こんにちは、アーキテクトのやまぱんです。
補足コメントや質問、いいね、拡散、是非お願いします🥺！
間違ってたら優しく教えてください！

以前下記の記事を書きました。
今回はその続きです！！ 前回のと合わせて完全閉域化となります。
ただし、順序はどちらから実施して頂いても構いません。

続きとはいっても、環境は例のごとく作り直しています。

おさらい

Azure App Service の閉域化は受信と送信それぞれを考える必要がある
送信方向の閉域化 → VNet 統合 [前回実施済！]
受信方向の閉域化 → Private Endpoint [今回実施]

似たような名前の Service Endpoint も入れて、VNet 統合と Private Endpoint の違いを例のごとく以下に簡単に表にします。

名前	対象の通信	プライベート IP かパブリック IP か
VNet 統合	PaaS → VNet	宛先・送信元ともにプライベートIP
Private Endpoint	VNet → PaaS	宛先・送信元ともにプライベートIP
Service Endpoint	VNet → PaaS	宛先はパブリック IP / 送信元はプライベートIP

Private Endpoint と Service Endpoint の詳しい違いについては下記を参考にしてください。

今回は PaaS からみた受信方向の通信を閉域化、つまり Private Endpoint (プライベートエンドポイント) を構成します。

Azure App Service の Private Endpoint を試してみる

前回に引き続き今回もフリーハンドなざっくりな絵で大変、大変恐縮ですが、「インターネット経由の Azure App Service へのインバウンド通信」を「プライベートエンドポイント経由(赤字の経路下側)」にして、実際にプライベートアクセスになっていることを確認してみます。
細線部分は Private Endpoint 構成前のインターネット経由 / Public IP を使った経路です。

前提

Azure App Service はデプロイ済み
Vnet統合により、Azure App Service → Azure VM 経路は閉域構成ができている前提
Free Plan では Private Endpoint を利用できないので、注意

プライベートエンドポイントは、App Service プランの Basic、Standard、PremiumV2、PremiumV3、IsolatedV2、Functions Premium (Elastic Premium プランとも呼ばれています) でホストされている Windows および Linux のアプリ (コンテナー化されているかどうかにかかわらず) に使用できます。
ref : App Service アプリにプライベートエンドポイントを使用する
https://learn.microsoft.com/ja-jp/azure/app-service/networking/private-endpoint

Azure App Service 準備

今回 Azure App Service にアクセスしたクライアントの IP アドレスを表示するように IPアドレス確認くんを構成しました。
こんな感じでアクセスするとクライアントの IP アドレスが表示されます。

URLは https://yamapantest.azurewebsites.net

構成手順は下記を参考にしてください。

デフォルトのパブリックアクセス

まずは Private Endpoint 構成前の Public IP から Azure App Service (IPアドレス確認くん) にアクセスしてみます。
Windows VM にPublic IP(172.207.230.209) 経由で RDP し、その環境から、Azure App Service へブラウザ経由でアクセス。
Azure App Service へも Public IP (172.207.230.209) でアクセスしていることが分かる。

また、yamapantest.azurewebsites.net の名前解決の結果、”13.78.106.96" に解決されていることが分かりますね。

Private Endpoint の構成

Azure App Service → ネットワーク → プライベートエンドポイントを確認。
ここで先ほど出てきた IPアドレス：13.78.106.96 が Azure App Service の受信アドレスに表示されていることが確認来ます。

「プライベートエンドポイント」をクリック
Windows VM が存在する Vnet/Subnet を選択しよしなに設定を入れて【OK】を押します
なお、今回はあえてプライベート DNSゾーンとは統合しませんが、検証簡略化するのであれば入れても構いません。

作成されたプライベートエンドポイントを確認し、NIC をたどり、割り当てられている Private IP を確認します。 10.0.0.6 、Windows VM が存在するネットワーク 10.0.0.0/24 内の IP アドレスが正しく割り当てられていることが分かります。

Azure App Service のプライベートエンドポイント IP：10.0.0.6

プライベートエンドポイント経由でアクセスその１

では早速、Azure App Service のプライベートエンドポイント IP、10.0.0.6 にアクセスしてみましょう。

はい、こんな感じで IP アドレス直打ちだとアクセスできません。
正確には L4 レベルでは疎通が取れている(プライベートエンドポイント経由になっているといえる)し、Azure App Serviceのエラー画面が出ているので Azure App Service 自体へのアクセスできるともいえますが、想定した画面になりません。

Azure App Service は IP アドレスを他のインスタンスとも共有しているので IP だけではアクセスできないようになっています。

ちなみにこの状態であれば、対象の VM から、yamapantest.azurewebsites.net 宛で、インターネット経由でアクセスすることは可能です。(DNS ゾーン統合していないので、名前解決をするとプライベートIP ではなくパブリック IP アドレスに解決されるため。)

プライベートエンドポイント経由でアクセスその２

キチンと表示されるために、今回は hosts ファイルを使います。
DNS on VM を立てても、PaaS サービスの Private DNS ゾーンにレコードを登録してもよいですが、今回は hosts ファイルを編集します。

■ hosts ファイル編集

Win + X → A で管理者権限で PowerShell を起動

"C:\windows\system32\drivers\etc\hosts" を貼り付けてエンターを押し、メモ帳を起動

Azure App Service のホスト名とプライベートエンドポイントのIPを入れる、追記する
今回はこんな感じ。
10.0.0.6 yamapantest.azurewebsites.net

追記したら　Ctrl ＋ S で上書き保存

完了したら、ホスト名 URL でアクセスします。
以下の通り、無事 Windows VM の Private IP (10.0.0.5) から Azure App Service のプライベートエンドポイント(10.0.0.6)へアクセスできていることが分かります。

ちなみに今回は hosts ファイルを編集したので、名前解決の結果は変わらず、グローバル IP が返って来ています。
プライベート DNS 統合したり、プライベート DNS ゾーンを使ってレコードを登録して正しく参照されている場合は名前解決の結果もプライベート IP になるはずです。

不要なインバウンド通信を絞る

プライベートエンドポイントが構成できましたが、これだけでは Public IP 経由のアクセスも可能な状態です。
例えば今回の場合、下記のように設定することでプライベートエンドポイント経由以外のアクセスを遮断することができ、理論上閉域化が可能になります。

一応確認してみましょう！！
試しにこの状態では手元の端末からの Public IP / インターネット経由でのアクセスは不可能になります。(L4 レベルでは通信できているのでAzure App Serviceの画面が表示されるが、L7 レベルで弾かれているので目的のIPアドレス確認くんの画面が表示されない。)

宣伝

Azure における閉域化の Udemy をリリースしました
NWの基礎、各 Azure サービスの基礎から解説しストレージアカウントやAzure App Service などを用いたハンズオンで理解を深めていただく内容になっています。

参考

Azure App Service の Private Endpoint の内容を下記動画で解説してくれています。

そもそも前提として、Azure App Service のインフラ周りについてはこちらを確認していただけるとよいかと思います。

Azure App Service の Private Endpoint を試す！！(半閉域化)