你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

将 Azure Front Door(经典)迁移到标准/高级层

重要

Azure Front Door(经典版)将于 2027 年 3 月 31 日停用。 为了避免任何服务中断,请务必在 2027 年 3 月之前将 Azure Front Door(经典版)配置文件迁移到 Azure Front Door 标准层或高级层。 有关详细信息,请参阅 Azure Front Door(经典版)停用

Azure Front Door 标准和高级层为 Azure 带来了最新的云分发网络功能。 通过增强的安全功能和一体化服务,应用程序内容是安全的,并且更接近使用 Microsoft 全球网络的最终用户。 本文将指导完成迁移过程,将 Azure Front Door(经典)配置文件移动到标准或高级层配置文件。

先决条件

  • 请查看关于 Front Door 层迁移一文。
  • 确保可以迁移 Front Door(经典)配置文件:
    • Azure Front Door 标准和高级要求所有自定义域使用 HTTPS。 如果你没有自己的证书,可以使用 Azure Front Door 托管的证书。 该证书是免费的,并且无需你自行管理。
    • 在 Azure Front Door 标准或高级配置文件的源组设置中启用会话亲和性。 在 Azure Front Door(经典)中,会话亲和性是在域级别设置的。 作为迁移的一部分,会话亲和性基于 Front Door(经典)配置文件设置。 如果经典配置文件中有两个域共享相同的后端池(原始组),则会话亲和性必须在两个域之间保持一致,才能使迁移验证通过。

注意

无需在迁移过程之前或迁移过程中进行任何 DNS 更改。 但是,一旦迁移完成并且流量通过新的 Azure Front Door 配置文件,就需要更新 DNS 记录。 有关详细信息,请参阅更新 DNS 记录

验证兼容性

  1. 转到 Azure Front Door(经典)资源并在“设置”下选择“迁移”。

    Front Door(经典)配置文件的迁移按钮的屏幕截图。

  2. 选择“验证”,查看要迁移的 Azure Front Door(经典)配置文件是否兼容。 验证最多可能需要两分钟,具体取决于 Front Door 配置文件的复杂度。

    迁移页面验证兼容性部分的屏幕截图。

    如果迁移不兼容,可以选择“查看错误”以查看错误列表和解决这些错误的建议。

    Front Door(经典)配置文件验证阶段失败的屏幕截图。

  3. Azure Front Door(经典)配置文件验证并兼容迁移后,就可以进入准备阶段。

    通过迁移验证的 Front Door(经典)配置文件的屏幕截图。

准备迁移

  1. 已为新的 Front Door 配置文件提供了默认名称。 可以在继续下一步之前更改配置文件名称。

    新 Front Door 配置文件的准备阶段中名称字段的屏幕截图。

  2. 将根据 Front Door(经典)WAF 策略设置自动选择 Front Door 层。

    为新 Front Door 配置文件选择的层的屏幕截图。

    • 标准 - 如果只有与 Front Door(经典)配置文件关联的自定义 WAF 规则。 你可以选择升级到高级层。
    • 高级 - 如果有与 Front Door(经典)配置文件关联的受控 WAF 规则。 要使用标准层,必须从 Front Door(经典)配置文件中移除托管 WAF 规则。
  3. 选择“配置 WAF 策略升级”可配置是升级当前 WAF 策略还是使用现有兼容的 WAF 策略。

    Front Door 迁移准备期间的配置 WAF 策略链接的屏幕截图。

    注意

    只有当 WAF 策略与 Front Door(经典)配置文件关联时,才会显示“配置 WAF 策略升级”链接。

    对于与 Front Door(经典)配置文件关联的每个 WAF 策略,请选择一个操作。 可以创建与要将 Front Door 配置文件迁移到的层匹配的 WAF 策略的副本,也可以使用现有的兼容 WAF 策略。 还可以从默认提供的名称更改 WAF 策略名称。 完成后,选择“应用”以保存 Front Door WAF 设置。

