App Service Environment の概要Introduction to the App Service Environments

 

概要Overview

Azure App Service Environment は、App Service アプリを大規模かつ安全に実行するために完全に分離された専用の環境を提供する、Azure App Service の機能です。The Azure App Service Environment is an Azure App Service feature that provides a fully isolated and dedicated environment for securely running App Service apps at high scale. この機能は、以下をホストできます。This capability can host your:

  • Windows Web アプリWindows web apps
  • Linux Web アプリLinux web apps
  • Docker コンテナーDocker containers
  • モバイル アプリMobile apps
  • FunctionsFunctions

App Service Environment (ASE) は、以下を必要とするアプリケーション ワークロードに最適です。App Service environments (ASEs) are appropriate for application workloads that require:

  • 高スケール。Very high scale.
  • 分離およびセキュリティで保護されたネットワーク アクセス。Isolation and secure network access.
  • 高いメモリ使用率。High memory utilization.

顧客は、複数の ASE を 1 つの Azure リージョン内に作成することも、複数の Azure リージョンにわたって作成することもできます。Customers can create multiple ASEs within a single Azure region or across multiple Azure regions. この柔軟性により、ASE は、高 RPS のワークロードをサポートするステートレス アプリケーション層の水平方向のスケーリングに最適です。This flexibility makes ASEs ideal for horizontally scaling stateless application tiers in support of high RPS workloads.

ASE は、単一の顧客のアプリケーションだけを実行するために分離され、常に仮想ネットワークにデプロイされます。ASEs are isolated to running only a single customer's applications and are always deployed into a virtual network. 顧客は、受信と送信の両方のアプリケーション ネットワーク トラフィックをきめ細かく制御することができます。Customers have fine-grained control over inbound and outbound application network traffic. アプリケーションは VPN を介した、オンプレミスの企業リソースへのセキュリティで保護された高速な接続を確立することができます。Applications can establish high-speed secure connections over VPNs to on-premises corporate resources.

  • ASE には専用の価格レベルがあります。独立したオファーが高い拡張性とセキュリティを促進するのにどのように役立つかを学習してください。ASE comes with its own pricing tier, learn how the Isolated offering helps drive hyper-scale and security.
  • App Service Environments v2 は、ネットワークのサブネット内のアプリを保護するための環境と、Azure App Service の独自のプライベートな展開を提供します。App Service Environments v2 provide a surrounding to safeguard your apps in a subnet of your network and provides your own private deployment of Azure App Service.
  • 複数の ASE を使って水平方向にスケーリングすることができます。Multiple ASEs can be used to scale horizontally. 詳細については、地理的に分散したアプリ フットプリントの設定に関するページを参照してください。For more information, see how to set up a geo-distributed app footprint.
  • AzureCon Deep Dive に示されているようなセキュリティ アーキテクチャは、ASE を使用して構成できます。ASEs can be used to configure security architecture, as shown in the AzureCon Deep Dive. AzureCon Deep Dive に示されたセキュリティ アーキテクチャがどのように構成されたかを確認するには、App Service 環境でのレイヤード セキュリティ アーキテクチャのインプリメント方法に関する記事を参照してください。To see how the security architecture shown in the AzureCon Deep Dive was configured, see the article on how to implement a layered security architecture with App Service environments.
  • ASE で実行されるアプリへのアクセスは、Web アプリケーション ファイアウォール (WAF) などのアップストリーム デバイスによって制限できます。Apps running on ASEs can have their access gated by upstream devices, such as web application firewalls (WAFs). 詳細については、Web アプリケーション ファイアウォール (WAF) に関するページを参照してください。For more information, see Web application firewall (WAF).

専用の環境Dedicated environment

ASE は、1 つのサブスクリプション専用であり、100 の App Service プラン インスタンスをホストできます。An ASE is dedicated exclusively to a single subscription and can host 100 App Service Plan instances. 1 つの App Service プラン内の 100 のインスタンスから、100 の単一インスタンス App Service プラン、およびその間のすべてのプランがあります。The range can span 100 instances in a single App Service plan to 100 single-instance App Service plans, and everything in between.

ASE は、フロントエンドとワーカーで構成されます。An ASE is composed of front ends and workers. フロントエンドは、HTTP/HTTPS ターミネーションと、ASE 内でのアプリ要求の自動負荷分散を担当します。Front ends are responsible for HTTP/HTTPS termination and automatic load balancing of app requests within an ASE. ASE で App Service プランをスケールアウトすると、フロントエンドが自動的に追加されます。Front ends are automatically added as the App Service plans in the ASE are scaled out.

ワーカーは、お客様のアプリをホストする役割です。Workers are roles that host customer apps. ワーカーは、3 つの固定サイズで使用できます。Workers are available in three fixed sizes:

  • 1 vCPU/3.5 GB RAMOne vCPU/3.5 GB RAM
  • 2 vCPU/7 GB RAMTwo vCPU/7 GB RAM
  • 4 vCPU/14 GB RAMFour vCPU/14 GB RAM

フロントエンドとワーカーをお客様が管理する必要はありません。Customers do not need to manage front ends and workers. すべてのインフラストラクチャは、お客様が App Service プランをスケール アウトしたときに自動的に追加されます。All infrastructure is automatically added as customers scale out their App Service plans. App Service プランが ASE で作成、スケーリングされるときに、必要なインフラストラクチャが適宜追加または削除されます。As App Service plans are created or scaled in an ASE, the required infrastructure is added or removed as appropriate.

