Upgrade to Pro — share decks privately, control downloads, hide ads and more …

現場からみた Azure リファレンスアーキテクチャ答え合わせ | Microsoft Bui...

Kuniteru Asami
May 27, 2022
Technology
1
15

現場からみた Azure リファレンスアーキテクチャ答え合わせ | Microsoft Build 2022

Microsoft Build 2022のセッションでのスライドです。
オフィシャルで公開されているAzureリファレンスアーキテクチャをベースに、実プロジェクトの要件にあわせてそれを拡張したお話しを、株式会社pnopの森島・片倉・足利とともにさせていただきました。

Kuniteru Asami

May 27, 2022
Tweet

More Decks by Kuniteru Asami

See All by Kuniteru Asami
どう買う?Azure
kuniteru
1
420
スケールアウトできるManaged RDBMS - Azure Cosmos DB for PostgreSQL
kuniteru
0
50
Azure Load Testingを利用したパフォーマンステスト
kuniteru
1
20
Understanding Azure Application Gateway
kuniteru
0
12
堅牢&運用楽々な WordPress を Azure App Service で
kuniteru
0
33
Azure PaaS とのよりセキュアな接続 - 初級編
kuniteru
0
13
あらためて Azure Virtual Network
kuniteru
0
11
Azure Virtual Machines設計の勘所 | Microsoft Tech Summit 2017
kuniteru
1
8
Introduction of Azure Database for MySQL / PostgreSQL
kuniteru
0
12

Other Decks in Technology

See All in Technology
Incident Response Practices: Waroom's Features and Future Challenges
rrreeeyyy
0
160
【令和最新版】AWS Direct Connectと愉快なGWたちのおさらい
minorun365
PRO
5
750
Taming you application's environments
salaboy
0
190
Lambdaと地方とコミュニティ
miu_crescent
2
370
Oracle Cloud Infrastructure データベース・クラウド:各バージョンのサポート期間
oracle4engineer
PRO
28
13k
強いチームと開発生産性
onk
PRO
34
11k
これまでの計測・開発・デプロイ方法全部見せます! / Findy ISUCON 2024-11-14
tohutohu
3
370
Lexical Analysis
shigashiyama
1
150
B2B SaaSから見た最近のC#/.NETの進化
sansantech
PRO
0
840
OTelCol_TailSampling_and_SpanMetrics
gumamon
1
170
OCI Network Firewall 概要
oracle4engineer
PRO
0
4.1k
AIチャットボット開発への生成AI活用
ryomrt
0
170

Featured

See All Featured
Speed Design
sergeychernyshev
25
620
Fashionably flexible responsive web design (full day workshop)
malarkey
405
65k
Writing Fast Ruby
sferik
627
61k
Building a Modern Day 
E-commerce SEO Strategy
aleyda
38
6.9k
Build The Right Thing And Hit Your Dates
maggiecrowley
33
2.4k
How GitHub (no longer) Works
holman
310
140k
A designer walks into a library…
pauljervisheath
204
24k
Typedesign – Prime Four
hannesfritz
40
2.4k
Agile that works and the tools we love
rasmusluckow
327
21k
Making the Leap to Tech Lead
cromwellryan
133
8.9k
Building an army of robots
kneath
302
43k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
16
2.1k

Transcript

  1. 現場からみた Azure リファレンスアーキテクチャ 答え合わせ Kuniteru Asami Masahito Morishima Yoshimasa Katakura

    Yui Ashikaga Session Code : JPCTT09

  2. 登壇者紹介 浅見 城輝 Kuniteru Asami 株式会社 pnop Microsoft MVP for

    Azure 森島 政人 Masahito Morishima 株式会社 pnop Microsoft MVP for Azure 片倉 義昌 Yoshimasa Katakura 株式会社 pnop Microsoft MVP for Azure 足利 惟 Yui Ashikaga 株式会社 pnop Microsoft MVP for Azure

  3. セッション概要  Azureでシステムを構築する場面において、Azure Architecture Centerで提供されているリファレンスアーキテクチャはとても参考 になります。しかしプロジェクトにおける様々な要件により、リ ファレンス通りにはできないこともあります。  そこで本セッションでは、Webアプリケーションを対象としたリ ファレンスアーキテクチャを題材に、Azureスペシャリストが数多

