你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
关于 Microsoft 推出的 Azure CDN(经典)到 Azure Front Door 的迁移
重要
Microsoft Azure CDN Standard(经典版)将于 2027 年 9 月 30 日停用。 为了避免任何服务中断,请务必在 2027 年 9 月 30 日之前将 Microsoft Azure CDN Standard(经典版)配置文件迁移到 Azure Front Door Standard 层或 Premium 层。 有关详细信息,请参阅 Microsoft Azure CDN Standard(经典版)停用。
Azure Front Door 标准层和高级层作为下一代内容分发网络服务发布于 2022 年 3 月。 较新的层结合了 Azure Front Door(经典版)、Microsoft CDN(经典版)和 Web 应用程序防火墙 (WAF) 的功能。 借助专用链接集成、增强的规则引擎和高级诊断等功能,你可以保护和加速 Web 应用程序,从而为客户提供更好的体验。
建议将经典配置文件迁移到较新层之一,以便从新功能和改进中受益。 为了方便迁移到新层,Azure Front Door 提供了零停机时间迁移,用于将工作负载从 Azure Front Door(经典)迁移到标准层或高级层。
在本文中,你将了解迁移过程,了解涉及的中断性变更,以及在迁移之前、期间和之后要执行的操作。
迁移过程概述
迁移到 Azure Front Door 的标准层或高级层分三个或五个阶段进行,具体取决于你是否正在使用证书。 迁移所需的时间取决于 Microsoft Azure CDN(经典)配置文件的复杂性。 对于简单的 Azure CDN 配置文件,迁移可能只需几分钟时间,而对于具有多个域、后端池、路由规则和规则引擎规则的配置文件,迁移可能需要更长时间。
迁移阶段
验证兼容性
迁移工具会检查 Microsoft Azure CDN(经典)配置文件是否与迁移兼容。 如果验证失败,则系统会提供有关如何解决任何问题的建议,然后你可以再次进行验证。
Azure Front Door 标准层和高级层要求所有自定义域都使用 HTTPS。 如果你没有自己的证书,可以使用 Microsoft Azure CDN 托管证书。 该证书是免费的,并且无需你自行管理。
Microsoft Azure CDN(经典)和 Azure Front Door 标准/高级终结点存在一对一映射。 无法迁移“停止”状态的 Microsoft CDN(经典)终结点。 需要启动终结点或删除它,然后才能再次验证。
Microsoft Azure CDN 的 Web 应用程序防火墙 (WAF) 仅提供预览版。 如果有 WAF 策略与 Microsoft Azure CDN(经典)配置文件关联,需要移除关联,然后才能再次验证。 迁移后,可以在 Azure Front Door 标准版或高级版中创建新的 WAF 策略。
注意
Azure 政府云中的 Azure Front Door 标准层或高级层目前不支持托管证书。 需要在 Azure 政府云中将“自带证书”(BYOC) 用于 Azure Front Door 标准层或高级层,或者等到托管证书受支持为止。
准备迁移
可以根据业务需求选择“标准”或“高级”。 建议选择高级层以充分利用高级安全特性和功能。 其中包括托管 WAF 规则、增强的规则引擎、机器人防护和专用链接集成。
注意
- 如果 Microsoft Azure CDN(经典)配置文件有资格迁移到标准层,但资源数超过标准层配额限制,则会改为迁移到高级层。
- 迁移后,标准层 Front Door 配置文件可以升级到高级层。 但是,高级层 Front Door 配置文件在迁移后无法降级为标准层。
重要
启动准备阶段后,将无法更改 Microsoft Azure CDN(经典)配置。
启用托管标识
在此步骤中,如果没有 Microsoft Azure CDN(经典)配置文件,可以为 Azure Front Door 配置托管标识来访问 Azure Key Vault 中的证书。 托管标识在 Azure Front Door 中是相同的,因为它们使用相同的资源提供程序。 如果正在使用 BYOC(自带证书),需要托管标识。 如果使用 Azure Front Door 托管证书,则无需授予 Key Vault 访问权限。
