Azure-alkalmazás átjáró és webalkalmazás tűzfalának migrálása V1-ről V2-be

2023. április 28-án bejelentettük az Application Gateway V1 SKU (Standard és WAF) elavulását. A V1 termékváltozat 2026. április 28-án megszűnik. További információ: Application Gateway-átjárók migrálása V1 termékváltozatról V2 termékváltozatra 2026. április 28-ig.

Azure-alkalmazás Átjáró- és webalkalmazási tűzfal (WAF) V2 mostantól további funkciókat is kínál, például az automatikus skálázást, a rendelkezésre állást, a zónaredundanciát, a nagyobb teljesítményt, a gyorsabb műveleteket és a jobb átviteli sebességet a V1-hez képest. Emellett minden új funkció megjelenik a V2 termékváltozathoz. Javasoljuk, hogy most hozzon létre egy migrálási tervet.

A V1-átjárók nem frissülnek automatikusan a V2-re. Ez a migrálási útmutató segítséget nyújt az áttelepítések megtervezésében és végrehajtásában.

A migrálásnak két szakasza van:

1. A konfiguráció migrálása
2. Az ügyfélforgalom migrálása

Ez a cikk elsősorban a konfigurációs migrálást segíti. Az ügyfélforgalom migrálása a környezettől függően változik. Ebben a cikkben néhány általános javaslatot talál .

Előfeltételek

• Egy Azure-fiók, aktív előfizetéssel. Fiók ingyenes létrehozása.
• Egy meglévő Application Gateway V1 Standard.
• Győződjön meg arról, hogy rendelkezik a legújabb PowerShell-modulokkal, vagy használhatja az Azure Cloud Shellt a portálon.
• Ha helyileg futtatja a PowerShellt, az Azure-ral való kapcsolat létrehozásához is futnia Connect-AzAccount kell.
• Győződjön meg arról, hogy nincs meglévő Application Gateway a megadott AppGW V2 névvel és erőforráscsoportnévvel a V1-előfizetésben. Ez átírja a meglévő erőforrásokat.
• Ha nyilvános IP-cím van megadva, győződjön meg arról, hogy sikeres állapotban van. Ha nincs megadva, és az AppGWResourceGroupName meg van adva, győződjön meg arról, hogy az AppGWV2Name-IP nevű nyilvános IP-erőforrás nem létezik az AppGWResourceGroupName nevű erőforráscsoportban a V1-előfizetésben.
• A V1 termékváltozat esetében hitelesítési tanúsítványokra van szükség a TLS-kapcsolatok háttérkiszolgálókkal való beállításához. A V2 termékváltozathoz megbízható főtanúsítványokat kell feltölteni ugyanarra a célra. Míg a V1 lehetővé teszi az önaláírt tanúsítványok használatát hitelesítési tanúsítványként, a V2 önaláírt főtanúsítvány létrehozására és feltöltésére van szükség, ha önaláírt tanúsítványokat használnak a háttérrendszerben.
• Győződjön meg arról, hogy a migrálás során nem tervez más műveletet a V1-átjárón vagy a kapcsolódó erőforrásokon.

Azure Cloud Shell

Az Azure által üzemeltetett Azure Cloud Shell egy interaktív felület, amelyet a böngészőből használhat. A Bash vagy a PowerShell segítségével is használhatja a Cloud Shellt az Azure-szolgáltatásokhoz. A Cloud Shell előre telepített parancsaival futtathatja a jelen cikkben szereplő kódot anélkül, hogy bármit telepítenie kellene a helyi környezetben.

Az Azure Cloud Shell indítása:

Lehetőség	Példa/hivatkozás
Válassza a Kipróbálás lehetőséget egy kód vagy parancsblokk jobb felső sarkában. A Kipróbálás lehetőség választása nem másolja automatikusan a kódot vagy a parancsot a Cloud Shellbe.
Látogasson el a https://shell.azure.com webhelyre, vagy kattintson a Cloud Shell indítása gombra a böngészőben.
Az Azure Portal jobb felső sarkában található menüben kattintson a Cloud Shell gombra.