    のプロジェクトで経験してきた考慮点とそれに対する解決案や、皆 さんが遭遇した課題についてお話ししましょう。

  4. Azure Architecture Center とは?

  5. None
  6. None

  7. https://docs.microsoft.com/ja-jp/azure/architecture/reference-architectures/app-service-web-app/basic-web-app

  8. このアーキテクチャの特長  PaaSのみで構成されたWebアプリケーションアーキテクチャ  フルマネージドなのでOSの管理などは必要ない(作りたいものに注力できる)  PaaSで構成されているためスケールが容易

  9. 現場からみた課題

  10. 現場で言われること  通信のプライベート化  Webサーバーからバックエンドサービス(Key VaultやSQL DBなど)へは内部通信を制限したい  アウトバウンド通信の制限 

    Webサーバーから外に出ていく通信を制限したい、送信元IPアドレスも固定化したい  Azureリソースへのアクセス制御  いろいろなリソースへのアクセスに使う資格情報の管理から開放されたい  その他にも  マルチリージョン構成にするにはどうしたらいいか  リトライ処理がなぜ必要なのか  特定サービスの監視がしたいが、どのメトリックをみればいいのか  などなど…

  11. 通信のプライベート化

  12. 通信のプライベート化

  13. とある現場における通信のプライベート化の要件  Azureで利用しているPaaS(Key VaultやSQL DB)はインターネット からアクセスさせたくない  各PaaSのFirewall設定を細かく制御するのは大変  Webアプリケーションのログには秘

    匿情報が含まれているため プライベートネットワークを経由し て保存したい  オンプレミスからも安全にPaaSを利 用したい (インターネット経由させたくない)  ExpressRouteのMicrosoftピアリングではなく

  14. 選択肢 Service Endpoint 特定の仮想ネットワークサブネットか らのみ、PaaSへのアクセスを許可する Private Endpoint 個々のPaaSが仮想ネットワーク内に専 用のプライベートIPアドレスを持つ Subnet

    Service Endpoint Subnet Virtual Machine Subnet Private Endpoint Subnet Virtual Machine Virtual Machine

  15. App Service(Web App)のVNET統合 Web AppをVirtual Networkに統合することで、VNET内の他リソースにプライ ベートIPアドレスでアクセスが行える (2022年4月からはBasic SKUでも利用可能!) Subnet

    Subnet Virtual Network VNET統合 App Service web app App Service Plan Virtual Machine

  16. Subnet 現場ではこうしました Internet Azure Active Directory Azure DNS Private Endpoint

    Subnet Virtual Network VNET統合 App Service web app App Service Plan Azure Key Vault Logical server Database Database Azure Private DNS (privatelink.database.windows.net privatelink.vaultcore.azure.net privatelink.monitor.azure.com etc..) Azure Monitor Private Link Scope Azure Monitor Log Analytics Metric data Audit and Diagnostic logs Metric data Audit and Diagnostic logs VNETリンク プライベート リンク Application Insights on-premises GatewaySubnet Metric data Audit and Diagnostic logs

  17. プライベート接続を行わない場合のその他考慮事項  SNATポートの枯渇  Azure PaaSや、インターネット外部へのアクセスは全てAzureプラットフォーム側のLoad Balancerを経由する  その際にAzureが管理しているPublic IP

    Addressを使用するが、同時接続が行えるSNATポー ト数に制限がある  App Serviceの場合は1インスタンスあたり最低128ポートが用意されており、それを超えた 場合にPaaSや外部サービスに接続できなくなる場合がある Azure SQL DatabaseやAzure StorageなどのAzure PaaSに対してApp Serviceから多くの接続が ある場合に、Load BalancerのSNATポートが枯渇して接続の不具合が発生してしまうことが しばしばあるが、App ServiceからAzure PaaS へのアクセスをService Endpointあるいは Private Endpoint経由でにすることで、この制限を回避することができる。

  18. Azureリソースへの アクセス制御

  19. Azureリソースへのアクセス制御

  20. 現場での課題  パスワードはどこに保存したらよいですか?  Key Vault ってどうやって使ったらよいですか?  アプリケーション構成設定ファイル (Web.config

