次の方法で共有

アプリケーション ゲートウェイを使用して Cloud Services (延長サポート) へのインターネット トラフィックを許可する

この記事では、内部ロード バランサーを既に使用している仮想ネットワーク内に Azure アプリlication Gateway を追加することで、Microsoft Azure Cloud Services (延長サポート) へのインターネット アクセスを安全にする方法について説明します。 このシナリオに Application Gateway を追加すると、次の利点があります。

  • パブリック インターネットから、トラフィックは Application Gateway 経由でのみ Cloud Services (延長サポート) に到達できます。

  • 仮想ネットワークでは、この設計によってインターネット トラフィックがブロックされることはありません。

  • Azure Web Application Firewall (WAF) などの追加機能を追加することで、インターネット トラフィックへの安全なアクセスを提供できます。

一般に、Application Gateway は国際標準化機構 (ISO) オープン システム相互接続 (OSI) リファレンス モデル レイヤー 7 サービスです。 Application Gateway は、負荷分散、WAF、その他の目的で使用できます。

前提条件

  • Cloud Services の実行中のインスタンス (延長サポート)。

  • 仮想ネットワーク。

  • 仮想ネットワーク内の Cloud Services (延長サポート) と通信するように設定された内部ロード バランサー。 Cloud Services (延長サポート) と連携するように内部ロード バランサーを設定する方法については、「 Azure Cloud Services (延長サポート)への仮想ネットワークのみのアクセスを許可する」を参照してください。

内部ロード バランサーの構成

次の Azure portal イメージは、インターネット割り当て番号機関 (IANA) がプライベート インターネットの IP アドレスとして予約する 10.0.3.200 のフロントエンド IP アドレスを使用するロード バランサー環境の例を示しています。 この構成は、ロード バランサーが内部で使用されることを示します。

  • ロード バランサーのフロントエンド IP 構成

    Azure Cloud Services (延長サポート) 用の内部ロード バランサーの [フロントエンド IP 構成] ページの Azure portal のスクリーンショット。

  • ロード バランサーのバックエンド プール

    Azure Cloud Services (延長サポート) 用の内部ロード バランサーの [バックエンド プール] ページの Azure portal のスクリーンショット。

  • ロード バランサーの正常性プローブ

    Azure Cloud Services (延長サポート) 用の内部ロード バランサーの [正常性プローブ] ページの Azure portal のスクリーンショット。

  • 負荷分散規則

    Azure Cloud Services (延長サポート) の内部ロード バランサーの [負荷分散規則] ページの Azure portal のスクリーンショット。

ネットワーク トラフィック アーキテクチャ

Azure Cloud Services (延長サポート) への仮想ネットワークのみのアクセス権の付与に関する記事では、内部ロード バランサーを使用して特定の仮想ネットワークとのみ通信するように Cloud Services (延長サポート) へのアクセスを構成および制限する方法について説明します。 ただし、アプリケーション ゲートウェイを使用すると、パブリック インターネットからのトラフィックを完全にブロックすることなく、Cloud Services (延長サポート) との通信をより安全にすることができます。 次の図は、アプリケーション ゲートウェイを追加した後のネットワーク アーキテクチャを示しています。

Azure アプリlication Gateway とパブリック ロード バランサーと内部ロード バランサーを介した Cloud Services へのインターネット トラフィック設計の図 (延長サポート)。

この図では、破線のボックス内に表示されるコンポーネントが仮想ネットワーク内にあります。 パブリック インターネットはボックスの外にあります。 Cloud Services (延長サポート) は内部ロード バランサーとのみ通信するため、パブリック ロード バランサーを通過するトラフィックはブロックされます。 このシナリオでは、Cloud Services (延長サポート) でホストされているサイトにアクセスできるようにするには、別のサービスをジャンプ ボックスとして使用して、Cloud Services (延長サポート) にトラフィックを転送する必要があります。 そのサービスはアプリケーション ゲートウェイです。

トラフィック フローは次のとおりです。

パブリック インターネット>アプリケーション ゲートウェイのパブリック IP アドレス>アプリケーション ゲートウェイ> Cloud Services のプライベート IP アドレス (延長サポート)、>内部ロード バランサー>Cloud Services (延長サポート) インスタンス

アプリケーション ゲートウェイの構成ガイドライン

Note

このセクションでは、プロセスを簡単に進めるために、トラフィック転送の基本的な機能のみを示します。 その他の機能が必要な場合は、Microsoft Web サイトの他の記事を参照してください。 (たとえば、Application Gateway を HTTPS トラフィックと共に使用するには、TLS 終端を使用して Application Gateway を構成する。または、APPLICATION Gateway に WAF 構成を適用するには、「Azure アプリlication Gateway 上の Azure Web Application Firewall とは) を参照してください。

次のセクションでは、アプリケーション ゲートウェイの構成のさまざまな側面について説明します。

フロントエンドパブリック IP アドレス

次の Azure portal のスクリーンショットは、アプリケーション ゲートウェイの Overview ページにあります。 Frontend パブリック IP アドレスフィールドでは、値は172.191.12.201

