Table of Contents

基本SKU公共IP地址升级指南

使用场景

2025年9月30日,基本SKU公共IP已停用。 如果您目前仍在使用基本SKU公共IP,请务必尽快升级至标准SKU。

为支持并协助您完成上述升级,AzureSupport发布了系列文章,针对五项相关的Azure资源与功能,详细地梳理了升级操作指南。希望这些内容能为您后续的升级或迁移工作提供有力支持。

资源类型 升级操作描述
VPN网关 将VPN Gateway的Basic Public IP升级到Standard
ExpressRoute网关 ExpressRoute Gateway升级Basic Public IP
负载均衡器 将Basic负载均衡器升级到Standard(包括公共IP)
虚拟机 将VM的Basic Public IP升级到Standard
虚拟机规模集 升级VMSS Flexible 实例Basic公共IP

将VPN Gateway的Basic Public IP升级到Standard

升级前注意事项

  • 前提:能够在Portal中看到Migrate按钮,active-active网关预计2026年3月发布;active-passive网关(非Legacy VPN Gateway)截止2025年12月已发布。

Screenshot of the migrate tab for migrating a virtual network gateway.

  • 将会有10分钟左右的Down time。

  • 升级之后非AZ VPN  Gateway在升级IP时SKU同步升级成AZ VPN Gateway,当前North2和East2都已支持AZ VPN Gateway,升级后的VPN Gateway在当前SKU名称后面会加上“AZ”字符。

  • North和East Region的VPN Gateway建议直接将资源迁移到其它Region;同时新建Azure VPN Gateway。

  • Basic Public IP升级到Standard Public IP后IP地址并不会发生改变。

  • VPN Gateway SubnetIP prefix掩码长度小于28。

  • 2026年6月底VPN Gateway的Basic Public IP全部下线:

https://learn.microsoft.com/en-us/azure/vpn-gateway/whats-new#upcoming-projected-changes

升级操作步骤

  1. 如果当前Gateway Subnet   IP prefix掩码长度大于等于28,请按如下文档中的方法先增加Gateway Subnet Size:

  2. https://learn.microsoft.com/en-us/azure/virtual-network/how-to-multiple-prefixes-subnet?tabs=powershell

  3. 新增加的IP prefix掩码长度必须小于等于27。

  4. 因为当前Gateway Subnet中已部署的有VPN Gateway,因此无法直接将原IP prefix由/28扩展为/27、/26、/25等。

  5. 点击Migrate中的Prepare,后台会进行相关准备工作,如果准备工作Failed将无法执行后续步骤,根据报错信息解决相关问题后再次Prepare。

Screenshot of the prepare step for migrating a virtual network gateway.

  1. Prepare完成后,点击Migrate:

Screenshot of the migrate step for migrating a virtual network gateway.

  1. Migrate完成后,检查VPN tunnel和业务流量是否恢复正常,如果没有恢复正常,请执行Abort。

  2. 确认Tunnel和业务流量都恢复正宗后,执行Commit提交全部操作。

Screenshot of the commit changes step for migrating a virtual network gateway.

常见错误处理

已没有使用Basic Public IP的VPN Gateway可供测试之用,无法预知可能的错误;碰到问题请联系Azure Networking support团队获取支持。

ExpressRoute Gateway升级Basic Public IP

概述

ExpressRoute Gateway的前端基本SKU的公共IP的升级方式,需要使用和迁移ExpressRoute Gateway本身的SKU的相同的工具。客户可以选择不改变ExpressRoute Gateway本身的SKU,而只是单纯的跑完整个迁移工具的流程,即可将公共IP的基本SKU直接升级为标准SKU。

注意事项

在迁移前,我们需要先了解一些限制条件。

关于迁移到已启用可用性区域的 ExpressRoute 虚拟网关 - Azure ExpressRoute | Azure Docs

其中需要强调的是,首先,GatewaySubnet的子网大小必须至少是/27的,如果客户之前的GatewaySubnet的尺寸定义小于这个要求,则必须首先在这个Virtual Network中,多添加一个IP地址段,并且再给GatewaySubnet多添加一个子网的IP地址段,以保证该子网有足够的可用IP。需要注意的是,无论原先的子网掩码尺寸如何,新添加的子网网段的尺寸,必须大于等于/27。详细说明请您参考上面的文档。

另外,如果发现客户的ExpressRoute Gateway是早于2017年创建的,可以与客户沟通,删除并且重新创建新的ExpressRoute Gateway。如果您不确定创建时间,请您直接开工单和技术支持沟通。

详细步骤

  1. 首先在ExpressRoute Gateway的菜单中找到迁移工具。点击“验证”。

  1. 验证成功后出现的页面中,可以为新的ExpressRoute Gateway命名。右边的SKU会被自动选为AZ版本的,如果客户不希望修改,可以选回原本的Standard,High performance或者Ultra performance,不用修改SKU。点击“准备”。

