關於 Azure Front Door (傳統) 至標準/進階層的移轉 (英文)
重要
Azure Front Door(傳統版)將於 2027 年 3 月 31 日淘汰。 為了避免任何服務中斷,請務必在 2027 年 3 月之前將 Azure Front Door (傳統) 配置檔移轉至 Azure Front Door Standard 或 進階版 層。 如需詳細資訊,請參閱 Azure Front Door(傳統版)淘汰。
Azure Front Door Standard 和 進階版 層於 2022 年 3 月發行,成為下一代內容傳遞網路服務。 較新的層結合了 Azure Front Door(傳統)、Microsoft CDN(傳統)和 Web 應用程式防火牆 (WAF) 的功能。 透過 Private Link 整合、增強的規則引擎和進階診斷等功能,您能夠保護及加速 Web 應用程式,為您的客戶帶來更好的體驗。
建議您將傳統配置檔移轉至其中一個較新的層,以受益於新功能和改善。 為了簡化移至新層,Azure Front Door 提供零停機時間移轉,將您的工作負載從 Azure Front Door(傳統)移至標準或 進階版。
在本文中,您將瞭解移轉程式、了解相關的重大變更,以及移轉前後要執行的動作。
移轉處理序概觀
移轉至 Azure Front Door 的標準或 進階版 層,會根據您使用憑證而定,在三或五個階段中發生。 移轉所需的時間取決於 Azure Front Door (傳統) 配置檔的複雜度。 對於具有多個前端網域、後端集區、路由規則和規則引擎規則的配置檔,您可以預期移轉需要幾分鐘的時間,以取得簡單的 Azure Front Door 配置檔。
移轉階段
驗證相容性
移轉工具會檢查您的 Azure Front Door (傳統) 設定檔是否與移轉相容。 如果驗證失敗,系統會提供有關如何解決任何問題的建議,才能再次驗證。
Azure Front Door Standard 和 進階版 需要所有自定義網域才能使用 HTTPS。 如果您沒有自己的憑證,您可以使用 Azure Front Door 受控憑證。 憑證是免費的,併為您管理。
會話親和性會在 Azure Front Door Standard 或 進階版 設定檔的原始群組設定中啟用。 在 Azure Front Door(傳統版)中,會話親和性是在網域層級設定。 在移轉過程中,會話親和性是以 Front Door (傳統) 配置檔設定為基礎。 如果您的 Front Door (傳統) 配置檔中有兩個網域共用相同的後端集區,會話親和性必須在這兩個網域之間保持一致,才能通過移轉驗證。
如果您針對 Azure Front Door(傳統版)使用 BYOC(自備憑證),則必須將 Azure Front Door Standard 或 進階版 的存取權授與 金鑰保存庫。 Azure Front Door Standard 或 進階版 需要此步驟,才能在 金鑰保存庫 中存取您的憑證。 如果您使用 Azure Front Door 受控憑證,則不需要授與 金鑰保存庫 存取權。
注意
Azure Government Cloud 中的 Azure Front Door Standard 或 進階版 目前不支援受控憑證。 您必須在 Azure Government Cloud 中使用 BYOC for Azure Front Door Standard 或 進階版,或等到這項功能可用為止。
為移轉做準備
Azure Front Door 會根據您的 Front Door (傳統) 配置檔組態,建立新的標準或 進階版 配置檔。 新的 Front Door 設定檔層取決於您與設定檔相關聯的 Web 應用程式防火牆 (WAF) 原則設定。
進階版 - 如果您的 WAF 原則已管理與 Azure Front Door (傳統) 設定檔相關聯的 WAF 規則。
標準 - 如果您的 WAF 原則只有 與 Azure Front Door (傳統) 配置文件相關聯的自定義 WAF 規則 。
注意
移轉之後,標準層 Front Door 配置檔 可以 升級至進階層。 不過,在移轉之後,進階層 Front Door 配置檔 無法 降級為標準層。
在準備階段,Azure Front Door 會建立與 Front Door (傳統) 配置文件相關聯的每個 WAF 原則複本。 WAF 原則層專屬於您要移轉至的層級。 每個 WAF 原則都會提供預設名稱,您可以在此階段變更名稱。 您也可以選取符合您要移轉至之層級的現有 WAF 原則,而不是建立複本。 準備階段完成後,會提供新 Front Door 配置檔的只讀檢視,讓您驗證設定。
重要
一旦開始準備階段,您將無法變更 Front Door (傳統) 設定。
啟用受控識別
在此步驟中,您會設定 Azure Front Door 的受控識別,以存取 Azure 金鑰保存庫 中的憑證。 如果您使用 BYOC(攜帶您自己的憑證)進行 Azure Front Door(傳統版),則需要受控識別。 如果您使用 Azure Front Door 受控憑證,則不需要授與 金鑰保存庫 存取權。
將受控識別授與 金鑰保存庫
此步驟會將受控識別存取新增至 Front Door (傳統) 配置檔中使用的所有 Azure 金鑰保存庫。
移轉
移轉開始后,Azure Front Door (傳統) 配置檔會停用,並啟用 Azure Front Door Standard 或 進階版 配置檔。 移轉完成後,流量就會開始流經新的配置檔。
