Web App for Containersで、vNet(vNet統合)を経由したACRからのpullを試しました。
App Service Team Blog に手順が公開されていますが、Azure Portalからの実現方法やデプロイメントスロットを使った場合の注意点を残します。
構成
- 以下のような構成で試しています。
vNet作成
- 以下のリソースを作成します。作成手順は割愛します。
- vNet
- vm-subnet
- private-endpoint-subnet
- vnet-integration-subnet
- vNet
ACR作成
-
ACRへのアクセスはプライベートエンドポイント経由で行います。プライベートエンドポイントはSKU Premiumが必要なので、Premiumで作成します。
-
ネットワーク設定は最初はパブリックアクセスで作成します。あとで変更します。
-
作成されたら管理者ユーザーを有効化しておきます。
サンプルアプリケーション準備
VM作成
- 検証用のVMを作成します。作成先Subnetはvm-subnetとし、OSはUbuntuとします。
サンプルイメージをACRにPush
- 検証用VMにログインしサンプルアプリをACRにPushします。
# echo '<h1>ACR Test v1</h1>' > index.html
# echo 'FROM nginx:latest' > Dockerfile
# echo 'COPY index.html /usr/share/nginx/html' >> Dockerfile
# az login
# az account list --output table --all
# az account set --subscription [Subscrption ID]
# az acr build --registry [Container Registry Name] --image nginx-test:v1 .
- Azure PortalからリポジトリにイメージがPushされていることを確認します。
Web App for Containers作成
-
Linuxコンテナーを選択します。
-
デプロイメントスロットを使いたいので P1v2 でいきます。
-
コンテナー設定画面では事前に準備したACRのイメージを選択します。
-
ネットワーク関連はあとで設定する為ここでは無効にしておきます。
-
Application Insightsは必要に応じて設定します。
-
作成されたらWebブラウザからURLにアクセスします。以下の画面が表示されればOKです。
Web App for Containers設定
PrivateEndpoint設定
-
特定のvNetからしかアクセスできないよう設定します。
-
Web Appから[ネットワーク]→[プライベートエンドポイント]の順に選択します。
-
[追加]を選択します。
-
サブネットは事前に作成したプライベートエンドポイントのサブネットを指定します。vNet内からプライベートIPで名前解決させたいため、プライベートDNSゾーンと統合します。
vNet統合
-
vNetを経由してACRからPullするために、vNet統合を設定します。
-
Web Appから[ネットワーク]→[VNET統合]の順に選択します。
-
[vNetの追加]を選択します。
-
事前に作成したvNet統合用のサブネットを選択します。
ManagedID設定
- ACRへの権限をWeb Appに与える為マネージドIDを設定します。
- Web Appから[ID]を選択し、システム割り当て済みマネージドIDを[オン]にします。
アプリケーション設定
-
Web Appから[構成]→[新しいアプリケーション設定]の順に選択します。
-
[WEBSITE_PULL_IMAGE_OVER_VNET]に[true]を設定して追加します。
-
Azure CLIから以下コマンドを実行します。この設定を入れることでACRの管理者ユーザーを無効にすることができます。
az resource update --resource-group [Resource Group Name] --name [Web App Name]/config/web --set properties.acrUseManagedIdentityCreds=true --resource-type 'Microsoft.Web/sites/config'
ACR設定
Private Endpoint作成
-
特定のvNetからしかアクセスできないよう設定します。
-
コンテナーレジストリーから[ネットワーク]→[プライベートアクセス]→[プライベートエンドポイント接続を作成します]の順に選択します。
-
エンドポイント名等を入力します。
-
対象のサブリソースは[registry]を選択します。
-
事前に作成したプライベートエンドポイントサブネットを選択します。
-
vNet内からプライベートIPで名前解決させたいため、プライベートDNSゾーンと統合します。
-
ACRの[ネットワーク]→[パブリックアクセス]の順に選択し、パブリックアクセスを無効にします。
- 無効にするとPortalからリポジトリへのアクセスもできなくなってしまうので、自PCからのアクセスのみ有効にしておいたほうが使いやすいです。
- 無効にするとPortalからリポジトリへのアクセスもできなくなってしまうので、自PCからのアクセスのみ有効にしておいたほうが使いやすいです。
-
ACRの管理者ユーザーを無効にします。
RBAC設定
-
コンテナーレジストリーから[IAM]→[ロールの割り当ての追加]の順に選択します。
-
[AcrPull]を選択します。
-
[マネージドID]→[メンバーを選択する]の順に選択します。
-
マネージドIDで[App Service]を選択すると、先ほどマネージドID設定したApp Serviceが出てくるので選択します。
検証
- 検証用VMから再度ACRにpushします。
# echo '<h1>ACR Test v2</h1>' > index.html
# az acr build --registry [Container Registry Name] --image nginx-test:v1 .
-
App Serviceを再起動します。
-
検証用VMから確認し、v2に変わっていればOKです。(App Serviceをプライベートエンドポイント経由のみにしているため、vNet内からしかアクセスできなくなっています)
# curl https://[Web App Name].azurewebsites.net
<h1>ACR Test v2</h1>
デプロイメントスロット設定
- デプロイメントスロットでは スワップされない設定 があります。
- 以下設定をデプロイメントスロット側にも実施することで、デプロイメントスロットでACRからPullすることができます。
- マネージドID
- VNET統合
- プライベートエンドポイント
- アプリケーション設定
- VNET統合サブネットはApp Serviceが分かれるとサブネットも分ける必要がありますが、デプロイメントスロットは同じApp Serviceなので、VNET統合サブネットは共存することが可能です。
以上