このエントリは2019/07/25現在の情報に基づいています。将来の機能追加や廃止により、記載内容との乖離が発生する可能性があります。
Azure Front Doorとは
CDN、WAF、L7 Load Balancerを提供するマネージドサービス。Application Gatewayと機能が重複するが、Front DoorはTraffic Managerと同様グローバルサービスであり、リージョンを跨いだフェールオーバーが可能(Application GatewayやAzure Firewallはリージョンサービス)。Azure CDNとも機能が重複するが、Front DoorではCDNの設定はほとんどできないため、細かく設定したいなどの要求があれば、Azure CDNを使うことになるはず。
グローバルサービスとリージョンサービス
前者はTraffic Managerと同様、リージョンを跨ぐことができるが、後者はリージョン内でサービスを提供する。
| Global Service | Regional Service |
|---|---|
| Traffic Manager | Load Balancer |
| Front Door | Application Gateway |
サービスの組み合わせや配置は以下のドキュメントが参考になる。
Azure のアプリケーション配信スイートでの負荷分散
https://docs.microsoft.com/ja-jp/azure/frontdoor/front-door-lb-with-azure-app-delivery-suite
Load-balancing with Azure’s application delivery suite
https://docs.microsoft.com/en-us/azure/frontdoor/front-door-lb-with-azure-app-delivery-suite
Load Balancer
正常性プローブを使い、生存しているノードを把握した上で負荷分散する。負荷分散対象のエンドポイントへのアクセスは、AzureサービスであればFront Doorの背後ではMicrosoft Azureの内部ネットワークを通る(インターネットではない)。負荷分散方式は以下のドキュメント参照。
Front Door ルーティング方法
https://docs.microsoft.com/ja-jp/azure/frontdoor/front-door-routing-methods
Front Door routing methods
https://docs.microsoft.com/en-us/azure/frontdoor/front-door-routing-methods
Session Affinityを有効にすることもできる。
WAF (Web Application Firewall)
WAFでは、ポリシーにヒットした場合の挙動を設定できるようになっている。つまり、条件にヒットした場合に、トラフィックを抑止するのか、ログに書き込むだけにするのか、という設定が可能。
標準でルールを提供しているが、Azure Portal、PowerShellを使ってカスタムルールを作成できる。以下はGeoロケーションを使って日本からのアクセスを禁じるルールをAzure Portalで作成している例。
これをFront Doorに割り当てて、アクセスしてみると…
