none
イントラネット上でApp Serviceを使う方法「App Service+vNEt統合+VPNゲートウェイ」 RRS feed

  • 質問

  • こんにちは。アベです。

    表題の組み合わせて、ローカルのPCからVPN経由でAzureのApp Serviceを使いたいのですが、できずに困っています。

    ざっと環境を構築し、App Serviceからは、vNET上のVMへtcppingは通ります。
    また、VPN接続しているクライアントにもtcppingが通ります。

    App ServiceのConsole
    tcpping 10.0.0.2:3389
    tcpping 10.3.0.4:3389

    私がやりたいのは、vNETにVPNで接続しているクライアントやvNET上のVMから直接App Serviceを使うことです。しかし、それができずに困ってます。

    ローカルの端末からApp Serviceへドメイン名でアクセスするとInternet経由でのアクセスになります。やりたいことは、VPN経由でApp Serviceへアクセスしたい。しかし、App ServiceのローカルIPを調べて、IPアドレスでアクセスするとなにかに遮られます。

    私は、そもそも、IPアドレスでアクセスするのか、ドメイン名でアクセスするのかも分かっていません。SSLのため、IPアドレスは難しいと考えています。どのような設定、技術で実現するのかも分かっていません。キーワードや手順サイトなどがあれば助言をいただければと思います。

    何卒、ご助言を宜しくお願いいたします。

    2020年4月15日 1:25

回答

  • Azure Private Link 機能を使用することで実現が可能になると思いますが、Azure Web App (Azure App Service) はまだプレビュー機能であり、EAST US, WEST US 2, SOUTH CENTRAL US のみしか対応していないもようです。なお、本機能が使用できたとしても、現時点においては色々と制限事項があるもようです。 What is Azure Private Link? https://docs.microsoft.com/en-us/azure/private-link/private-link-overview Azure Web アプリでのプライベート エンドポイントの使用 (プレビュー) https://docs.microsoft.com/ja-jp/azure/app-service/networking/private-endpoint Azure App Service の Private Link サポートを一通り試した https://blog.shibayan.jp/entry/20200321/1584728878
    • 回答としてマーク kiyo7447 2020年4月15日 6:33
    2020年4月15日 5:09

すべての返信

  • Azure Private Link 機能を使用することで実現が可能になると思いますが、Azure Web App (Azure App Service) はまだプレビュー機能であり、EAST US, WEST US 2, SOUTH CENTRAL US のみしか対応していないもようです。なお、本機能が使用できたとしても、現時点においては色々と制限事項があるもようです。 What is Azure Private Link? https://docs.microsoft.com/en-us/azure/private-link/private-link-overview Azure Web アプリでのプライベート エンドポイントの使用 (プレビュー) https://docs.microsoft.com/ja-jp/azure/app-service/networking/private-endpoint Azure App Service の Private Link サポートを一通り試した https://blog.shibayan.jp/entry/20200321/1584728878
    • 回答としてマーク kiyo7447 2020年4月15日 6:33
    2020年4月15日 5:09
  • ありがとうございます!

    リージョンは東日本か、西日本で考えていました。。。

    まずは制限事項などを確認させていただき、進めてみたいと思います。

    2020年4月15日 5:58
  • こんにちは。アベです。

    App Service Environmentを使えばできるのではないか?という話が出ております。
    https://docs.microsoft.com/ja-jp/azure/app-service/environment

    ざっと見て、

    App Service Environment のネットワークの考慮事項
    https://docs.microsoft.com/ja-jp/azure/app-service/environment/network-info

    から、読み解くと、On Premises側から、App ServiceのWebサイトへアクセスはできないとみています。

    (矢印の向きが、App Serviceから、On Premisesのリソースを使うための矢印しかないため。)


    表題のテーマは、Azure Private Link機能で実現するしか無いと考えていますが、
    この「App Service Environment」でも実現できるものないのでしょうか?

    2020年4月20日 3:02
  • 内部ロードバランサー(ILB)を使った App Service Envronment であれば、希望の動作は可能かと思います。ただしコスト的にはある程度以上の規模になってしまうでしょう。


    Hebikuzure aka Murachi Akira

    2020年4月20日 6:52
  • 助言をありがとうございます。

    できるのであれば、この構成の場合で作ってみて検証してみたいと思います。


    2020年4月21日 3:40
  • 以下の方法でも実現できそうですね。 後はコストとの兼ね合いでしょうか。

    App Service Environment で内部ロード バランサーを作成して使用する
    https://docs.microsoft.com/ja-jp/azure/azure-monitor/log-query/datetime-operations#time-zones
    2020年4月21日 6:29
  • ありがとうございます。できそうなのですが、コストが掛かりすぎて笑ってしまいました。。。。

    東日本でASE料金148,000/月にIsolated workerの最小レベルを33,000/月を入れて、18万ほどApp Service以外に上乗せされます。

    当方のサービスはユーザ要件で国内必須に置くことが必須で、これから登場すると思われるPrivate Linkは使えないし、ASEは価格面で厳しいという状況です。VMの選択肢は、運用保守、定期メンテナンスの面から拒絶されており、困っています。

    何か別の方法は無いものなのでしょうか?

    やりたいことは、セキュリティの担保が必須で、App Serviceをある拠点からの接続のみ使用したいとうことです。
    (アカウント制限では要件外ということで、要件にVPNで接続してWebアプリを使うということが明記されています。)

    2020年4月22日 2:05
  • 以下の方法でも実現できそうですね。 後はコストとの兼ね合いでしょうか。

    App Service Environment で内部ロード バランサーを作成して使用する
    https://docs.microsoft.com/ja-jp/azure/app-service/environment/create-ilb-ase

    2020年4月22日 2:07
  • 現状であれば App Service にこだわらず、IaaS の VM 上に Web アプリケーションを構築すれば良いのでは?

    通常は PaaS よりコストはかかりますが、App Service Environment を使うことを考えれば、こっちの方が安上がりでしょうね。


    Hebikuzure aka Murachi Akira

    2020年4月22日 10:20

  • ありがとうございます。
    VMで進めています。

    web.configでip filteringして、Let's EncryptでSSLを入れて上手く進められそうです。
    難点は、
    PaaSではないので開発と運用チームからの懸念がいろいろと来ています。
    あとは、VPNGatewayからの接続でVM上のWebアプリをSSLで使えないという問題が起きています。
    これは別途相談を上げていきます。
    ありがとうございました。


    2020年4月24日 4:41