🎉 Container Apps に Private Link 対応！Front Door と統合してみた

2024年11月19日（Microsoft Ignite 2024開催）に、Azure Container Apps のワークロードプロファイル環境で、Private Link がパブリックプレビューとして利用可能になりました🎉

Public Preview: Private endpoint support in Azure Container Apps for workload profiles environments

Private Link を採用することにより、セキュリティとネットワーク性能に各々メリットがあります。

• Azure Container Apps の パブリックエンドポイントを無効化した状態になるため、外部からのアクセスを遮断できる。
• Private Link 間の通信は Microsoft の バックボーンネットワーク（MS所有の閉域NW） を経由するため、ネットワーク遅延を最小限に抑えれる

Private Link for Front Door 構成は、グローバル分散におけるセキュリティやNWパフォーマンスを強化してくれるため、個人的には推奨したいアーキテクチャです。

■ 本ブログで紹介する Azure構成

■ 2024年11月21日時点 での 注意点

Private Link for Front Door 経由で Container Apps を配信元にする構成を作成するためには、Azure CLI または Az-PowerShell の操作が必要になります。 本機能は パブリックプレビュー ということもあり、2024年11月21日時点では、Azure Portal による GUI操作 ができないため ご注意ください。

■ やってみた

MS Learn にて Container Apps を Front Doorに統合する チュートリアル が公開されていました。やってみます。
Create a private link to an Azure Container App with Azure Front Door (preview)

本ブログでは、Azure CloudShell で PowerShell 7系（7.4.5）を使用しています。

１. 事前準備

（１）azure-cliの最新化 と Container Appsの拡張機能 を有効化

Container Apps の Private Link はパブリックプレビューなので、拡張機能を利用できるようにします。

# 最新化
az upgrade

# Container Apps の 拡張機能 を有効化
az extension add --name containerapp --upgrade --allow-preview true

本ブログでは、azure-cli を 2.65.0 バージョンで使用しています。

（２）az login

Azure CloudShellのセッション保持は有効期間中でもたま〜に切れます。切れると下記のエラーが出ます。定期的に再ログインしてください。
Failed to connect to MSI. Please make sure MSI is configured correctly. Get Token request returned: <Response [400]>

az login

（３）リソース情報 を定義

リソース情報を定義します。

$RESOURCE_GROUP="rg-techblog"
$LOCATION="japaneast"
$ENVIRONMENT_NAME="ca-environment-techblog-je"
$CONTAINERAPP_NAME="container-app-techblog-je"
$AFD_PROFILE="afd-techblog"
$AFD_ENDPOINT="afd-endpoint-techblog"
$AFD_ORIGIN_GROUP="afd-origin-group-techblog"
$AFD_ORIGIN="afd-origin-techblog"
$AFD_ROUTE="afd-route-techblog"

２. リソースグループ を作成

リソースグループ を作成します。

az group create `
    --name $RESOURCE_GROUP `
    --location $LOCATION

３. Container Apps 環境 を作成

Container Apps 環境 を作成していきます。

az containerapp env create `
    --name $ENVIRONMENT_NAME `
    --resource-group $RESOURCE_GROUP `
    --location $LOCATION

【参考】az containerapp env create (containerapp 拡張機能)

成功すると、Container Apps 環境 と Log Analytics ワークスペース が作成されます。

Container Apps 環境 の リソースID を ENVIRONMENT_ID に格納します。

$ENVIRONMENT_ID=$(az containerapp env show `
    --resource-group $RESOURCE_GROUP `
    --name $ENVIRONMENT_NAME `
    --query "id" `
    --output tsv)

【参考】az containerapp env show

Private Link のみのアクセスを許可するため、パブリックネットワークアクセス を無効化します。

az containerapp env update `
    --id $ENVIRONMENT_ID `
    --public-network-access Disabled

【参考】az containerapp env update (containerapp 拡張機能)

成功すると、受信トラフィックを禁止（=無効化）されたことを確認できます。

４. Container Apps を作成

Container Apps 環境 を作成できたため、コンテナのアプリをデプロイできるようになりました。
Container Apps を作成します。

az containerapp up `
    --name $CONTAINERAPP_NAME `
    --resource-group $RESOURCE_GROUP `
    --location $LOCATION `
    --environment $ENVIRONMENT_NAME `
    --image mcr.microsoft.com/k8se/quickstart:latest `
    --target-port 80 `
    --ingress external `
    --query properties.configuration.ingress.fqdn

【参考】az containerapp up (containerapp 拡張機能)

成功すると、Container Apps が作成されます。

Front Door の 配信元ホスト に設定する Container Apps の イングレスURI を取得します。

$ACA_ENDPOINT=$(az containerapp show `
    --name $CONTAINERAPP_NAME `
    --resource-group $RESOURCE_GROUP `
    --query properties.configuration.ingress.fqdn `
    --output tsv)

【参考】az containerapp show (containerapp 拡張機能)

５. Front Door ＋ Private Link を作成

（１）Front Door の プロファイル を作成

プロファイル を作成していきます。なお、Front Door の Private Link機能 は Premium SKU のみです。Standard SKU は CDN機能 しか提供されていませんので利用不可です。

az afd profile create `
    --profile-name $AFD_PROFILE `
    --resource-group $RESOURCE_GROUP `
    --sku Premium_AzureFrontDoor

成功すると、Front Door が作成されます。

（２）Front Door の フロントエンドポイント を作成

Front Door のフロントエンドポイント を作成していきます。通常は、このフロントエンドポイントに カスタムドメイン を割り当てて外部公開しますが、今回は検証なのでこのままにします。

az afd endpoint create `
    --resource-group $RESOURCE_GROUP `
    --endpoint-name $AFD_ENDPOINT `
    --profile-name $AFD_PROFILE `
    --enabled-state Enabled