    升级 WAF 策略屏幕的屏幕截图。

  4. 选择“准备”,出现提示时,选择“”以确认是否要继续迁移过程。 确认后,无法对 Front Door(经典)配置文件做任何进一步的更改。

    准备按钮和用于继续迁移的确认消息的屏幕截图。

  5. 选择显示的链接以查看新 Front Door 配置文件的配置。 此时,可以查看新配置文件的每项设置,确保所有设置都正确。 检查完只读的配置文件后,选择页面右上角的“X”返回迁移屏幕。

    用于查看新的只读 Front Door 配置文件的链接的屏幕截图。

启用托管标识

如果使用的是自己的证书,并且需要启用托管标识,以便 Azure Front Door 可以访问 Azure 密钥保管库中的证书。 托管标识是 Microsoft Entra ID 的一项功能,支持你安全地连接到其他 Azure 服务,而无需管理凭据。 有关详细信息,请参阅什么是 Azure 资源的托管标识?

注意

  • 如果你未使用自己的证书,则不需要启用托管标识并授予对密钥保管库的访问权限。 可以跳到“迁移”阶段。
  • Azure 政府云中的 Azure Front Door 标准版或高级版目前不支持托管证书。 需要对 Azure 政府云中的 Azure Front Door 标准版或高级版使用 BYOC,或者在此功能可用之前等待。
  1. 选择“启用”,然后根据你要使用的托管标识类型选择“系统分配”或“用户分配”。

    为 Front Door 迁移启用托管标识的按钮的屏幕截图。

    • 系统分配 - 将状态切换为“打开”,然后选择“保存”。

    • 用户分配 - 若要创建用户分配的托管标识,请参阅创建用户分配的标识。 如果你已有用户托管标识,请选择该标识,然后选择“添加”。

  2. 选择右上角的 X 返回迁移页面。 然后,你将看到已成功启用的托管标识。

    已启用托管标识的屏幕截图。

向托管标识授予对密钥保管库的访问权限

选择“授权”将托管标识添加到与 Front Door(经典)配置文件一起使用的所有 Azure 密钥保管库。

向托管标识授予对密钥保管库的访问权限的屏幕截图。

Migrate

  1. 选择“迁移”以启动迁移过程。 出现提示时,选择“是”以确认要继续迁移。 迁移可能需要几分钟时间,具体取决于 Front Door(经典)配置文件的复杂度。

    Front Door 迁移和确认按钮的屏幕截图。

    注意

    如果取消迁移,则只会删除新的 Front Door 配置文件。 需要手动删除所有新的 WAF 策略副本。

  2. 迁移完成后,可以从成功消息中选择页面顶部的横幅或底部的链接,以转到新的 Front Door 配置文件。

    Front Door 成功迁移的屏幕截图。

  3. Front Door(经典)配置文件现已禁用,可以从订阅中删除。

    处于禁用状态的 Front Door(经典)概览页面的屏幕截图。

警告

迁移完成后,如果删除新配置文件,就将删除生产环境,这是不可逆转的更改。

更新 DNS 记录

旧的 Azure Front Door(经典)实例使用与 Azure Front Door 标准版和高级版不同的完全限定域名 (FQDN)。 例如,Azure Front Door(经典)终结点可能是 contoso.azurefd.net,而 Azure Front Door 标准版或高级版终结点可能是 contoso-mdjf2jfgjf82mnzx.z01.azurefd.net。 有关 Azure Front Door 标准版和高级版终结点的详细信息,请参阅 Azure Front Door 中的终结点

在迁移过程之前或迁移过程中,无需更新 DNS 记录。 Azure Front Door 自动将在 Azure Front Door(经典)终结点上接收的流量发送到 Azure Front Door 标准版或高级版配置文件,而无需进行任何配置更改。

但是,迁移完成后,强烈建议更新 DNS 记录,将流量定向到新 Azure Front Door 标准或高级终结点。 更改 DNS 记录有助于确保你的配置文件在将来继续工作。 DNS 记录中的更改将不会导致任何停机。 不需要提前计划此更新,可以在方便的时候安排。

后续步骤