アプリケーション ゲートウェイのフロントエンド パブリック IP アドレスの Azure portal のスクリーンショット。

バックエンド プール

アプリケーション ゲートウェイの Edit バックエンド プール ページで、 Backend ターゲット テーブルに次のフィールド値を持つ項目が含まれていることを確認します。

フィールド
ターゲットの型 IP アドレスまたは FQDN
ターゲット 内部ロード バランサーの Frontend IP 構成 ページで指定した IP アドレス

次の Azure portal のスクリーンショットでは、バックエンド ターゲットは 10.0.3.200 IP アドレスです。 これは、内部ロード バランサーのフロントエンド IP 構成のスクリーンショットで指定されているものと一致します。

アプリケーション ゲートウェイの [バックエンド プールの編集] ページの Azure portal のスクリーンショット。

バックエンド設定

バックエンド プールとは別に、トラフィックの転送方法を制御する別のバックエンド設定を構成する必要があります。 次の Azure portal のスクリーンショットでは、ポート 80 を使用する単純な HTTP トラフィック構成が、アプリケーション ゲートウェイの バックエンド設定 ページで指定されています。 Cloud Services (延長サポート) がポート 700 などの別のポートでリッスンしている場合は、アプリケーション ゲートウェイを Backend ポート 700 の設定に構成する必要があります。

アプリケーション ゲートウェイの [バックエンド設定の追加] ページの Azure portal のスクリーンショット。

リスナー

アプリケーション ゲートウェイの特定のリスナー ページで、パブリック インターネットが Cloud Services (延長サポート) にトラフィックを送信するために使用するアプリケーション ゲートウェイ ポートを指定します。 次の Azure portal のスクリーンショットでは、ポート 8080 が Port フィールドに指定されています。 パブリック インターネットのユーザーが Cloud Services (延長サポート) と通信しようとすると、ポート 8080 を使用してアプリケーション ゲートウェイにトラフィックを送信する必要があります。 引き続きポート 80 を指定できますが、アプリケーション ゲートウェイのリッスン ポートが Cloud Services (延長サポート) リッスン ポートとは異なる可能性があることを示すために、8080 を示します。

アプリケーション ゲートウェイの [リスナー] ページの Azure portal のスクリーンショット。

ルール

最後の手順では、バックエンド プール、バックエンド設定、リスナーに対して指定した構成を組み合わせたアプリケーション ゲートウェイ規則を作成します。 ルールの Listener タブで、前に定義したリスナーの名前を選択します (この例では、 cses-httplistener)。

アプリケーション ゲートウェイのルーティング規則の [リスナー] タブの Azure portal のスクリーンショット。

ルールの [バックエンド ターゲット タブで、 Backend プールターゲットの種類を選択し、前に Backend ターゲットBackend 設定リスト (cses-backendpool および appgwtest-cses) に対して定義した名前を選択します。

アプリケーション ゲートウェイのルーティング規則の [バックエンド ターゲット] タブの Azure portal のスクリーンショット。

予想される結果

Web ブラウザーを開いて、アプリケーション ゲートウェイが正しく動作するかどうかをテストします。 アドレス バーに、アプリケーション ゲートウェイで定義したフロントエンド IP アドレス、コロン、リスナー ポート (172.191.12.201:8080) を入力し、 Enter を選択します。 Cloud Services (延長サポート) でホストしているアプリケーションのホーム ページがブラウザーに正常に表示されます。

Azure Cloud Services (延長サポート) の内部ロード バランサーの Application Gateway の IP アドレスとポート番号を示すブラウザーのスクリーンショット。

Cloud Services での自動スケーリングと負荷分散 (延長サポート)

この記事では、ロード バランサーとアプリケーション ゲートウェイという 2 つの異なる負荷分散サービスを Azure に同時に実装します。 この重複により、ネットワーク レベルのトラフィックのパフォーマンスが少し低下する可能性があります。 ただし、デュアル負荷分散サービスは、Cloud Services (延長サポート) で自動スケールを使用する場合に役立ちます。

ネットワーク トラフィック アーキテクチャでアプリケーション ゲートウェイのみを使用する場合、アプリケーション ゲートウェイは、各 Cloud Services (延長サポート) インスタンスのプライベート IP アドレスをバックエンド プールに追加する必要があります。 Cloud Services (延長サポート) インスタンスがスケールアウト (インスタンスの数を増やす) 場合、新しいインスタンスは新しいプライベート IP アドレスを使用します。 その後、これらの新しいインスタンスをアプリケーション ゲートウェイのバックエンド プールに手動で追加する必要があります。 ロード バランサーも使用すると、その不便さを解消できます。

お問い合わせはこちらから

質問がある場合やヘルプが必要な場合は、サポート要求を作成するか、Azure コミュニティ サポートにお問い合わせください。 Azure フィードバック コミュニティに製品フィードバックを送信することもできます。