ハイブリッド クラウド アプリケーション

  • 10 分

Tailwind Traders には、現在境界ネットワーク内でオンプレミスで実行されているフロントエンド コンポーネントを含むいくつかのアプリケーションがあります。 これらのバックエンド要素は、保護された内部ネットワーク上にあります。 Tailwind Traders がハイブリッド クラウドに移行する目的の 1 つは、境界ネットワークを廃止して、公開されているすべてのワークロードをクラウドでホストすることです。 コンプライアンスの懸念やワークロード所有者の懸念のため、これらのアプリケーションの一部は、Azure データセンターでホストされるのではなく、Tailwind Traders の設備に物理的に残す必要があります。

Tailwind Traders には、シドニー、メルボルン、およびオークランドのデータセンターの内部で保護されたネットワークへの VPN 接続を通じてアクセスされる他のアプリケーションもあります。 これらのアプリケーションでは、通常、ユーザーがオンプレミスの Active Directory インスタンスで認証を行う必要があります。

このユニットでは、データまたはアプリケーション自体が引き続き Tailwind Traders の設備でホストされている場合でもユーザーが Azure 経由で接続するアプリケーションを Tailwind Traders が保守できるようにするテクノロジについて学習します。

Azure Relay とは

Azure Relay は、組織の内部ネットワークで実行されているワークロードをパブリック クラウドに安全に公開するために使用できるサービスです。 このサービスにより、境界ネットワーク ファイアウォールで受信ポートを開くことなく、これを行うことができます。

Azure Relay は、Azure で実行されているオンプレミスのサービスとアプリケーション間で次のシナリオをサポートします。

  • 従来の一方向の通信、要求/応答の通信、ピアツーピア通信
  • パブリッシュ/サブスクライブ シナリオを実現するイベント配布
  • ネットワーク境界を越えた双方向のバッファーなしのソケット通信

Azure Relay には、次の機能があります。

  • ハイブリッド接続。 この機能では、オープンスタンダードの Web ソケットを使用します。これは、マルチプラットフォーム アーキテクチャで使用でき、 .NET Core、.NET Framework、JavaScript/Node.js、標準ベースのオープン プロトコル、およびリモート プロシージャ コール (RPC) のプログラミング モデルをサポートしています。
  • WCF Relay。 この機能では、Windows Communication Foundation (WCF) を使用してリモート プロシージャ コールを有効にします。 これは、多くのユーザーが WCF プログラムで使用するオプションです。 また、.NET Framework もサポートしています。

Azure Relay により、Tailwind Traders は、VPN 接続を必要とせずに、内部ネットワークで実行される一部のアプリケーションをインターネット上のクライアントに公開できます。 Azure でフロントエンド Web アプリが実行されていない場合、同社は、Azure App Service ハイブリッド接続の代わりに Azure Relay を使用する必要があります。 アプリケーションで Microsoft Entra 認証を必要としない場合、Microsoft Entra アプリケーション プロキシではなく Azure Relay を使用する必要があります。

App Service ハイブリッド接続とは

Azure App Service のハイブリッド接続機能により、ポート 443 で Azure に送信要求を送信できる任意のネットワークで任意のアプリケーション リソースを使用できます。 たとえば、ハイブリッド接続を使用して、Azure で実行されている Web アプリで、オンプレミスで実行されている SQL Server データベースを使用できるようにすることができます。 ハイブリッド接続により、Azure で実行されているアプリから伝送制御プロトコル (TCP) エンドポイントにアクセスできます。

ハイブリッド接続は、Windows Server プラットフォームで実行されているワークロードに制限されません。 使用しているアプリケーション プロトコルに関係なく、TCP エンドポイントとして機能する任意のリソースにアクセスするようにハイブリッド接続を構成できます。 たとえば、Azure で実行されている Web アプリとオンプレミスの Linux 仮想マシンで実行されている MySQL データベース間でハイブリッド接続を構成できます。

ハイブリッド接続では、エージェントで、内部ネットワーク上の TCP エンドポイントへの接続を確立でき、Azure への接続を確立できる場所にデプロイしたリレー エージェントが使用されます。 この接続は、トランスポート層セキュリティ (TLS) 1.2 によってセキュリティ保護されます。 認証と承認には、Shared Access Signature (SAS) キーが使用されます。

