Azure Front Door についてよく寄せられる質問

この記事では、Azure Front Door の機能に関する一般的な質問を回答します。 ご質問に対する回答がここで見つからない場合は、次のチャネルでお問い合わせください (上から順に)。

  1. この記事のコメント セクション。

  2. Azure Front Door のフィードバック

  3. Microsoft のサポート: 新しいサポート要求を作成するには、Azure Portal の [ヘルプ] タブで、 [ヘルプとサポート] ボタンを選択し、 [新しいサポート要求] を選択します。

全般

Azure Front Door とは

Azure Front Door は、Application Delivery Network (ADN) をサービスとして提供することで、さまざまなレイヤー 7 負荷分散機能をアプリケーションで利用できるようにします。 これは動的サイト アクセラレーション (DSA) とグローバル負荷分散に、ほぼリアルタイムのフェールオーバーを提供します。 これは Azure で完全に管理できる、高可用でスケーラブルなサービスを提供します。

Azure Front Door ではどのような機能がサポートされますか?

Azure Front Door では、動的サイト アクセラレーション (DSA)、TLS/SSL オフロードとエンド ツー エンド TLS、Web アプリケーション ファイアウォール、Cookie ベースのセッション アフィニティ、URL パス ベースのルーティング、無料の証明書、複数ドメインの管理などがサポートされます。 サポートされる機能の一覧については、Azure Front Door の概要に関する記事をご覧ください。

Azure Front Door と Azure Application Gateway の違いは何ですか?

Front Door と Application Gateway は両方とも、レイヤー 7 (HTTP/HTTPS) のロード バランサーです。主な違いは、Front Door が非リージョン サービスであるのに対し、Application Gateway はリージョン サービスであるということです。 Front Door はリージョン全体のさまざまなスケール ユニット/クラスター/スタンプのユニット間で負荷分散ができますが、Application Gateway は、スケール ユニット内にある、仮想マシン/コンテナーなどの間で負荷分散ができます。

Front Door の背後に Application Gateway をデプロイする必要はありますか?

Front Door の背後で Application Gateway を使用するべき主要なシナリオは次のとおりです。

  • Front Door は、パス ベースの負荷分散をグローバル レベルでしか実行できません。仮想ネットワーク (VNET) 内でトラフィックをさらに負荷分散したい場合は、Application Gateway を使用する必要があります。
  • Front Door は VM/コンテナー レベルで機能しないので、接続のドレインは実行できません。 ただし、Application Gateway を使用すると、接続のドレインを実行できます。
  • Front Door の内側で Application Gateway を使用すると、100% の TLS/SSL オフロードを実現し、その仮想ネットワーク (VNET) 内で HTTP 要求のみをルーティングできます。
  • Front Door と Application Gateway は両方ともセッション アフィニティをサポートします。 Front Door は、後続のトラフィックをユーザー セッションから特定のリージョン内の同じクラスターまたはバックエンドに転送できますが、Application Gateway は、トラフィックをクラスター内の同じサーバーにアフィニタイズ (affinitize) できます。

Front Door の背後に Azure Load Balancer をデプロイできますか?

Azure Front Door では、トラフィックをルーティングする先のパブリック VIP または公開されている DNS 名が必要です。 Front Door の背後に Azure Load Balancer をデプロイすることは、一般的なユース ケースです。

Azure Front Door ではどのようなプロトコルがサポートされますか?

Azure Front Door では、HTTP、HTTPS、HTTP/2 がサポートされます。

Azure Front Door では HTTP/2 がどのようにサポートされますか?

HTTP/2 プロトコルのサポートを利用できるのは、Azure Front Door に接続しているクライアントだけです。 バックエンド プール内のバックエンドへの通信は、HTTP/1.1 を介して実行されます。 HTTP/2 のサポートは既定で有効です。

現在、バックエンド プールの一部としてどのようなリソースがサポートされますか?

