Open2
Azureの広域負荷分散を試す
kiwi作業しているときのメモ
証明書作成
- Let's Encryptを使って証明書を作成した。
- Front Door、Application Gateway、WebApps で同じものを使いたいので、Key Vaultで管理する。
- Key Vaultは新しいRBACで試す。これまでアクセスポリシーしか触ったことがないので、アクセス権ではまりそうな予感。
WebApps
- プランはSharedでつくる。
* 前に試したときには東日本で作れたけれど、いまはクォータで制限されているみたい。Canada Central につくる。 - Front Door と同じホスト名でアクセスできるように、カスタムドメインを設定する。
ユーザーマネージドID
- Canada Central につくる。
- Application Gateway から Key Vault を参照するのに必要になるので作成。
- Key Vault リソースの IAM で、証明書ユーザーの権限を付与した。
Application Gateway
- SKU は Basic、リージョンは Canada Central につくる。
- Key Vault(RBAC) の証明書を参照する構成では、Azure Portal からはできず、コマンドで設定する必要があるみたい。
- ひとまず HTTP で構成してから、ドキュメントにあるコマンドを実行してみる。
- コマンドを実行したら、Application Gateway に Key Vault の証明書が登録できた。
- Azure Portal からできるようになってほしい。
- HTTPS のリスナーとルールが構成できた。
- HTTP のルールとリスナーは削除した。
- カスタムプローブで、カスタムドメインでプローブが飛ぶようにした。
- Application Gateway のフロントエンド IP を、hosts に設定した状態でアクセスできることを確認した。
- ひとまず HTTP で構成してから、ドキュメントにあるコマンドを実行してみる。
Front Door
- Front Door Standardでつくる。
- Front Door で Key Vault の証明書を使うには、Front Door を Entra ID に登録して、IAM設定で指定できるようにする必要がある。これは、テナントごとに1回実施する。
- CloudShell で実行。Graph のほうは追加で認証を要求されたので、Azure CLI をつかった。
- IAM の設定で、Front Door Standard が選択肢に出なくて困った。
- コマンドを再実行すると、既にあると出た。ちょっと時間をおいてリトライする。
- オブジェクト ID とアプリケーション ID を混同していたのが原因と判明。登録するときにコマンドで指定しているのはアプリケーション ID だが、IAM 設定時はオブジェクト ID で検索する&表示される。Key Vault が RBAC の時はアプリケーション ID で検索すると見つからないので注意が必要。
- そもそも、マネージドIDでのアクセス制御にすべきだった。
- CloudShell で実行。Graph のほうは追加で認証を要求されたので、Azure CLI をつかった。
- ドメイン、配信元グループ、ルール(フロント ドア マネージャー)の設定をした。
- DNS に Front Door のエンドポイントと関連付けるための CNAME レコードを追加した。Front Door(クラシック)と比べて、Azure Portal での案内が少なくて少し戸惑った。
コメント
- Front Door(クラシック)、Key Vault(アクセスポリシー)は利用経験があったが、Front Door Standard、Key Vault(RBAC)は初めてだったのもあっていくつかつまづいた。改めてドキュメントと設定を確認して、整理しておきたい。