Private Link を使用して Azure Front Door Premium を Azure API Management に接続する (プレビュー)

前提条件

• アクティブなサブスクリプションが含まれる Azure アカウント。 無料でアカウントを作成できます。

• ローカルにインストールされた Azure PowerShell または Azure Cloud Shell。

Azure Cloud Shell

Azure では、ブラウザーを介して使用できる対話型のシェル環境、Azure Cloud Shell がホストされています。 Cloud Shell で Bash または PowerShell を使用して、Azure サービスを操作できます。 ローカル環境に何もインストールしなくても、Cloud Shell にプレインストールされているコマンドを使用して、この記事のコードを実行できます。

Azure Cloud Shell を開始するには、以下のようにします。

オプション	例とリンク
コードまたはコマンド ブロックの右上隅にある [使ってみる] を選択します。 [使ってみる] を選択しても、コードまたはコマンドは Cloud Shell に自動的にはコピーされません。
https://shell.azure.com に移動するか、[Cloud Shell を起動する] ボタンを選択して、ブラウザーで Cloud Shell を開きます。
Azure portal の右上にあるメニュー バーの [Cloud Shell] ボタンを選択します。

Azure Cloud Shell を使用するには、以下のようにします。

1. Cloud Shell を開始します。

2. コード ブロック (またはコマンド ブロック) の [コピー] ボタンを選択し、コードまたはコマンドをコピーします。

3. Windows と Linux では Ctrl+Shift+V キーを選択し、macOS では Cmd+Shift+V キーを選択して、コードまたはコマンドを Cloud Shell セッションに貼り付けます。

4. Enter キーを選択して、コードまたはコマンドを実行します。

• 機能する Azure API Management インスタンスがある場合。 API Management インスタンスの作成方法の詳細については、「PowerShell を使用して新しい Azure API Management インスタンスを作成する」を参照してください

• 機能している Azure Front Door Premium のプロファイルとエンドポイントを用意します。 Azure Front Door プロファイルを作成する方法の詳細については、Front Door の作成 - PowerShell に関する記事を参照してください

発信元グループを作成し、API Management インスタンスを発信元として追加する

1. New-AzFrontDoorCdnOriginGroupHealthProbeSettingObject を使用して、正常性プローブの設定を格納するためのメモリ内オブジェクトを作成します。

   $healthProbeSetting = New-AzFrontDoorCdnOriginGroupHealthProbeSettingObject `
       -ProbeIntervalInSecond 60 `
       -ProbePath "/" `
       -ProbeRequestType GET `
       -ProbeProtocol Http
   

2. New-AzFrontDoorCdnOriginGroupLoadBalancingSettingObject を使用して、負荷分散の設定を格納するためのメモリ内オブジェクトを作成します。

   $loadBalancingSetting = New-AzFrontDoorCdnOriginGroupLoadBalancingSettingObject `
       -AdditionalLatencyInMillisecond 50 `
       -SampleSize 4 `
       -SuccessfulSamplesRequired 3
   

3. New-AzFrontDoorCdnOriginGroup を実行して、API Management インスタンスを含む発信元グループを作成します。

   $origingroup = New-AzFrontDoorCdnOriginGroup `
       -OriginGroupName myOriginGroup `
       -ProfileName myFrontDoorProfile `
       -ResourceGroupName myResourceGroup `
       -HealthProbeSetting $healthProbeSetting `
       -LoadBalancingSetting $loadBalancingSetting
   

4. New-AzFrontDoorCdnOrigin コマンドを使用して、API Management インスタンスを発信元グループに追加します。

   New-AzFrontDoorCdnOrigin ` 
       -OriginGroupName myOriginGroup ` 
       -OriginName myAPIMOrigin ` 
       -ProfileName myFrontDoorProfile ` 
       -ResourceGroupName myResourceGroup ` 
       -HostName myapim.azure-api.net ` 
       -HttpPort 80 ` 
       -HttpsPort 443 ` 
       -OriginHostHeader myapim.azure-api.net ` 
       -Priority 1 ` 
       -PrivateLinkId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.ApiManagement/service/myAPIM ` 
       -SharedPrivateLinkResourceGroupId Gateway ` 
       -SharedPrivateLinkResourcePrivateLinkLocation CentralUS ` 
       -SharedPrivateLinkResourceRequestMessage 'Azure Front Door private connectivity request' ` 
       -Weight 1000 `
   

プライベート エンドポイントを承認する

1. Get-AzPrivateEndpointConnection を実行して、承認が必要なプライベート エンドポイント接続の接続名を取得します。

   $PrivateEndpoint = Get-AzPrivateEndpointConnection -ResourceGroupName myResourceGroup -ServiceName myAPIM -PrivateLinkResourceType Microsoft.ApiManagement/service
   

