你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
将 Azure 应用程序网关和 Web 应用程序防火墙 (WAF) 迁移到另一区域
出于多种原因,你可能希望将现有 Azure 资源从一个区域移到另一个区域。 你可以采取以下建议:
- 利用新的 Azure 区域。
- 部署仅在特定区域可用的功能和服务。
- 满足内部策略和治理要求。
- 与公司合并和收购保持一致
- 满足容量计划要求。
本文介绍在 Azure 区域之间迁移应用程序网关和 WAF 的建议方法、指南和做法。
重要
本文档中的重新部署步骤仅适用于应用程序网关本身,而不适用于应用程序网关规则将流量路由到的后端服务。
先决条件
确认 Azure 订阅允许在目标区域中创建应用程序网关 SKU。
先了解应用程序网关所需的所有服务再规划迁移策略。 必须对于迁移涉及的服务选择适当的迁移策略。
- 应确保目标位置的应用程序网关子网有足够的地址空间来容纳处理最大预期流量所需的实例数。
对于应用程序网关的部署,必须考虑并规划以下子资源的设置:
- 前端配置(公共/专用 IP)
- 后端池资源(例如VM、虚拟机规模集,Azure 应用服务)
- 专用链接
- Certificates
- 诊断设置
- 警报通知
应确保目标位置的应用程序网关子网有足够的地址空间来容纳处理最大预期流量所需的实例数。
重新部署
若要迁移应用程序网关和 WAF(可选项),必须在目标位置使用新的公共 IP 地址创建单独的应用程序网关部署。 然后将工作负载从原来的应用程序网关设置迁移到新设置。 由于要更改公共 IP 地址,因此需要更改 DNS 配置、虚拟网络和子网。
如果只是为了获得可用性区域支持而迁移,请参阅将应用程序网关和 WAF 迁移到可用性区域支持。
若要创建单独的应用程序网关、WAF(可选)和 IP 地址:
转到 Azure 门户。
如果为密钥保管库使用 TLS 终止,请按照密钥保管库的迁移程序进行操作。 确保密钥保管库与被迁移的应用程序网关位于同一订阅中。 可以为被迁移的应用程序网关创建新证书或使用现有证书。
在迁移之前,请确认虚拟网络已迁移。 若要了解如何迁移虚拟网络,请参阅迁移 Azure 虚拟网络。
在迁移之前,确认后端池服务器或 VM、虚拟机规模集、PaaS 等服务已迁移。
创建应用程序网关并为虚拟网络配置新的前端公共 IP 地址:
- 无 WAF:创建应用程序网关。
- 有 WAF:使用 Web 应用程序防火墙创建应用程序网关
如果有 WAF 配置或仅限自定义规则的 WAF 策略,将配置或策略转换为完整的 WAF 策略。
如果具有 Azure 防火墙和应用程序网关的 Web 应用程序使用零信任网络(源区域),请遵循具有 Azure 防火墙和应用程序网关的 Web 应用程序零信任网络中的指引和策略。
确认应用程序网关和 WAF 正常工作。
将配置迁移到新的公共 IP 地址。
- 切换公共终结点和专用终结点以指向新的应用程序网关。
- 将 DNS 配置迁移到新的公共和/或专用 IP 地址。
- 更新使用者应用程序/服务中的终结点。 通常通过更改属性和重新部署来更新使用者应用程序/服务。 但是,如果在旧区域部署中使用新的主机名,请务必执行此方法。
删除源头的应用程序网关和 WAF 资源。
迁移高级 TLS 终止的证书(应用程序网关 v2)
可以通过两种方式提供 TLS 终止证书:
上传。 通过直接将 TLS/SSL 证书上传到应用程序网关来提供。
密钥保管库引用。 在创建启用 HTTPS/TLS 的侦听器时,引用现有的密钥保管库证书。 有关下载证书的详细信息,请参阅将密钥保管库迁移到另一个区域。
警告
支持引用其他 Azure 订阅中的密钥保管库,但必须通过 ARM 模板、Azure PowerShell、CLI、Bicep 等进行配置。应用程序网关不支持通过 Azure 门户跨订阅配置密钥保管库。
按照文中的程序为已迁移的应用程序网关使用密钥保管库证书启用 TLS 终止。