À propos de la migration d’Azure Front Door (classique) vers le niveau Standard/Premium

Important

Azure Front Door (classique) va être mis hors service le 31 mars 2027. Pour éviter toute interruption de service, il est important de migrer vos profils Azure Front Door (classique) vers le niveau Azure Front Door Standard ou Premium au plus en mars 2027. Pour plus d’informations, consultez Mise hors service d’Azure Front Door (classique).

Les niveaux Azure Front Door Standard et Premium ont été publiés en mars 2022 en tant que service réseau de diffusion de contenu de nouvelle génération. Les niveaux les plus récents combinent les fonctionnalités d’Azure Front Door (classique), Microsoft CDN (classique) et Web Application Firewall (WAF). Avec des fonctionnalités telles que l’intégration de Private Link, le moteur de règles amélioré et les diagnostics avancés, vous avez la possibilité de sécuriser et d’accélérer vos applications web pour apporter une meilleure expérience à vos clients.

Nous vous recommandons de migrer votre profil classique vers l’un des niveaux les plus récents pour tirer parti des nouvelles fonctionnalités et améliorations. Pour faciliter le passage aux nouveaux niveaux, Azure Front Door offre une migration sans temps d’arrêt pour déplacer votre charge de travail d’Azure Front Door (classique) vers Standard ou Premium.

Dans cet article, vous allez découvrir le processus de migration, comprendre les changements cassants impliqués et ce qu’il faut faire avant, pendant et après la migration.

Vue d’ensemble du processus de migration

La migration vers le niveau Standard ou Premium pour Azure Front Door se déroule en trois ou cinq phases, selon que vous utilisez votre certificat. Le temps nécessaire pour la migration dépend de la complexité de votre profil Azure Front Door (classique). Vous pouvez vous attendre à ce que la migration prenne quelques minutes pour un profil Azure Front Door simple, et davantage pour un profil qui a de nombreux domaines front-end, pools back-end, règles de routage et règles de moteur de règles.

Phases de migration

Valider la compatibilité

L’outil de migration vérifie si votre profil Azure Front Door (classique) est compatible avec la migration. Si la validation échoue, des suggestions vous seront fournies sur la manière de résoudre les problèmes avant de pouvoir valider à nouveau.

  • Azure Front Door Standard et Premium nécessitent que tous les domaines personnalisés utilisent HTTPS. Si vous n’avez pas votre propre certificat, vous pouvez utiliser un certificat managé Azure Front Door. Le certificat est gratuit et géré pour vous.

  • L’affinité de session est activée dans les paramètres du groupe d’origine pour un profil Azure Front Door Standard ou Premium. Dans Azure Front Door (classique), l’affinité de session est définie au niveau du domaine. Dans le cadre de la migration, l’affinité de session est basée sur les paramètres de profil Front Door (classique). Si vous avez deux domaines dans votre profil Front Door (classique) qui partagent le même pool back-end, l’affinité de session doit être cohérente entre les deux domaines pour que la migration soit validée.

  • Si vous utilisez BYOC (Bring Your Own Certificate) pour Azure Front Door (classique), vous devez accorder à Key Vault accès à Azure Front Door Standard ou Premium. Cette étape est requise pour qu’Azure Front Door Standard ou Premium accède à votre certificat dans Key Vault. Si vous utilisez un certificat managé Azure Front Door, vous n’avez pas besoin d’accorder Key Vault accès.

    Remarque

    Le certificat managé n’est actuellement pas pris en charge pour Azure Front Door Standard ou Premium dans le cloud Azure Government. Vous devez utiliser BYOC pour Azure Front Door Standard ou Premium dans le cloud Azure Government, ou attendre que cette capacité soit disponible.

Préparation de la migration

Azure Front Door crée un nouveau profil Standard ou Premium en fonction de la configuration de votre profil Front Door (classique). Le nouveau niveau de profil Front Door dépend des paramètres de stratégie Web Application Firewall (WAF) que vous associez au profil.