向托管标识授予对 Key Vault 的访问权限
此步骤可添加托管标识对 Microsoft Azure CDN(经典)配置文件中使用的所有 Azure Key Vault 的访问权限。
迁移
迁移开始后,Microsoft Azure CDN(经典)配置文件将升级到 Azure Front Door。 迁移后,无法在 Azure 门户中查看 Microsoft Azure CDN(经典)配置文件。
如果你决定不再继续迁移过程,可以选择“中止迁移”。 中止迁移会删除已创建的新 Azure Front Door 配置文件。 Microsoft Azure CDN(经典)配置文件将保持活动状态,你可以继续使用它。 需要手动删除任何 WAF 策略副本。
Azure Front Door 标准层或高级层的服务费将在迁移完成后开始计算。
迁移到标准层或高级层后的重大更改
Dev-ops
迁移 Azure Front Door 配置文件后,需要更改 Dev-ops 脚本才能使用新的 API、更新的 Azure PowerShell 模块、CLI 命令和 API。
具有哈希值的终结点
生成 Azure Front Door 标准和高级终结点以包含哈希值,防止域被接管。 终结点名称的格式为 <endpointname>-<hashvalue>.z01.azurefd.net。 Front Door(经典)终结点名称将在迁移后继续工作,但建议将其替换为新标准或高级配置文件中新创建的终结点名称。 有关详细信息,请参阅终结点域名。 如果在应用程序代码中使用 Azure CDN 终结点,建议使用自定义域名进行更新。
日志、指标和核心分析
不会迁移诊断日志和指标。 Azure Front Door 标准版和高级版日志字段不同于 Microsoft Azure CDN(经典)。 标准层和高级层具有运行状况探测日志记录,建议在迁移后启用诊断日志记录。
Azure Front Door 标准层或高级层不支持核心分析。 而是提供内置报表,并在迁移完成后开始显示数据。 有关详细信息,请参阅 Azure Front Door 报表。
资源状态
下表介绍了迁移过程的各个阶段,以及是否可以对配置文件进行更改。
| 迁移状态 | Microsoft CDN(经典)资源状态 | 是否可以进行更改? | Front Door 标准版/高级版 | 是否可以进行更改? |
|---|---|---|---|---|
| 迁移前 | 可用 | 是 | 空值 | 空值 |
| 验证兼容性 | 可用 | 是 | 空值 | 空值 |
| 准备迁移 | 迁移 | 否 | 否 | |
| 提交迁移 | CommittingMigration | 否 | ||
| 提交迁移 | 活动 | 是 | ||
| 中止迁移 | AbortingMigration | 否 | ||
| 已中止的迁移 | 可用 | 是 |
迁移后的资源映射
将 Microsoft Azure CDN(经典)迁移到 Azure Front Door 标准版或高级版时,你会注意到某些配置已更改或移动到新位置,以提供更好的体验来帮助管理 Azure Front Door 配置文件。 在本部分中,你将了解如何在 Azure Front Door 中映射 Azure CDN 资源。 迁移后,Azure Front Door 资源 ID 保持不变。
| 资源 | CDN 或 AFD | 迁移后的资源映射 |
|---|---|---|
| 终结点 | 推送、请求和匿名 | Microsoft Azure CDN(经典)和 Azure Front Door 标准/高级终结点存在一对一映射。 Microsoft Azure CDN(经典)终结点需要在启动状态,或者必须将它们删除。 |
| 路由和路由状态 | AFD | Microsoft Azure CDN(经典)没有路由的概念。 迁移后,将使用所有 CDN 资源在 Azure Front Door 标准版和高级版中创建默认路由。 该路由处于“已启用”状态,名称采用 endpointName 形式(不带连字符)。 例如,名为 contoso-1.azureedge.net 的终结点的路由名称为 contoso1。 |
| 强制实施证书名称检查 | AFD | 在 MICROSOFT CDN 中禁用了强制证书名称检查,但在 Azure Front Door 标准版/高级版中默认启用。 迁移后,继续禁用该检查,以免导致中断性变更。 在 Azure Front Door 中迁移后,建议启用检查。 |