  1. 耐心等待一段时间(此过程可能需要30~45分钟),便会看到新的ExpressRoute Gateway已经被创建出来了,这时候在同一个GatewaySubnet中,会有两个ExpressRoute Gateway。此时便可以点击“迁移”来将connection和流量迁移到新的ExpressRoute Gateway上面,此过程中,会出现3-5分钟的连接中断。

  1. 完成上面的连接迁移后,正常情况是,页面中会显示新的ExpressRoute Gateway已经在处理流量了,并且下面靠右手边的新ExpressRoute Gateway的图表中,也已经开始接收流量了。另外建议您也可以使用地端网络中的设备,与Azure中的VM来进行连通性测试。如果需要了解相关测试工具,可以参考文档使用 PsPing & PaPing 进行 TCP 端口连通性测试

在完全确认通信无异常的情况下,继续点击下面的“同意”完成整个迁移步骤即可。

终止迁移步骤

  1. 如果在上述第4步中,验证通信出现问题,需要终止迁移的话,我们必须重复上面的步骤3,重新选择旧的ExpressRoute Gateway,并点击“迁移”。成功迁移后会注意到旧的ExpressRoute Gateway重新开始处理流量。

  1. 此时可以已请您点击下图中的“终止”,迁移工具将完全回退到未验证的状态。之前新创建的ExpressRoute Gateway也会被删除。

如果需要进一步的支持,请您与技术支持工程师沟通。

参考文档

在 Azure 门户中迁移到已启用可用性区域的 ExpressRoute 虚拟网关 - Azure ExpressRoute | Azure Docs

将Basic负载均衡器升级到Standard(包括公共IP)

概述

基本load balancer升级为标准load balancer的最佳实践,是官网推荐的脚本方式: 使用 PowerShell 从基本版本升级到标准版 - Azure Load Balancer | Azure Docs

多数用户通过这个脚本能够顺利完成升级。这个脚本的优势是可以保留基本load balancer的前端公共IP及其后端池VM网卡上绑定的的公共IP,同时将这项公共IP顺利升级到标准SKU(只有绑定到虚拟机规模集VMSS的基本公共IP无法保留)。升级之后所有的load balancer配置都是保留的。

注意事项

  • 升级过程中一定会存在服务的downtime。请合理安排时间。

  • 升级之后原来的基本load balancer会被删除。

  • 基本load balancer的后端池VM能够通过默认出站的方式访问internet,但是标准load balancer的后端池VM必须显示指定其出站方式。可能有一些用户并不了解自己VM使用的是默认出站方式,所以在升级load balancer之后发现后端池VM无法访问internet。此时需要参考文档为后端池VM配置出站方式:出站方式

不支持的方案

  • 包含 IPv6 前端 IP 配置的基本负载均衡器

  • Azure Kubernetes 服务 (AKS) 群集的基本负载均衡器

  • 具有虚拟机规模集后端池成员的基本负载均衡器,且其中一个或多个虚拟机规模集实例启用了 ProtectFromScaleSetActions 实例保护策略

  • 将基本负载均衡器迁移到现有标准负载均衡器

  • 基本负载均衡器的后端池成员属于可用性集的一部分,但并不是可用性集的所有成员都在负载均衡器后面。

  • 如果基本负载均衡器在网络接口的辅助 IP 配置上启用了浮动 IP,请在运行迁移脚本之前将浮动 IP 更新到主 IP,以避免出现任何配置问题

详细步骤

Powershell脚本方式升级

PowerShell命令参考:

  1. 登录到Azure CN:
connect-azaccount -environment azurechinacloud
Get-AzSubscription 
$context = Get-AzSubscription -SubscriptionId ... 
Set-AzContext $context
  1. 导入基本load balancer升级模块
Import-Module AzureBasicLoadBalancerUpgrade
  1. 退出并重启PowerShell
  2. 验证基本load balancer是否可以升级
Start-AzBasicLoadBalancerUpgrade -ResourceGroupName <loadBalancerRGName> -BasicLoadBalancerName <basicLBName> -validateScenarioOnly

注意

-validateScenarioOnly表示这只是一个验证过程,并不会真正执行升级。

o 如果可以升级,会询问是否继续,核对参数无误可以选择y来执行真正的升级过程。如果暂时不想升级,可以使用Ctrl+C中断。

o 如果有报错,需要根据报错信息,解决相关问题后,再次执行这一步的命令进行验证。如果不确认下一步应该如何进行,可以联系Azure技术支持。

  1. 升级基本load balancer
Start-AzBasicLoadBalancerUpgrade -ResourceGroupName <loadBalancerRGName> -BasicLoadBalancerName <basicLBName> -StandardLoadBalancerName <newStandardLBName> -FollowLog

