關於 Azure Front Door (傳統) 至標準/進階層的移轉 (英文)
重要
Azure Front Door (傳統) 將於 2027 年 3 月 31 日遭到淘汰。 為了避免任何服務中斷,請務必在 2027 年 3 月之前,將 Azure Front Door (傳統) 設定檔移轉至 Azure Front Door 標準或進階層。 如需詳細資訊,請參閱 Azure Front Door (傳統版) 淘汰。
Azure Front Door 標準層和進階層在 2022 年 3 月發行,做為新一代的內容傳遞網路服務。 較新的層結合 Azure Front Door (傳統)、Microsoft CDN (傳統),以及 Web 應用程式防火牆 (WAF) 的功能。 使用 Private Link 整合、增強的規則引擎和進階診斷等功能,您可以保護及加速您的 Web 應用程式,為客戶帶來更好的體驗。
建議您將傳統設定檔移轉至其中一個較新的階層,以受益於新功能和改善。 為了讓您能夠輕鬆移至新的階層,Azure Front Door 提供了零停機移轉,以將您的工作負載從 Azure Front Door (傳統) 移至標準層或進階層。
在本文中,您將學習到移轉程序、了解涉及的重大變更,以及移轉期間和之後要執行的動作。
移轉處理序概觀
根據您是否使用憑證而定,Azure Front Door 的標準層或進階層移轉會在三個或五個階段中發生。 移轉所需的時間取決於 Azure Front Door (傳統) 設定檔的複雜度。 對於簡單的 Azure Front Door 設定檔而言,您可以預期移轉只需要幾分鐘的時間,對於具有多個前端網域、後端集區、路由規則和規則引擎規則的設定檔,則可以預期需要較長的時間。
移轉階段
驗證相容性
移轉工具會檢查您的 Azure Front Door (傳統) 設定檔是否與移轉相容。 如果驗證失敗,系統會提供有關如何解決問題才能再次驗證的建議。
Azure Front Door 標準層和進階層會要求所有自訂網域使用 HTTPS。 如果您沒有自己的憑證,則可以使用 Azure Front Door 受控憑證。 此憑證可免費使用,並由系統為您管理。
工作階段親和性會在 Azure Front Door 標準層或進階層設定檔的來源群組設定中啟用。 在 Azure Front Door (傳統) 中,工作階段親和性是在網域層級進行設定。 在移轉期間,工作階段親和性是以 Front Door (傳統) 設定檔的設定為基礎。 如果您的 Front Door (傳統) 設定檔中有兩個網域共用相同的後端集區,則跨這兩個網域的工作階段親和性必須一致,才能通過移轉驗證。
如果您針對 Azure Front Door (傳統) 使用 BYOC (自備憑證),則必須授與 Key Vault 存取權給 Azure Front Door 標準層或進階層。 Azure Front Door 標準層或進階層需要此步驟才能存取 Key Vault 中的憑證。 如果您使用 Azure Front Door 受控憑證,則不必授與 Key Vault 存取權。
注意
在 Azure Government Cloud 中,Azure Front Door 標準或進階層目前「不支援」受控憑證。 您必須針對 Azure Government Cloud 中的 Azure Front Door Standard 或 Premium 使用 BYOC,或等到這項功能可用為止。
為移轉做準備
Azure Front Door 會根據您的 Front Door (傳統) 設定檔組態,建立新的標準層或進階層設定檔。 新的 Front Door 設定檔層取決於您與設定檔相關聯的 Web 應用程式防火牆 (WAF) 原則設定。
進階層 - 如果您的 WAF 原則具有與 Azure Front Door (傳統) 設定檔相關聯的受控 WAF 規則。
標準層 - 如果您的 WAF 原則只有與 Azure Front Door (傳統) 設定檔相關聯的自訂 WAF 規則。
注意
在移轉後,標準層 Front Door 設定檔可以升級為進階層。 不過,在移轉後,進階層 Front Door 設定檔無法降級為標準層。
在準備階段,Azure Front Door 會為與 Front Door (傳統) 設定檔相關聯的每個 WAF 原則建立複本。 WAF 原則階層專屬於您要移轉至的階層。 系統會為每個 WAF 原則提供預設名稱,您可以在此階段變更該名稱。 您也可以選取符合您要移轉至之階層的現有 WAF 原則,而不建立複本。 準備階段完成後,系統會提供新 Front Door 設定檔的唯讀檢視,以供您驗證組態。
重要
一旦起始準備階段,就無法再變更 Front Door (傳統) 組態。
啟用受控識別
此步驟進行期間,您會為 Azure Front Door 設定用來存取 Azure Key Vault 中憑證的受控識別。 如果您針對 Azure Front Door (傳統) 使用 BYOC (自備憑證),則需要受控識別。 如果您使用 Azure Front Door 受控憑證,則不必授與 Key Vault 存取權。
向 Key Vault 授與受控識別
此步驟會向受控識別新增 Front Door (傳統) 設定檔中所使用的所有 Azure Key Vault 的存取權。
移轉
移轉開始後,系統會停用 Azure Front Door (傳統) 設定檔,並啟用 Azure Front Door 標準層或進階層設定檔。 移轉完成後,流量會開始流經新的設定檔。
如果您決定不再繼續進行移轉程序,則可以選取 [中止移轉]。 中止移轉會刪除已建立的新 Front Door 設定檔。 Azure Front Door (傳統) 設定檔會保持啟用,而且您可以繼續使用它。 所有 WAF 原則複本則必須手動刪除。
