Application Gateway V2 になって変わったこと

こんにちは。

今回は、Azure もくもく会@新宿 #31 のもくもくタイムで調べた、Azure Application Gateway V2 になって変わったことについて、調べた結果をまとめてみました。

といっても、1時間ちょっとの時間で調べたことなので、そこまで深い内容にはなってないですｗ

　

Application Gateway V2 について

Application Gateway v2 は、2019/4/30 に GA されています。

Azure Application Gateway Standard v2 and WAF v2 SKUs generally available | Azure updates | Microsoft Azure

Azure Application Gateway Standard v2 and WAF v2 SKUs are now generally available and fully supported with a 99.95 SLA.

azure.microsoft.com

　

この記事の中でも、V2 になって増えた機能について記載があります。

　

Autoscalling と Zone redundancy

オートスケールと Zone 冗長を V2 から対応しています。

ポータルの新規画面でもこんな感じ。
Capacity type で、オートスケールがあったり、Availability zone が設定できるようになってますね。

また、V1 では、SKU を、S,M,Lで選択しましたが、V2では何個作るかという設定だけになっています。

　

Static VIPs

VIP もStatic になっていますね。V1 では、Dynamic だったので、Applcation Gateway のサービス再起動の時に IP が変わる可能性がありました。

バックエンドの Web アプリケーションへの接続を Application Gateway 経由に制限したいですよね。つまり、Web アプリケーションに直接アクセスがあるような「横入り」をされたくないわけです。ただ、IP アドレスが変わってしまうと運用管理がめんどくさいので、この改善もとても素晴らしいと思います。

　

ちなみに、バックエンドを Azure App Service を使っている場合は、Azure DNS と、Virtual Network の Sercice Endpoint を組み合わせることで、VIP を意識しなくとも「横入り」を防ぐ方法があります。このやり方すきだなー。

Azure Application GatewayのWAFを使ってWeb Appsに接続する - Qiita

#はじめに2019年4月末にAzure App ServiceのVNET Service EndpointがPublic Previewになりましたね。Azure App Service の V…

qiita.com

　

Header Rewrite

V2 からはHTTP Header の ReWrite ができるようになりました。

ここは、ドキュメントの中にも一般的なシナリオという記載がありますので、その辺を見て頂く方が早いと思います。この機能も V2 の GA を待っていた人には多かった機能だと思います。

Troubleshoot redirection to App Service URL - Azure Application Gateway

This article provides information on how to troubleshoot the redirection issue when Azure Application Gateway is used wi...

learn.microsoft.com

　

Faster deployment and update time

これは、ユーザにとっては喜ばしい機能向上ですよね。

サービスの裏側の OS が変わったらしいけど、その効果なのかなー。。

　

その他

V2 は GA しましたが、その中でもまだプレビュー中の機能もあります。

Key Vault Integration

Application Gateway で使う、SSL 証明書を、 Key Vault に入れて管理したいですよねー。早く GA しないかなー。

TLS termination with Azure Key Vault certificates

Learn how you can integrate Azure Application Gateway with Key Vault for server certificates that are attached to HTTPS-...

learn.microsoft.com

　

Azure Kubernetes Service Ingress Controller

AKS にデプロイした環境に対して、Application Gateway 経由とすることができる機能です。これ、試してみたいけど、その前に色々勉強しないとなー。

Application Gateway Ingress Controller

None

azure.github.io

　

まとめ

Application Gateway V2 の GA は素晴らしいことだと思います。

今のところ似たような機能として、 Azure FrontDoor Service がありますが、だいたい事がやりたくて、リージョンを気にしなくて料金もちょっと高くていいなら、Azure FrontDoor Service で、きっちりちゃんと構成したいなら、Application Gateway なのかなーって感じています。

　

オマケに

Application Gateway で DDoS対策周りのネタが何かないかなーって探してみたら、ネスケラボの記事にあたったので、リンクはっておこっと

Azure Application Gateway のアクセスログで DDos攻撃 を検知 - NEXTSCAPE blog

こんにちわ。「開發案件」や「検証/開發」など、皆様のIMEを狂わせてる開發(@mamikaihatsu)です。 この記事は「NEXTSCAPE クラウドインテグレーション事業本部 Advent Calendar 2018」の14日目です。 ...

blog.nextscape.net