イントラネット上でApp Serviceを使う方法「App Service＋vNEt統合＋VPNゲートウェイ」

Question

こんにちは。アベです。

表題の組み合わせて、ローカルのPCからVPN経由でAzureのApp Serviceを使いたいのですが、できずに困っています。

ざっと環境を構築し、App Serviceからは、vNET上のVMへtcppingは通ります。
また、VPN接続しているクライアントにもtcppingが通ります。

App ServiceのConsole
tcpping 10.0.0.2:3389
tcpping 10.3.0.4:3389

私がやりたいのは、vNETにVPNで接続しているクライアントやvNET上のVMから直接App Serviceを使うことです。しかし、それができずに困ってます。

ローカルの端末からApp Serviceへドメイン名でアクセスするとInternet経由でのアクセスになります。やりたいことは、VPN経由でApp Serviceへアクセスしたい。しかし、App ServiceのローカルIPを調べて、IPアドレスでアクセスするとなにかに遮られます。

私は、そもそも、IPアドレスでアクセスするのか、ドメイン名でアクセスするのかも分かっていません。SSLのため、IPアドレスは難しいと考えています。どのような設定、技術で実現するのかも分かっていません。キーワードや手順サイトなどがあれば助言をいただければと思います。

何卒、ご助言を宜しくお願いいたします。

Answer 1

Azure Private Link 機能を使用することで実現が可能になると思いますが、Azure Web App (Azure App Service) はまだプレビュー機能であり、EAST US, WEST US 2, SOUTH CENTRAL US のみしか対応していないもようです。なお、本機能が使用できたとしても、現時点においては色々と制限事項があるもようです。 What is Azure Private Link? https://docs.microsoft.com/en-us/azure/private-link/private-link-overview Azure Web アプリでのプライベート エンドポイントの使用 (プレビュー) https://docs.microsoft.com/ja-jp/azure/app-service/networking/private-endpoint Azure App Service の Private Link サポートを一通り試した https://blog.shibayan.jp/entry/20200321/1584728878

Answer 2

ありがとうございます！

リージョンは東日本か、西日本で考えていました。。。

まずは制限事項などを確認させていただき、進めてみたいと思います。

Answer 3

こんにちは。アベです。

App Service Environmentを使えばできるのではないか？という話が出ております。
https://docs.microsoft.com/ja-jp/azure/app-service/environment

ざっと見て、

App Service Environment のネットワークの考慮事項
https://docs.microsoft.com/ja-jp/azure/app-service/environment/network-info

から、読み解くと、On Premises側から、App ServiceのWebサイトへアクセスはできないとみています。

（矢印の向きが、App Serviceから、On Premisesのリソースを使うための矢印しかないため。）


表題のテーマは、Azure Private Link機能で実現するしか無いと考えていますが、
この「App Service Environment」でも実現できるものないのでしょうか？

Answer 4

内部ロードバランサー（ILB）を使った App Service Envronment であれば、希望の動作は可能かと思います。ただしコスト的にはある程度以上の規模になってしまうでしょう。

---

Hebikuzure aka Murachi Akira

Answer 5

助言をありがとうございます。

できるのであれば、この構成の場合で作ってみて検証してみたいと思います。

Answer 6

以下の方法でも実現できそうですね。 後はコストとの兼ね合いでしょうか。

App Service Environment で内部ロード バランサーを作成して使用する
https://docs.microsoft.com/ja-jp/azure/azure-monitor/log-query/datetime-operations#time-zones

Answer 7

ありがとうございます。できそうなのですが、コストが掛かりすぎて笑ってしまいました。。。。

東日本でASE料金148,000/月にIsolated workerの最小レベルを33,000/月を入れて、18万ほどApp Service以外に上乗せされます。

当方のサービスはユーザ要件で国内必須に置くことが必須で、これから登場すると思われるPrivate Linkは使えないし、ASEは価格面で厳しいという状況です。VMの選択肢は、運用保守、定期メンテナンスの面から拒絶されており、困っています。

何か別の方法は無いものなのでしょうか？

やりたいことは、セキュリティの担保が必須で、App Serviceをある拠点からの接続のみ使用したいとうことです。
（アカウント制限では要件外ということで、要件にVPNで接続してWebアプリを使うということが明記されています。）

Answer 8

以下の方法でも実現できそうですね。 後はコストとの兼ね合いでしょうか。

App Service Environment で内部ロード バランサーを作成して使用する
https://docs.microsoft.com/ja-jp/azure/app-service/environment/create-ilb-ase

Answer 9

現状であれば App Service にこだわらず、IaaS の VM 上に Web アプリケーションを構築すれば良いのでは?

通常は PaaS よりコストはかかりますが、App Service Environment を使うことを考えれば、こっちの方が安上がりでしょうね。

---

Hebikuzure aka Murachi Akira

Answer 10

ありがとうございます。
VMで進めています。

web.configでip filteringして、Let's EncryptでSSLを入れて上手く進められそうです。
難点は、
PaaSではないので開発と運用チームからの懸念がいろいろと来ています。
あとは、VPNGatewayからの接続でVM上のWebアプリをSSLで使えないという問題が起きています。
これは別途相談を上げていきます。
ありがとうございました。