バックエンド プールは、Storage、Web アプリ、Kubernetes インスタンス、またはパブリック接続があるその他の任意のカスタム ホスト名で構成できます。 Azure Front Door では、バックエンドがパブリック IP またはパブリックに解決可能な DNS ホスト名のいずれかで定義されている必要があります。 バックエンド プールのメンバーは、パブリック接続がある限り、複数のゾーンやリージョンにまたがって、または Azure の外部に存在することができます。

このサービスは、どのリージョンで利用できますか?

Azure Front Door はグローバル サービスであり、特定の Azure リージョンに関連付けられていません。 Front Door を作成するときに指定する必要がある唯一の場所はリソース グループです。これは基本的にはリソース グループのメタデータを格納する場所を指定します。 Front Door リソース自体はグローバルなリソースとして作成され、その構成は、世界のすべてのエッジ ロケーションにデプロイされます。

Azure Front Door のエッジ ロケーションはどこにありますか。

Azure Front Door のすべてのエッジ ロケーションのリストは、Azure Front Door のエッジ ロケーションに関する記事でご覧いただけます。

Azure Front Door はアプリケーション専用のデプロイですか、それとも複数の顧客と共有されますか?

Azure Front Door は、グローバルに分散されたマルチ テナント サービスです。 そのため、Front Door のインフラストラクチャは、すべての顧客間で共有されます。 ただし、ユーザーは Front Door のプロファイルを作成することで、アプリケーションに必要な特定の構成を定義します。Front Door に加えられた変更は、他の Front Door 構成に影響を与えません。

HTTP から HTTPS へのリダイレクトはサポートされていますか?

はい。 実際には、Azure Front Door では、ホスト、パス、およびクエリ文字列のリダイレクトに加えて、URL リダイレクトの一部がサポートされています。 URL リダイレクトの詳細を確認してください。

どのような順序でルーティング ルールは処理されますか?

Front Door のルートには順序はなく、特定のルートは最適な一致に基づいて選択されます。 詳細については、「Front Door が要求をルーティング規則と照合する方法」を参照してください。

バックエンドへのアクセスを Azure Front Door のみにロックダウンするにはどうしたらよいですか?

Front Door の機能は、トラフィックが Front Door のみを経由する場合に最適です。 Front Door 経由で送信されていないトラフィックをブロックするように配信元を構成する必要があります。 詳細については、「Azure Front Door の配信元へのトラフィックをセキュリティで保護する」を参照してください。

エニーキャスト IP は、Front Door の有効期間を通じて変更できますか?

Front Door のフロントエンド エニーキャスト IP は、通常は変更すべきでなく、Front Door の有効期間を通じて静的のままにしておくことができます。 ただし、同じであることの保証はありません。 IP アドレスへの直接的な依存関係は存在しないようにしてください。

Azure Front Door では静的または専用 IP アドレスがサポートされていますか?

いいえ、Azure Front Door では静的または専用のフロントエンド エニーキャスト IP アドレスは現在サポートされていません。

Azure Front Door では x-forwarded-for ヘッダーはサポートされていますか?

はい、Azure Front Door では X-Forwarded-For、X-Forwarded-Host、および X-Forwarded-Proto ヘッダーがサポートされています。 X-Forwarded-For の場合、ヘッダーが既に存在していれば、Front Door はクライアント ソケット IP をそれに追加します。 そうでない場合、これは値としてクライアント ソケット IP アドレスを持つヘッダーを追加します。 X-Forwarded-Host と X-Forwarded-Proto の場合、値は上書きされます。

詳細については、「Front Door がサポートする HTTP ヘッダー」を参照してください。

Azure Front Door のデプロイにはどのくらい時間がかかりますか? Front Door は更新中に動作しますか?

最新の Front Door を作成、更新ときは、ほとんどの場合、3 - 20 分で世界のエッジ ロケーションにデプロイできます。

注意

ほとんどのカスタム TLS/SSL 証明書の更新は、グローバルにデプロイされるまでに数分から 1 時間かかります。

ルートやバックエンド プールなどに対する更新はシームレスであり、ダウンタイムは発生しません (新しい構成が正しい場合)。 また、"AFD マネージド" から "独自の証明書の使用" に、またはその逆に切り替える場合を除き、証明書の更新もアトミックであり、停止が発生することはありません。

構成

Azure Front Door は仮想ネットワーク内で負荷分散またはトラフィックのルーティングができますか?

