你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
关于 Azure Front Door(经典)到标准层/高级层的迁移
重要
Azure Front Door(经典版)将于 2027 年 3 月 31 日停用。 为了避免任何服务中断,请务必在 2027 年 3 月之前将 Azure Front Door(经典版)配置文件迁移到 Azure Front Door 标准层或高级层。 有关详细信息,请参阅 Azure Front Door(经典版)停用。
Azure Front Door 标准层和高级层作为下一代内容分发网络服务发布于 2022 年 3 月。 较新的层结合了 Azure Front Door(经典版)、Microsoft CDN(经典版)和 Web 应用程序防火墙 (WAF) 的功能。 借助专用链接集成、增强的规则引擎和高级诊断等功能,你可以保护和加速 Web 应用程序,从而为客户提供更好的体验。
建议将经典配置文件迁移到较新层之一,以便从新功能和改进中受益。 为了方便迁移到新层,Azure Front Door 提供了零停机时间迁移,用于将工作负载从 Azure Front Door(经典)迁移到标准层或高级层。
在本文中,你将了解迁移过程,了解涉及的中断性变更,以及在迁移之前、期间和之后要执行的操作。
迁移过程概述
迁移到 Azure Front Door 的标准层或高级层分三个或五个阶段进行,具体取决于你是否正在使用证书。 执行迁移所需的时间取决于 Azure Front Door(经典)配置文件的复杂性。 对于简单的 Azure Front Door 配置文件,迁移可能只需几分钟时间,对于具有多个前端域、后端池、路由规则和规则引擎规则的配置文件,迁移可能需要更长时间。
迁移阶段
验证兼容性
迁移工具会检查 Azure Front Door(经典)配置文件是否与迁移兼容。 如果验证失败,则系统会提供有关如何解决任何问题的建议,然后你可以再次进行验证。
Azure Front Door 标准层和高级层要求所有自定义域都使用 HTTPS。 如果你没有自己的证书,可以使用 Azure Front Door 托管的证书。 该证书是免费的,并且无需你自行管理。
在 Azure Front Door 标准或高级配置文件的源组设置中启用会话亲和性。 在 Azure Front Door(经典)中,会话亲和性是在域级别设置的。 作为迁移的一部分,会话亲和性基于 Front Door(经典)配置文件设置。 如果 Front Door(经典)配置文件中有两个域共享同一后端池,则会话亲和性必须在两个域之间保持一致才能使迁移验证通过。
如果正在为 Azure Front Door(经典)使用 BYOC(自带证书),则需要向 Key Vault 授予对 Azure Front Door 标准层或高级层的访问权限。 Azure Front Door 标准层或高级层需要此步骤才能访问 Key Vault 中的证书。 如果使用 Azure Front Door 托管证书,则无需授予 Key Vault 访问权限。
注意
Azure 政府云中的 Azure Front Door 标准版或高级版目前不支持托管证书。 需要对 Azure 政府云中的 Azure Front Door 标准版或高级版使用 BYOC,或者等待此功能可用。
准备迁移
Azure Front Door 将根据 Front Door(经典)配置文件的配置来创建新的标准或高级配置文件。 新的 Front Door 配置文件层取决于与配置文件关联的 Web 应用程序防火墙 (WAF) 策略设置。
高级层 - 如果具有与 Azure Front Door(经典)配置文件关联的托管 WAF 规则。
标准层 - 如果 WAF 策略只具有与 Azure Front Door(经典)配置文件关联的自定义 WAF 规则。
注意
迁移后,标准层 Front Door 配置文件可以升级到高级层。 但是,高级层 Front Door 配置文件在迁移后无法降级为标准层。
在准备阶段,Azure Front Door 会创建与 Front Door(经典)配置文件关联的每个 WAF 策略的副本。 WAF 策略层特定于要迁移到的层。 系统已为每个 WAF 策略提供默认名称,你可以在此阶段更改名称。 你还可以选择与要迁移到的层匹配的现有 WAF 策略,而不是创建副本。 准备阶段完成后,将提供新 Front Door 配置文件的只读视图,供你验证配置。
重要
启动准备阶段后,将无法更改 Front Door(经典)配置。
启用托管标识
在此步骤中,可以为 Azure Front Door 配置托管标识以访问 Azure Key Vault 中的证书。 如果正在为 Azure Front Door(经典)使用 BYOC(自带证书),则需要托管标识。 如果使用 Azure Front Door 托管证书,则无需授予 Key Vault 访问权限。
向托管标识授予对 Key Vault 的访问权限
此步骤可将托管标识添加到 Front Door(经典)配置文件中使用的所有 Azure Key Vault。
Migrate
迁移开始后,Azure Front Door(经典)配置文件将被禁用,并且将激活 Azure Front Door 标准或高级配置文件。 迁移完成后,流量将开始流经新配置文件。
如果你决定不再继续迁移过程,可以选择“中止迁移”。 中止迁移会删除已创建的新 Front Door 配置文件。 Azure Front Door(经典)配置文件将保持活动状态,你可以继续使用它。 需要手动删除任何 WAF 策略副本。