インフラストラクチャの支払いを行うための ASE の一定の月額料金があり、ASE のサイズが変化しても料金は変わりません。There is a flat monthly rate for an ASE that pays for the infrastructure and doesn't change with the size of the ASE. それに加えて、App Service プランの vCPU あたりのコストがあります。In addition, there is a cost per App Service plan vCPU. ASE でホストされているすべてのアプリは、分離された価格 SKU に含まれます。All apps hosted in an ASE are in the Isolated pricing SKU. ASE の価格については、「App Service の価格」で、ASE に関して提供されている選択肢を参照してください。For information on pricing for an ASE, see the App Service pricing page and review the available options for ASEs.

Virtual Network のサポートVirtual network support

ASE 機能は、お客様の Azure Resource Manager 仮想ネットワークに Azure App Service を直接デプロイしたものです。The ASE feature is a deployment of the Azure App Service directly into a customer's Azure Resource Manager virtual network. Azure の仮想ネットワークの詳細については、「Azure 仮想ネットワークについてよく寄せられる質問 (FAQ)」を参照してください。To learn more about Azure virtual networks, see the Azure virtual networks FAQ. ASE は常に仮想ネットワーク内 (正確には仮想ネットワークのサブネット内) に存在します。An ASE always exists in a virtual network, and more precisely, within a subnet of a virtual network. 仮想ネットワークのセキュリティ機能を使って、アプリの送受信方向のネットワーク通信を制御することができます。You can use the security features of virtual networks to control inbound and outbound network communications for your apps.

ASE は、パブリック IP アドレスでインターネットに接続することも、Azure 内部ロード バランサー (ILB) アドレスだけで内部接続することもできます。An ASE can be either internet-facing with a public IP address or internal-facing with only an Azure internal load balancer (ILB) address.

ネットワーク セキュリティ グループを使用して、受信ネットワーク通信を、ASE が存在するサブネットに制限できます。Network Security Groups restrict inbound network communications to the subnet where an ASE resides. NSG を使用することで、WAF やネットワーク SaaS プロバイダーなど、アップストリーム デバイスおよびサービスの背後でアプリを実行できます。You can use NSGs to run apps behind upstream devices and services such as WAFs and network SaaS providers.

また、アプリは、内部データベースや Web サービスなどの企業リソースに頻繁にアクセスする必要があります。Apps also frequently need to access corporate resources such as internal databases and web services. オンプレミス ネットワークへの VPN 接続が備わった仮想ネットワークに ASE をデプロイした場合、その ASE 内のアプリはオンプレミス リソースにアクセスすることができます。If you deploy the ASE in a virtual network that has a VPN connection to the on-premises network, the apps in the ASE can access the on-premises resources. この機能は、VPN がサイト対サイトAzure ExpressRoute VPN かに関係なく当てはまります。This capability is true regardless of whether the VPN is a site-to-site or Azure ExpressRoute VPN.

ASE と仮想ネットワークおよびオンプレミス ネットワークとの連携方法の詳細については、App Service Environment のネットワークの考慮事項に関するページを参照してください。For more information on how ASEs work with virtual networks and on-premises networks, see App Service Environment network considerations.

App Service Environment v1App Service Environment v1

App Service Environment には、ASEv1 と ASEv2 の 2 つのバージョンがあります。App Service Environment has two versions: ASEv1 and ASEv2. 前述の情報は ASEv2 に基づいていました。The preceding information was based on ASEv2. このセクションでは、ASEv1 と ASEv2 の違いについて説明します。This section shows you the differences between ASEv1 and ASEv2.

ASEv1 では、すべてのリソースを手動で管理する必要があります。In ASEv1, you need to manage all of the resources manually. これには、フロントエンド、ワーカー、IP ベースの SSL に使用する IP アドレスが含まれます。That includes the front ends, workers, and IP addresses used for IP-based SSL. App Service プランをスケールアウトするには、そのプランをホストするワーカー プールを先にスケールアウトしておく必要があります。Before you can scale out your App Service plan, you need to first scale out the worker pool where you want to host it.

ASEv1 では、ASEv2 とは異なる価格モデルを使用します。ASEv1 uses a different pricing model from ASEv2. ASEv1 では、割り当てられた vCPU ごとに料金を支払います。In ASEv1, you pay for each vCPU allocated. これには、フロントエンドまたはどのワークロードもホストしていないワーカーに使用される vCPU が含まれます。That includes vCPUs used for front ends or workers that aren't hosting any workloads. ASEv1 では、ASE の既定の最大スケール サイズは合計で 55 ホストです。In ASEv1, the default maximum-scale size of an ASE is 55 total hosts. これにはワーカーとフロントエンドが含まれます。That includes workers and front ends. ASEv1 の利点の 1 つは、従来の仮想ネットワークと Resource Manager 仮想ネットワークにデプロイできることです。One advantage to ASEv1 is that it can be deployed in a classic virtual network and a Resource Manager virtual network. ASEv1 について詳しくは、App Service Environment v1 の概要に関するページを参照してください。To learn more about ASEv1, see App Service Environment v1 introduction.