↕️

プライベート Application Gateway v2 (プレビュー)

2023/06/07に公開

はじめに

Application Gateway v2 では今までプライベート IP のみの構成ができなかったため、そのような要件がある場合は v1 を使う必要がありました。今回ようやく v2 でもプライベート IP のみの構成ができるプレビューが出ましたので、動作確認してみます。

参考リンク

https://learn.microsoft.com/ja-jp/azure/application-gateway/application-gateway-private-deployment?tabs=portal

デプロイ

プライベート Application Gateway v2 を作成していきます。まずはプレビュー登録からになります。

プレビュー登録

本機能を使用する場合はプレビュー登録が必要です。サブスクリプションの [プレビュー機能] から [EnableApplicationGatewayNetworkIsolation] を検索し、[登録] をクリックします。
反映までに 30 分くらいかかるらしいです。

リソース作成

Application Gateway の画面から通常の v2 と同じようにリソースを作成していきます。なお、事前に Application Gateway 用のサブネットが必要です。


プレビュー登録が完了していると、以下のようにフロントエンドで [プライベート] が選択可能です。

あとは、通常の Application Gateway と同じなので、説明は割愛します。

検証

今回主に検証したかったのは、Application Gateway のサブネットに適用する NSG です。ドキュメントでは受信規則では AzureLoadBalancer と Application Gateway にアクセスするクライアントのプライベート IP アドレスのみ、送信規則ではバックエンドターゲットの IP アドレスのみとできるようです。
https://learn.microsoft.com/ja-jp/azure/application-gateway/application-gateway-private-deployment?tabs=portal#network-security-group-control

NSG 設定

実際に Application Gateway のサブネットに適用した NSG を以下のように設定しました。

受信規則

10.0.0.0/16 :Web サイトに接続する端末のセグメント

送信規則

10.10.0.0/24 :バックエンドに配置した Web サーバの VM のセグメント

Application Gateway の設定

ごく一般的な設定です。

バックエンド プール

バックエンド 設定

フロントエンド IP 構成

リスナー

ルール


動作確認

バックエンド正常性は Success になっています。


実際に Application Gateway 経由でアクセスすると正常にページが表示されます。

まとめ

簡単ですが、プライベート Application Gateway v2 が動作することを確認しました。特に NSG で必要な許可設定が少なくなり、よりセキュアな構成とすることが可能となるようです。

Microsoft (有志)

Discussion