共用方式為


將 Azure 應用程式閘道和 Web 應用程式防火牆 (WAF) 重新放置到另一個區域

有各種原因讓您想要將現有的 Azure 資源從某個區域移至另一個區域。 您可能想要:

  • 利用新的 Azure 區域。
  • 只部署特定區域中可用的功能或服務。
  • 符合內部原則和治理需求。
  • 與公司合併和收購保持一致
  • 符合容量規劃需求。

本文涵蓋在 Azure 區域之間重新放置應用程式閘道和 WAF 的建議方法、指導方針和做法。

重要

本文件中的重新部署步驟僅適用於應用程式閘道本身,而不適用於應用程式閘道規則路由流量的後端服務。

必要條件

  • 確認您的 Azure 訂用帳戶可讓您在目標區域中建立應用程式閘道 SKU。

  • 規劃您的重新配置策略,了解應用程式閘道所需的所有服務。 針對位於重新配置範圍內的服務,您必須選取適當的重新配置策略。

    • 確定目標位置的應用程式閘道子網路有足夠的位址空間,可容納處理最大預期流量所需的執行個體數目。
  • 針對應用程式閘道的部署,您必須考慮並規劃下列子資源的設定:

    • 前端設定 (公用/私人IP)
    • 後端集區資源 (例如VM、虛擬機器擴展集、Azure App Services)
    • 私人連結
    • 憑證
    • 診斷設定
    • 警示通知
  • 確定目標位置的應用程式閘道子網路有足夠的位址空間,可容納處理最大預期流量所需的執行個體數目。

重新部署

若要重新配置應用程式閘道和選擇性 WAF,您必須在目標位置建立具有新公用 IP 位址的個別應用程式閘道部署。 工作負載接著會從來源應用程式閘道設定移轉至新的設定。 因為您要變更公用 IP 位址,因此也需要變更 DNS 設定、虛擬網路和子網路。

如果您只想重新放置以取得可用性區域支援,請參閱將應用程式閘道和 WAF 移轉至可用性區域支援

若要建立個別的應用程式閘道、WAF (選用) 和 IP 位址:

  1. 前往 Azure 入口網站

  2. 如果您使用 Key Vault 的 TLS 終止,請遵循 Key Vault 的重新配置程序。 請確定 Key Vault 與重新放置的應用程式閘道位於相同的訂用帳戶中。 您可以建立新的憑證,或使用現有的憑證來重新放置應用程式閘道。

  3. 在重新置放之前,請確認虛擬網路已重新放置。 若要了解如何重新放置虛擬網路,請參閱重新放置 Azure 虛擬網路

  4. 確認後端集區伺服器或服務,例如 VM、虛擬機器擴展集、PaaS,會在您重新置放之前重新放置。

  5. 建立應用程式閘道,並設定虛擬網路的新前端公用 IP 位址:

  6. 如果您有 WAF 設定或僅限自訂規則的 WAF 原則,請將其轉換為完整的 WAF 原則

  7. 如果您針對具有 Azure 防火牆和應用程式閘道的 Web 應用程式使用零信任網路 (來源區域),請遵循適用於 Web 應用程式具有 Azure 防火牆和應用程式閘道的零信任網路中的指導方針和策略。

  8. 驗證應用程式閘道和 WAF 是否如預期般運作。

  9. 將您的設定移轉至新的公用 IP 位址。

    1. 切換公用和私人端點,以指向新的應用程式閘道。
    2. 將您的 DNS 設定移轉至新的公用和/或私人 IP 位址。
    3. 更新取用者應用程式/服務中的端點。 取用者應用程式/服務更新通常是透過屬性變更和重新部署來完成。 不過,每當新主機名稱用於舊區域中的部署時,請執行此方法。
  10. 刪除來源應用程式閘道和 WAF 資源。

重新放置進階 TLS 終止 (應用程式閘道 v2) 的憑證

TLS 終止的憑證可透過兩種方式提供:

  • 上傳。 直接將 TLS/SSL 憑證上傳至您的應用程式閘道,以提供 TLS/SSL 憑證。

  • Key Vault 參考。 當您建立已啟用 HTTPS/TLS 的接聽程式時,請提供現有 Key Vault 憑證的參考。 如需下載憑證的詳細資訊,請參閱將 Key Vault 重新放置到另一個區域

警告

支援其他 Azure 訂用帳戶中的 Key Vault 參考,但必須透過 ARM 範本、Azure PowerShell、CLI、Bicep 等設定。應用程式閘道不支援透過 Azure 入口網站跨訂用帳戶設定金鑰保存庫。

請遵循記載的程序,針對您重新放置的應用程式閘道,使用 Key Vault 憑證啟用 TLS 終止