Azure Front Door Standard、Premium および (クラシック) レベルでは、トラフィックをバックエンド リソースにルーティングするために、パブリック IP またはパブリックに解決可能な DNS 名が必要です。 Application Gateway や Azure Load Balancer などの Azure リソースでは、仮想ネットワーク内リソースへのルーティングを有効にすることができます。 Front Door Premium レベルを使用している場合は、Private Link を有効にして、プライベート エンドポイント経由で内部ロード バランサーの背後にある配信元に接続できます。 詳細については、「Private Link を使用した配信元のセキュリティ保護」を参照してくださ。

何個の配信元と配信元グループを作成する必要がありますか?

配信元グループは、同じ種類の要求を機能的に処理できる一連の配信元を表します。 個別のアプリケーションまたはワークロードごとに個別の配信元グループを使用する必要があります。

配信元グループ内で、要求を処理できる個別のサーバーまたはサービス インスタンスごとに配信元を作成します。 配信元自体がロード バランサー (Azure Application Gateway など) である場合、またはロード バランサーを含むサービスとしてのプラットフォーム (PaaS) オファリングでホストされている場合、配信元グループには 1 つの配信元のみが含まれることがあります。 内部的には、配信元が配信元間のフェールオーバーと負荷分散を処理しますが、これは Front Door では認識されません。

たとえば、Azure App Service でアプリケーションをホストするとします。 Front Door を構成する方法は、デプロイするアプリケーション インスタンスの数によって異なります。

  • 単一リージョンのデプロイ: 1 つの配信元グループを作成します。 その配信元グループ内に、App Service アプリを表す 1 つの配信元を作成します。 App Service アプリはワーカー インスタンス間でスケールアウトするように構成されている場合がありますが、Front Door の観点からは 1 つの配信元です。
  • 複数リージョンのアクティブ/パッシブ デプロイ: 1 つの配信元グループを作成します。 その配信元グループ内に、各 App Service アプリの配信元を作成します。 プライマリ アプリケーションの優先度がセカンダリ アプリケーションよりも高くなるように、各配信元の優先度を構成します。
  • 複数リージョンのアクティブ/アクティブ デプロイ: 単一の配信元グループを作成します。 その配信元グループ内に、各 App Service アプリの配信元を作成します。 各配信元の優先度が同じになるように構成します。 各配信元の重みを構成して、その配信元に送信する要求の割合を設定します。

詳細については、「Azure Front Door の配信元と配信元グループ」を参照してください。

Azure Front Door でのさまざまなタイムアウトおよび制限とは何ですか?

Azure Front Door のさまざまなタイムアウトおよび制限についてのすべてのドキュメントを参照してください。

Front Door ルール エンジンに追加された後、ルールが有効になるまでにどれくらいの時間がかかりますか?

ほとんどのルール エンジンは、20 分以内に構成の更新が完了します。 更新が完了するとすぐにルールが有効になります。

Azure CDN を Front Door プロファイルの背後に構成したり、その逆を行ったりすることができますか?

Azure Front Door と Azure CDN を同時に構成することはできません。これは、どちらのサービスでも、要求に応答するときに同じ Azure エッジ サイトが利用されるためです。

Front Door でサポートされているネットワーク サービス タグはどれですか?

Azure Front Door では、次の 3 つのサービス タグがサポートされています。

  • AzureFrontDoor.Backend サービス タグには、Front Door で配信元への接続に使用される IP アドレスの一覧が提供されます。 このサービス タグは、配信元へのトラフィックをセキュリティで保護するときに使用できます。
  • AzureFrontDoor.Frontend サービス タグには、クライアントが Front Door に接続するときに使用する IP アドレスの一覧が提供されます。 Azure Front Door の後方にデプロイされたサービスへの接続が許可されている必要がある送信トラフィックを制御する場合は、AzureFrontDoor.Frontend サービス タグを使用できます。
  • AzureFrontDoor.FirstParty サービス タグは、Azure 内で内部的に使用されます。

Azure Front Door サービス タグのユース ケースの詳細については、「利用可能なサービス タグ」を参照してください。

[パフォーマンス]

Azure Front Door では高可用性とスケーラビリティはどのようにサポートされていますか?

