Internal Load Balancer と Resource Manager VNet のサポートを発表

  • Article

執筆者: Christina Compy (Principal Program Manager, Azure Websites)

このポストは、7 月 27 日に投稿された Announcing Internal Load Balancer and Resource Manager VNet support の翻訳です。

 

Azure App Service では、App Service Environment (ASE) での Internal Load Balancer (ILB) の利用が新たにサポートされたほか、ASE を Resource Manager (V2) Azure Virtual Network (VNet) にデプロイできるようになりました。

この 2 つは、Azure App Service に関して特に多くのご要望が寄せられていた機能です。Resource Manager VNet へのデプロイが可能になったことで、ARM ベースの VNet でリソースを利用できるようになります。また、ILB がサポートされたことで、基幹業務アプリケーションなど、インターネットからのアクセスが不可能なアプリケーションを Azure クラウドで安全にホストできるようになります。

Resource Manager VNet への ASE のデプロイ

Resource Manager VNet に ASE をデプロイする場合は、VNet を事前に作成しておく必要があります。現在、ASE の作成フローに含まれる Create Virtual Network 機能では、クラシック (V1) の VNet しか作成できません。そのため、ASE の作成前に Resource Manager VNet を用意する必要があります。Resource Manager VNet を既に作成している場合は、ASE の作成時にその VNet を選択するだけで済みます。

ilbblog-v2vnetselection

VNet の一覧では、クラシックの VNet についてはリージョンの隣に「(Classic)」と付記されます。Resource Manager VNet に ASE を作成する方法の詳細については、こちらのドキュメントをご覧ください。

ILB ASE と通常の ASE の違い

通常の ASE の場合、ASE へのすべてのトラフィックはインターネットからアクセス可能な VIP を介して受信されます。

image

その ASE 内のアプリのドメイン名は VIP に対応しているため、すべての要求および発行アクセスは VIP を経由します。この場合、Network Security Groups を使用して ASE へのアクセスをロックダウンしたり、ASE に WAF を使用したりすることが可能です。ただし、このアプリのドメイン名は Azure DNS 内のパブリック ドメイン名です。では、時間管理アプリや請求処理アプリなどの基幹業務アプリケーションを ASE でホストするにはどうすればよいでしょうか? インターネットからのアクセスは一切できないようにしたい場合もあるでしょう。このようなときに活用できるソリューションが ILB ASE です。

image

ILB のエンドポイントは Azure VNet 内の IP になります。さらに、お客様は独自のサブドメインを所有します。そのため、お客様自身がサイトの DNS や HTTPS を管理する必要はありますが、これらはすべてインターネットではなくお客様のネットワーク領域内にあり、お客様が制御することができます。厳格なセキュリティ要件が設けられていても、ほとんどのケースは ILB ASE によって対応が可能であると言えます。

イントラネット アプリを ASE で安全にホストする以外に、多層アプリケーションに ILB ASE を活用することも可能です。アプリケーションの API 機能をインターネットから分離する必要のあるケースは数多くあります。このような場合は、インターネットからアクセス可能な ASE を用意して、そこからインターネットを経由しない ILB ASE を呼び出すようにすることができます。

image

ILB ASE の作成

ILB ASE を作成する前に、必要に応じて DNS を作成してください。ILB ASE の作成方法は、通常の ASE を作成する場合とほとんど変わりません。唯一の違いは、[VIP Type] を [Internal] に設定することです。

[VNET Configuration] に移動して、VIP の種類を [External] から [Internal] に変更します。このとき、独自のサブドメインを指定する必要があります。お客様自身がサブドメインを管理するため、ILB ASE で使用される SSL 証明書の管理もお客様が行う必要があります。この証明書は、ILB ASE の作成後にアップロードされます。ILB ASE の作成および使用方法の詳細については、こちらのドキュメントをご覧ください。