App Service Environment の概要App Service Environment overview

注意

この記事では、App Service Environment v3 (プレビュー) について説明します。This article is about the App Service Environment v3 (preview)

Azure App Service Environment は、App Service アプリを大規模かつ安全に実行するために完全に分離された専用の環境を提供する、Azure App Service の機能です。The Azure App Service Environment is an Azure App Service feature that provides a fully isolated and dedicated environment for securely running App Service apps at high scale. この機能は、以下をホストできます。This capability can host your:

  • Windows Web アプリWindows web apps
  • Linux Web アプリLinux web apps
  • Docker コンテナーDocker containers
  • 関数Functions

App Service Environment (ASE) は、以下を必要とするアプリケーション ワークロードに最適です。App Service environments (ASEs) are appropriate for application workloads that require:

  • 高スケール。High scale.
  • 分離およびセキュリティで保護されたネットワーク アクセス。Isolation and secure network access.
  • 高いメモリ使用率。High memory utilization.
  • 高い RPS (Requests Per Second: 1 秒あたりの要求数)。High requests per second (RPS). 複数の ASE を 1 つの Azure リージョン内に作成することも、複数の Azure リージョンにわたって作成することもできます。You can make multiple ASEs in a single Azure region or across multiple Azure regions. この柔軟性により、ASE は、高い RPS 要件を持つステートレス アプリケーションの水平方向のスケーリングに最適です。This flexibility makes ASEs ideal for horizontally scaling stateless applications with a high RPS requirement.

ASE では、単一の顧客のアプリケーションは VNet の 1 つでホストされます。ASE's host applications from only one customer and do so in one of their VNets. 顧客は、受信と送信の両方のアプリケーション ネットワーク トラフィックをきめ細かく制御することができます。Customers have fine-grained control over inbound and outbound application network traffic. アプリケーションは VPN を介した、オンプレミスの企業リソースへのセキュリティで保護された高速な接続を確立することができます。Applications can establish high-speed secure connections over VPNs to on-premises corporate resources.

ASEv3 には、独自の価格レベルである Isolated V2 が付属しています。ASEv3 comes with its own pricing tier, Isolated V2. App Service Environments v3 では、ネットワークのサブネット内のアプリを保護するための環境と、Azure App Service の独自のプライベートなデプロイが提供されます。App Service Environments v3 provide a surrounding to safeguard your apps in a subnet of your network and provides your own private deployment of Azure App Service. 複数の ASE を使って水平方向にスケーリングすることができます。Multiple ASEs can be used to scale horizontally. ASE で実行されるアプリへのアクセスは、Web アプリケーション ファイアウォール (WAF) などのアップストリーム デバイスによって制限できます。Apps running on ASEs can have their access gated by upstream devices, such as web application firewalls (WAFs). 詳細については、Web アプリケーション ファイアウォール (WAF) に関するページを参照してください。For more information, see Web application firewall (WAF).

使用シナリオUsage scenarios

App Service Environment には、次のようなさまざまなユース ケースがあります。The App Service Environment has many use cases including:

  • 内部基幹業務アプリケーションInternal line-of-business applications
  • 30 を超える ASP インスタンスを必要とするアプリケーションApplications that need more than 30 ASP instances
  • 内部のコンプライアンスまたはセキュリティ要件を満たすための単一のテナント システムSingle tenant system to satisfy internal compliance or security requirements
  • ネットワーク分離アプリケーションのホストNetwork isolated application hosting
  • 多層アプリケーションMulti-tier applications

マルチテナント App Service のアプリをネットワーク分離リソースに接続したり、それ自体をネットワークから分離するためのさまざまなネットワーク機能があります。There are a number of networking features that enable apps in the multi-tenant App Service to reach network isolated resources or become network isolated themselves. これらの機能は、アプリケーション レベルで有効になります。These features are enabled at the application level. ASE では、アプリを VNet に配置するための追加の構成はアプリにありません。With an ASE, there's no additional configuration on the apps for them to be in the VNet. アプリは、VNet に既に存在するネットワーク分離環境にデプロイされます。The apps are deployed into a network isolated environment that is already in a VNet. ASE は、ネットワーク分離アプリのホストであるほか、単一のテナント システムでもあります。On top of the ASE hosting network isolated apps, it's also a single-tenant system. ASE を使用する他の顧客は存在しません。There are no other customers using the ASE. 完全な分離環境が実際に必要な場合は、ASE を専用のハードウェアにデプロイすることもできます。If you really need a complete isolation story, you can also get your ASE deployed onto dedicated hardware. ネットワーク分離アプリケーションのホストと単一のテナントの機能を持ちます。Between network isolated application hosting, single tenancy, and the ability

