Partilhar via

Realoque o Gateway de Aplicativo do Azure e o Firewall de Aplicativo Web (WAF) para outra região

  • Artigo

Há vários motivos pelos quais você pode querer mover seus recursos existentes do Azure de uma região para outra. Você pode querer:

  • Aproveite uma nova região do Azure.
  • Implante recursos ou serviços disponíveis apenas em regiões específicas.
  • Atender aos requisitos internos de política e governança.
  • Alinhar-se com fusões e aquisições de empresas
  • Atenda aos requisitos de planejamento de capacidade.

Este artigo aborda a abordagem, as diretrizes e as práticas recomendadas para realocar o Gateway de Aplicativo e o WAF entre regiões do Azure.

Importante

As etapas de reimplantação neste documento se aplicam somente ao gateway de aplicativo em si e não aos serviços de back-end para os quais as regras do gateway de aplicativo estão roteando tráfego.

Pré-requisitos

  • Verifique se sua assinatura do Azure permite que você crie SKUs do Gateway de Aplicativo na região de destino.

  • Planeje sua estratégia de realocação com uma compreensão de todos os serviços necessários para seu Application Gateway. Para os serviços que estão no escopo da recolocação, você deve selecionar a estratégia de realocação apropriada.

    • Certifique-se de que a sub-rede do Application Gateway no local de destino tenha espaço de endereço suficiente para acomodar o número de instâncias necessárias para atender ao tráfego máximo esperado.

  • Para a implantação do Application Gateway, você deve considerar e planejar a configuração dos seguintes subrecursos:

    • Configuração de frontend (IP público/privado)
    • Recursos de Pool de Back-end (por exemplo, VMs, Conjuntos de Dimensionamento de Máquina Virtual, Serviços de Aplicativo do Azure)
    • Private Link
    • Certificados
    • Definições de Diagnóstico
    • Notificações de alerta

  • Certifique-se de que a sub-rede do Application Gateway no local de destino tenha espaço de endereço suficiente para acomodar o número de instâncias necessárias para atender ao tráfego máximo esperado.

Voltar a implementar

Para realocar o Application Gateway e o WAF opcional, você deve criar uma implantação separada do Application Gateway com um novo endereço IP público no local de destino. As cargas de trabalho são migradas da configuração do Application Gateway de origem para a nova. Como você está alterando o endereço IP público, alterações na configuração de DNS, redes virtuais e sub-redes também são necessárias.

Se você quiser realocar apenas para obter suporte a zonas de disponibilidade, consulte Migrar o Application Gateway e o WAF para o suporte à zona de disponibilidade.

Para criar um Application Gateway separado, WAF (opcional) e endereço IP:

  1. Aceda ao portal do Azure.

  2. Se você usar a terminação TLS para o Cofre de Chaves, siga o procedimento de realocação para o Cofre de Chaves. Verifique se o Cofre da Chave está na mesma assinatura que o Application Gateway realocado. Você pode criar um novo certificado ou usar o certificado existente para o Application Gateway realocado.

  3. Confirme se a rede virtual foi realocada antes de realocar. Para saber como realocar sua rede virtual, consulte Relocalizar a Rede Virtual do Azure.

  4. Confirme se o servidor ou serviço do pool de back-end, como VM, Conjuntos de Dimensionamento de Máquina Virtual, PaaS, foi realocado antes de realocar.

  5. Crie um Application Gateway e configure um novo endereço IP público Frontend para a rede virtual:

  6. Se você tiver uma configuração do WAF ou uma política WAF somente com regras personalizadas, faça a transição para uma política WAF completa.

  7. Se você usar uma rede de confiança zero (região de origem) para aplicativos Web com o Firewall do Azure e o Gateway de Aplicativos, siga as diretrizes e estratégias em Rede de confiança zero para aplicativos Web com o Firewall do Azure e o Gateway de Aplicativos.

  8. Verifique se o Application Gateway e o WAF estão funcionando conforme o esperado.

  9. Migre sua configuração para o novo endereço IP público.

    1. Alterne pontos de extremidade públicos e privados para apontar para o novo gateway de aplicativo.
    2. Migre sua configuração de DNS para o novo endereço IP público e/ou privado.
    3. Atualizar pontos de extremidade em aplicativos/serviços de consumo. As atualizações de aplicativos/serviços do consumidor geralmente são feitas por meio de uma alteração e reimplantação de propriedades. No entanto, execute esse método sempre que um novo nome de host for usado em relação à implantação na região antiga.

  10. Exclua os recursos do Application Gateway e do WAF de origem.

Realoque certificados para terminação TLS Premium (Application Gateway v2)

Os certificados para terminação TLS podem ser fornecidos de duas maneiras:

  • Carregar. Forneça um certificado TLS/SSL carregando-o diretamente no seu Application Gateway.

  • Referência do Cofre da Chave. Forneça uma referência a um certificado existente do Cofre da Chave ao criar um ouvinte habilitado para HTTPS/TLS. Para obter mais informações sobre como baixar um certificado, consulte Relocalizar o Cofre da Chave para outra região.

Aviso

As referências aos Cofres de Chaves em outras assinaturas do Azure são suportadas, mas devem ser configuradas por meio do modelo ARM, Azure PowerShell, CLI, Bicep, etc. A configuração do cofre de chaves entre assinaturas não é suportada pelo Application Gateway por meio do portal do Azure.

Siga o procedimento documentado para habilitar a terminação TLS com certificados do Cofre de Chaves para seu Application Gateway realocado.