你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
将 Azure Front Door(经典)迁移到标准或高级层
重要
Azure Front Door(经典版)将于 2027 年 3 月 31 日停用。 为了避免任何服务中断,请务必在 2027 年 3 月之前将 Azure Front Door(经典版)配置文件迁移到 Azure Front Door 标准层或高级层。 有关详细信息,请参阅 Azure Front Door(经典版)停用。
Azure Front Door 标准层和高级层利用 Microsoft 全球网络,提供高级云交付网络功能、更高的安全性及性能。 本指南可帮助你将 Azure Front Door(经典)配置文件迁移到标准层或高级层配置文件。
先决条件
- 请查看关于 Azure Front Door 层迁移一文。
- 确保 Azure Front Door(经典)配置文件满足迁移要求:
- Azure Front Door 标准层和高级层要求所有自定义域都使用 HTTPS。 如果没有自己的证书,可以使用免费且托管的 Azure Front Door 托管证书。
- Azure Front Door 标准或高级配置文件的源组设置中启用了会话亲和性。 在 Azure Front Door(经典)中,会话亲和性是在域级别设置的。 在迁移期间,会话亲和性设置基于 Azure Front Door(经典)配置文件。 如果经典配置文件中有两个域共享相同的后端池(原始组),则会话亲和性必须在两个域之间保持一致,才能使迁移验证通过。
注意
迁移之前或期间无需更改 DNS。 但当迁移完成且流量流经新的 Azure Front Door 配置文件时,就需要更新 DNS 记录。 有关详细信息,请参阅更新 DNS 记录。
验证兼容性
导航到到 Azure Front Door(经典)资源并在“设置”下选择“迁移”。
选择“验证”,查看要迁移的 Azure Front Door(经典)配置文件是否兼容。 验证最多可能需要两分钟,具体取决于配置文件的复杂度。
如果迁移不兼容,选择“查看错误”,查看错误列表和解决这些错误的建议。
Azure Front Door(经典)配置文件通过验证并被视为与迁移兼容后,请进入准备阶段。
准备迁移
将为新的 Azure Front Door 配置文件提供默认名称。 可以在继续操作之前更改此名称。
系统已根据 Azure Front Door(经典)WAF 策略设置自动选择 Front Door 层。
- 标准 - 如果只有自定义 WAF 规则与 Azure Front Door(经典)配置文件相关联,则会选择此项。 可以选择升级到高级层。
- 高级 - 如果选择使用与 Azure Front Door(经典)配置文件关联的托管 WAF 规则,则会选择此项。 若要使用标准层,则从 Azure Front Door(经典)配置文件中删除托管 WAF 规则。
选择“配置 WAF 策略升级”可决定是升级当前 WAF 策略还是使用现有兼容的 WAF 策略。
注意
仅当有 WAF 策略与 Azure Front Door(经典)配置文件相关联时,才会显示“配置 WAF 策略升级”链接。
对于与 Azure Front Door(经典)配置文件关联的每个 WAF 策略,请选择一个操作。 可以复制 WAF 策略以匹配要迁移到的层或使用现有的兼容 WAF 策略。 还可以从默认提供的名称更改 WAF 策略名称。 完成后,选择“应用”以保存 Azure Front Door WAF 设置。
选择“准备”,出现提示时,选择“是”以确认是否要继续迁移过程。 确认后,将无法进一步更改 Azure Front Door(经典)配置文件。
选择显示的链接以查看新 Azure Front Door 配置文件的配置。 查看每个设置以确保正确无误。 完成后,选择右上角的 X 返回迁移屏幕。
启用托管标识
如果使用的是自己的证书,需要启用托管标识,以便 Azure Front Door 可以访问 Azure 密钥保管库中的证书。 托管标识是 Microsoft Entra ID 的一项功能,支持你安全地连接到其他 Azure 服务,而无需管理凭据。 有关详细信息,请参阅什么是 Azure 资源的托管标识?
注意
- 如果你未使用自己的证书,则不需要启用托管标识并授予对密钥保管库的访问权限。 可以跳到“迁移”阶段。
- Azure 政府云中的 Azure Front Door 标准版或高级版目前不支持托管证书。 需要对 Azure 政府云中的 Azure Front Door 标准版或高级版使用 BYOC,或者等待此功能可用。
选择“启用”,然后根据你要使用的托管标识类型选择“系统分配”或“用户分配”。
- 系统分配 - 将状态切换为“打开”,然后选择“保存”。
- 用户分配 - 若要创建用户分配的托管标识,请参阅创建用户分配的标识。 如果已有用户分配的托管标识,选择该标识,然后选择“添加”。
关闭页面以返回迁移页。 然后会看到已成功启用托管标识。
授予托管标识对 Azure Key Vault 的访问权限
选择“授权”将托管标识添加到与 Azure Front Door(经典)配置文件一起使用的所有 Azure 密钥保管库。
Migrate
选择“迁移”以启动迁移过程。 在出现提示时选择“是”进行确认。 迁移持续时间取决于 Azure Front Door(经典)配置文件的复杂度。
注意
如果取消迁移,则只会删除新的 Azure Front Door 配置文件。 需要手动删除任何新的 WAF 策略副本。
迁移完成后,选择页面顶部的横幅或成功消息中的链接以访问新的 Azure Front Door 配置文件。
Azure Front Door(经典)配置文件现已禁用,可以从订阅中删除。
警告
迁移后删除新配置文件会删除生产环境,这是不可逆的。
更新 DNS 记录
Azure Front Door(经典)使用与 Azure Front Door 标准版或高级版不同的完全限定域名 (FQDN)。 例如,经典版终结点可能是 contoso.azurefd.net
,标准或高级版终结点可能是 contoso-mdjf2jfgjf82mnzx.z01.azurefd.net
。 有关详细信息,请参阅 Azure Front Door 中的终结点。
在迁移前或迁移中,无需更新 DNS 记录。 Azure Front Door 会自动将流量从经典终结点路由到新的标准或高级配置文件,而无需更改任何配置。
迁移后,应将 DNS 记录更新为指向新的 Azure Front Door 终结点。 这可确保配置文件在将来继续正常运行。 更新 DNS 记录不会造成停机,可以在方便时完成。
后续步骤
- 了解 Azure Front Door 层级之间的映射设置。
- 详细了解 Azure Front Door 层迁移过程。