Open2

Azureの広域負荷分散を試す

kiwikiwi

作業しているときのメモ

証明書作成

  • Let's Encryptを使って証明書を作成した。
  • Front Door、Application Gateway、WebApps で同じものを使いたいので、Key Vaultで管理する。
    • Key Vaultは新しいRBACで試す。これまでアクセスポリシーしか触ったことがないので、アクセス権ではまりそうな予感。

WebApps

  • プランはSharedでつくる。
    * 前に試したときには東日本で作れたけれど、いまはクォータで制限されているみたい。Canada Central につくる。
  • Front Door と同じホスト名でアクセスできるように、カスタムドメインを設定する。
    • レコードの検証時、AレコードとTXTレコードが要求されるが、TXTレコードのみで検証できた。Aレコードは、Front Doorに向くことになるので設定しない。
    • Key Vaultへのアクセスのために必要な権限を当てたつもりだけど、証明書のインポートがうまくいかなくて悩み中。何か根本的な勘違いをしている気もするので、ドキュメントを読み直す。
      • IAM のスコープを証明書で試していたのだけど、Key Vault にしたらうまくいった。
    • レコードの検証時に指定された A レコードの IP を hosts に設定した状態でアクセスできることを確認した。

ユーザーマネージドID

  • Canada Central につくる。
  • Application Gateway から Key Vault を参照するのに必要になるので作成。
  • Key Vault リソースの IAM で、証明書ユーザーの権限を付与した。

Application Gateway

  • SKU は Basic、リージョンは Canada Central につくる。
  • Key Vault(RBAC) の証明書を参照する構成では、Azure Portal からはできず、コマンドで設定する必要があるみたい。
    • ひとまず HTTP で構成してから、ドキュメントにあるコマンドを実行してみる。
      • コマンドを実行したら、Application Gateway に Key Vault の証明書が登録できた。
      • Azure Portal からできるようになってほしい。
    • HTTPS のリスナーとルールが構成できた。
      • HTTP のルールとリスナーは削除した。
      • カスタムプローブで、カスタムドメインでプローブが飛ぶようにした。
    • Application Gateway のフロントエンド IP を、hosts に設定した状態でアクセスできることを確認した。

Front Door

  • Front Door Standardでつくる。
  • Front Door で Key Vault の証明書を使うには、Front Door を Entra ID に登録して、IAM設定で指定できるようにする必要がある。これは、テナントごとに1回実施する。
    • CloudShell で実行。Graph のほうは追加で認証を要求されたので、Azure CLI をつかった。
      • IAM の設定で、Front Door Standard が選択肢に出なくて困った。
      • コマンドを再実行すると、既にあると出た。ちょっと時間をおいてリトライする。
      • オブジェクト ID とアプリケーション ID を混同していたのが原因と判明。登録するときにコマンドで指定しているのはアプリケーション ID だが、IAM 設定時はオブジェクト ID で検索する&表示される。Key Vault が RBAC の時はアプリケーション ID で検索すると見つからないので注意が必要。
      • そもそも、マネージドIDでのアクセス制御にすべきだった。
  • ドメイン、配信元グループ、ルール(フロント ドア マネージャー)の設定をした。
    • DNS に Front Door のエンドポイントと関連付けるための CNAME レコードを追加した。Front Door(クラシック)と比べて、Azure Portal での案内が少なくて少し戸惑った。

コメント

  • Front Door(クラシック)、Key Vault(アクセスポリシー)は利用経験があったが、Front Door Standard、Key Vault(RBAC)は初めてだったのもあっていくつかつまづいた。改めてドキュメントと設定を確認して、整理しておきたい。