Azure Application Gateway と Web Application Firewall (WAF) を別のリージョンに再配置する

  • [アーティクル]

既存の Azure リソースを 1 つのリージョンから他のリージョンに移動する必要が生じる理由は多数存在します。 以下を行うことができます。

  • 新しい Azure リージョンの利点を活用する。
  • 特定のリージョンでしか利用できない機能やサービスをデプロイする。
  • 内部ポリシーやガバナンス要件を満たす。
  • 会社の合併と買収に合わせた調整を行う
  • 容量計画の要件を満たす。

この記事では、Azure リージョン間で Application Gateway と WAF を再配置するための推奨されるアプローチ、ガイドライン、およびプラクティスについて説明します。

重要

このドキュメントの再デプロイ手順は、アプリケーション ゲートウェイ自体にのみ適用され、アプリケーション ゲートウェイ ルールがトラフィックをルーティングするバックエンド サービスには適用されません。

前提条件

  • Azure サブスクリプションで、ターゲット リージョンに Application Gateway SKU を作成できることを確認します。

  • Application Gateway に必要なすべてのサービスを理解して、再配置戦略を計画します。 再配置の対象となるサービスについては、適切な再配置戦略を選択する必要があります。

    • ターゲットの場所にある Application Gateway サブネットに、予想される最大トラフィックの処理に必要なインスタンス数に対応するための十分なアドレス空間があることを確認する必要があります。

  • Application Gateway のデプロイでは、次のサブリソースのセットアップを検討して計画する必要があります:

    • フロントエンド構成 (パブリック/プライベート IP)
    • バックエンド プール リソース (例:VM、仮想マシン スケール セット、Azure App Service)
    • Private Link
    • 証明書
    • 診断設定
    • アラート通知

  • ターゲットの場所にある Application Gateway サブネットに、予想される最大トラフィックの処理に必要なインスタンス数に対応するための十分なアドレス空間があることを確認する必要があります。

Redeploy

Application Gateway とオプションの WAF を再配置するには、ターゲットの場所に新しいパブリック IP アドレスを使用して、別の Application Gateway デプロイを作成する必要があります。 ワークロードは、ソースの Application Gateway の設定から新しいものに移行されます。 パブリック IP アドレスを変更するため、DNS 構成、仮想ネットワーク、サブネットの変更も必要です。

可用性ゾーンのサポートを得るためにのみ再配置する場合は、「Application Gateway と WAF を可用性ゾーンのサポートに移行する」を参照してください。

個別の App Gateway、WAF (オプション)と IP アドレスを作成するには:

  1. Azure ポータルにアクセスします。

  2. Key Vault に TLS 終端を使用する場合は、「Key Vault の再配置手順」に従います。 Key Vault が、再配置された Application Gateway と同じサブスクリプションにあることを確認します。 新しい証明書を作成することも、再配置された Application Gateway に既存の証明書を使用することもできます。

  3. 再配置する前に、仮想ネットワークが再配置されていることを確認します。 仮想ネットワークを再配置する方法については、「Azure Virtual Network の再配置」を参照してください。

  4. 再配置する前に、VM、仮想マシン スケール セット、PaaS などのバックエンド プール サーバーまたはサービスが再配置されていることを確認します。

  5. Application Gateway を作成し、仮想ネットワークの新しいフロントエンド パブリック IP アドレスを構成します:

  6. WAF 構成またはカスタム ルール専用の WAF ポリシーがある場合は、完全な WAF ポリシーに移行してください

  7. Azure Firewall と Application Gateway を使用する Web アプリケーションにゼロトラスト ネットワーク (ソース リージョン) を使用している場合は、「Azure Firewall と Application Gateway を使用する Web アプリケーションのゼロトラスト ネットワークのガイドラインと戦略」に従ってください。

  8. Application Gateway と WAF が意図したとおりに動作していることを確認します。

  9. 構成を新しいパブリック IP アドレスに移行します。

    1. 新しいアプリケーション ゲートウェイを指すようにパブリック エンドポイントとプライベート エンドポイントを切り替えます。
    2. DNS 構成を新しいパブリック IP アドレスおよび/またはプライベート IP アドレスに移行します。
    3. コンシューマー アプリケーション/サービスのエンドポイントを更新します。 コンシューマー アプリケーション/サービスの更新は、通常、プロパティの変更と再デプロイによって行われます。 ただし、古いリージョンでのデプロイに関して新しいホスト名が使用される場合は常に、この方法を実行します。

  10. ソースの Application Gateway と WAF リソースを削除します。

Premium TLS ターミネーション用の証明書の再配置 (Application Gateway v2)

TLS 終了の証明書は、次の 2 つの方法で提供できます:

  • アップロード。 TLS/SSL 証明書を Application Gateway に直接アップロードして指定します。

  • Key Vault の参照。 HTTPS/TLS 対応リスナーの作成時に、既存の Key Vault 証明書の参照を指定します。 証明書のダウンロードの詳細については、「Key Vault を別のリージョンに再配置する」を参照してください。

警告

他の Azure サブスクリプションの Key Vault への参照はサポートされていますが、ARM テンプレート、Azure PowerShell、CLI、Bicep などを使用して構成する必要があります。Azure portal を介した Application Gateway では、サブスクリプション間キー コンテナーの構成はサポートされていません。

ドキュメントに記載されている手順に従って、再配置された Application Gateway の Key Vault 証明書で TLS を終了を有効にします。