Az Azure Cloud Shell használata:

1. Indítsa el a Cloud Shellt.

2. A kód vagy parancs másolásához kattintson a Másolás gombra egy kódblokkon (vagy parancsblokkon).

3. Illessze be a kódot vagy parancsot a Cloud Shell-munkamenetbe a Windows és Linux rendszeren a Ctrl Shift+V billentyűkombinációval+, vagy a Cmd+Shift+V macOS rendszeren való kiválasztásával.

4. A kód vagy parancs futtatásához válassza az Enter lehetőséget .

Konfigurációs migrálás

Ebben a dokumentumban egy Azure PowerShell-szkript található. A konfigurációhoz a következő műveleteket hajtja végre:

• Létrehoz egy új Standard_V2 vagy WAF_V2 átjárót egy ön által megadott virtuális hálózati alhálózaton.
• A V1 Standard vagy WAF-átjáróhoz társított konfigurációt zökkenőmentesen átmásolja az újonnan létrehozott Standard_V2 vagy WAF_V2 átjáróba.

A szkript letöltése

A migrálási szkriptet a PowerShell-galéria töltheti le. Elérhető a migrálási szkript új stabil kiadása (1.0.11-es verzió), amely tartalmazza a főbb frissítéseket és hibajavításokat. Javasoljuk, hogy ezt a stabil verziót használja.

A szkript használata

A helyi PowerShell-környezet beállításától és beállításaitól függően két lehetőség közül választhat:

• Ha nincs telepítve az Azure Az-modulok, vagy nem bánja, ha eltávolítja az Azure Az-modulokat, a legjobb megoldás a Install-Script szkript futtatására.
• Ha meg kell tartania az Azure Az-modulokat, a legjobb megoldás a szkript letöltése és közvetlen futtatása.

Annak megállapításához, hogy telepítve vannak-e az Azure Az-modulok, futtassa a parancsot Get-InstalledModule -Name az. Ha nem látja a telepített Az-modulokat, használhatja a metódust Install-Script .

Telepítés az Install-Script metódussal (ajánlott)

Ennek a lehetőségnek a használatához nem szabad az Azure Az-modulokat telepíteni a számítógépre. Ha telepítve vannak, a következő parancs hibaüzenetet jelenít meg. Eltávolíthatja az Azure Az-modulokat, vagy a másik lehetőséggel manuálisan töltheti le és futtathatja a szkriptet.

Futtassa a szkriptet a következő paranccsal a legújabb verzió beszerzéséhez:

Install-Script -Name AzureAppGWMigration -Force

Ez a parancs a szükséges Az-modulokat is telepíti.

Telepítés közvetlenül a szkripttel

Ha néhány Azure Az-modul telepítve van, és nem tudja eltávolítani őket (vagy nem szeretné eltávolítani őket), manuálisan is letöltheti a szkriptet a szkript letöltési hivatkozásának Manuális letöltés lapján. A szkriptet nyers nupkg-fájlként tölti le a rendszer. A szkript ezen nupkg-fájlból való telepítéséhez tekintse meg a manuális csomagletöltést.

Az 1.0.11-es verzió a migrálási szkript új verziója, amely tartalmazza a főbb hibajavításokat. Javasoljuk, hogy ezt a stabil verziót használja.

A letöltött szkript verziójának ellenőrzése

A letöltött szkript verziójának ellenőrzéséhez a lépések a következők:

• Bontsa ki a NuGet-csomag tartalmát.
• Nyissa meg a .PS1 fájlt a mappában, és ellenőrizze felül .VERSION a letöltött szkript verzióját.

<#PSScriptInfo
.VERSION 1.0.10
.GUID be3b84b4-e9c5-46fb-a050-699c68e16119
.AUTHOR Microsoft Corporation
.COMPANYNAME Microsoft Corporation
.COPYRIGHT Microsoft Corporation. All rights reserved.

