將 Azure 應用程式閘道和 Web 應用程式防火牆 (WAF) 重新放置到另一個區域
有各種原因讓您想要將現有的 Azure 資源從某個區域移至另一個區域。 您可能想要:
- 利用新的 Azure 區域。
- 只部署特定區域中可用的功能或服務。
- 符合內部原則和治理需求。
- 與公司合併和收購保持一致
- 符合容量規劃需求。
本文涵蓋在 Azure 區域之間重新放置應用程式閘道和 WAF 的建議方法、指導方針和做法。
重要
本文件中的重新部署步驟僅適用於應用程式閘道本身,而不適用於應用程式閘道規則路由流量的後端服務。
必要條件
確認您的 Azure 訂用帳戶可讓您在目標區域中建立應用程式閘道 SKU。
規劃您的重新配置策略,了解應用程式閘道所需的所有服務。 針對位於重新配置範圍內的服務,您必須選取適當的重新配置策略。
- 確定目標位置的應用程式閘道子網路有足夠的位址空間,可容納處理最大預期流量所需的執行個體數目。
針對應用程式閘道的部署,您必須考慮並規劃下列子資源的設定:
- 前端設定 (公用/私人IP)
- 後端集區資源 (例如VM、虛擬機器擴展集、Azure App Services)
- 私人連結
- 憑證
- 診斷設定
- 警示通知
確定目標位置的應用程式閘道子網路有足夠的位址空間,可容納處理最大預期流量所需的執行個體數目。
重新部署
若要重新配置應用程式閘道和選擇性 WAF,您必須在目標位置建立具有新公用 IP 位址的個別應用程式閘道部署。 工作負載接著會從來源應用程式閘道設定移轉至新的設定。 因為您要變更公用 IP 位址,因此也需要變更 DNS 設定、虛擬網路和子網路。
如果您只想重新放置以取得可用性區域支援,請參閱將應用程式閘道和 WAF 移轉至可用性區域支援。
若要建立個別的應用程式閘道、WAF (選用) 和 IP 位址:
前往 Azure 入口網站。
如果您使用 Key Vault 的 TLS 終止,請遵循 Key Vault 的重新配置程序。 請確定 Key Vault 與重新放置的應用程式閘道位於相同的訂用帳戶中。 您可以建立新的憑證,或使用現有的憑證來重新放置應用程式閘道。
在重新置放之前,請確認虛擬網路已重新放置。 若要了解如何重新放置虛擬網路,請參閱重新放置 Azure 虛擬網路。
確認後端集區伺服器或服務,例如 VM、虛擬機器擴展集、PaaS,會在您重新置放之前重新放置。
建立應用程式閘道,並設定虛擬網路的新前端公用 IP 位址:
- 沒有 WAF:建立應用程式閘道。
- 有 WAF:建立具有 Web 應用程式防火牆的應用程式閘道
如果您有 WAF 設定或僅限自訂規則的 WAF 原則,請將其轉換為完整的 WAF 原則。
如果您針對具有 Azure 防火牆和應用程式閘道的 Web 應用程式使用零信任網路 (來源區域),請遵循適用於 Web 應用程式具有 Azure 防火牆和應用程式閘道的零信任網路中的指導方針和策略。
驗證應用程式閘道和 WAF 是否如預期般運作。
將您的設定移轉至新的公用 IP 位址。
- 切換公用和私人端點,以指向新的應用程式閘道。
- 將您的 DNS 設定移轉至新的公用和/或私人 IP 位址。
- 更新取用者應用程式/服務中的端點。 取用者應用程式/服務更新通常是透過屬性變更和重新部署來完成。 不過,每當新主機名稱用於舊區域中的部署時,請執行此方法。
刪除來源應用程式閘道和 WAF 資源。
重新放置進階 TLS 終止 (應用程式閘道 v2) 的憑證
TLS 終止的憑證可透過兩種方式提供:
上傳。 直接將 TLS/SSL 憑證上傳至您的應用程式閘道,以提供 TLS/SSL 憑證。
Key Vault 參考。 當您建立已啟用 HTTPS/TLS 的接聽程式時,請提供現有 Key Vault 憑證的參考。 如需下載憑證的詳細資訊,請參閱將 Key Vault 重新放置到另一個區域。
警告
支援其他 Azure 訂用帳戶中的 Key Vault 參考,但必須透過 ARM 範本、Azure PowerShell、CLI、Bicep 等設定。應用程式閘道不支援透過 Azure 入口網站跨訂用帳戶設定金鑰保存庫。
請遵循記載的程序,針對您重新放置的應用程式閘道,使用 Key Vault 憑證啟用 TLS 終止。