2018/04/21 Global Azure Bootcamp 2018@Tokyo https://jazug.connpass.com/event/81865/presentation/

1. 俺の俺による俺のための
App Service
(App Service Environment の話)
冨田順 (とみたすなお)
@harutama

2. 2
Web App はいいぞ!!

3. 無料で試せますので是非
3https://azure.microsoft.com/ja-jp/try/app-service/

4. ASE とは?
4
Azure App Service Environment は、
App Service アプリを大規模かつ安全に
実行するために完全に分離された専用の
環境を提供する、Azure App Service の
機能です。
https://docs.microsoft.com/ja-jp/azure/app-service/environment/intro

5. 5
App Service Environment
||
通称 ASE

6. こんな形になる
6
App Service
Environment
サブネット
Web Apps 内部
ロードバランサ
(ILB)
App Service
Environment
サブネット
Web Apps 外部
ロードバランサ
Internal ASE
外部 ASE
External ASE
外部 ASE
インターネット
仮想ネットワーク 仮想ネットワーク

7. ASE ここが素晴らしい
• App Service を仮想ネットワーク内に配
置させることができる
– ExpressRoute や VPN 経由でオンプレミス
にあるリソースを使うことができる。
• インターネットから完全に切り離された
App Service を作れる
7

8. つまり
8
俺の俺による俺のための
App Service
を作れる

9. ASE ここがイケてない
• 値段が高い
• 価格が高い
• お値段の張るサービス
• 時間あたりの利用料が高い
• 課金額で Azure への愛を感じられる
• ぶっちゃけいろいろめんどくさい
9

10. それでもなぜ使うのか?
10
Azure のセキュリティとコンプライアンスのブループリント - PCI DSS 準拠の支払い処理環境
https://docs.microsoft.com/ja-jp/azure/security/blueprints/payment-processing-blueprint

11. 本日のお品書き
11

12. 今日のお品書き
• 今日話すこと
– App Service Environment V2
– 内部ロードバランサーの App Service Environment
• 今日話さないこと
– App Service Environment V1
– 外部ロードバランサーの App Service Environment
12

13. 13
このスライドは2018年4月21日時点の情報で
作成されています

14. 前提
14
こんな仮想ネットワークを用意しておきます

15. まずは内部ASEを作ってみる
https://docs.microsoft.com/ja-jp/azure/app-service/environment/create-ilb-ase
15

16. ASE のサブネットを作る
16

17. 「ドメイン」とは?
17

18. ASEのドメイン
18

19. とっても重要な注意
19

20. こんな感じで指定する
20

21. UIがちょっと変わる
21

22. 価格を見て躊躇しない…
22
リージョンによって価格は変わります

23. 23
しばし待つ

24. できた
24

25. ILBの証明書?
25

26. 26

27. PowerShell 実行して
27
$certificate = New-SelfSignedCertificate `
-certstorelocation "cert:¥localmachine¥my" `
-dnsname "*.harutama-example.org","*.scm.harutama-example.org" `
-NotAfter (Get-Date).AddYears(100);
$certThumbprint = "cert:¥localMachine¥my¥" + $certificate.Thumbprint;
$password = ConvertTo-SecureString -String "Password1!" -Force -AsPlainText;
$fileName = "harutama-example.pfx";
Export-PfxCertificate -cert $certThumbprint `
-FilePath $fileName -Password $password;
$fileContentBytes = get-content -encoding byte $fileName;
$fileContentEncoded = [System.Convert]::ToBase64String($fileContentBytes);
$fileContentEncoded | set-content ($fileName + ".b64");

28. 証明書を追加
28

29. 29
これで App Service
Environment が
できました

30. 30
App Service
Environment の中で動く
Web Apps を作りましょう

31. プランがちょっと違ったり
31

32. アプリ名が変わったりしますが
32

33. できました
33

34. 34
問題
今作った Web App
https://ase-app.harutama-example.org
どうやってアクセスすればいいでしょう?

35. ASE がしてくれたこと
35

36. 今の状態
• ASE のドメインはどこにも登録されてない
– インターネットから直接参照できたら意味がない
– イントラ側も名前解決するところ(DNS)がない
• サブネットの中に Web App が配置された
– 同じ仮想ネットワーク内でないとアクセスできない
– サブネット間の通信は NSG によってコントロール
• バーチャルホストへのアクセスなので
リクエストに Host ヘッダが無いとサイトが見えない
– 詳しくは後で
36

37. インターネット側から見てみる
37

38. インターネットから隔離…
38

39. イントラ側からIPで見てみる
39

40. 今の状態
40
App Service
Environment
サブネット
Web Apps 内部
ロードバランサ
(ILB)
仮想ネットワーク

41. 仮想マシンはあったほうがいい
41

42. 今の状態
42
App Service
Environment
サブネット
Web Apps 内部
ロードバランサ
(ILB)
仮想ネットワーク
サブネット
仮想マシン

