堅牢&運用楽々な WordPress を Azure App Service で

堅牢 & 運用楽々な WordPress を Azure App Service で
株式会社 pnop / Cloudlive 株式会社浅見城輝 2020/03/13 @JAZUG TOHOKU

© 2020 pnop © 2011 Microsoft Corporation All Rights Reserved.
About me kuniteru.asami Find me Database Azure 2012~ Microsoft Azure

© 2020 pnop はじめに Azure App Service の WordPress の構築については、
App Service（リリース当初は Web Apps）の登場と共に何度も紹介されています。しかしながら、App Service は日々進化しているため、最新の機能（Preview を含む）なども取り入れ、今 Azure App Service に WordPress を作るならというお話しをさせていただきます。 ※ 2020/03/13 時点の情報がベースとなります ※ Preview 機能も紹介していますが、Preview であることは明記していません

© 2020 pnop 応答速度を向上したいよくある WordPress の高速化手法 Azure App Service
での課題

© 2020 pnop WordPress の Plugin と Azure の機能を組み合わせて高速化する Azure
Cache for Redis に Object Cache を持つことで DB へのアクセスを軽減 • Redis Object Cache Plugin CDNを利用し (Azure CDN or Azure Front Door) グローバルに分散したコンテンツキャッシュを持つよくある WordPress の高速化手法と Azure での対応ページをキャッシュする • WP Super Cache など最新バージョンの PHP の利用 • App Service では最新へのバージョンアップが容易 • リビジョンレベルは自動アップデート WordPress Plugin の活用 App Service のスペックを上げる • Premium (max)： CPU 4 core, RAM 14 GB, SSD • Isolated (max)： CPU 8 core, RAM 32 GB, SSD App Service のインスタンスを増やし、アクセスを分散する • 負荷状況に応じて自動で増減することでコストを抑制 App Service の性能向上 Azure DB for MySQL/MariaDB のスペックを上げる • (max) CPU 64 core, RAM 320 GB データベースの読取レプリカで、データベースへのアクセスを分散する • HyperDB Plugin DB の性能向上外部キャッシュの利用 PHP ランタイムの高速化 PHP アクセラレーターの利用コードを圧縮し通信データ量を減らす • Autoptimize など

© 2020 pnop Azure App Service での課題 Azure App Service
では、一般に WordPress をインストールする領域のストレージが遅め速度が遅い領域での I/O を減らすために、データの永続化および App Service インスタンス間での共有が必要なディレクトリにのみ、Azure Files をマウントする（一部のデプロイ方法） Premium File Storage をマウントしてそこにアプリケーションを展開（App Service for Container） ← デフォルトでは home 以下が Azure Files をマウントした共有ストレージ ← wwwroot が Web サイトのドキュメントルート / (D:¥) home site wwwroot index.php wp_content ← メディアやテーマ、プラグインのファイルが配置される（要永続化）

© 2020 pnop 最新バージョンへの更新古い WordPress で運用を続けたために、既知のセキュリティホールをつかれ、コンテンツを改竄されるなどのインシデントが頻繁に発生している WordPress
の更新 WordPress の機能としての自動更新 WordPress アプリケーションのファイル全てを永続化領域（Azure Files）に保存している場合に限り利用できる wp_content だけを永続化領域に保存しているなどの場合、自動更新後のスケールアウトや障害によるインスタンスの再起動により、永続化領域以外のファイルがデプロイ直後のものに戻ってしまう Official Docker Image を利用し、Continuous Deploy を有効にすれば、自動更新される OS や httpd、PHP などの更新基本的には Azure が自動で最新に更新してくれるただし App Service for Container の場合は、その Container Image に依存する Continuous Deploy を有効にしている場合は、Image が更新されれば App Service も更新される

© 2020 pnop Web Application Firewall WordPress を対象とした攻撃は日々大量に来る WAF を通して
App Service にアクセスさせることで安全性を高める Azure Application Gateway Azure Front Door Virtual Machines (VMSS) にセットアップした 3rd-Party の WAF 製品 3rd-Party が提供している Azure 外の WAF サービス ※ 実は App Service 内にも WAF の機能は持っているが、ほとんど情報もなく、利用事例は極端に少ない