Azure Front Door は、アプリケーションのスケーラビリティのニーズに対応できる大容量を利用した、グローバルに分散されたマルチ テナント プラットフォームです。 Microsoft のグローバル ネットワークのエッジから提供される Front Door は、リージョン間またはさまざまなクラウド間でのアプリケーション全体または個別のマイクロサービスのフェールオーバーを可能にする、グローバル負荷分散機能を提供します。

TLS の構成

Front Door は、"ドメイン フロンティング" の動作をどのようにして処理するのですか?

2022 年 11 月 8 日より、新しく作成されたすべての Azure Front Door、Azure Front Door (クラシック) または Azure CDN Standard from Microsoft (クラシック) リソースでは、ドメイン フロンティング動作を示す HTTP 要求がブロックされます。 HTTP/HTTPS 要求内のホスト ヘッダーが、TLS ネゴシエーション中に使用された元の TLS SNI 拡張仕様と一致しない要求はブロックされます。

既存の Azure Front Door Standard、Azure Front Door Premium、Azure Front Door (クラシック)、Azure CDN Standard from Microsoft (クラシック) リソースのドメイン フロンティング、または新しい Azure Front Door Standard、Azure Front Door Premium、Azure Front Door (クラシック)、Azure CDN Standard from Microsoft (クラシック) リソースのドメイン フロンティングをブロックしたい場合は、サポート リクエストを作成して、ご利用のサブスクリプションとリソース情報をお知らせください。 ドメイン フロンティング動作のブロックを有効にすると、この動作を示す HTTP 要求は、Azure Front Door と Azure CDN Standard from Microsoft (クラシック) リソースによってすべてブロックされます。

この不一致が原因で Front Door によって要求がブロックされた場合、クライアントには、HTTP "421 Misdirected Request (要求の誤導)" エラー コード応答が返されます。このブロックは、Front Door の診断ログの "Error Info" プロパティに "SSLMismatchedSNI" という値で記録されます。

Azure Front Door ではどの TLS バージョンがサポートされますか?

2019 年 9 月以降に作成されたすべての Front Door プロファイルでは、既定の最小値として TLS 1.2 が使用されます。

Front Door では、TLS バージョン 1.0、1.1、1.2 がサポートされます。 TLS 1.3 はまだサポートされていません。 詳細については、Azure Front Door のエンドツーエンド TLS に関するページを参照してください。

課金

無効になっている Azure Front Door リソースは課金されますか?

Azure Front Door リソースでは、Front Door プロファイルと同様に、無効になっているルーティング規則に対しては、料金は発生しません。 WAF のポリシーとルールは、無効になっていても料金が発生します。

診断とログ記録

どのような種類のメトリックとログを Azure Front Door で使用できますか?

ログとその他の診断機能については、「Monitoring metrics and logs for Front Door」(Front Door のメトリックとログの監視) を参照してください。

診断ログにおける保持ポリシーとは何ですか?

診断ログはお客様のストレージ アカウントに送信され、お客様はログの優先順位に基づいて保持ポリシーを設定できます。 診断ログは、Event Hubs または Azure Monitor ログに送信することもできます。 詳細については、Azure Front Door の診断に関するページを参照してください。

Azure Front Door の監査ログはどのように取得できますか?

Azure Front Door では監査ログを使用できます。 ポータルで、Front Door のメニュー ブレードの [アクティビティ ログ] をクリックして監査ログにアクセスします。

Azure Front Door でアラートを設定できますか?

はい、Azure Front Door ではアラートがサポートされています。 メトリックに関するアラートが構成されます。 アラートを作成する方法については、「 アラートの構成」を参照してください。 Front Door 診断監視で使用できるメトリックの詳細については、 「Front Door メトリック」を参照してください。

次のステップ