🙌

勉強メモ(11/26)

2022/11/27に公開約4,100字

はじめに

ググれば5分でわかるようなことも、自分が気になったことは、今後はノウハウの一元化として記事化しておこうと思った。

Application GatewayでプライベートIPを持つことができるか?

結論:可能
ただし、バージョンには注意する必要がある。

Application Gateway V2 は現在、プライベート IP モードのみをサポートしていません。 次の組み合わせをサポートしています。

まぁプライベートIPモードのみで使いたいことは、ほぼないだろう。

フロントエンド IP アドレスの構成をApplication Gatewayする

証明書のCommon Nameとは

SSL/TLS接続に対応したWebサイトのURLのドメイン名部分のことで、例えばURLが「https://www.example.com/index.html」であれば「www.example.com」がコモンネームとして証明書に登録される。

アクセスするURLと、実際にサーバが返してくる証明書のコモンネームに乖離がある場合、「本当にアクセス継続して大丈夫?」という警告が出るという予防策としての位置づけがあると思う。

IT用語辞典

プライベートリンクサービスとプライベートエンドポイントの違い

Azure Portalから検索すると、両サービスが出てくる。
この2つの違いとしては、個人的な整理は以下の通り。

  • プライベートリンクサービス
    オンプレExpress Routeを経由して、あるVnetから、別のVnetのAzureサービスにプライベート接続を行いたい場合のエンドポイントとなる。利用者側のVnetとサービス提供側のVnetと2つ存在することがミソになる気がする。
    また、現在はStandard LoadBalancerのみサポートされているため、利用シーンは限定的な印象がある。
    (2022/12/04)
    実機でもStandard LoadBalancerのサポートのみ確認できた。

  • プライベートエンドポイント
    Vnet内からプライベート接続でAzureサービスを利用したいときに使う。利用できるサービスは、プライベートリンクサービスよりも柔軟性が高い。(ストレージアカウントやDBなど、PaaS系サービス)

詳細は、公式のドキュメントを確認してほしい。
Azure Private Linkサービスに寄せられる質問
Azure Private Linkサービス都は

Azure Standard Load Balancer の背後で実行されている自分のサービスで Private Link アクセスを有効にすると、自分のサービスのコンシューマーがそのサービスに対して独自の VNet からプライベートにアクセスできるようになります。 顧客は、自分の仮想ネットワーク内にプライベート エンドポイントを作成し、それをこのサービスにマッピングすることができます。

Application Gateway のパスベースルーティングと複数ホストルーティング

パスベースルーティング:
Application Gatewayのルーティング規則の追加から、パスベースルーティングは追加ができる。



なるほど、ここでパスに応じてバックエンドの設定も変更できるということか。

実際のところ、パスベースルーティングと複数ホストルーティングは併用ができるらしい。
実機では試していないが、そんな雰囲気はある。
リスナールールで複数サイトのホストを設定する。
ルーティング規則の追加から、リスナールールを指定できる。まずはどのドメイン名を使うか指定できる。その上で、パスベースルーティングも設定したい場合は、バックエンドターゲットに設定できる。もちろん、パスベースルーティングを設定しなくてもルーティング規則の追加はできる。
なるほど便利だ。実際設定する際には、以下のイメージになると思う。

参考:
パスベースルーティング
複数サイトのホスト
Application Gateway の構成について

プライベートエンドポイントのDNS

プライベートエンドにもDNS解決が必要になる…とのことで、どういった意味なのだろうと気になったため、調べた。

PaaSにはプライベートIPが割り当てられるが、動的IPになる。そのため、IP指定は現実的ではない。そこで、プライベートエンドポイントの名前解決をできることが必要になる。そういう意味で、プライベートエンドポイントもDNS解決が必要になるとの意味らしい。
注意なのは、ここで名前解決するのは、プライベートエンドポイントの名前解決ということであり、実際のPaaSの名前解決を行っているわけではないことに注意。

じゃあどうやって、指定したPaaSまで到達しているのか?というのは明確な答えは分からなかったが、おそらく内部的にルーティングしているのだと思う。プライベートエンドポイントを作成する際に、アクセスするリソースを指定できるので、心配は不要だと思う。

一番わかりやすいのは、以下のサイトだった。
Azure Private Linkを構成するにあたって注意点は?

静的コンテンツをBlobに格納する際の接続について

静的コンテンツをホストするBlobだけ、サービスエンドポイント利用になっていたので、なぜかなと思い調べた。

サービスエンドポイントを使う場合は、パブリックな経路は残るが、プライベートエンドポイントはパブリックなエンドポイントは削除することができる。そのため、内部からの接続も制限しつつ、外部公開することを考えると、サービスエンドポイントのほうが、金額的にも妥当。(プライベートエンドポイントを使うメリットが享受しにくくなる)

【Azure】(2022年版)サービスエンドポイントとプライベートエンドポイントの違い

【AZ-900】パブリックエンドポイントとプライベートエンドポイントの違いとは?PaaSに接続するためのエンドポイントを理解しよう!

Discussion

ログインするとコメントできます