移轉完成後,Azure Front Door 標準層或進階層的服務會開始計費。
移轉至標準層或進階層時的中斷性變更
重要
- 如果您的 Azure Front Door (傳統) 設定檔可以符合移轉至標準層的資格,但資源數目超過標準層配額限制,則會改為移轉至進階層。
- 如果您使用 Azure PowerShell、Azure CLI、API 或 Terraform 來執行移轉,則需要個別建立 WAF 原則。
Dev-ops
Azure Front Door 標準層和進階層會使用不同的 Microsoft.Cdn 資源提供者命名空間,而 Azure Front Door (傳統) 會使用 Microsoft.Network。 移轉 Azure Front Door 設定檔之後,您必須變更 Dev-ops 指令碼,以使用新的命名空間、更新後的 Azure PowerShell 模組、CLI 命令和 API。
具有雜湊值的端點
系統會產生 Azure Front Door 標準和進階端點,以包含雜湊值,以防止您的網域遭受接管。 端點名稱的格式為 <endpointname>-<hashvalue>.z01.azurefd.net。 Front Door (傳統) 端點名稱會在移轉後繼續運作,但建議您將其取代為新標準層或進階層設定檔中新建立的端點名稱。 如需詳細資訊,請參閱端點網域名稱。
記錄和計量
診斷記錄和計量不會移轉。 Azure Front Door 標準層和進階層記錄欄位會與 Azure Front Door (傳統) 不同。 標準層和進階層具有健全狀態探查記錄,建議您在移轉後啟用診斷記錄。 標準層和進階層也支援內建報告,完成移轉後,就會開始顯示資料。 如需詳細資訊,請參閱 Azure Front Door 報告。
Web Application Firewall (WAF)
為移轉選取的預設 Azure Front Door 階層取決於 WAF 原則中包含的規則類型。 在本節中,我們會討論某個 WAF 原則不同規則類型的案例。
只有自訂規則的傳統 WAF 原則 - 新的 Azure Front Door 設定檔預設為標準層,而且可以在移轉期間升級至進階層。 如果您使用入口網站進行移轉,Azure 會為標準層建立自訂 WAF 規則。 如果您在移轉期間升級至進階層,則會在移轉過程中建立自訂 WAF 規則。 如果您想要使用受控規則,則必須在移轉後手動新增受控 WAF 規則。
只有受控 WAF 規則或同時有受控和自訂 WAF 規則的傳統 WAF 原則 - 新的 Azure Front Door 設定檔預設為進階層,且無法在移轉期間降級。 如果您想要使用標準層,則必須移除 WAF 原則關聯或從 Front Door (傳統) WAF 原則中刪除受控 WAF 規則。
注意
為了避免在移轉期間建立重複的 WAF 原則,移轉功能會提供建立複本或重複使用現有 Azure Front Door 標準層或進階層 WAF 原則的選項。
適用於 Azure Front Door WAF 的 Azure 原則
適用於 WAF 的 Azure 原則不適用於 Azure Front Door 標準層和進階層。 Azure 原則可讓您大規模地設定及檢查組織的 WAF 標準。 這項功能會在不久後正式提供。
用於移轉的命名慣例
在移轉期間,預設設定檔名稱的使用格式為 <endpointprefix>-migrated。 例如,名為 myEndpoint.azurefd.net 的 Azure Front Door (傳統) 端點,預設名稱為 myEndpoint-migrated。
WAF 原則名稱會在傳統 WAF 原則名稱後面附加 -standard 或 -premium。 例如,名為 contosoWAF1 的 Front Door (傳統) WAF 原則,預設名稱為 contosoWAF1-premium。 您可以在移轉過程中重新命名 Front Door 設定檔和 WAF 原則。 不支援重新命名規則引擎組態和路由,而是會指派預設名稱。
在 Azure Front Door 標準和進階中,透過規則引擎支援 URL 重新導向和 URL 重寫,而 Azure Front Door (傳統) 則是透過路由規則支援。 在移轉期間,這兩個規則會在標準層和進階層設定檔中建立為規則集規則。 這些規則的命名為 urlRewriteMigrated 和 urlRedirectMigrated。
資源狀態
下表說明移轉程序的各種階段,以及是否可以對設定檔進行變更。
| 移轉狀態 | Front Door (傳統) 資源狀態 | 是否可以進行變更? | Front Door 標準/進階 | 是否可以進行變更? |
|---|---|---|---|---|
| 移轉前 | 使用中 | 是 | N/A | N/A |
| 驗證相容性 | 使用中 | 是 | N/A | N/A |
| 為移轉做準備 | 移轉 | 否 | 建立中 | No |
| 認可移轉 | 移轉 | 否 | CommittingMigration | No |
| 已認可移轉 | 已移轉 | 否 | 使用中 | Yes |
| 中止移轉 | AbortingMigration | 否 | 刪除中 | No |
| 已中止移轉 | 使用中 | 是 | 已刪除 | N/A |
下一步
- 了解 Azure Front Door 階層之間的設定對應。
- 了解如何使用 Azure 入口網站從 Azure Front Door (傳統) 移轉至標準層或進階層。
- 了解如何使用 Azure PowerShell 從 Azure Front Door (傳統) 移轉至標準層或進階層。