© 2020 pnop WordPress の管理サイトへのログインを試みる攻撃も多い WordPressが独自に実装する認証だけではなく、 App Service の Easy
Auth 機能あるいは WordPress の Plugin により外部 IdP が提供する安全な認証を適用することができるとても簡単な設定だけで、リスクの低い認証を実現できる MFA、アクセス元 IP 制限、ログイン監査など Easy Auth が対応する認証プロバイダー管理サイトの認証 Azure Active Directory Microsoft Account Facebook Google Azure AD B2C に対応する IdP Twitter And more…

© 2020 pnop App Service や Azure DB for MySQL
は通常、VNet には所属していない。そのためそれらの間は通常はグローバルネットワークでの通信となるが、リージョン VNet 統合と PaaS への VNet サービスエンドポイントか Private Link を組み合わせることで、通信経路を制限することができる。 App Service から Azure DB for MySQL への通信（リージョン）VNet 統合 + Private Link VNet グローバルネット（IP 制限）リージョン VNet 統合 + サービスエンドポイント VNet My App Service 11.11.11.11 22.22.22.22

© 2020 pnop App Service の可用性 App Service はインスタンスを複数にすると可用性が上がる
App Service Plan Load Balancer Azure DB fro MySQL Instance #1 Instance #2 Azure Files

© 2020 pnop データベースの高い可用性とレプリケーション Azure DB for MySQL/MariaDBでは、標準で高可用性構成がとられるディザスタリカバリあるいは読取分散による高速化のために、
同構成の読取専用レプリカを作ることも可能 Standard 可用性モデル Gateway Ring Primary Database Engine spare mount Data files Log files failover Page Blob (Premium) spare Client ※ Premium 可用性モデルでは、読取専用として Secondary にアクセスすることも可能

© 2020 pnop 構成案コンテンツ管理者読取レプリカレプリケーション /wp-admin への
アクセスはフィルタアクセス制限コンテンツ管理者 /wp-admin へのアクセスはフィルタコンテンツ管理用 WordPress /wp-contents Azure AD 認証プライマリ mount mount アクセス制限 CDN WAF CDN WAF Azure Front Door Azure AD App Service Azure Storage Azure DB for MySQL Azure AD 認証

© 2020 pnop App Service に対するアプリケーションのデプロイ方法 ZIP / WAR file
Bitbucket DropBox GitHub ローカル Git OneDrive Azure Repos Docker FTP(S) Azure Marketplace

© 2020 pnop お薦めの WordPress デプロイ先とデプロイ方法 App Service for Container
に対し Docker Hub の WordPress Docker Official Image Docker Compose で Continuous Deploy

© 2020 pnop Docker Compose – App Service for Linux
docker-compose.yml ファイルの例 version: '3.5' services: wordpress: image: wordpress ports: - "8080:80" restart: always environment: WORDPRESS_DB_HOST: ${WORDPRESS_DB_HOST} WORDPRESS_DB_NAME: ${WORDPRESS_DB_NAME} WORDPRESS_DB_USER: ${WORDPRESS_DB_USER} WORDPRESS_DB_PASSWORD: ${WORDPRESS_DB_PASSWORD} # WORDPRESS_TABLE_PREFIX: # WORDPRESS_AUTH_KEY: # WORDPRESS_SECURE_AUTH_KEY: # WORDPRESS_LOGGED_IN_KEY: # WORDPRESS_NONCE_KEY: # WORDPRESS_AUTH_SALT: # WORDPRESS_SECURE_AUTH_SALT: # WORDPRESS_LOGGED_IN_SALT: # WORDPRESS_NONCE_SALT: # WORDPRESS_DEBUG: WORDPRESS_CONFIG_EXTRA: | define('MYSQL_CLIENT_FLAGS', MYSQLI_CLIENT_SSL); volumes: - "${WEBAPP_STORAGE_HOME}/site/wwwroot/wp- content:/var/www/html/wp-content"

