Go to Qiita Advent Calendar 2024 Top
LoginSignup
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

@smr1

Web App, Front Door, Storage AccountをPrivate Endpointでつなぐ

Posted at

最初に

Private Endpointの設定の仕方で毎回混乱するので自分用のメモ。色々な設定が必要で手順がかなり長くなってしまった。
Private Endpointの作成についてはいろいろ記事があるんだけど、Front Door, Web App, Storage Accountという構成のものを見たことないのでまとめる。

他にKeyVault、NSG等も使ったほうがいいので、このままの設定だと本番では使えない。これはあくまでもPrivate Endpointを使うためだけのサンプル構成です。

雑だけどこんなイメージ
image.png

リソースデプロイ

前提として、Front DoorはPremiumでないとPrivate Endpointの接続をサポートしていないので注意。

Premiumは2023年現在330ドルするので中々いいお値段になってしまう。
ただし、それはそれだけFront Doorの機能が豊富であるということでもある。昔だったらTrafiic Manager、 Firewall、CDN、Application Gateway、DDos Protection等を組み合わせていた。

多機能過ぎてすごい。
image.png

参考までにロードバランシングのオプション。

手順

参考リンク。

ざっとこんな感じ。

  1. Resource Groupの作成
  2. Vnet, Subnetの作成
  3. App service planの作成
  4. Web Appの作成
  5. Front Doorの作成
  6. Storage Accountの作成(実際はDatalakeを使う)

Resource Group

まずはResource Groupの作成だけど、使えるRegionが限られている。

https://learn.microsoft.com/ja-jp/azure/frontdoor/private-link
image.png
今回はJapan Eastを選択。(スクショ忘れた。)

Vnet、Subnet

Private EndpointのためにVnetとSubnetを作る。
サブネットはWeb App用とStorage Account用を分ける。
image.png

App Service Plan

一旦BasicのLinuxを選択。
image.png

Web App

image.png

Front Door

多分この辺は変わるんだろうけど。
色々設定があってややこしい。
image.png
Front DoorのProfileを作る。Premiumを選ぶ。
image.png
Endpoint作成してこんな感じ
image.png
image.png
Route
image.png
Origin Group
image.png
Origin、ここでPrivate link serviceを有効にする。
image.png
最終的にこんな感じ。
image.png

記事用に試していたときは早くデプロイされたけど、Front Doorはグローバル分散サービスなので、Deployや設定変更に15分位かかるときもあった。中々Try & Errorするのも楽ではない。

Storage Account

基本的に全てデフォルト設定でいく。
image.png
image.png

最終的にRGの一覧を見てみるとこんな感じになった。
ここには見えてないけどあとPrivate DNS Zoneもある。
image.png

一覧にはないが、実はWeb App用のPrivate Endpointは裏でDeployされている。Web AppのNetworking > Private Endpointを見るとこんな感じにでPendingになっている。こいつは承認してやる必要がある。
image.png

ApproveするとNetworkingページがグリーンになる。
image.png

警告メッセージとして、パブリックアクセスできなくなるよ=Front Door経由でしかアクセスできなくなるよ、と表示さrれる。

When you enable private endpoints, app assigned address inbound traffic feature is no longer applicable and will be turned off.

Private Endpointを開くとNo accessになる。これはFront Door側で管理しているから、ということと思われる。
image.png

動作確認

Web AppのDefault Domainをクリック。
image.png
あれ、接続できてしまう。。。これ以降何回か再起動したり、待ってみたり試したが、どうしてもパブリックアクセスできてしまっていた。
仕方ないので後続のステップで塞ぐことにする。
image.png

今度はFront DoorのEndpoint hostnameのURLにアクセス。
image.png
Front Door経由で接続できることを確認。

ちなみにPrivate EndpointのApproveを忘れるとこんなエラーになる。
image.png

個別設定

個々のサービスを設定していく。

  1. Storage AccountのNetworking設定
  2. Web Appの設定

Storage AccountのNetworking設定

まずはPublic Accessをふさぐ。
全部塞いでしまうとPortalやStrorage Explorerからもアクセスできなくなってしまうので、自分のIPのみ開く。
image.png

Networking > Private EndpointsからPrivate Endpointを作成。
image.png
今回はDatalakeにしたので、その場合はサブリソースのdfsとblobの両方が必要とのこと。

image.png

Private Endpointを作る際には一緒にNicも作って、NicをSubnetに接続する。また、Private DNS Zoneを有効にする。

こっちは自動的にApproved状態になる。
image.png
image.png

Web Appの設定

相変わらずPublicアクセスできてしまうこいつをFront Door経由だけのアクセスに絞りたい。
image.png

Networking > Access Ristrictionを確認する。
Main siteとAdvanced tool siteの2種類があるが、Main siteはパブリックアクセス不可に、Advanced tool site(Kudu)はデバッグとかで使うので、IP制限をかける。

Main site

  • Unmatched rule actionをDenyに。
  • デフォルトだとアクセス全て許可するAllow Allのデフォルトルールを変更。

Azコマンドでデフォルトルールを変更。

az resource update --resource-group rg-study001 --name wapp-study001 --resource-type "Microsoft.Web/sites" --set properties.siteConfig.ipSecurityRestrictionsDefaultAction=Deny

image.png

Web AppのURLをたたくとエラーになることを確認。
image.png

同時に(スクショはないが、)Front DoorのEndpoint経由だとつながることを確認。

Advanced tool site

Web Appのログを見れたり、デプロイのエンドポイントになったりするので、完全にふさいでしまうと不便。ただKudu裏からアクセスされてしまうと致命的なので、いったん自分のIPだけ許可するようにする。

az resource update --resource-group rg-study001 --name Awapp-study001 --resource-type "Microsoft.Web/sites" --set properties.siteConfig.scmIpSecurityRestrictionsDefaultAction=Allow

image.png

これでOK。
image.png

Storage Accountの設定

さて、次にStorage AccountのPrivate edpoint を呼び出すためにはNetworking > Vnet integrationをONにする必要がある。

App Service の仮想ネットワーク統合機能を使用すると、アプリは仮想ネットワーク内のリソースにアクセスしたり、仮想ネットワークを通じてリソースにアクセスしたりできます。

Storage AccountのPrivate EntpointはNicでVnetに接続されているので、Web Appからそいつを呼び出すのにVnet統合が必要。SubnetはAppのものにつなぐ。
image.png

動作確認

Storage Accountのdfs用のPrivate Endpoint > DNS configuration > FQDNをコピる。

image.png
dlstudy001.dfs.core.windows.net

ここで最初自分は勘違いしていたんだけど、privatelink...を含むURLを使う必要はない。通常のエンドポイントのURLを使えば裏で自動的にPrivate Endpointを使ってくれるのがいいところ。既存のサービスの接続を裏でPrivate Endpointを利用するように変更する場合も、URLの変更は不要で済む。

Advanced Tools > Go > Bashを開いてnslookupするとちゃんとPrivate IPで名前解決できていることが確認できる。
image.png

※ちなみに別のResource Groupで同じようなPrivate Endpointを使う構成のものがあった場合、ポチポチしているだけだと自動的にはうまくいかなかった。
Azure DNS ZoneはGlobalなリソースのため、設定がResource Groupをまたいでしまい、影響が出てしまう可能性があるので注意が必要。Resource Groupをまたいでいたとしても、vnet名やIP範囲が被らないようにするとか。

Web AppにアプリをDeploy

最後にWeb Appにアプリをデプロイし、Web AppからDatalakeに接続できていることを確認する。

1
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?