アプリケーション配信の計画

このセクションでは、内部および外部に公開されるアプリケーションを、安全で拡張性と可用性の高い方法で配信するための主な推奨事項について説明します。

設計上の考慮事項:

• Azure Load Balancer (内部およびパブリック) では、リージョン レベルでのアプリケーションの配信に対して高可用性が提供されます。

• Azure Application Gateway を使用すると、リージョン レベルで HTTP/S アプリケーションを安全に配信できます。

• Azure Front Door を使用すると、Azure リージョン間で高可用性の HTTP/S アプリケーションを安全に配信できます。

• Azure Traffic Manager を使用すると、グローバル アプリケーションを配信できます。

設計上の推奨事項:

• 内部に公開されるアプリケーションと外部に公開されるアプリケーションの両方について、ランディング ゾーン内でアプリケーションの配信を実行します。

  • Application Gateway をアプリケーション コンポーネントとして扱い、ハブ内の共有リソースとしてではなくスポーク仮想ネットワークにデプロイします。
  • Web Application Firewall アラートを解釈するには、通常、それらのアラートのトリガーとなるメッセージが正当であるかどうかを判断するために、アプリケーションに関する深い知識が必要です。
  • ハブに Application Gateway をデプロイし、異なるアプリケーションを管理するチームが同じ Application Gateway インスタンスを使用する場合、ロールベースのアクセス制御の問題が発生する可能性があります。 この場合、それぞれのチームは、Application Gateway 構成全体にアクセスできます。
  • Application Gateway を共有リソースとして扱った場合、Azure Application Gateway の制限を超える可能性があります。
  • 詳細については、Web アプリケーションのゼロ トラスト ネットワークに関するページを参照してください。

• HTTP/S アプリケーションのセキュリティ保護された配信を行うには、Application Gateway v2 を使用し、WAF の保護とポリシーを有効にします。

• HTTP/S アプリケーションのセキュリティに Application Gateway v2 を使用できない場合は、パートナーの NVA を使用します。

• 受信 HTTP/S 接続に使用される Azure Application Gateway v2 またはパートナーの NVA は、セキュリティ保護対象のアプリケーションと共に、ランディング ゾーンの仮想ネットワーク内にデプロイします。

• ランディング ゾーン内のすべてのパブリック IP アドレスに対し、DDoS Standard 保護プランを使用します。

• 複数の Azure リージョンにまたがるグローバル HTTP/S アプリケーションを配信し、保護するには、Azure Front Door と WAF ポリシーを使用します。

• Front Door と Application Gateway を使用して HTTP/S アプリケーションを保護する場合は、Front Door で WAF ポリシーを使用します。 Application Gateway をロックダウンして、Front Door からのトラフィックのみを受信します。

• HTTP/S 以外のプロトコルにまたがるグローバル アプリケーションを配信するには、Traffic Manager を使用します。