2. Approve-AzPrivateEndpointConnection を実行して、プライベート エンドポイント接続の詳細を承認します。 接続を承認するには、前の手順の出力の Name 値を使用します。

   Get-AzPrivateEndpointConnection -Name $PrivateEndpoint.Name -ResourceGroupName myResourceGroup -ServiceName myAPIM -PrivateLinkResourceType Microsoft.ApiManagement/service
   

Azure Front Door のセットアップを完了する

New-AzFrontDoorCdnRoute コマンドを使用して、エンドポイントを配信元グループにマップするルートを作成します。 このルートでは、エンドポイントからの要求を配信元グループに転送します。

# Create a route to map the endpoint to the origin group

$Route = New-AzFrontDoorCdnRoute `
    -EndpointName myFrontDoorEndpoint `
    -Name myRoute `
    -ProfileName myFrontDoorProfile `
    -ResourceGroupName myResourceGroup `
    -ForwardingProtocol MatchRequest `
    -HttpsRedirect Enabled `
    -LinkToDefaultDomain Enabled `
    -OriginGroupId $origingroup.Id `
    -SupportedProtocol Http,Https

最後の手順を完了すると、Azure Front Door プロファイルは完全に機能します。

前提条件

• Azure Cloud Shell で Bash 環境を使用します。 詳細については、「Azure Cloud Shell の Bash のクイックスタート」を参照してください。

  

• CLI リファレンス コマンドをローカルで実行する場合、Azure CLI をインストールします。 Windows または macOS で実行している場合は、Docker コンテナーで Azure CLI を実行することを検討してください。 詳細については、「Docker コンテナーで Azure CLI を実行する方法」を参照してください。

  • ローカル インストールを使用する場合は、az login コマンドを使用して Azure CLI にサインインします。 認証プロセスを完了するには、ターミナルに表示される手順に従います。 その他のサインイン オプションについては、Azure CLI でのサインインに関するページを参照してください。

  • 初回使用時にインストールを求められたら、Azure CLI 拡張機能をインストールします。 拡張機能の詳細については、Azure CLI で拡張機能を使用する方法に関するページを参照してください。

  • az version を実行し、インストールされているバージョンおよび依存ライブラリを検索します。 最新バージョンにアップグレードするには、az upgrade を実行します。

• アクティブなサブスクリプションが含まれる Azure アカウント。 無料でアカウントを作成できます。

• 機能している Azure Front Door Premium プロファイルとエンドポイント。 Front Door を作成する - CLI に関するページを参照してください。

• 機能している Azure API Management インスタンス。 「Azure CLI を使って新しい Azure API Management インスタンスを作成する」を参照してください

発信元グループを作成し、API Management インスタンスを発信元として追加する

1. az afd origin-group create を実行して、配信元グループを作成します。

   az afd origin-group create \
       --resource-group myResourceGroup \
       --origin-group-name myOriginGroup \
       --profile-name myFrontDoorProfile \
       --probe-request-type GET \
       --probe-protocol Http \
       --probe-interval-in-seconds 60 \
       --probe-path / \
       --sample-size 4 \
       --successful-samples-required 3 \
       --additional-latency-in-milliseconds 50
   

2. az afd origin create を実行して、API Management インスタンスを発信元として発信元グループに追加します。

   az afd origin create \
       --enabled-state Enabled \
       --resource-group myResourceGroup \
       --origin-group-name myOriginGroup \
       --origin-name myAPIMOrigin \
       --profile-name myFrontDoorProfile \
       --host-name myapim.azure-api.net \
       --origin-host-header myapim.azure-api.net \
       --http-port 80  \
       --https-port 443 \
       --priority 1 \
       --weight 500 \
       --enable-private-link true \
       --private-link-location centralus \
       --private-link-request-message 'Azure Front Door private connectivity request.' \
       --private-link-resource /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.ApiManagement/service/myAPIM \
       --private-link-sub-resource-type Gateway
   

プライベート エンドポイント接続を承認する

1. az network private-endpoint-connection list を実行して、承認が必要なプライベート エンドポイント接続の name を取得します。

   az network private-endpoint-connection list --name myAPIM --resource-group myResourceGroup --type Microsoft.ApiManagement/service
   

2. az network private-endpoint-connection approve を実行して、前の手順の name を使用してプライベート エンドポイント接続を承認します。

   az network private-endpoint-connection approve --id /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.ApiManagement/service/myAPIM/privateEndpointConnections/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
   

Azure Front Door のセットアップを完了する

az afd route create を実行して、エンドポイントを配信元グループにマップするルートを作成します。 このルートでは、エンドポイントからの要求を配信元グループに転送します。

az afd route create \
    --resource-group myResourceGroup \
    --profile-name myFrontDoorProfile \
    --endpoint-name myFrontDoorEndpoint \
    --forwarding-protocol MatchRequest \
    --route-name myRoute \
    --https-redirect Enabled \
    --origin-group myOriginGroup \
    --supported-protocols Http Https \
    --link-to-default-domain Enabled

最後の手順を完了すると、Azure Front Door プロファイルは完全に機能します。