Azure Application GatewayをReverse Proxyとしたときの問題点
Application Gatewayにwww.hoge.comなどのカスタムドメインを設定して、Backend Poolにはfuga.azurewebsites.netみたいなPrivate EndpointのFQDNを設定したい、、、というのが普通な考えに思えてしまうのだが。
実はそれだけだとリダイレクトの問題というのが発生してしまい、一筋縄ではいかないらしい。
要はクライアントからはApplication GatewayのFQDNにアクセスしているが、バックエンドプールには別のApp ServiceのFQDNでアクセスしている状態。その場合、WebAppsはPoolにはfuga.azurewebsites.netのようなFQDNでアクセスされることを期待しているのだが、実際はwwww.hoge.comのホスト名でアクセスされてしまい、リダイレクトが発生してしまう。最終的にユーザーにfuga.azurewebsites.netのURLが見えてしまうし、場合によってはApplication Gatewayをスキップしてそっちに直接アクセスしてしまう可能性がある。
一番簡単な解決策としてはホスト名の上書きというのがあるので、Application GatewayでバックエンドのHost名でで無理やり上書きにできる。それを有効にしてしまえばいいのだが、それはそれで問題が起こるときがある。
解決策
解決策としては先ほどの上のgithubのサポートブログにある通り、以下2種類。
カスタム ドメインをつかう
Application Gateway V1 SKU を利用の場合、または V2 SKU を利用しているものの referer ヘッダーや Cookie などにもドメインが含まれていて書き換えでの対応が複雑となる場合
Application Gateway の書き換え規則をつかう
Application Gateway V2 SKU を利用の場合で、Location ヘッダーのみの書き換えで対応が可能な場合
Microsoft推奨はカスタムドメインを設定する法なのだが、どうも手順が見つからない。いや、さっきのGithubのサポートブログに書いてあるのだが、自分の頭ではパッと理解できない。NW周り等慣れている人には当たり前なのかもしれないけど、苦戦してしまったのでメモを残す。
カスタムドメインをFrontとBack両方に設定する方法
Application GatewayとApp Serviceの両方に同じカスタムドメインを使う方法を試してみる。実際Microsoftのドキュメントではこれが推奨となっている。
やることとしては以下の感じで。
- Application GatewayからWebAppsにPrivate Endpoint経由でアクセスしたい。
- App Serviceは直接アクセスは不可にする。
- Application Gatewayにはカスタムドメインでアクセスできるようにする。
- Application GatewayとApp Service間もHTTPS化する。
参考:
やってみる
前提として
- お名前.comでsimari.xyzというドメインを取得しています。
- 証明書は高いので、自己署名証明書を利用します。
- 動作確認用に同じVNet内にVMを立てます。
- DNSを変更した後は適宜ipconfig /flushdnsが必要ですが、手順からは省いています。
Application GatewayとApp ServiceをPrivate Endpointでつなぐ
App Service のプライベートエンドポイントを作成します。これは以下のサイトに手順があったので、省略。
Private DNS Zone作成
今回取得したドメイン名と同じ名前でPrivate DNS Zoneを作成し、App ServiceのPrivate EndpointのIPに対してAレコードを作成します。
VNetにLink。
動作確認用VMからnslookupでwww.simari.xyzにアクセスしてみるとPrivate IPで解決されることを確認。
App Serviceにもカスタムドメインをセット
Domainにお名前.comで購入したドメインを入力すると、Validationのための値が出力される。
お名前.com側でレコード追加する。
DNSレコード設定を利用するを選択。
(ここは最低限TXTレコードだけあれば良い。実はこのApp Serviceに設定したカスタムドメインはPublic IPで解決するものなので、実際には使われないのだ。なんか裏技ぽい。)
少し時間がかかるが、これでAddできるようになる。
Bindingを追加
このままだとカスタムドメインは設定できたが、証明書が設定されていない状態。
自己署名証明書を作成
基本的には以下の手順に則ればOK。
注意点として、CNはカスタムドメイン名と同じ(今回はwww.simari.xyz)にしておく必要がある。
$cert = New-SelfSignedCertificate `
-Subject "CN=www.simari.xyz" `
-CertStoreLocation "Cert:\CurrentUser\My" `
-KeyExportPolicy Exportable `
-KeySpec Signature `
-KeyLength 2048 `
-KeyAlgorithm RSA `
-HashAlgorithm SHA256
$cert | Format-List
# 秘密鍵なしのcer
Export-Certificate -Cert $cert -FilePath "C:\work\certificate2.cer"
$password = ConvertTo-SecureString -String "`{PASSWORD}" -Force -AsPlainText
# 秘密鍵ありのpfx
Export-PfxCertificate -Cert $cert -FilePath "C:\work\certificate2.pfx" -Password $password
Add binding
Add bindingから。本当はKV使ったほうがいいんだけど、力尽きたためUploadで。。
お名前.com側でApplication GatewayのPublic IPのAレコード追加
Application GatewayのPublic IPを確認。
お名前.comに追加。
これでApplication Gatewayもwww.simari.xyzでアクセスできるようになる。
(この時同時にさっき追加したApp Serviceのレコードを消しても良い。そう、App Serviceのお名前.comのDNSレコードはApp Serviceにカスタムドメインを設定したいから必要になっただけであって、Public IPで名前解決されることは一度もないので最終的に不要なのだ。)
Application GatewayのBackend settingsもCertificateを追加
App Serviceに設定したものと同じCertificateを追加。(※これはApplication GatewayからBackendの通信のためのCertificate。)
ここはOverride with new hostnameをNoにするのが大事。
ListenerにもCertificateを追加
Listener側にもCertificateを設定。
動作確認
Httpsで通信するhelath probeを設定して。
Backend healthでグリーンなことを確認。
VMからではなく、インターネット経由で設定したカスタムドメインにアクセスしてサイトが表示されることを確認。
最初に挙げたgithubのサポートブログのようにRedirectが走っていないのが確認できる。OK!
参考
未来の自分用メモとしてApplication gatewayの設定のスクショを残す。