如果您決定不想再繼續進行移轉程式,您可以選取 [中止移轉]。 中止移轉會刪除已建立的新 Front Door 配置檔。 Azure Front Door (傳統) 配置檔會保持作用中,而且您可以繼續使用它。 任何 WAF 原則複本都必須手動刪除。
Azure Front Door Standard 或 進階版 層的服務費用會在移轉完成後啟動。
移轉至標準層或 進階版 層時的重大變更
重要
- 如果您的 Azure Front Door (傳統) 配置檔可以符合移轉至標準層的資格,但資源數目超過標準層配額限制,則會改為移轉至 進階版 層。
- 如果您使用 Azure PowerShell、Azure CLI、API 或 Terraform 來執行移轉,則必須個別建立 WAF 原則。
Dev-ops
Azure Front Door Standard 和 進階版 使用不同的 Microsoft.Cdn 資源提供者命名空間,而 Azure Front Door (傳統)則使用 Microsoft.Network。 移轉 Azure Front Door 設定文件之後,您必須變更 Dev-ops 腳本,以使用新的命名空間、更新的 Azure PowerShell 模組、CLI 命令和 API。
具有哈希值的端點
系統會產生 Azure Front Door Standard 和 進階版 端點,以包含哈希值,以防止您的網域被接管。 端點名稱的格式為 <endpointname>-<hashvalue>.z01.azurefd.net。 Front Door (傳統) 端點名稱會在移轉後繼續運作,但建議您將它取代為您新建立的標準或 進階版 配置檔中的新建立端點名稱。 如需詳細資訊,請參閱 端點功能變數名稱。
記錄和計量
診斷記錄和計量不會移轉。 Azure Front Door Standard 和 進階版 記錄字段與 Azure Front Door (傳統) 不同。 標準和 進階版 層具有熱度探查記錄,建議您在移轉之後啟用診斷記錄。 標準和 進階版 層也支援內建報表,這些報表會在移轉完成後開始顯示數據。 如需詳細資訊,請參閱 Azure Front Door 報告。
Web Application Firewall (WAF)
針對移轉選取的預設 Azure Front Door 層,取決於 WAF 原則中包含的規則類型。 在本節中,我們將討論 WAF 原則的不同規則類型案例。
只有自定義規則的傳統 WAF 原則 - 新的 Azure Front Door 配置檔預設為標準層,而且可以在移轉期間升級至 進階版。 如果您使用入口網站進行移轉,Azure 會建立標準的自定義 WAF 規則。 如果您在移轉期間升級至 進階版,自定義 WAF 規則會建立為移轉程式的一部分。 如果您想要使用受控規則,則必須在移轉後手動新增受控 WAF 規則。
只有受控 WAF 規則的傳統 WAF 原則,或受控和自定義 WAF 規則 - 新的 Azure Front Door 配置檔預設為 進階版 層,而且無法在移轉期間降級。 如果您想要使用標準層,則必須從 Front Door (傳統) WAF 原則中移除 WAF 原則關聯或刪除受控 WAF 規則。
注意
為了避免在移轉期間建立重複的 WAF 原則,移轉功能會提供建立複本或使用現有 Azure Front Door Standard 或 進階版 WAF 原則的選項。
適用於 Azure Front Door WAF 的 Azure 原則
WAF 的 Azure 原則 不適用於 Azure Front Door Standard 和 進階版。 Azure 原則 可讓您大規模設定及檢查組織的 WAF 標準。 這項功能將在近期內提供。
用於移轉的命名慣例
在移轉期間,預設配置檔名稱會以 的格式 <endpointprefix>-migrated使用。 例如,名為 myEndpoint.azurefd.net的 Azure Front Door(傳統)端點,預設名稱為 myEndpoint-migrated。
WAF 原則名稱已 -standard 或 -premium 附加至傳統 WAF 原則名稱。 例如,名為 contosoWAF1的 Front Door (傳統) WAF 原則具有 的預設名稱 contosoWAF1-premium。 您可以在移轉程式期間重新命名 Front Door 設定檔和 WAF 原則。 不支援重新命名規則引擎組態和路由,而是指派預設名稱。
AZURE Front Door Standard 和 進階版 中的規則引擎支援 URL 重新導向和 URL 重寫,而 Azure Front Door (傳統)則透過路由規則支持它們。 在移轉期間,這兩個規則會在 Standard 和 進階版 配置檔中建立為規則集規則。 這些規則命名為 urlRewriteMigrated 與 。 urlRedirectMigrated
資源狀態
下表說明移轉程序的各種階段,以及是否可以對設定檔進行變更。
| 移轉狀態 | Front Door (傳統) 資源狀態 | 是否可以進行變更? | Front Door 標準/進階 | 是否可以進行變更? |
|---|---|---|---|---|
| 移轉前 | 使用中 | 是 | N/A | N/A |
| 驗證相容性 | 使用中 | 是 | N/A | N/A |
| 為移轉做準備 | 移轉 | 否 | 建立中 | No |
| 認可移轉 | 移轉 | 否 | CommittingMigration | No |
| 認可移轉 | 已移轉 | 否 | 使用中 | Yes |
| 中止移轉 | AbortingMigration | 否 | 刪除中 | No |
| 中止的移轉 | 使用中 | 是 | 已刪除 | N/A |