• Győződjön meg arról, hogy a legújabb stabil verziót használja a PowerShell-galéria

A szkript futtatása

A szkript futtatása:

1. Az Azure-hoz való csatlakozáshoz használható Connect-AzAccount .

2. Az Az-modulok importálására használható Import-Module Az .

3. Futtassa a Set-AzContext parancsmagot az aktív Azure-környezet megfelelő előfizetésre való beállításához. Ez azért fontos lépés, mert a migrálási szkript eltávolíthatja a meglévő erőforráscsoportot, ha nem létezik az aktuális előfizetési környezetben.

   Set-AzContext -Subscription '<V1 application gateway SubscriptionId>'
   

4. Futtassa Get-Help AzureAppGWMigration.ps1 a szükséges paraméterek vizsgálatához:

   AzureAppGWMigration.ps1
    -resourceId <V1 application gateway Resource ID>
    -subnetAddressRange <subnet space you want to use>
    -appgwName <string to use to append>
    -AppGWResourceGroupName <resource group name you want to use>
    -sslCertificates <comma-separated SSLCert objects as above>
    -trustedRootCertificates <comma-separated Trusted Root Cert objects as above>
    -privateIpAddress <private IP string>
    -publicIpResourceId <public IP name string>
    -validateMigration -enableAutoScale
   

A szkript paraméterei:

• resourceId: [String]: Kötelező: Ez a paraméter a meglévő Standard V1 vagy WAF V1 átjáró Azure-erőforrás-azonosítója. A sztringérték megkereséséhez keresse meg az Azure Portalt, válassza ki az application gatewayt vagy a WAF-erőforrást, és kattintson az átjáró Tulajdonságok hivatkozására. Az erőforrás-azonosító ezen a lapon található.

  Az erőforrás-azonosító lekéréséhez az alábbi Azure PowerShell-parancsokat is futtathatja:

  $appgw = Get-AzApplicationGateway -Name <V1 gateway name> -ResourceGroupName <resource group Name>
  $appgw.Id
  

• subnetAddressRange: [String]: Kötelező: Ez a paraméter az új V2-átjárót tartalmazó új alhálózathoz lefoglalt (vagy lefoglalni kívánt) IP-címtér. A címteret meg kell adni a CIDR-jelölésben. Például: 10.0.0.0/24. Ezt az alhálózatot nem kell előre létrehoznia, de a CIDR-nek a virtuális hálózat címterének kell lennie. A szkript akkor hozza létre, ha nem létezik, és ha létezik, akkor a meglévőt használja (győződjön meg arról, hogy az alhálózat üres, csak v2-átjárót tartalmaz, ha van ilyen, és rendelkezik elegendő elérhető IP-címvel).

• appgwName: [String]: Nem kötelező. Ezt a sztringet adja meg az új Standard_V2 vagy WAF_V2 átjáró neveként. Ha nem adja meg ezt a paramétert, a rendszer a meglévő V1-átjáró nevét használja a hozzáfűzött _V2 utótaggal.

• AppGWResourceGroupName: [String]: Nem kötelező. Annak az erőforráscsoportnak a neve, amelyben létre szeretné hozni a V2 Application Gateway-erőforrásokat (az <V1-app-gw-rgname>alapértelmezett érték )

• sslCertificates: [PSApplicationGatewaySslCertificate]: Nem kötelező. A PSApplicationGatewaySslCertificate objektumainak vesszővel tagolt listáját, amelyet a V1-átjáró TLS/SSL-tanúsítványainak ábrázolására hoz létre, fel kell tölteni az új V2-átjáróba. A Standard V1 vagy WAF V1 átjáróhoz konfigurált összes TLS/SSL-tanúsítványhoz létrehozhat egy új PSApplicationGatewaySslCertificate objektumot az New-AzApplicationGatewaySslCertificate itt látható paranccsal. Szüksége van a TLS/SSL Cert fájl elérési útjára és a jelszóra.

  Ez a paraméter csak akkor választható, ha nincs konfigurálva HTTPS-figyelő a V1-átjáróhoz vagy a WAF-hez. Ha legalább egy HTTPS-figyelőbeállítással rendelkezik, meg kell adnia ezt a paramétert.