注意

o -StandardLoadBalancerName <newStandardLBName>为可选参数。如果不指定,新的LB名称和旧的一样。

o -FollowLog为打印日志的参数,可选。

门户方式升级

不使用脚本进行升级:

当load balancer的配置非常简单,或者由于某些原因无法使用PowerShell脚本完成升级,此时就需要手动升级基本load balancer。手动升级基本load balancer的过程就相当于是重建标准load balancer。此时需要注意是否需要保留之前使用的基本公共IP?如果不注意,基本公共IP就可能永久丢失。如果确认需要保留公共IP,那么有一些公共IP的相关特性需要提前了解:

  • 负载均衡器的SKU与后端池VM网卡上公共IP的SKU必须一致,否则VM无法被添加到负载均衡器的后端池中。

  • 当基本load balancer如果没有参与实际流量转发,并且其前端公共IP为动态获取,那么平台会回收其前端公共IP,只有后端探测健康后系统才会为其分配实际的公共IP。VM也存在同样的情况,当VM关机后,平台会回收动态分配的基本公共IP。

  • 所有标准公共IP都是静态的,不存在关机或没有流量时被平台回收的情况。

如果确认要手动进行基本load balancer的升级,那么可以参考以下步骤:

  1. 切换到公共IP的配置界面,把公共IP改为静态获取。如果存在多个前端公共IP,那么需要对所有的公共IP进行相同操作。

  1. 此步可选。为了防止发生意外将IP资源删除,您可以把公共IP资源添加防删除锁:

  1. 使用截图或者是导出Template的方式,备份基本load balancer当前的全部配置,包括后端池、健康探测器、负载均衡规则等。

  1. 删除基本load balancer

  2. 切换到公共IP界面,升级公共IP的SKU:

  1. 这一步尤其关键:如果后端池VM的网卡上有基本SKU的公共IP,需要参考此文档中关于如何升级VM网卡的基本公共IP的部分将其升级为标准SKU,否则这个VM无法被添加到标准load balancer的后端池中。

  2. 创建新的标准load balancer,注意使用的前端IP即为基本load balancer曾经使用过的、从基本升级到标准SKU的公共IP。

  3. 根据截图或者template完成后续配置。如果您熟悉template的操作,也可以导入template创建标准load balancer,参考:部署模板 - Azure 门户 - Azure Resource Manager | Azure Docs

将VM的Basic Public IP升级到Standard

升级前注意事项

1、验证“概述”部分中的 SKU 是否显示为“标准”

2、公共 IP 不能与任何资源相关联,否则将无法升级。 有关详细信息,请参阅创建、更改或删除 Azure 公共 IP 地址 - Azure Virtual Network | Azure Docs ,了解如何取消公共 IP 关联。

3、将基本公共IP升级到标准SKU不可逆

4、标准 SKU IP 地址 是使用安全默认 模型部署的。 默认情况下,IP 地址在用作前端时,将拒绝所有内部流量。 若要允许流量并防止意外停机,请将 网络安全组(NSG) 应用到公共 IP 地址的关联网络接口(NIC)或子网。

5、在大多数情况下,从基本 SKU 升级到标准 SKU 的公共 IP 继续没有 可用性区域。 这意味着它们不能与 Azure 资源相关联,该资源要么是区域冗余的,也不能与提供该区域的区域中预先指定的区域相关联。 (在极少数情况下,基本公共 IP 分配了特定区域,在升级到 Standard 时会保留此区域。

升级操作步骤

1、 Vm 的public ip升级,先将其调整为静态,会保持ip 不变:

使用 Azure 门户、Azure PowerShell 或 Azure CLI 创建具有静态专用 IP 地址的 VM | Azure Docs

2、解绑NIC 并升级,升级后再关联网卡类型,找到对应的网卡即可。(升级basic public ip 几乎是秒级的)

升级

升级公共 IP 地址 | Microsoft Learn

升级完成后再关联网卡

常见错误

1、要升级的基本公共 IP 必须具有静态分配。 如果尝试升级动态分配的 IP 地址,则会收到一条警告,指出无法升级 IP。 在升级之前,将 IP 地址分配更改为静态。 标准 SKU 公共 IP 地址不支持动态 IP 分配,目前除了进行静态分配之外,没有其他替代选择。

升级VMSS Flexible 实例Basic公共IP

升级前状态

在VMSS Flexible中看到VMSS层面没有关联公共IP:

升级步骤

找到VMSS实例:

VMSS实例存在独立的公共IP地址,关联的是Basic 公共IP:

取消关联:

点击蓝色字体升级到Standard SKU

升级完成后重新关联网络接口:

升级完成,检查公共IP SKU已变更为Standard:

常见问题

本操作步骤主要参考公共IP升级SKU部分,VMSS Flexible暂未发现相关问题。