  • Premium - Si votre politique WAF dispose de stratégies WAF managées associées au profil Azure Front Door (classique).

  • Standard - Si votre politique WAF ne comporte que des stratégies WAF personnalisées associées au profil Azure Front Door (classique).

Notes

Un profil Front Door de niveau standard peut être mis à niveau vers le niveau Premium après la migration. Cependant, un profil Front Door de niveau Premium ne peut pas être rétrogradé vers un niveau Standard après la migration.

Pendant la phase de préparation, Azure Front Door crée une copie de chaque stratégie WAF associée au profil Front Door (classique). Le niveau de stratégie WAF est spécifique au niveau vers lequel vous effectuez la migration. Un nom par défaut est fourni pour chaque stratégie WAF et vous pouvez modifier le nom au cours de cette phase. Vous pouvez également sélectionner une stratégie WAF existante qui correspond au niveau vers lequel vous effectuez la migration au lieu d’effectuer une copie. Une fois la phase de préparation terminée, une vue en lecture seule du nouveau profil Front Door vous permet de vérifier les configurations.

Important

Vous ne pourrez pas apporter de modifications à la configuration Front Door (classique) une fois la phase de préparation lancée.

Activer une identité managée

Au cours de cette étape, vous pouvez configurer l’identité managée pour qu’Azure Front Door afin d’accéder à votre certificat dans Azure Key Vault. Une identité managée est requise si vous utilisez BYOC (Bring Your Own Certificate) pour Azure Front Door (classique). Si vous utilisez un certificat managé Azure Front Door, vous n’avez pas besoin d’accorder Key Vault accès.

Accorder une identité managée au coffre de clés

Cette étape ajoute l’accès par identité managée à tous les coffres de clés utilisés dans le profil Front Door (classique).

Migrate

Une fois que vous avez sélectionné cette option, le profil Azure Front Door (classique) est désactivé et le profil Azure Front Door Standard ou Premium est activé. Le trafic commencera à passer par le nouveau profil une fois la migration terminée.

Si vous avez décidé de ne plus aller de l’avant avec le processus de migration, vous pouvez sélectionner Abandonner la migration. L’abandon de la migration supprime le nouveau profil Front Door qui a été créé. Le profil Azure Front Door (classique) reste actif et vous pouvez continuer à l’utiliser. Toutes les copies de stratégie WAF doivent être supprimées manuellement.

Les frais de service pour le niveau Azure Front Door Standard ou Premium commencent une fois la migration terminée.

Changements cassants lors de la migration vers le niveau Standard ou Premium

Important

  • Si votre profil Azure Front Door (classique) est éligible à la migration vers le niveau Standard, mais que le nombre de ressources dépasse la limite de quota du niveau Standard, il sera migré vers le niveau Premium à la place.
  • Si vous utilisez Azure PowerShell, Azure CLI, une API ou Terraform pour effectuer la migration, vous devez créer des stratégies WAF séparément.

Dev-ops

Azure Front Door Standard et Premium utilise un espace de noms de fournisseur de ressources différent (Microsoft.Cdn). Azure Front Door (classique) utilise quant à lui Microsoft.Network. Après avoir migré votre profil Azure Front Door, vous devez modifier votre script Dev-ops de façon à utiliser le nouvel espace de noms et le module Azure PowerShell mis à jour, commandes CLI et API.

Point de terminaison avec valeur de hachage

Les points de terminaison Azure Front Door Standard et Premium sont générés de façon à inclure une valeur de hachage afin d’empêcher le vol de votre domaine. Le format du nom du point de terminaison est <endpointname>-<hashvalue>.z01.azurefd.net. Le nom du point de terminaison Front Door (classique) continuera à fonctionner après la migration, mais nous vous recommandons de le remplacer par le nom de point de terminaison nouvellement créé de votre nouveau profil Standard ou Premium. Pour plus d’informations, consultez Noms de domaine de point de terminaison.