  $password = ConvertTo-SecureString <cert-password> -AsPlainText -Force
  $mySslCert1 = New-AzApplicationGatewaySslCertificate -Name "Cert01" `
    -CertificateFile <Cert-File-Path-1> `
    -Password $password
  $mySslCert2 = New-AzApplicationGatewaySslCertificate -Name "Cert02" `
    -CertificateFile <Cert-File-Path-2> `
    -Password $password
  

  Az előző példában az előző példában a paraméter értékeiként adhat be $mySslCert1, $mySslCert2 (vesszővel elválasztva) a szkriptben.

• sslCertificates a Keyvaultból: Nem kötelező. Letöltheti az Azure Key Vaultban tárolt tanúsítványokat, és átadhatja a migrálási szkriptnek. A tanúsítvány PFX-fájlként való letöltéséhez futtassa a következő parancsot. Ezek a parancsok hozzáférnek a SecretId azonosítóhoz, majd PFX-fájlként mentik a tartalmat.

   $vaultName = ConvertTo-SecureString <kv-name> -AsPlainText -Force
   $certificateName = ConvertTo-SecureString <cert-name> -AsPlainText -Force
   $password = ConvertTo-SecureString <password> -AsPlainText -Force
  
   $pfxSecret = Get-AzKeyVaultSecret -VaultName $vaultName -Name $certificateName -AsPlainText
   $secretByte = [Convert]::FromBase64String($pfxSecret)
   $x509Cert = New-Object Security.Cryptography.X509Certificates.X509Certificate2
   $x509Cert.Import($secretByte, $null, [Security.Cryptography.X509Certificates.X509KeyStorageFlags]::Exportable)
   $pfxFileByte = $x509Cert.Export([Security.Cryptography.X509Certificates.X509ContentType]::Pkcs12, $password)
  
   # Write to a file
   [IO.File]::WriteAllBytes("KeyVaultcertificate.pfx", $pfxFileByte)
  

  A Keyvaultból letöltött összes tanúsítványhoz létrehozhat egy új PSApplicationGatewaySslCertificate objektumot az itt látható New-AzApplicationGatewaySslCertificate paranccsal. Szüksége van a TLS/SSL Cert fájl elérési útjára és a jelszóra.

  //Convert the downloaded certificate to SSL object
  $password = ConvertTo-SecureString  <password> -AsPlainText -Force 
  $cert = New-AzApplicationGatewaySSLCertificate -Name <certname> -CertificateFile <Cert-File-Path-1> -Password $password 
  

• trustedRootCertificates: [PSApplicationGatewayTrustedRootCertificate]: Nem kötelező. A PSApplicationGatewayTrustedRootCertificate objektumainak vesszővel tagolt listája, amelyet azért hoz létre, hogy a v2-átjáróról a háttérpéldányok hitelesítéséhez használt megbízható főtanúsítványokat képviselje.

  $certFilePath = ".\rootCA.cer"
  $trustedCert = New-AzApplicationGatewayTrustedRootCertificate -Name "trustedCert1" -CertificateFile $certFilePath
  

  A PSApplicationGatewayTrustedRootCertificate objektumok listájának létrehozásához lásd: New-AzApplicationGatewayTrustedRootCertificate.

• privateIpAddress: [String]: Nem kötelező. Egy adott magánhálózati IP-cím, amelyet az új V2-átjáróhoz szeretne társítani. Ennek ugyanabból a virtuális hálózatból kell származnia, amelyet az új V2-átjáróhoz lefoglalt. Ha ez nincs megadva, a szkript lefoglal egy privát IP-címet a V2-átjáróhoz.

• publicIpResourceId: [String]: Nem kötelező. Az előfizetés meglévő nyilvános IP-cím (standard termékváltozat) erőforrásának resourceId azonosítója, amelyet az új V2-átjáróhoz szeretne lefoglalni. Ha a nyilvános IP-erőforrás neve meg van adva, győződjön meg arról, hogy sikeres állapotban van. Ha ez nincs megadva, a szkript egy új nyilvános IP-címet foglal le ugyanabban az erőforráscsoportban. A név a V2-átjáró neve ,IP-címmel hozzáfűzve. Ha az AppGWResourceGroupName meg van adva, és nincs megadva nyilvános IP-cím, győződjön meg arról, hogy az AppGWV2Name-IP nevű nyilvános IP-erőforrás nem létezik az AppGWResourceGroupName nevű erőforráscsoportban a V1-előfizetésben.