次の図は、Azure で実行されている Web アプリとオンプレミスで実行されているデータベース エンドポイント間のハイブリッド接続を示しています。

Azure の Web アプリとオンプレミスのデータベース エンドポイント間のハイブリッド接続を示す図。

ハイブリッド接続には、次の機能があります。

  • Azure で実行されるアプリでは、セキュアな方法でオンプレミスのシステムとサービスにアクセスできます。
  • オンプレミスのシステムまたはサービスでは、インターネット上のホストから直接アクセスできる必要はありません。
  • Azure からリレー エージェントへの受信アクセスを許可するために、ファイアウォールでポートを開く必要はありません。 すべての通信は、ポート 443 を介してリレー エージェントからの送信方式で開始されます。

ハイブリッド接続には、次の制限があります。

  • オンプレミス ネットワークに SMB 共有をマウントするために使用することはできません。
  • ユーザー データグラム プロトコル (UDP) を使用できません。
  • 動的ポートを使用する TCP ベースのサービスにアクセスできません。
  • UDP に依存しているため、ライトウェイト ディレクトリ アクセス プロトコル (LDAP) はサポートされません。
  • Active Directory Domain Services のドメイン参加操作を実行するために使用することはできません。

Tailwind Traders では、ハイブリッド接続により、現在 Tailwind Traders の境界ネットワークでフロントエンドが実行されているいくつかのアプリケーションを廃止することができます。 これらのアプリは、Azure に移行できます。 ハイブリッド接続を使用すると、アプリのバックエンド コンポーネントをホストする保護対象のネットワークに安全に接続できます。

Microsoft Entra アプリケーション プロキシとは

Microsoft Entra アプリケーション プロキシにより、外部 URL を介して、オンプレミス環境で実行されている Web アプリケーションに安全にリモート アクセスできます。 SharePoint、Microsoft Teams、IIS Web アプリケーション、リモート デスクトップへのリモート アクセスとシングル サインオンを許可するようにアプリケーション プロキシを構成できます。 アプリケーション プロキシは、内部ネットワークへの VPN またはリバース プロキシの代わりとして実装できます。

アプリケーション プロキシは、次のアプリケーションで機能します。

  • 統合 Windows 認証を使用する Web アプリケーション
  • ヘッダーベースまたはフォームベースの認証を使用する Web アプリケーション
  • リモート デスクトップ ゲートウェイ経由でホストされるアプリケーション

アプリケーション プロキシは、次のように機能します。

  1. ユーザーは、公開されているエンドポイント経由でアプリケーションに接続し、次に Microsoft Entra サインオンを実行します。
  2. サインインが完了すると、トークンがユーザーのデバイスに転送されます。
  3. クライアント デバイスによって、トークンがアプリケーション プロキシ サービスに転送され、これにより、トークンからユーザー プリンシパル名 (UPN) とセキュリティ プリンシパル名 (SPN) が返されます。 次に、アプリケーション プロキシによって、要求がアプリケーション プロキシ コネクタに転送されます。
  4. シングル サインオンが有効になっている場合、アプリケーション プロキシ コネクタによって追加の認証が実行されます。
  5. アプリケーション プロキシ コネクタにより、要求がオンプレミスのアプリケーションに転送されます。
  6. 応答は、コネクタとアプリケーション プロキシ サービスを介してユーザーに送信されます。

次の図は、このプロセスを示しています。

組織ネットワーク外部のユーザーがアプリケーション プロキシを経由してオンプレミス アプリケーションに接続するアプリケーション プロキシ機能を示す図。

アプリケーションへの直接接続を許可する内部ネットワークのユーザーは、アプリケーション プロキシを使用しないようにする必要があります。

Tailwind Traders では、Microsoft Entra アプリケーション プロキシを使用して、Active Directory 認証を使用する内部アプリケーションへのアクセスを外部ユーザーに提供できます。

自分の知識をチェックする

1.

Tailwind Traders には、ハイブリッド クラウドに移行するいくつかの多層アプリがあります。 このアプリは、現在、Tailwind Traders の境界ネットワーク上の Web 層と、シドニーのデータセンターにある仮想マシン上のデータベース層に存在します。 新しいアプリケーション アーキテクチャでは、Web アプリが Azure で実行されます。 Tailwind Traders では、Azure の Web アプリ階層と、シドニーのデータセンターの VM で実行されているデータベース階層間の通信を許可するために、次のどのテクノロジを使用するべきですか?

2.

Tailwind Traders では、認証に Active Directory Domain Services アカウントを使用するアプリケーションを公開して、インターネット上のホストからアクセスできるようにしたいと考えています。 Tailwind Traders は、このアプリケーションで使用されるオンプレミスの ID を Microsoft Entra ID に同期するように Microsoft Entra Connect を構成しました。 このアプリケーションをインターネット上のホストに公開して、これらの同期された ID でアプリケーションにアクセスできるようにするために使用するハイブリッド テクノロジは、次のうちのどれですか?