starting the parameter validation process.
   The parameters have been successfully validated.
   Your new Front Door profile is being created. Please wait until the process has finished completely. This may take several minutes.
   
   Your new Front Door profile with the configuration has been successfully created.
   

Vários WAF e identidade gerenciada

Este exemplo mostra como migrar um perfil Front Door com várias políticas WAF e habilitar a identidade atribuída pelo sistema e pelo usuário.

1. Execute o comando Get-AzFrontDoorWafPolicy para obter a ID do recurso para sua política WAF. Substitua os valores do nome do grupo de recursos e do nome da política WAF pelos seus próprios valores.

   Get-AzFrontDoorWafPolicy -ResourceGroupName myAFDResourceGroup -Name myClassicFrontDoorWAF
   

   A saída é semelhante à seguinte:

   PolicyMode                    : Detection
   PolicyEnabledState            : Enabled
   RedirectUrl                   : 
   CustomBlockResponseStatusCode : 403
   CustomBlockResponseBody       : 
   RequestBodyCheck              : Disabled
   CustomRules                   : {}
   ManagedRules                  : {Microsoft.Azure.Commands.FrontDoor.Models.PSAzureManagedRule}
   Etag                          : 
   ProvisioningState             : Succeeded
   Sku                           : Classic_AzureFrontDoor
   Tags                          : 
   Id                            : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myClassicFrontDoorWAF
   Name                          : myFrontDoorWAF
   Type                          :
   

2. Execute o comando New-AzFrontDoorCdnMigrationWebApplicationFirewallMappingObject para criar um objeto na memória para migração de política WAF. Use o ID WAF na última etapa para MigratedFromId. Para usar uma política WAF existente, substitua o valor for MigratedToId por uma ID de recurso de uma política WAF que corresponda à camada Front Door para a qual você está migrando. Se você estiver criando uma nova cópia da política WAF, poderá alterar o nome da política WAF na ID do recurso.

   $wafMapping1 = New-AzFrontDoorCdnMigrationWebApplicationFirewallMappingObject -MigratedFromId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myClassicFrontDoorWAF1 -MigratedToId  /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myFrontDoorWAF1
   
   $wafMapping2 = New-AzFrontDoorCdnMigrationWebApplicationFirewallMappingObject -MigratedFromId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myClassicFrontDoorWAF2 -MigratedToId  /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/myFrontDoorWAF2
   

3. Especifique ambos os tipos de identidade gerenciada em uma variável.

   $identityType = "SystemAssigned, UserAssigned"
   

4. Execute o comando Get-AzUserAssignedIdentity para obter a ID do recurso para uma identidade atribuída ao usuário.

   $id1 = Get-AzUserAssignedIdentity -ResourceGroupName myResourceGroup -Name afduseridentity1
   $id1.Id
   $id2 = Get-AzUserAssignedIdentity -ResourceGroupName myResourceGroup -Name afduseridentity2
   $id2.Id
   

   A saída é semelhante à seguinte:

   /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity1
   /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myAFDResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity2
   

5. Especifique o ID do recurso de identidade atribuído ao usuário em uma variável.

   $userInfo = @{
       "subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity1" = @{}}
       "subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/afduseridentity2" = @{}}
   }
   

6. Execute o comando Start-AzFrontDoorCdnProfilePrepareMigration para se preparar para a migração. Substitua os valores do nome do grupo de recursos, ID do recurso, nome do perfil pelos seus próprios valores. Para SkuName , use Standard_AzureFrontDoor ou Premium_AzureFrontDoor. O SkuName é baseado na saída do comando Test-AzFrontDoorCdnProfileMigration . O parâmetro MigrationWebApplicationFirewallMapping usa uma matriz de objetos de migração de diretiva WAF. O parâmetro IdentityType usa uma lista separada por vírgulas de tipos de identidade. O parâmetro IdentityUserAssignedIdentity usa uma tabela de hash de IDs de recursos de identidade atribuídos pelo usuário.

   Substitua os seguintes valores no comando:

   • <subscriptionId>: O seu ID de subscrição.
   • <resourceGroupName>: O nome do grupo de recursos da Porta da frente (clássico).
   • <frontdoorClassicName>: O nome do perfil da porta da frente (clássico).

   Start-AzFrontDoorCdnProfilePrepareMigration -ResourceGroupName <resourceGroupName> -ClassicResourceReferenceId /subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/Microsoft.Network/frontdoors/<frontdoorClassicName> -ProfileName myAzureFrontDoor -SkuName Premium_AzureFrontDoor -MigrationWebApplicationFirewallMapping @($wafMapping1, $wafMapping2) -IdentityType $identityType -IdentityUserAssignedIdentity $userInfo
   

   A saída é semelhante à seguinte:

   Starting the parameter validation process.
   The parameters have been successfully validated.
   Your new Front Door profile is being created. Please wait until the process has finished completely. This may take several minutes.
   
   Your new Front Door profile with the configuration has been successfully created.
   

Migrate

Migrar perfil

Execute o comando Enable-AzFrontDoorCdnProfileMigration para migrar o Front Door (clássico).

Enable-AzFrontDoorCdnProfileMigration -ProfileName myAzureFrontDoor -ResourceGroupName myAFDResourceGroup

A saída é semelhante à seguinte:

Start to migrate.
This process will disable your Front Door (classic) profile and move all your traffic and configurations to the new Front Door profile.
Migrate succeeded.

Abortar migração

Execute o comando Stop-AzFrontDoorCdnProfileMigration para anular o processo de migração.

Stop-AzFrontDoorCdnProfileMigration -ProfileName myAzureFrontDoor -ResourceGroupName myAFDResourceGroup

A saída é semelhante à seguinte:

Start to abort the migration.
Your new Front Door Profile will be deleted and your existing profile will remain active. WAF policies will not be deleted.
Please wait until the process has finished completely. This may take several minutes.
Abort succeeded.

Atualizar registos DNS

Sua antiga instância do Azure Front Door (clássica) usa um FQDN (nome de domínio totalmente qualificado) diferente do Azure Front Door Standard e Premium. Por exemplo, um ponto de extremidade do Azure Front Door (clássico) pode ser contoso.azurefd.net, enquanto o ponto de extremidade do Azure Front Door Standard ou Premium pode ser contoso-mdjf2jfgjf82mnzx.z01.azurefd.net. Para obter mais informações sobre os pontos de extremidade Standard e Premium do Azure Front Door, consulte Pontos de extremidade no Azure Front Door.

Não é necessário atualizar seus registros DNS antes ou durante o processo de migração. O Azure Front Door envia automaticamente o tráfego que recebe no ponto de extremidade (clássico) do Azure Front Door para o seu perfil Azure Front Door Standard ou Premium sem que você faça alterações de configuração.

No entanto, quando a migração estiver concluída, é altamente recomendável que você atualize seus registros DNS para direcionar o tráfego para o novo ponto de extremidade Azure Front Door Standard ou Premium. Alterar seus registros DNS ajuda a garantir que seu perfil continue a funcionar no futuro. A alteração no registro DNS não causa nenhum tempo de inatividade. Você não precisa se planejar com antecedência para que essa atualização aconteça e pode agendá-la de acordo com sua conveniência.

Próximos passos

• Entenda o mapeamento entre as configurações das camadas da Front Door.
• Saiba mais sobre o processo de migração da camada do Azure Front Door.