成功すると、フロントエンドポイント を確認できます。

（３）Front Door の 配信元グループ を作成

フロントエンドポイント で提供されるサービスは「配信元グループ」という単位で管理します。
配信元グループ を作成します。

az afd origin-group create `
    --resource-group $RESOURCE_GROUP `
    --origin-group-name $AFD_ORIGIN_GROUP `
    --profile-name $AFD_PROFILE `
    --probe-request-type HEAD `
    --probe-protocol Http `
    --probe-interval-in-seconds 60 `
    --probe-path / `
    --sample-size 4 `
    --successful-samples-required 3 `
    --additional-latency-in-milliseconds 50

成功すると、配信元グループ を確認できます。

（４）Front Door の 配信元 を作成

配信元のリソース情報を定義していきます。定義する際、Front Door に「Private Link を使うよ」と --private-link-〇〇 のパラメータ群を渡します。

az afd origin create `
    --resource-group $RESOURCE_GROUP `
    --origin-group-name $AFD_ORIGIN_GROUP `
    --origin-name $AFD_ORIGIN `
    --profile-name $AFD_PROFILE `
    --host-name $ACA_ENDPOINT `
    --origin-host-header $ACA_ENDPOINT `
    --priority 1 `
    --weight 500 `
    --enable-private-link true `
    --private-link-location $LOCATION `
    --private-link-request-message "AFD Private Link Request" `
    --private-link-resource $ENVIRONMENT_ID `
    --private-link-sub-resource-type managedEnvironments

成功すると、配信元のリソース情報 が確認できます。

配信元 では Private Linkの設定 が入っていないように見えますが、実際は設定されています。
↓ sharedPrivateLinkResource プロパティ が生えています。

{
  "deploymentStatus": "NotStarted",
  "enabledState": "Enabled",
  "enforceCertificateNameCheck": true,
  "hostName": "container-app-techblog-je.mangocoast-cd48a694.japaneast.azurecontainerapps.io",
  "httpPort": 80,
  "httpsPort": 443,
  "id": "/subscriptions/<サブスクリプションID>/resourcegroups/rg-techblog/providers/Microsoft.Cdn/profiles/afd-techblog/origingroups/afd-origin-group-techblog/origins/afd-origin-techblog",
  "name": "afd-origin-techblog",
  "originGroupName": "afd-origin-group-techblog",
  "originHostHeader": "container-app-techblog-je.mangocoast-cd48a694.japaneast.azurecontainerapps.io",
  "priority": 1,
  "provisioningState": "Succeeded",
  "resourceGroup": "rg-techblog",
  "sharedPrivateLinkResource": {
    "groupId": "managedEnvironments",
    "privateLink": {
      "id": "/subscriptions/<サブスクリプションID>/resourceGroups/rg-techblog/providers/Microsoft.App/managedEnvironments/ca-environment-techblog-je",
      "resourceGroup": "rg-techblog"
    },
    "privateLinkLocation": "japaneast",
    "requestMessage": "AFD Private Link Request"
  },
  "type": "Microsoft.Cdn/profiles/origingroups/origins",
  "weight": 500
}

（５）Private Link for Front Door を承認する

Azure Portal で Private Endpoint を作成するとデフォルトで自動承認モードが適用され、Private Link をすぐに使えます。ただ、Front Door で Private Link を使用する場合は、手動承認が必要です。

MS Learn ではazコマンドを使っていますが、Azure Portal から 承認操作したほうがやりやすいので紹介します。

Container Apps 環境コンソールにアクセスし、「ネットワーク(プレビュー)」を押下、プライベートエンドポイント を選択します。

接続状態 が 「Pending」になっていることを確認し、承認ボタンを押下します。

承認ボタンを押下後、10分ほど待機してください。通常はステータスを🔔マークから確認できるのですが、この承認操作は無限にステータスが変わりません。私は過去に3時間待ちましたが、ずっと承認中のステータスから変化しませんでした。内部的には承認が降りているため、問題ないです。

（６）Front Door の 配信元ルート を作成

フロントエンドポイント と 配信元グループ を関連付けます。

az afd route create `
    --resource-group $RESOURCE_GROUP `
    --profile-name $AFD_PROFILE `
    --endpoint-name $AFD_ENDPOINT `
    --forwarding-protocol MatchRequest `
    --route-name $AFD_ROUTE `
    --https-redirect Enabled `
    --origin-group $AFD_ORIGIN_GROUP `
    --supported-protocols Http Https `
    --link-to-default-domain Enabled

成功すると、配信元グループの画面で フロントエンドポイント が紐づいていることを確認できます。

■ 動作確認

フロントドアエンドポイント をブラウザで実行しましょう！※ 初回は表示されるまでに30秒ほどかかります。

az afd endpoint show `
    --resource-group $RESOURCE_GROUP `
    --profile-name $AFD_PROFILE `
    --endpoint-name $AFD_ENDPOINT `
    --query hostName `
    --output tsv

■ さいごに

これまで Container Apps は VNet統合 をサポートしていましたが、Private Link にも対応していくことが Microsoftの発表により見えてよかったです。受信トラフィックのみ利用したいユースケースは多く、Private Link を待望された人たちも多いでしょう。

まだ パブリックプレビュー ではありますが、個人的には一般提供(GA)されてから利用するべきだと考えています。Azure Portal 上での確認できない設定値があるため、オペレーションミスが発生する可能性があります。正式リリースを待ちましょう。