43. DNS も必要そう
43

44. 今の状態
44
App Service
Environment
サブネット
Web Apps 内部
ロードバランサ
(ILB)
仮想ネットワーク
サブネット
仮想マシン
サブネット
Azure DNS
Private Zones

45. ロードバランサーは必要
45

46. 完成形
46
App Service
Environment
サブネット
Web Apps 内部
ロードバランサ
(ILB)
仮想ネットワーク
サブネット
仮想マシン
サブネット
Azure DNS
Private Zones
サブネット
Application
Gateway

47. 仮想マシンを作る
47

48. ASE と同じ VNet に入れる
48

49. HOSTS ファイルを書き換えて
49

50. ASEの中のWeb Appが見えた!
50

51. Kuduを見ようとすると…
51

52. IDとパスワードは…
52

53. 発行プロファイルにあります
53

54. これで Kudu に入れる
54

55. 脇道トーク
55

56. 56
問
どうして Web App には
IPでアクセスしても
何も表示されないのか?

57. 実際にこうなる
57

58. 58
答
Web App は
バーチャルホストで
運用されているから

59. Web App の仕組み
59
ILBは1個だけ
↓
参照されるIPは1個だけ
Web Appは複数存在する

60. バーチャルホスト
60http://co-akuma.directorz.jp/blog/2010/10/バーチャルホストとは？/

61. バーチャルホスト
61http://co-akuma.directorz.jp/blog/2010/10/バーチャルホストとは？/

62. バーチャルホスト
62http://co-akuma.directorz.jp/blog/2010/10/バーチャルホストとは？/

63. バーチャルホスト
63http://co-akuma.directorz.jp/blog/2010/10/バーチャルホストとは？/

64. DNSをつくる
https://docs.microsoft.com/en-us/azure/dns/private-dns-
getstarted-powershell
http://torumakabe.github.io/post/azure_private_dns_preview/
64

65. DNS の選択肢
• HOSTS ファイルで頑張る
– 辛くて無理
• Azure DNS プラーベートゾーン
– おすすめしたいけど今はプレビュー
• DNS サーバーを自前で作って頑張る
– イントラに DNS があって接続できるなら候補
• Azure AD ドメインサービス (AADDS) の DNS
– AADDS を使っているのならば選択肢
65

66. Azure DNS Private Zones
66https://docs.microsoft.com/ja-jp/azure/dns/private-dns-overview

67. こんな PowerShell を実行
67

68. 現状の制限
68
https://docs.microsoft.com/ja-jp/azure/dns/private-dns-overview#limitations
仮想ネットワークは、次の時点では空の (VM レコードがない) 状態である必要が
あります。
プライベート ゾーンに登録または解決仮想ネットワークとして初めてリンクさ
れるとき。
ただし、その他のプライベート ゾーンに登録または解決仮想ネットワークとして
さらにリンクする場合、仮想ネットワークは空でなくてもかまいません。

69. 最初に作っておきましょう
69
例えばこんな感じ

70. レコードセットを追加
70

71. Aレコードを作成
71

72. 反映された
72

73. 仮想マシン側からも引ける
73

74. Web App 側にホスト名を追加
74

75. これで見えるようになります
75

76. Application Gateway
https://docs.microsoft.com/ja-jp/azure/app-
service/environment/integrate-with-application-gateway
76

77. 完成形
77
App Service
Environment
サブネット
Web Apps 内部
ロードバランサ
(ILB)
仮想ネットワーク
サブネット
仮想マシン
サブネット
Azure DNS
Private Zones
サブネット
Application
Gateway
ここに何を
使うのか?

78. ロードバランサーの選択肢
• ロードバランサー (L4)
– 使ってもいいけど、それなら外部ASEを使っ
たほうが良かったような…
• Application Gateway (L7)
– とりあえず最初の選択肢
• サードパーティーのWAF
– 要件とお値段次第
78

79. サードパーティーのWAF
79
https://azuremarketplace.microsoft.com/ja-
jp/marketplace/apps/category/networking?page=1&subcategories=appliances

80. Application Gateway の機能
• Web アプリケーションファイアウォール(WAF)
• HTTP の負荷分散
• SSL オフロード
• リクエストのリダイレクト
• 正常性の監視
• Cookie ベースのセッション アフィニティ
とかとか
80

81. Application Gateway の中身
81
バックエンドプール
リスナー
フロントエンドIP
ルール
HTTP設定
フロントエンドポートクライアントの
リクエスト

82. Application Gateway を作る
• ポータルから作れないことはないです
– 設定することがめっちゃ多い
– 設定変更の反映に20分くらいかかる
– ちゃんと構成できてるか自信を失う
• PowerShell や ARM で作ることをおすす
めします
82