| 源和源组 | 推送、请求和匿名 | 1.对于具有单个源和没有源组的 CDN 资源,将为具有名称 defaultOriginGroup_EndpointName 的源创建默认源组。 2.对于多源 CDN,如果源与多个源组关联,迁移后将在所有源组中创建这些源。 3.对于其他所有内容,源名称和源组名称保持不变。 4.如果 CDN 配置文件的源未关联到任何工作 CDN 终结点,则会为这些源创建默认源组,但该源组不关联到任何路由。 |
| 源响应超时 | AFD | Microsoft Azure CDN(经典)中的当前默认响应超时为 30 秒。 迁移后,此值将保持不变,但可以修改它。 |
| 转发协议(仅匹配协议) | 推送、请求和匿名 | 如果同时选择了 HTTP 和 HTTPS,Azure Front Door 将匹配传入请求。 |
| 规则集名称 | AFD | Microsoft CDN 中没有规则集概念。 迁移后,所有规则将分组到名称的形式为 endpointprefixMigratedRule 的单个规则集。 例如,对于终结点 contoso.azureedge.net,规则集名称为 contosoMigratedRuleSet |
| Caching | 推送、请求和匿名 | 缓存始终设置为已启用,并映射到 Microsoft Azure CDN(经典)中的缓存和压缩设置。 对于 BypassCachingforQueryString,将在迁移后创建名称为 bypassCachingforQueryStringMigrated 的规则集。 如果经典终结点具有其他规则,则会将其分组到与 bypassCachingforQueryStringMigrated 规则相同的规则集中。 如果“查询字符串”大于 0 则“路由配置替代”->“替代源组”否 ->“缓存”已禁用 |
| 会话亲和性 | 推送、请求和匿名 | 默认情况下在 Azure CDN 中禁用(除非已配置),迁移后将被禁用。 可以在 Azure Front Door 中启用此设置。 |
| 全局规则引擎规则 | CDN | Microsoft Azure CDN(经典)中存在全局规则引擎规则。 迁移后,这些规则被创建为不带任何条件的规则集,并关联到为经典终结点创建的路由。 |
| 地区筛选器 | CDN | 迁移后,将创建具有所选映射 SKU 和自定义 WAF 规则的 WAF 策略,以映射地理筛选器规则并关联到相应的路由。 |
| 关联的 WAF 策略 | Microsoft Azure CDN(经典)的 Web 应用程序防火墙现为预览版。 对于具有预览版 WAF 策略的 CDN 资源,迁移后需要重新创建这些策略。 | |
| 自定义域 | 本部分使用 www.contoso.com 作为示例来介绍域的迁移过程发生的情况。 自定义域 www.contoso.com 指向 Microsoft Azure CDN(经典)中的 contoso.azureedge.net 作为 CNAME 记录。 www.contoso.com 移动到新的 Azure Front Door 配置文件时:- 自定义域的关联将新的 Front Door 终结点显示为 contoso-<hashvalue>.z01.azurefd.net。 请注意,z01 可以是包含一个字母和两个数字的任何值。 自定义域的 CNAME 自动指向包含后端中哈希值的新终结点名称。 此时,可以使用 DNS 提供程序将 CNAME 记录更改为具有哈希值的新终结点名称。 - 经典终结点 contoso.azureedge.net 在“域”页的“迁移的域”选项卡下的已迁移的 Azure Front Door 配置文件中显示为自定义域。 此域关联到默认迁移的路由。 只有在从默认路由取消关联该域后,才能删除默认路由。 无法更新域属性,除非在关联路由和从路由中删除关联时。 只有在将 CNAME 更改为新的终结点名称后,才能删除域。 - www.contoso.com 的证书状态和 DNS 状态与 Microsoft Azure CDN(经典)配置文件中的相同。 托管证书自动轮换设置保持不变。 |
后续步骤
- 了解如何使用 Azure 门户从 Microsoft Azure CDN(经典)迁移到 Azure Front Door。