نقل بوابة تطبيق Azure وجدار حماية تطبيق الويب (WAF) إلى منطقة أخرى

هناك أسباب مختلفة وراء رغبتك في نقل موارد Azure الحالية من منطقة إلى أخرى. قد ترغب في:

• استفد من منطقة Azure جديدة.
• نشر الميزات أو الخدمات المتوفرة في مناطق معينة فقط.
• تلبية متطلبات السياسة الداخلية والحوكمة.
• التوافق مع عمليات الدمج والاستحواذ الخاصة بالشركات
• تلبية متطلبات تخطيط السعة.

تتناول هذه المقالة النهج والإرشادات والممارسات الموصى بها لنقل Application Gateway وWAF بين مناطق Azure.

المتطلبات الأساسية

• تحقق من أن اشتراك Azure يسمح لك بإنشاء وحدات SKU لبوابة التطبيق في المنطقة المستهدفة.

• خطط لاستراتيجية النقل الخاصة بك مع فهم جميع الخدمات المطلوبة لبوابة التطبيق الخاصة بك. بالنسبة للخدمات التي تقع في نطاق النقل، يجب عليك تحديد استراتيجية النقل المناسبة.

  • تأكد من أن الشبكة الفرعية لبوابة التطبيق في الموقع الهدف تحتوي على مساحة عنوان كافية لاستيعاب عدد المثيلات المطلوبة لخدمة الحد الأقصى لحركة المرور المتوقعة.

• لنشر بوابة التطبيق، يجب مراعاة وتخطيط إعداد الموارد الفرعية التالية:

  • تكوين الواجهة الأمامية (IP عام/خاص)
  • موارد تجمع الخلفية (على سبيل المثال، الأجهزة الظاهرية، مجموعات مقياس الجهاز الظاهري، خدمات تطبيقات Azure)
  • Private Link
  • الشهادات
  • Diagnostic Settings
  • إعلامات التنبيه

• تأكد من أن الشبكة الفرعية لبوابة التطبيق في الموقع الهدف تحتوي على مساحة عنوان كافية لاستيعاب عدد المثيلات المطلوبة لخدمة الحد الأقصى لحركة المرور المتوقعة.

إعادة التوزيع

لنقل Application Gateway و WAF الاختياري، يجب إنشاء توزيع Application Gateway منفصل بعنوان IP عام جديد في الموقع الهدف. ثم يتم ترحيل أحمال العمل من إعداد Application Gateway المصدر إلى الإعداد الجديد. نظرا لأنك تقوم بتغيير عنوان IP العام، يلزم أيضا إجراء تغييرات على تكوين DNS والشبكات الظاهرية والشبكات الفرعية.

إذا كنت ترغب فقط في الانتقال من أجل الحصول على دعم مناطق التوفر، راجع ترحيل Application Gateway وWAF إلى دعم منطقة التوفر.

لإنشاء بوابة تطبيق منفصلة، WAF (اختياري) وعنوان IP:

1. انتقل إلى مدخل Azure.

2. إذا كنت تستخدم إنهاء TLS ل Key Vault، فاتبع إجراء النقل ل Key Vault. تأكد من أن Key Vault في نفس الاشتراك مثل Application Gateway التي تم نقلها. يمكنك إنشاء شهادة جديدة أو استخدام الشهادة الموجودة لبوابة التطبيق التي تم نقلها.

3. تأكد من نقل الشبكة الظاهرية قبل الانتقال. لمعرفة كيفية نقل شبكتك الظاهرية، راجع نقل شبكة Azure الظاهرية.

4. تأكد من نقل خادم أو خدمة تجمع الخلفية، مثل الجهاز الظاهري ومجموعات مقياس الجهاز الظاهري وPaaS قبل الانتقال.

5. إنشاء Application Gateway وتكوين عنوان IP عام للواجهة الأمامية جديد للشبكة الظاهرية:

   • بدون WAF: إنشاء بوابة تطبيق.
   • مع WAF: إنشاء بوابة تطبيق باستخدام جدار حماية تطبيق ويب

6. إذا كان لديك تكوين WAF أو نهج WAF مخصص للقواعد فقط، فقم بنقله إلى نهج WAF كامل.

7. إذا كنت تستخدم شبكة ثقة صفرية (منطقة المصدر) لتطبيقات الويب باستخدام Azure Firewall وApplication Gateway، فاتبع الإرشادات والاستراتيجيات في شبكة الثقة المعدومة لتطبيقات الويب باستخدام Azure Firewall وApplication Gateway.

8. تحقق من أن Application Gateway و WAF يعملان على النحو المنشود.

9. ترحيل التكوين إلى عنوان IP العام الجديد.

   1. قم بتبديل نقاط النهاية العامة والخاصة للإشارة إلى بوابة التطبيق الجديدة.
   2. ترحيل تكوين DNS إلى عنوان IP العام و/أو الخاص الجديد.
   3. تحديث نقاط النهاية في تطبيقات/خدمات المستهلك. عادة ما يتم إجراء تحديثات تطبيقات/خدمات المستهلك عن طريق تغيير الخصائص وإعادة التوزيع. ومع ذلك، قم بتنفيذ هذا الأسلوب كلما تم استخدام اسم مضيف جديد فيما يتعلق بالنشر في المنطقة القديمة.

10. حذف بوابة التطبيق المصدر وموارد WAF.

نقل الشهادات لإنهاء TLS المميز (بوابة التطبيق الإصدار 2)

يمكن توفير شهادات إنهاء TLS بطريقتين:

• رفع. قم بتوفير شهادة TLS/SSL عن طريق تحميلها مباشرة إلى بوابة التطبيق الخاصة بك.

• مرجع Key Vault. قم بتوفير مرجع إلى شهادة Key Vault موجودة عند إنشاء وحدة استماع ممكنة ل HTTPS/TLS. لمزيد من المعلومات حول تنزيل شهادة، راجع نقل Key Vault إلى منطقة أخرى.

اتبع الإجراء الموثق لتمكين إنهاء TLS مع شهادات Key Vault لبوابة التطبيق التي تم نقلها.