83. このくらい長いです
83
#
# Login-AzureRmAccount
#
# Subscription
Select-AzureRmSubscription -Subscriptionid "35efd6bc-33c4-415f-9f07-3760277e78e1"
$vnet = Get-AzureRmVirtualNetwork -Name "DemoNet" -ResourceGroupName "GABC-Infra"
$subnet = Get-AzureRmVirtualNetworkSubnetConfig -Name "AppGatewaySubnet" -VirtualNetwork $vnet
$publicip = Get-AzureRmPublicIpAddress -Name "PubIP-AppGW" -ResourceGroupName "GABC-AppGW"
# https://azure.microsoft.com/ja-jp/documentation/articles/application-gateway-create-gateway-arm/
# Custom Plobe
$probe = New-AzureRmApplicationGatewayProbeConfig -Name "probe" -HostName "harutama.gekkyoku-teiso.info" `
-Protocol Http -Path '/' -Interval 30 -Timeout 120 -UnhealthyThreshold 8
# Backend Pool
$gipconfig = New-AzureRmApplicationGatewayIPConfiguration -Name "appgatewayip" -Subnet $subnet
$pool = New-AzureRmApplicationGatewayBackendAddressPool -Name "apppool" -BackendIPAddresses "172.30.10.11"
$poolSetting = New-AzureRmApplicationGatewayBackendHttpSettings -Name "apppoolsetting" -Port 80 -Protocol Http `
-CookieBasedAffinity Disabled -Probe $probe
# Frontend IP
$fipconfig = New-AzureRmApplicationGatewayFrontendIPConfig -Name "fipconfig" -PublicIPAddress $publicip
# HTTPS Cert
$https_cert_password = ConvertTo-SecureString "Password1!" -AsPlainText -Force
$https_cert = New-AzureRmApplicationGatewaySslCertificate -Name "https-cert" `
-CertificateFile "C:¥Users¥SunaoTomita¥Dropbox¥release¥20180421GlobalAzureBootCamp¥harutama-com.pfx" -Password
$https_cert_password
# Frontend HTTPS
$https_fp = New-AzureRmApplicationGatewayFrontendPort -Name "https-frontend" -Port 443
$https_listener_appgw = New-AzureRmApplicationGatewayHttpListener -Name "https-listener-appgw" -Protocol Https `
-FrontendIPConfiguration $fipconfig -FrontendPort $https_fp -SslCertificate $https_cert `
-HostName "harutama-appgw.westus2.cloudapp.azure.com"
$https_rule_appgw = New-AzureRmApplicationGatewayRequestRoutingRule -Name "https-rule-appgw" -RuleType "Basic" `
-BackendHttpSettings $poolSetting -HttpListener $https_listener_appgw -BackendAddressPool $pool
# Frontend HTTP
$http_fp = New-AzureRmApplicationGatewayFrontendPort -Name "http-frontend" -Port 80
$http_listener_appgw = New-AzureRmApplicationGatewayHttpListener -Name "http-listener-appgw" -Protocol Http `
-FrontendIPConfiguration $fipconfig -FrontendPort $http_fp `
-HostName "harutama-appgw.westus2.cloudapp.azure.com"
$http_redirect_appgw = New-AzureRmApplicationGatewayRedirectConfiguration -Name "redirect-http-https-appgw" -RedirectType
Permanent `
-TargetListener $https_listener_appgw -IncludePath $true -IncludeQueryString $true
$http_rule_appgw = New-AzureRmApplicationGatewayRequestRoutingRule -Name "http-rule-appgw" `
-RuleType Basic -HttpListener $http_listener_appgw -RedirectConfiguration $http_redirect_appgw
# Sku
$sku = New-AzureRmApplicationGatewaySku -Name Standard_Small -Tier Standard -Capacity 1
# SSL Policy
$policy = New-AzureRmApplicationGatewaySslPolicy -PolicyType Predefined -PolicyName "AppGwSslPolicy20170401S"
# Create App Gateway !!!!!!!!!!!!!!!!!!!!!
$appgw = New-AzureRmApplicationGateway -Name "AppGW-Harutama" -ResourceGroupName "GABC-AppGW" -Location "West US 2" `
-BackendAddressPools $pool -BackendHttpSettingsCollection $poolSetting `
-SslCertificates $https_cert -AuthenticationCertificates $poolCert `
-FrontendIpConfigurations $fipconfig -GatewayIpConfigurations $gipconfig -FrontendPorts $http_fp, $https_fp `
-HttpListeners $http_listener_appgw, $https_listener_appgw `
-RequestRoutingRules $http_rule_appgw, $https_rule_appgw `
-RedirectConfiguration $http_redirect_appgw `
-Sku $sku -Probes $probe -SslPolicy $policy

84. カスタムドメインを忘れずに
84

85. 無事にできあがると
85

86. まとめ
86

87. App Service Environment
• いろいろ面倒
– 証明書、DNS、アプリのデプロイとかとか
いろいろ用意するものと考えることはある。
– 仮想マシン運用するよりとっても健全。
• Web App のメリットはそのまんま
– ちゃんと構成すれば自動で運用もできます。
• そして高い…
87

88. 88

89. Let’s dream and then let’s build.
- Ray Ozzie
冨田 順 (@harutama)
http://twitter.com/harutama
89