• validateMigration: [switch]: Nem kötelező. Ezzel a paraméterrel engedélyezheti, hogy a szkript elvégezhessen néhány alapvető konfiguráció-összehasonlítási ellenőrzést a V2-átjáró létrehozása és a konfiguráció másolása után. Alapértelmezés szerint nem történik ellenőrzés.

• enableAutoScale: [kapcsoló]: Nem kötelező. Ez a paraméter lehetővé teszi a szkript számára az automatikus skálázás engedélyezését az új V2-átjárón a létrehozás után. Alapértelmezés szerint az automatikus skálázás le van tiltva. Később bármikor manuálisan engedélyezheti az újonnan létrehozott V2-átjárón.

5. Futtassa a szkriptet a megfelelő paraméterekkel. A befejezés 5-7 percet is igénybe vehet.

   Példa

   AzureAppGWMigration.ps1 `
      -resourceId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/MyResourceGroup/providers/Microsoft.Network/applicationGateways/myv1appgateway `
      -subnetAddressRange 10.0.0.0/24 `
      -appgwname "MynewV2gw" `
      -AppGWResourceGroupName "MyResourceGroup" `
      -sslCertificates $mySslCert1,$mySslCert2 `
      -trustedRootCertificates $trustedCert `
      -privateIpAddress "10.0.0.1" `
      -publicIpResourceId "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/MyResourceGroup/providers/Microsoft.Network/publicIPAddresses/MyPublicIP" `
      -validateMigration -enableAutoScale
   

Kikötések\Korlátozások

• Az új V2-átjáró új nyilvános és privát IP-címmel rendelkezik. A meglévő V1-átjáróhoz társított IP-címek nem helyezhetők át zökkenőmentesen a V2-be. Azonban lefoglalhat egy meglévő (nem lefoglalt) nyilvános vagy privát IP-címet az új V2-átjáróhoz.
• Meg kell adnia egy IP-címteret egy másik alhálózat számára a virtuális hálózaton belül, ahol a V1-átjáró található. A szkript nem tudja létrehozni a V2-átjárót egy olyan alhálózatban, amely már rendelkezik V1-átjáróval. Ha az alhálózat már rendelkezik V2-átjáróval, a szkript továbbra is működik, feltéve, hogy elegendő IP-címtér áll rendelkezésre.
• Ha hálózati biztonsági csoporttal vagy felhasználó által meghatározott útvonalakkal rendelkezik a V2-átjáró alhálózatához, győződjön meg arról, hogy megfelelnek a sikeres migrálás NSG-követelményeinek és UDR-követelményeinek
• A virtuális hálózati szolgáltatás végpontszabályzatai jelenleg nem támogatottak az Application Gateway alhálózatában.
• TLS/SSL-konfiguráció áttelepítéséhez meg kell adnia a V1-átjáróban használt összes TLS/SSL-tanúsítványt.
• Ha engedélyezve van a FIPS mód a V1-átjáróhoz, az nem lesz migrálva az új V2-átjáróba. A FIPS mód a V2-ben nem támogatott.
• Ha csak magánhálózati IP-címmel rendelkező V1-átjáróval rendelkezik, a szkript létrehoz egy privát és nyilvános IP-címet az új V2-átjáróhoz. A csak magánhálózati IP-címként használt V2-átjáró jelenleg nyilvános előzetes verzióban érhető el. Ha általánosan elérhetővé válik, az ügyfelek használhatják a szkriptet, hogy csak a magánhálózati IP-címük 1- átjáróját egy csak magánhálózati IP-című V2-átjáróra továbbíthassák.
• Az Application Gateway V2 nem támogatja az NTLM- és Kerberos-hitelesítést. A szkript nem tudja észlelni, hogy az átjáró ilyen típusú forgalmat szolgál-e ki, és futtatás esetén kompatibilitástörő változást okozhat a V1-ről a V2-átjárókra.
• A WAFv2 régi WAF konfigurációs módban jön létre; waf-házirendbe való migrálás szükséges.