Azure Front Door 标准层或高级层的服务费将在迁移完成后开始计算。
迁移到标准层或高级层后的重大更改
重要
- 如果 Azure Front Door(经典版)配置文件有资格迁移到标准层,但资源数超过标准层配额限制,则会改为迁移到高级层。
- 如果使用 Azure PowerShell、Azure CLI、API 或 Terraform 进行迁移,则需要单独创建 WAF 策略。
Dev-ops
Azure Front Door 标准层和高级层使用不同的资源提供程序命名空间 Microsoft.Cdn,而 Azure Front Door(经典)则使用 Microsoft.Network。 迁移 Azure Front Door 配置文件后,需要更改 Dev-ops 脚本才能使用新的命名空间、更新的 Azure PowerShell 模块、CLI 命令和 API。
具有哈希值的终结点
生成 Azure Front Door 标准和高级终结点以包含哈希值,防止域被接管。 终结点名称的格式为 <endpointname>-<hashvalue>.z01.azurefd.net
。 Front Door(经典)终结点名称将在迁移后继续工作,但建议将其替换为新标准或高级配置文件中新创建的终结点名称。 有关详细信息,请参阅终结点域名。
日志和指标
不会迁移诊断日志和指标。 Azure Front Door 标准和高级日志字段不同于 Azure Front Door(经典)。 标准层和高级层具有运行状况探测日志记录,建议在迁移后启用诊断日志记录。 标准层和高级层还支持内置报表,这些报表将在迁移完成后开始显示数据。 有关详细信息,请参阅 Azure Front Door 报表。
Web 应用程序防火墙 (WAF)
为迁移选择的默认 Azure Front Door 层取决于 WAF 策略中包含的规则类型。 本部分将介绍 WAF 策略的不同规则类型的方案。
仅包含自定义规则的经典 WAF 策略 - 新的 Azure Front Door 配置文件默认为标准层,并且可以在迁移过程中升级到高级版。 如果使用门户进行迁移,则 Azure 将为标准层创建自定义 WAF 规则。 如果在迁移过程中升级到高级层,则会在迁移过程中创建自定义 WAF 规则。 如果要使用托管规则,则需要在迁移后手动添加托管 WAF 规则。
仅包含托管 WAF 规则或包含托管和自定义 WAF 规则的经典 WAF 策略 - 新的 Azure Front Door 配置文件默认为高级层,并且在迁移过程中无法降级。 如果要使用标准层,则需要删除 WAF 策略关联,或者从 Front Door(经典)WAF 策略中删除托管 WAF 规则。
注意
为避免在迁移过程中创建重复的 WAF 策略,迁移功能提供了创建副本或使用现有 Azure Front Door 标准或高级 WAF 策略的选项。
适用于 Azure Front Door WAF 的 Azure Policy
适用于 WAF 的 Azure Policy 不适用于 Azure Front Door 标准层和高级层。 Azure Policy 允许大规模地为组织设置和检查 WAF 标准。 此功能将在近期推出。
用于迁移的命名约定
在迁移期间,默认配置文件名称采用 <endpointprefix>-migrated
格式。 例如,名为 myEndpoint.azurefd.net
的 Azure Front Door(经典)终结点具有默认名称 myEndpoint-migrated
。
WAF 策略名称在经典 WAF 策略名称后附加了 -standard
或 -premium
。 例如,名为 contosoWAF1
的 Azure Front Door(经典)WAF 策略具有默认名称 contosoWAF1-premium
。 可以在迁移过程中重命名 Front Door 配置文件和 WAF 策略。 不支持重命名规则引擎配置和路由,系统会分配默认名称。
Azure Front Door 标准版和高级版中的规则引擎支持 URL 重定向和 URL 重写,而 Azure Front Door(经典版)通过路由规则提供支持。 在迁移期间,这两个规则在标准和高级配置文件中作为规则集规则创建。 这些规则命名为 urlRewriteMigrated
和 urlRedirectMigrated
。
资源状态
下表介绍了迁移过程的各个阶段,以及是否可以对配置文件进行更改。
迁移状态 | Front Door(经典版)资源状态 | 是否可以进行更改? | Front Door 标准版/高级版 | 是否可以进行更改? |
---|---|---|---|---|
迁移前 | 可用 | 是 | 空值 | 空值 |
验证兼容性 | 可用 | 是 | 空值 | 空值 |
准备迁移 | 迁移 | 否 | Creating | 否 |
提交迁移 | 迁移 | 否 | CommittingMigration | 否 |
提交迁移 | 是否迁移 | 否 | 可用 | 是 |
中止迁移 | AbortingMigration | 否 | 正在删除 | 否 |
已中止的迁移 | 可用 | 是 | Deleted | 不适用 |
后续步骤
- 了解 Azure Front Door 层之间的设置映射。
- 了解如何使用 Azure 门户从 Azure Front Door(经典)迁移到标准或高级层。
- 了解如何使用 Azure PowerShell 从 Azure Front Door(经典)迁移到标准或高级层。