    など) にパスワー ドが記述されている  権限の管理が正しくされていない 我々の視点

  21. 現場ではこうしました その1  アプリの構成ファイルからWeb App の構成へ  サブスクリプションにアクセスで きる人しか参照できない 

    サブスクリプションにアクセスで きれば見られてしまう  権限の管理まではできていない アプリ Web.config ApplicationSettings.json

  22. 現場ではこうしましたその2  マネージドIDを有効にしパスワードを無くす  Web App の マネージドIDを利用することによって、パスワードな しでリソースにアクセスできる 

    Storageに読み取り権限を付与する  SQL Database の ユーザーの連携する  Key Vault リファレンスを使う 1. マネージドID 2. アクセス権付与(RBAC) 3. アクセス SP

  23. Build 2022 サービスコネクターがGAしました  説明したような設定を簡略化できる 設定 ✓ 接続先(BLOB/Cosmos/SQL..) ✓ 接続名

    ✓ 接続先の情報 ✓ クイライアントタイプ(.NET/Java) 認証 ✓ システムマネージドID ✓ ユーザーマネージドID ✓ 接続文字列(KVに格納するか) ✓ サービスプリンシパル 設定した結果

  24. アウトバウンド通信 の制限

  25. アウトバウンド通信の制限 外部サービス Internet

  26. とある現場におけるアウトバウンド通信の要件  決まった 1 つの IP アドレスから だけ送出したい  Azure

    App Service などから SaaS など 外部のサービスを利用する場合に、 外部サービス側では特定の IP アドレスからのみ アクセスを受け入れるため  App Service からアクセスできる サイトを URL で制限したい  App Service の送信 IP アドレス  いくつかの所定の IP アドレスから送信される  IP アドレスを 1 つに固定するための 選択肢  VNet NAT 経由での送信  Azure Firewall 経由での送信

  27. Subnet Public IP IP Prefix Virtual Network Firewall 選択肢 VNet

    NAT インターネットへの送信 IP を 1 つまたは所定の複数に固定できる Azure Firewall ネットワーク間通信のフィルタリング や SNAT 機能などを有する Subnet Public IP IP Prefix NAT Virtual Network O microsoft.com O google.com X DANGER.com

  28. 現場ではこうしました 外部サービス Internet Subnet Public IP Virtual Network Firewall

  29. まとめ

  30. まとめ  現場ではこうしました  通信のプライベート化:Private Endpoint で内部通信を明示的に (ER経由の接続もOK)  アウトバウンド制御:Azure

    Firewall で通信内容含め細かく制御  Azureリソースへのアクセス制御:Managed Identities を活用  今回紹介しきれなかったトピック  開発環境の準備について  Infrastructure as Code (環境の自動化)  DevOps  まだまだ語りたいアーキテクチャはたくさん  IaaS中心の構成とか、IoTとか

  31. 今回紹介した要素が含まれているリファレンスアーキテクチャ Azure SQL Database への Web アプリのプライベート接続 https://docs.microsoft.com/ja-jp/azure/architecture/example- scenario/private-web-app/private-web-app PaaS

    データストアへのプライベート接続を使用した ネットワーク強化 Web アプリケーション https://docs.microsoft.com/ja-jp/azure/architecture/example- scenario/security/hardened-web-app

  32. 株式会社pnop 株式会社pnopはMicrosoft Azureに関する課題解決のプロフェッショナル集団です。 皆様のプロジェクトに、 Azure経験豊富なエンジニアがノウハウを提供いたします。 Azure アーキテクチャ 設計相談 Azure 運用設計

    相談 Azure開発 Azure 環境構築 Azure トラブル シューティング Azure トレーニング 新規システムを Azureで稼働させしたい 既存システムを Azureに移行したい パッケージ・ソリューション をAzureに対応したい Azureを利用することで システムコストを下げたい Azureで安全・安心な システムを提供したい Azureを利用することで 運用担当者の負担を軽減し たい Azureを利用しているうえで 困っていることを解決した い Azureのスキルを向上したい Azureに関するご相談・お問い合わせ:[email protected] https://www.pnop.co.jp