Перемещение Шлюз приложений Azure и Брандмауэр веб-приложений (WAF) в другой регион

В этой статье рассматриваются рекомендуемые подходы, рекомендации и рекомендации по перемещению Шлюз приложений и WAF между регионами Azure.

Внимание

Действия повторного развертывания в этом документе применяются только к самому шлюзу приложений, а не к службам серверной части, к которым правила шлюза приложений относятся к маршрутизации трафика.

Необходимые компоненты

• Убедитесь, что подписка Azure позволяет создавать номера SKU Шлюз приложений в целевом регионе.

• Запланируйте стратегию перемещения с пониманием всех служб, необходимых для Шлюз приложений. Для служб, которые находятся в область перемещении, необходимо выбрать соответствующую стратегию перемещения.

  • Убедитесь, что в целевом расположении Шлюз приложений подсеть достаточно адресного пространства для размещения количества экземпляров, необходимых для обслуживания максимального ожидаемого трафика.

• Для развертывания Шлюз приложений необходимо рассмотреть и запланировать настройку следующих вложенных ресурсов:

  • Конфигурация внешнего интерфейса (общедоступный или частный IP-адрес)
  • Ресурсы серверного пула (например, виртуальные машины, Масштабируемые наборы виртуальных машин, службы приложение Azure)
  • Приватный канал
  • Сертификаты
  • Параметры диагностики
  • Оповещения

• Убедитесь, что в целевом расположении Шлюз приложений подсеть достаточно адресного пространства для размещения количества экземпляров, необходимых для обслуживания максимального ожидаемого трафика.

Повторное развертывание

Чтобы переместить Шлюз приложений и необязательный WAF, необходимо создать отдельное Шлюз приложений развертывание с новым общедоступным IP-адресом в целевом расположении. Затем рабочие нагрузки переносятся из исходного Шлюз приложений установки в новую. Так как вы изменяете общедоступный IP-адрес, также требуются изменения конфигурации DNS, виртуальных сетей и подсетей.

Если вы хотите переместить только для получения поддержки зон доступности, см. статью "Миграция Шлюз приложений и WAF в поддержку зоны доступности".

Чтобы создать отдельную Шлюз приложений, WAF (необязательно) и IP-адрес:

1. Переход на портал Azure.

2. Если вы используете завершение TLS для Key Vault, выполните процедуру перемещений для Key Vault. Убедитесь, что Хранилище ключей находится в той же подписке, что и перенесенные Шлюз приложений. Вы можете создать сертификат или использовать существующий сертификат для перемещенного Шлюз приложений.

3. Убедитесь, что виртуальная сеть перемещена перед перемещением. Сведения о перемещении виртуальной сети см. в статье "Перемещение Azure виртуальная сеть".

4. Убедитесь, что сервер внутреннего пула или служба, например виртуальная машина, Масштабируемые наборы виртуальных машин, PaaS, перемещается перед перемещением.

5. Создайте Шлюз приложений и настройте новый общедоступный IP-адрес внешнего интерфейса для виртуальной сети:

   • Без WAF: создание шлюза приложений.
   • С помощью WAF: создание шлюза приложений с помощью Брандмауэр веб-приложений

6. Если у вас есть конфигурация WAF или настраиваемая политика WAF, переключите ее на полную политику WAF.

7. Если вы используете сеть нулевого доверия (исходный регион) для веб-приложений с Брандмауэр Azure и Шлюз приложений, следуйте рекомендациям и стратегиям в сети нулевого доверия для веб-приложений с Брандмауэр Azure и Шлюз приложений.

8. Убедитесь, что Шлюз приложений и WAF работают должным образом.

9. Перенесите конфигурацию на новый общедоступный IP-адрес.

   1. Переключите общедоступные и частные конечные точки, чтобы указать новый шлюз приложений.
   2. Перенесите конфигурацию DNS на новый общедоступный и/или частный IP-адрес.
   3. Обновите конечные точки в потребительских приложениях и службах. Обновления приложений и служб потребителей обычно выполняются с помощью изменений свойств и повторного развертывания. Однако выполните этот метод всякий раз, когда новое имя узла используется в отношении развертывания в старом регионе.

10. Удалите исходные Шлюз приложений и ресурсы WAF.

Перемещение сертификатов для завершения TLS класса Premium (Шлюз приложений версии 2)

Сертификаты для завершения TLS можно предоставить двумя способами:

• Отправка. Предоставьте TLS/SSL-сертификат, отправив его непосредственно в Шлюз приложений.

• Справочник по Key Vault. Укажите ссылку на существующий сертификат Key Vault при создании прослушивателя с поддержкой HTTPS/TLS. Дополнительные сведения о скачивании сертификата см. в статье "Перемещение Key Vault в другой регион".

Предупреждение

Ссылки на Key Vault в других подписках Azure поддерживаются, но их необходимо настроить с помощью шаблона ARM, Azure PowerShell, CLI, Bicep и т. д. Конфигурация хранилища ключей между подписками не поддерживается Шлюз приложений через портал Azure.

Выполните документированную процедуру, чтобы включить завершение TLS с сертификатами Key Vault для перенесенных Шлюз приложений.