Azure Application Gatewayを構築してみた

2019-05-26

 Azure Portalを利用してApplication Gateway(V1) の構築を実施してみました。
Application Gateway用のサブネット作成、ネットワークセキュリティグループ設定、パブリックIPの作成と言った事前準備作業から、Application Gateway自体の作成まで一連の流れをやってみました。
インターネット等の外部ネットワークからHTTPを受信するという一番基本的な構成を想定し作成しています。

スポンサーリンク

Application Gateway用のネットワークセキュリティグループ(NSG)を作成

Application Gateway用のサブネットに適用するネットワークセキュリティグループを作成します。

ネットワークセキュリティグループの作成

ネットワークセキュリティグループの作成を行います。

1)ネットワークセキュリティグループの画面で追加を選択します。

2)ネットワークセキュリティグループの作成画面が表示されますので、名前を入力し、リソースグループや地域(ロケーション)を選択します。確認および作成をクリックすると確認画面が表示されますので、そのまま作成を行います。

3)デプロイが完了したら下記画面が表示されますので、リソースの移動をクリックします。

作成したネットワークセキュリティグループへ移動しますので受信規則の作成を行います。

アプリケーションゲートウェイで必要となる受信規則を作成する

アプリケーションゲートウェイで必要となる受信規則を作成します。

1)ネットワークセキュリティの画面で受信規則を選択します。下記画面が表されますので、追加をクリックします。

2)受信規則の設定を行います。ルール1はアプリケーションゲートウェイでは必須の設定になります。2と3は特定のIPからの許可のみする為の設定となっています。特定のIPからの許可とする為に、許可IP以外のアクセスを遮断する設定となっています。(1だけあればアプリケーションゲートウェイは動作します。)

ルール1

    • 優先順位:100
    • 宛先ポート: 65503-65534
    • プロトコル:Any(or TCP)
    • ソース:Any
    • 宛先:Any
    • アクション:許可

ルール2

    • 優先順位:101
    • 宛先ポート:*
    • プロトコル:TCP
    • ソース: AzureLoadBalancer  (Service Tag)
    • 宛先:Any
    • アクション:許可

ルール3

    • 優先順位:102
    • 宛先ポート:80,443
    • プロトコル:TCP
    • ソース: 接続許可するIPアドレス  (IPアドレス)
    • 宛先:Any
    • アクション:許可

ルール4

    • 優先順位:104
    • 宛先ポート:*
    • プロトコル:*
    • ソース: InterNet(Service Tag)
    • 宛先:Any
    • アクション:拒否

実際に設定が完了すると、下記のようになります。APGW01のプロトコルはAnyで作成との記載があったりもしますのでAnyで作成すべきかと思われます。

※送信規則は、InterNetへのアクセスが許可されている必要があります。

これでネットワークセキュリティグループの設定は完了です。

Application Gateway用のサブネットを作成

Application Gateway用のサブネットを作成します。Application GatewayのサブネットにはAzure VM等は設置できません。個別で専用に作成する必要があります。

1)仮想ネットワークの画面でサブネットを選択します。以下の画面が表示されますので、サブネットを追加します。

2)サブネットの追加を行います。名前やアドレス範囲のサブネット適時入力します。ネットワークセキュリティグループには先ほど作成したネットワークセキュリティグループを指定します。なおサブネットは/27以上のIP範囲(32個以上のIP)である必要があります。またアプリケーションゲートウェイ専用である必要があります。

これで、サブネットの追加作業は完了です。

Application Gatewayを作成

事前準備が完了したので、Application Gatewayを作成します。今回は試験用なので最小規模(インスタンス数1)で作成しています。インスタンス数は2以上が推奨なので実際の利用時は注意して下さい。以前はバラバラの作成だったのですが、2020年7月12日現在では一元的に作成するようになっています。

作成は以下の通りの流れで進みます。

      • 基本情報の設定
      • フロントエンドの作成(パブリックIPの作成も行います)
      • バックエンドプールの作成
      • ルーティング規則の作成

ルーティング規則の作成では、以下の内容を作成します。

      • リスナーの作成
      • HTTP設定の作成

アプリケーションゲートウェイの基本情報設定

1)Azure Portalでアプリケーション ゲートウェイのメニューを開きます。追加をクリックします。

2)アプリケーション ゲートウェイの作成画面が表示されますので、設定を進めていきます。

今回、設定値は下記の通り指定います。環境に合わせて適時修正頂ければと思います。

設定項目 設定値 備考
名前 APGW 適時命名してください。
レベル Standard  
インスタンス数  
SKUサイズ  
リソースグループ 適時環境に合わせて選択します  
場所 適時環境に合わせて選択します  
仮想ネットワーク Application Gateway用のサブネットがある仮想ネットワークを指定  
サブネット Application Gateway用のサブネットを指定  

フロントエンドの作成

1)今回は外部公開用を想定する為パブリックを選択します。併せてパブリックIPも新規作成する場合は、パブリックIPアドレスの新規追加をクリックし追加します。なおパブリックIPは動的である必要があります。(V1の場合です。)

バックエンドプールの作成

1)バックエンドプールの追加をクリックします。

2)バックエンドプールを追加します。ターゲットはhttpを受信するWebサーバ(Azure VMやWeb Apps等)を適時選択します。(Webを受信する環境が無い場合は、ターゲットを持たないバックエンドプールを追加しますの項目で”はい”を選択します。)

ルーティング規則の作成

1)構成画面が表示されます。ルーティング規則の追加をクリックし設定を行っていきます。

2)ルーティング規則の作成で、まずリスナーの設定を行います。ルール名やリスナー名を適時入力します。フロントエンドIPはパブリックを選択します。

3)バックエンドターゲット側の設定を行います。バックエンドターゲットは作成したバックエンドを指定します。HTTP設定は新規追加をクリックします。

4)HTTP設定の追加ではHTTP設定名を入力します。今回はその他の項目は設定は変更しません。

設定作業が完了したら、追加をクリックします。

5)タグの画面が表示されますので、環境に合わせて適時設定します。(必要が無ければ、何も入力しなくてもOKです。)

6)確認画面が表示されますので、問題なければ作成をクリックし作成します。これで作成作業は完了です。

Application Gatewayの追加設定

正常性プローブの設定は必須ではありませんがこっちも設定してみます。正常性プローブはバックエンドプールの正常性を確認するものです。

デフォルトは/へのアクセスで確認になります。詳細は下記サイトをご確認してください。

既定の正常性プローブの設定(公式サイト)

1)作成したアプリケーションゲートウェイの画面で、正常性プローブを選択します。下記画面が表示されますので、追加をクリックします。

2)名前を入力します。またホスト部分ですがマルチサイトでない場合は127.0.0.1を指定します。パスはURLのパスを適時指定します。下記画面はhttp://ドメイン/index.htmlを正常性プローブとして指定しています。設定が終わったら保存をクリックします。

3)作成した正常性プローブをHTTP設定と関連付けします。関連付けを行うHTTP設定を行うと下記のように追加の画面が表示されますので、カスタムプローブの使用を”はい”を選択、カスタムプローブに先ほど作成した正常性プローブを選択します。最後に更新すれば作業完了です。

パスベースのルールの作成についてはこちら。

Application Gatewayのテンプレートエクスポートについてはこちら。

Application Gateway,Azure