Forgalom migrálása

Először ellenőrizze, hogy a szkript sikeresen létrehozott-e egy új V2-átjárót a V1-átjáróról áttelepített pontos konfigurációval. Ezt az Azure Portalon ellenőrizheti.

Emellett kis mennyiségű forgalmat is küldhet a V2-átjárón manuális tesztként.

Az alábbiakban néhány olyan esetet böngészünk, ahol az aktuális Application Gateway (Standard) ügyfélforgalmat fogad, és mindegyikre vonatkozó javaslatainkat:

• Egyéni DNS-zóna (például contoso.com), amely a Standard V1 vagy WAF V1 átjáróhoz társított előtérbeli IP-címre mutat (A rekord használatával).

  A DNS-rekordot úgy frissítheti, hogy a Standard_V2 application gatewayhez társított előtérbeli IP-címre vagy DNS-címkére mutasson. A DNS-rekordon konfigurált TTL-től függően eltarthat egy ideig, amíg az ügyfélforgalom az új V2-átjáróra migrál.

• Egyéni DNS-zóna (például contoso.com), amely a V1-átjáróhoz társított DNS-címkére mutat (például: myappgw.eastus.cloudapp.azure.com CNAME rekord használatával).

  Két lehetősége van:

  • Ha nyilvános IP-címeket használ az application gatewayen, a Traffic Manager-profillal szabályozott, részletes migrálást végezhet a forgalom növekményes átirányításához (súlyozott forgalomirányítási módszer) az új V2-átjáróhoz.

    Ezt úgy teheti meg, www.contoso.comhogy a V1 és v2 alkalmazásátjárók DNS-címkéit hozzáadja a Traffic Manager-profilhoz, és az egyéni DNS-rekordot (például) a Traffic Manager-tartományba (például contoso.trafficmanager.net) irányítja.

  • Vagy frissítheti az egyéni tartomány DNS-rekordját, hogy az az új V2-alkalmazásátjáró DNS-címkéjére mutasson. A DNS-rekordon konfigurált TTL-től függően eltarthat egy ideig, amíg az ügyfélforgalom az új V2-átjáróra migrál.

• Az ügyfelek az application gateway előtérbeli IP-címéhez csatlakoznak.

  Frissítse az ügyfeleket az újonnan létrehozott V2-alkalmazásátjáróhoz társított IP-cím(ek) használatára. Javasoljuk, hogy ne használjon közvetlenül IP-címeket. Fontolja meg az application gatewayhez társított DNS-névcímkét (például yourgateway.eastus.cloudapp.azure.com), amelyet a saját egyéni DNS-zónájához (például contoso.com) is használhat.

Díjszabási szempontok

A díjszabási modellek eltérnek az Application Gateway V1 és v2 termékváltozataitól. A V2-t a használat alapján számítjuk fel. A díjszabási információkért tekintse meg az Application Gateway díjszabását .

Költséghatékonysági útmutató

A V2 termékváltozat számos előnnyel rendelkezik, például az 5x teljesítménynöveléssel, a Key Vault integrációjával megnövelt biztonságtal, a biztonsági szabályok gyorsabb frissítésével a WAF_V2, a WAF egyéni szabályaival, a házirend-társításokkal és a botvédelemmel. Emellett magas skálázhatóságot, optimalizált forgalomirányítást és zökkenőmentes integrációt biztosít az Azure-szolgáltatásokkal. Ezek a funkciók javíthatják az általános felhasználói élményt, megelőzhetik a nagy forgalom idején tapasztalható lassulásokat, és elkerülhetik a költséges adatszivárgásokat.

A V1 termékváltozatban öt változat érhető el a réteg és a méret alapján : Standard_Small, Standard_Medium, Standard_Large, WAF_Medium és WAF_Large.

A díjszabással kapcsolatos további aggodalmakért lépjen kapcsolatba CSAM, vagy forduljon támogatási csapatunkhoz segítségért.

Gyakori kérdések

A migrálással kapcsolatos gyakori kérdések itt találhatók

Következő lépések

Tudnivalók az Application Gateway V2-ről