Métriques et journaux d’activité

Les journaux de diagnostic et les indicateurs de performance ne sont pas migrés. Les champs de journaux Azure Front Door Standard et Premium sont différents d’Azure Front Door (classique). Les niveaux Standard et Premium ont la journalisation des sondes thermiques et nous vous recommandons d’activer la journalisation des diagnostics après la migration. Les niveaux Standard et Premium prennent également en charge les rapports intégrés, qui commencent à afficher des données une fois la migration complétée. Pour plus d’informations, consultez les rapports Azure Front Door.

Pare-feu d’applications web (WAF)

Le niveau Azure Front Door par défaut sélectionné pour la migration est déterminé par le type de règles contenues dans la stratégie WAF. Dans cette section, nous abordons des scénarios pour différents types de règles pour une stratégie WAF.

Stratégie WAF classique avec uniquement des règles personnalisées : le nouveau profil Azure Front Door est par défaut au niveau Standard et peut être mis à niveau vers Premium pendant la migration. Si vous utilisez le portail pour la migration, Azure crée des règles WAF personnalisées pour Standard. Si vous effectuez une mise à niveau vers Premium pendant la migration, des règles WAF personnalisées sont créées dans le cadre du processus de migration. Vous devez ajouter manuellement des règles WAF managées après la migration si vous souhaitez utiliser des règles managées.

Stratégie WAF classique avec uniquement des règles WAF managées ou des règles WAF managées et personnalisées : le nouveau profil Azure Front Door est défini par défaut sur le niveau Premium et ne peut pas être rétrogradé pendant la migration. Si vous souhaitez utiliser le niveau Standard, vous devez supprimer l’association de stratégie WAF ou supprimer les règles WAF managées de la stratégie WAF Front Door (classique).

Notes

Pour éviter de créer des stratégies WAF en double pendant la migration, la fonction de migration offre la possibilité de créer des copies ou de réutiliser une stratégie WAF Azure Front Door Standard ou Premium existante.

Azure Policy pour azure Front Door WAF

Azure Policy pour WAF n’est pas disponible pour Azure Front Door Standard et Premium. Azure Policy vous permet de définir et de case activée des normes WAF pour votre organisation à grande échelle. Cette fonctionnalité sera disponible prochainement.

Convention de nommage utilisée pour la migration

Pendant la migration, un nom de profil par défaut est utilisé au format <endpointprefix>-migrated. Par exemple, un point de terminaison Azure Front Door (classique) nommé myEndpoint.azurefd.net, a le nom par défaut de myEndpoint-migrated. Un nom de stratégie WAF a -standard ou -premium est ajouté au nom de stratégie WAF classique. Par exemple, une stratégie WAF de type Front Door (classique) nommée contosoWAF1 a le nom par défaut contosoWAF1-premium. Vous pouvez renommer le profil Front Door et la stratégie WAF pendant la migration. Le changement de nom de la configuration et des itinéraires du moteur de règles n’est pas pris en charge, mais les noms par défaut sont attribués.

La redirection d’URL et la réécriture d’URL sont prises en charge via le moteur de règles dans Azure Front Door Standard et Premium, tandis qu’Azure Front Door (classique) les prend en charge via des règles de routage. Pendant la migration, ces deux règles sont créées en tant que règles dans un profil Standard et Premium. Les noms de ces règles sont urlRewriteMigrated et urlRedirectMigrated.

États des ressources

Le tableau suivant explique les différentes phases du processus de migration, et indique si des modifications peuvent être apportées au profil.

État de la migration État des ressources Front Door (classique) Modifications possibles ? Front Door Standard/Premium Modifications possibles ?
Avant la migration Actif Oui N/A N/A
Validation de la compatibilité Actif Oui N/A N/A
Préparation de la migration Migration Non Creating Non
Validation de la migration Migration Non Validation de la migration Non
Migration validée Migré Non Actif Oui
Abandon de la migration Abandon de la migration Non Suppression Non
Migration abandonnée Actif Oui Deleted N/A

Étapes suivantes