© 2020 pnop Docker Compose – App Service for Linux
接続先 MySQL 情報や /home 以下の永続化設定 App Service のアプリケーション設定として以下を追加/変更する WEBSITES_ENABLE_APP_SERVICE_STORAGE（変更） false → true に変更 WORDPRESS_DB_HOST（追加） MySQL ホスト名 WORDPRESS_DB_NAME（追加） MySQL データベース名 WORDPRESS_DB_USER（追加） MySQL ログインユーザー名 WORDPRESS_DB_PASSWORD（追加） MySQL ログインパスワード

© 2020 pnop WordPress on Azure App Service Tips Azure
Database for MySQL / MariaDB と SSL 通信するために wp-config.php に以下を追加 define('MYSQL_CLIENT_FLAGS', MYSQLI_CLIENT_SSL) 外部の SMTP サーバーを利用したメール送信 SMTP サーバーを利用する WordPress プラグインで SendGrid などを利用 SendGrid - https://wordpress.org/plugins/sendgrid-email-delivery-simplified/ メディアファイルへのアクセスメディアファイルの保存先に Azure Blob Storage を利用する WordPress プラグイン Microsoft Azure Storage for WordPress - https://wordpress.org/plugins/windows-azure-storage/ メディアファイルへのアクセスに CDN を利用するためのプラグインを利用メディアファイルの変更時に、CDN にキャッシュされたファイルをリフレッシュする

堅牢&運用楽々な WordPress を Azure App Service で

堅牢&運用楽々な WordPress を Azure App Service で

Kuniteru Asami

More Decks by Kuniteru Asami

Other Decks in Technology

Featured

Transcript

堅牢 & 運用楽々な WordPress を Azure App Service で

© 2020 pnop © 2011 Microsoft Corporation All Rights Reserved.

© 2020 pnop はじめに Azure App Service の WordPress の構築については、

© 2020 pnop WordPress のよくある課題応答速度の向上セキュリティ可用性の向上

© 2020 pnop 応答速度を向上したいよくある WordPress の高速化手法 Azure App Service

© 2020 pnop WordPress の Plugin と Azure の機能を組み合わせて高速化する Azure

© 2020 pnop Azure App Service での課題 Azure App Service

© 2020 pnop セキュリティ最新バージョンへの更新 Web Application Firewall 管理サイトの認証

© 2020 pnop 最新バージョンへの更新古い WordPress で運用を続けたために、既知のセキュリティホールをつかれ、コンテンツを改竄されるなどのインシデントが頻繁に発生している WordPress

© 2020 pnop Web Application Firewall WordPress を対象とした攻撃は日々大量に来る WAF を通して

© 2020 pnop WordPress の管理サイトへのログインを試みる攻撃も多い WordPressが独自に実装する認証だけではなく、 App Service の Easy

© 2020 pnop App Service や Azure DB for MySQL

© 2020 pnop 可用性の高い環境

© 2020 pnop App Service の可用性 App Service はインスタンスを複数にすると可用性が上がる

© 2020 pnop データベースの高い可用性とレプリケーション Azure DB for MySQL/MariaDBでは、標準で高可用性構成がとられるディザスタリカバリあるいは読取分散による高速化のために、

© 2020 pnop お薦めの構成

© 2020 pnop 構成案コンテンツ管理者読取レプリカレプリケーション /wp-admin への

© 2020 pnop App Service に対するアプリケーションのデプロイ方法 ZIP / WAR file

© 2020 pnop Azure Marketplace で提供されている WordPress

© 2020 pnop Azure Marketplace で提供されている WordPress https://github.com/azureappserviceoss/wordpress-azure https://hub.docker.com/r/appsvcorg/wordpress-alpine-php:0.72

© 2020 pnop お薦めの WordPress デプロイ先とデプロイ方法 App Service for Container

© 2020 pnop Docker Compose – App Service for Linux

© 2020 pnop Docker Compose – App Service for Linux

© 2020 pnop Tips

© 2020 pnop WordPress on Azure App Service Tips Azure