Zenn
ヘッドウォータース
🐨

AzureのFront Doorとは

ikebowsan
2024/08/03に公開1
Azure
Microsoft
appservice
tech

Azure Front Doorを使う機会があったのでまとめます。

Front Doorとは

Azureが提供しているCDN(Contents Delivery Network)サービス
アプリケーションのパフォーマンス向上、スケーラビリティ向上、セキュリティの信頼性を提供する機能です。

要はアプリケーションが高速になって、セキュリティが安全になって、サーバーダウンのリスクを無くしてくれる(完全に0になるわけではない)サービスです。

機能

1. グローバルな負荷分散

ユーザーの地理的位置に基づいてトラフィックを最適なバックエンドサーバーにルーティングすることで、低遅延で高い可用性を実現しています。

ユーザーからのリクエストがどの地域から来ているかを特定して、最も近いバックエンドサーバーにトラフィックをルーティングします。
データセンターまでの距離が近くなるため応答時間が速くなります。

また障害が発生した場合は、自動的にトラフィックを別の健康なバックエンドサーバーに切り替えます。
これにより可用性が向上してユーザーが常にアクセスできるようになります。


2. 高速なコンテンツ配信

静的コンテンツ(HTML/CSS/JS、画像など)はユーザーに最も近いエッジサーバーにキャッシュすることでリクエストに対する応答時間を短縮させます。
また配信するコンテンツを自動的に圧縮して、データの転送量も削減させます。


3. 高セキュリティ機能

Front DoorにはWAFが統合されています。
このことで一般的なウェブ攻撃からアプリケーションを保護します。
また、自分でカスタムルールも設定することができ、IP制限もかけれます。

あとはDDoS攻撃からの保護も提供し、攻撃を検出した場合は自動的に対処します。
トラフィックの監視やログ管理機能もあるので、セキュリティで問題があったときはリアルタイムで検出することができます。

料金

1ドル154円と設定されている時

基本料金

月額料金
Standard ¥5,391.926
Premium ¥50,838.151


データ量による金額

データの送信量に合わせて金額が変わるので、以下のサイトを参照

https://azure.microsoft.com/ja-jp/pricing/details/frontdoor/

設定方法(App Service編)

リソース作成の前に

対象サブスクリプションのリソースプロバイダーで「Microsoft.Cdn」を登録しておく必要があります。

1. リソース作成

Azure Portalの検索から「FrontDoorとCDNプロファイル」を調べる。

「Azure Front Door」の「カスタム作成」を選択
※簡易作成でも問題なし


2. エンドポイントの作成

リソース作成タイミングで一緒に設定もできるそうなんで一緒にやっちゃいます。

まずはエンドポイントから。
「エンドポイントの追加」をクリック


エンドポイント名は対象のApp Serviceと同じ名前にします。
すると、ホスト名が「設定したエンドポイント名 + 一意の英数字 + .azurefd.net」となります。

これで土台のエンドポイントは作成完了


3. ルートの追加

URLと配信元グループをマッピングする設定をします。
ここで配信元グループと紐付けをするので、グループ作成をします。


4. 配信元グループの作成


配信元グループの中に配信元を設定する必要があるのでApp Serviceのエンドポイントを設定します。


ここで作成した配信元グループを「ルートの追加」の設定画面で割り当てます。
これでルートの設定は完了です。


5. セキュリティポリシーの設定

最後にセキュリティポリシーを追加します。
ドメインには「2.」で作成されたエンドポイントが「使用できるドメイン」の中にあると思うので割り当てます。
wafポリシーがまだない場合は作成してください。


これで設定は全て完了です。
リソースの作成をします。

検証

以下のように「プロビジョニングに成功しました」となっていたらOK


front door経由でのアクセスもできました。

Front Door経由のみのアクセスにする

Front Doorは設定できたものの、引き続きApp Serviceに直接アクセスできる状態です。
ですので、Front Door経由でしかアクセス出来ないようにします。

App Serviceのネットワーク設定にアクセス。
以下のようにサービスタグの「AzureFrontDoor.Backend」のみAllowにします。

これでFront Doorのエンドポイントからじゃないとアクセス出来ないようになりました。

Front Door側でIP制限をかけたい

Front Door経由のみアクセスできるようになったものの、IP制限がかかってないので設定します。
セキュリティポリシーのwafポリシーから設定できます。

設定したIPアドレス以外の時はトラフィックを拒否させます。

これでIP制限もかけれます。

ヘッドウォータース
ヘッドウォータース

株式会社ヘッドウォータースのテックブログです。 生成AI、LLM、Azureのサービスや資格、IoT、XR系などData&AIとApp modernizeに関して幅広く投稿します!

Discussion

jemiyajemiya

AFDの料金なんだけど、通信量によって課金が変わってきたりもして、通信量が多いと課金が増えて少ないと課金が減ったりと変動はあったりします。