Azure App Service の リージョンとスタンプ、IP アドレスについて
こんにちは。CIE サポート 澤田です。
今回は Azure App Service の IP アドレスについて、説明します。
Azure App Service は任意のプラットフォーム、任意のデバイスを対象とした Web アプリとモバイル アプリを作成することができ、Web Apps、Mobile Apps、Logic Apps、API Apps を総称して App Service と言います。
これらはいずれも同じアーキテクチャーに基づいています。
例えば、サポートには以下のようなご質問やご要望をいただくことがあります。
Web Apps で Azure SQL Database と連携する際に、SQL Database のホワイトリストに登録する IP アドレス (Web Apps の IP アドレス) はサイトごとに異なるのか、また、変動する可能性があるのか。
WAF を使用して Azure Web Apps への HTTP 要求を IP アドレスを使用してルーティングしたい。サイト固有の IP アドレスを知りたい。
Azure SQL Database では接続のセキュリティにより、ファイアウォール ルールで明示的にホワイト リストに登録されていない IP アドレスからの接続試行を拒否します。
したがって、Azure SQL Database への接続を許可するためには、クライアント コンピューターまたはアプリケーション (ここでは Web Apps) のパブリック IP アドレス (アウトバウンドの IP アドレス) を知っておく必要があります。
※ Azure SQL Database は、現時点では Azure の仮想ネットワークに配置することはできず、インターネットからのアクセスのみを許可しています。
また、2 つ目のご質問、ご要望については、「複数のサイトをホストしている Azure App Service において、パブリック IP アドレス (インバウンドの IP アドレス) を使用してサイトへの要求を正しくルーティングすることはできのか。すなわち、IP アドレスによって、HTTP 要求を行っているサイトの一意性が認識できるのか。」という点を理解する必要があります。
※ 本投稿では、App Service 環境や IP SSL については触れません。
1. リージョンとスタンプ (スケールユニット)
2. インバウンド IP アドレスとアウトバウンド IP アドレス
1. リージョンとスタンプ (スケールユニット)
App Service プランを新規に作成する際、地域 (リージョン) を選択し、どこのデータセンターを利用するかを選択します。
各リージョンには 1 つ以上のスタンプ (App Service を構成する各ロールインスタンスをホストする、ゲストOS の集合体) があり、App Service は指定したリージョン内のいずれかのスタンプ (スケールユニット) にデプロイされます。
App Service プランがどのスタンプに作成されたかは、(1) Azure ポータルで FTP ホスト名を確認する (2) コマンドプロンプトで nslookup.exe を実行する方法があります。
ホスト名にある waws-prod-ty1-005 というのがスタンプ名になります。 上述の通り、各リージョンには 1 つ以上のスタンプがありますが、ユーザーは App Service をどのスタンプに作成するかを選択することはできません。
また、一度作成したサイトは、別のスタンプに作られている App Service プランにサイトを作り直す、ということをしない限り、サイトのデプロイ先であるスタンプが変更されることはありません。
2. インバウンド IP アドレスとアウトバウンド IP アドレス
nslookup.exe を実行した際に表示された 13.71.149.151 という IP アドレスは、waws-prod-ty1-005 のインバウンドの IP アドレスになります。
つまり、Azure App Service のインバウンドの IP アドレスはスタンプの IP アドレス、ということが言えます。
上述の通り、作成したサイトが稼働するインスタンス (Web Worker インスタンス) 自体は、メンテナンス等により変更されますが、デプロイ先のスタンプは変更されないため、サイトのインバウンドの IP アドレスも変更されることはありません。
インバウンドの IP アドレス (サイトがデプロイされているスタンプのインバウンドの IP アドレス) は、Azure ポータル – 任意のサイト – [カスタム ドメイン] を選択し、外部 IP アドレスに表示される IP アドレスからも確認できます。
一方、アウトバウンドの IP アドレスも、サイトが稼働するインスタンス (Web Worker インスタンス) 自体の IP アドレスではなく、スタンプのアウトバウンドの IP アドレス、となります。
アウトバウンドの IP アドレス (サイトがデプロイされているスタンプのアウトバウンドの IP アドレス) は、Azure ポータル - 任意のサイト – [プロパティ] を選択し、送信 IP アドレスに表示される 4 つの IP アドレスになります。
「App Service プランの動作について」で説明されているように、同じ App Service プランに関連付けられたアプリケーションは、同じインスタンス上で動作するため、同じ App Service プランのサイトは同じインバウンド、アウトバウンドのパブリック IP アドレスが割り当てられている、ということになります。
更には、他ユーザーの同じスタンプにデプロイされたサイトも同じインバウンド、アウトバウンドのパブリック IP アドレスが割り当てられている、ということにもなります。
以上の点から、最初のご質問、ご要望の答えはおわかりになりましたでしょうか?
Web Apps で Azure SQL Database と連携する際に、SQL Database のホワイトリストに登録する IP アドレス (Web Apps の IP アドレス) はサイトごとに異なるのか、また、変動する可能性があるのか。
Azure App Service のサイトのアウトバウンドの IP アドレスは、App Service プランがデプロイされたスタンプで共通の IP アドレスになり、サイトごとに固有のものではありません。
通常サイトを再起動、停止開始するといったお客様の運用上の作業において、スタンプの IP アドレスが変更されることはありません。また、プラットフォームの定期メンテナンスで変更されることもありません。WAF を使用して Azure Web Apps への HTTP 要求を IP アドレスを使用してルーティングしたい。サイト固有の IP アドレスを知りたい。
同じ App Service プランに関連付けられたアプリケーションは、同じインスタンス上で動作するため、Azure App Service では 1 インスタンス (Web Worker インスタンス) で複数のサイトをホストする可能性があります。
同じインスタンス上に複数のサイトがホストされている場合、ある HTTP 要求がいずれのサイトに対する HTTP 要求であるかを判断するために、IP アドレス、TCP ポート、もしくは、ホストヘッダーのいずれかが一意である必要があります。
更に、Azure App Service ではサイト固有の一意のパブリック IP アドレスは割り当てられていません。
したがって、Azure App Service では、IP アドレスや TCP ポートに一意性はないため、ホストヘッダー (サイト名、または、カスタム ドメインを構成している場合はドメイン名) を使用して HTTP 要求のルーティングをする必要があります。
それでは、また!
本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。