こんにちは、アーキテクトのやまぱんです。
補足コメントや質問、いいね、拡散、是非お願いします🥺!
間違ってたら優しく教えてください!
以前下記の記事を書きました。
今回はその続きです!! 前回のと合わせて完全閉域化となります。
ただし、順序はどちらから実施して頂いても構いません。
続きとはいっても、環境は例のごとく作り直しています。
おさらい
- Azure App Service の閉域化は受信と送信それぞれを考える必要がある
- 送信方向の閉域化 → VNet 統合 [前回実施済!]
- 受信方向の閉域化 → Private Endpoint [今回実施]
似たような名前の Service Endpoint も入れて、VNet 統合 と Private Endpoint の違いを例のごとく以下に簡単に表にします。
| 名前 | 対象の通信 | プライベート IP かパブリック IP か |
|---|---|---|
| VNet 統合 | PaaS → VNet | 宛先・送信元ともに プライベートIP |
| Private Endpoint | VNet → PaaS | 宛先・送信元ともに プライベートIP |
| Service Endpoint | VNet → PaaS | 宛先はパブリック IP / 送信元はプライベートIP |
Private Endpoint と Service Endpoint の詳しい違いについては下記を参考にしてください。
今回は PaaS からみた受信方向の通信を閉域化、つまり Private Endpoint (プライベート エンドポイント) を構成します。
Azure App Service の Private Endpoint を試してみる
前回に引き続き今回もフリーハンドなざっくりな絵で大変、大変恐縮ですが、「インターネット経由の Azure App Service へのインバウンド通信」を「プライベート エンドポイント経由(赤字の経路下側)」にして、実際にプライベートアクセスになっていることを確認してみます。
細線部分は Private Endpoint 構成前の インターネット経由 / Public IP を使った経路です。
前提
- Azure App Service はデプロイ済み
- Vnet統合 により、Azure App Service → Azure VM 経路は閉域構成ができている前提
- Free Plan では Private Endpoint を利用できないので、注意
プライベート エンドポイントは、App Service プランの Basic、Standard、PremiumV2、PremiumV3、IsolatedV2、Functions Premium (Elastic Premium プランとも呼ばれています) でホストされている Windows および Linux のアプリ (コンテナー化されているかどうかにかかわらず) に使用できます。
ref : App Service アプリにプライベート エンドポイントを使用する
https://learn.microsoft.com/ja-jp/azure/app-service/networking/private-endpoint
Azure App Service 準備
今回 Azure App Service にアクセスしたクライアントの IP アドレスを表示するように IPアドレス確認くんを構成しました。
こんな感じでアクセスするとクライアントの IP アドレスが表示されます。
URLは https://yamapantest.azurewebsites.net
構成手順は下記を参考にしてください。
デフォルトのパブリックアクセス
まずは Private Endpoint 構成前の Public IP から Azure App Service (IPアドレス確認くん) にアクセスしてみます。
Windows VM にPublic IP(172.207.230.209) 経由で RDP し、その環境から、Azure App Service へブラウザ経由でアクセス。
Azure App Service へも Public IP (172.207.230.209) でアクセスしていることが分かる。
また、yamapantest.azurewebsites.net の名前解決の結果、”13.78.106.96" に解決されていることが分かりますね。
Private Endpoint の構成
Azure App Service → ネットワーク → プライベート エンドポイント を確認。
ここで先ほど出てきた IPアドレス:13.78.106.96 が Azure App Service の受信アドレスに表示されていることが確認来ます。
- 「プライベート エンドポイント」をクリック
- Windows VM が存在する Vnet/Subnet を選択しよしなに設定を入れて【OK】を押します
なお、今回はあえてプライベート DNSゾーン とは統合しませんが、検証簡略化するのであれば入れても構いません。
作成されたプライベート エンドポイントを確認し、NIC をたどり、割り当てられている Private IP を確認します。 10.0.0.6 、Windows VM が存在する ネットワーク 10.0.0.0/24 内の IP アドレスが正しく割り当てられていることが分かります。
- Azure App Service のプライベート エンドポイント IP:10.0.0.6
プライベート エンドポイント経由でアクセスその1
では早速、Azure App Service のプライベート エンドポイント IP、10.0.0.6 にアクセスしてみましょう。
はい、こんな感じで IP アドレス直打ちだとアクセスできません。
正確には L4 レベルでは疎通が取れている(プライベート エンドポイント経由になっているといえる)し、Azure App Serviceのエラー画面が出ているので Azure App Service 自体へのアクセスできるともいえますが、想定した画面になりません。
Azure App Service は IP アドレスを他のインスタンスとも共有しているので IP だけではアクセスできないようになっています。
ちなみにこの状態であれば、対象の VM から、yamapantest.azurewebsites.net 宛で、インターネット経由でアクセスすることは可能です。(DNS ゾーン統合していないので、名前解決をするとプライベートIP ではなくパブリック IP アドレスに解決されるため。)
プライベート エンドポイント経由でアクセスその2
キチンと表示されるために、今回は hosts ファイルを使います。
DNS on VM を立てても、PaaS サービスの Private DNS ゾーンにレコードを登録してもよいですが、今回は hosts ファイルを編集します。
■ hosts ファイル編集
- Win + X → A で管理者権限で PowerShell を起動
- "C:\windows\system32\drivers\etc\hosts" を貼り付けてエンターを押し、メモ帳を起動
- Azure App Service のホスト名とプライベート エンドポイントのIPを入れる、追記する
今回はこんな感じ。
10.0.0.6 yamapantest.azurewebsites.net
- 追記したら Ctrl + S で上書き保存
完了したら、ホスト名 URL でアクセスします。
以下の通り、無事 Windows VM の Private IP (10.0.0.5) から Azure App Service のプライベート エンドポイント(10.0.0.6)へアクセスできていることが分かります。
ちなみに今回は hosts ファイルを編集したので、名前解決の結果は変わらず、グローバル IP が返って来ています。
プライベート DNS 統合したり、プライベート DNS ゾーンを使ってレコードを登録して正しく参照されている場合は名前解決の結果もプライベート IP になるはずです。
不要なインバウンド通信を絞る
プライベート エンドポイントが構成できましたが、これだけでは Public IP 経由のアクセスも可能な状態です。
例えば今回の場合、下記のように設定することでプライベート エンドポイント経由以外のアクセスを遮断することができ、理論上閉域化が可能になります。
一応確認してみましょう!!
試しにこの状態では手元の端末からの Public IP / インターネット経由でのアクセスは不可能になります。(L4 レベルでは通信できているのでAzure App Serviceの画面が表示されるが、L7 レベルで弾かれているので目的のIPアドレス確認くんの画面が表示されない。)
参考
Azure App Service の Private Endpoint の内容を下記動画で解説してくれています。
そもそも前提として、Azure App Service のインフラ周りについてはこちらを確認していただけるとよいかと思います。