専用の環境Dedicated environment

ASE は、単一のサブスクリプション専用であり、200 の App Service プラン インスタンスをホストできます。An ASE is dedicated exclusively to a single subscription and can host 200 App Service Plan instances. 1 つの App Service プラン内の 100 のインスタンスから、100 の単一インスタンス App Service プラン、およびその間のすべてのプランがあります。The range can span 100 instances in a single App Service plan to 100 single-instance App Service plans, and everything in between.

ASE は、フロントエンドとワーカーで構成されます。An ASE is composed of front ends and workers. フロントエンドは、HTTP/HTTPS ターミネーションと、ASE 内でのアプリ要求の自動負荷分散を担当します。Front ends are responsible for HTTP/HTTPS termination and automatic load balancing of app requests within an ASE. ASE で App Service プランをスケールアウトすると、フロントエンドが自動的に追加されます。Front ends are automatically added as the App Service plans in the ASE are scaled out.

ワーカーは、お客様のアプリをホストする役割です。Workers are roles that host customer apps. ワーカーは、3 つの固定サイズで使用できます。Workers are available in three fixed sizes:

  • 2 vCPU/8 GB RAMTwo vCPU/8 GB RAM
  • 4 vCPU/16 GB RAMFour vCPU/16 GB RAM
  • 8 vCPU/32 GB RAMEight vCPU/32 GB RAM

フロント エンドとワーカーを顧客が管理する必要はありません。Customers don't need to manage front ends and workers. すべてのインフラストラクチャが自動的に設定されます。All infrastructure is automatically. App Service プランが ASE で作成、スケーリングされるときに、必要なインフラストラクチャが適宜追加または削除されます。As App Service plans are created or scaled in an ASE, the required infrastructure is added or removed as appropriate.

Isolated V2 App Service プラン インスタンスには料金が発生します。There's a charge for Isolated V2 App Service plan instances. ASE に App Service プランが全くない場合は、2 つのコア ワーカーの 1 つのインスタンスで 1 つの App Service プランを取得した場合と同様に課金されます。If you have no App Service plans at all in your ASE, you are charged as though you had one App Service plan with one instance of the two core workers.

Virtual Network のサポートVirtual network support

ASE 機能は、お客様の Azure Resource Manager 仮想ネットワークに Azure App Service を直接デプロイしたものです。The ASE feature is a deployment of the Azure App Service directly into a customer's Azure Resource Manager virtual network. ASE は、常に仮想ネットワークのサブネットに存在します。An ASE always exists in a subnet of a virtual network. 仮想ネットワークのセキュリティ機能を使って、アプリの送受信方向のネットワーク通信を制御することができます。You can use the security features of virtual networks to control inbound and outbound network communications for your apps.

ネットワーク セキュリティ グループを使用して、受信ネットワーク通信を、ASE が存在するサブネットに制限できます。Network Security Groups restrict inbound network communications to the subnet where an ASE resides. NSG を使用することで、WAF やネットワーク SaaS プロバイダーなど、アップストリーム デバイスおよびサービスの背後でアプリを実行できます。You can use NSGs to run apps behind upstream devices and services such as WAFs and network SaaS providers.

また、アプリは、内部データベースや Web サービスなどの企業リソースに頻繁にアクセスする必要があります。Apps also frequently need to access corporate resources such as internal databases and web services. オンプレミス ネットワークへの VPN 接続が備わった仮想ネットワークに ASE をデプロイした場合、その ASE 内のアプリはオンプレミス リソースにアクセスすることができます。If you deploy the ASE in a virtual network that has a VPN connection to the on-premises network, the apps in the ASE can access the on-premises resources. この機能は、VPN がサイト対サイトか Azure ExpressRoute VPN かに関係なく当てはまります。This capability is true regardless of whether the VPN is a site-to-site or Azure ExpressRoute VPN.

[プレビュー]Preview

App Service Environment v3 はパブリック プレビュー段階にあります。The App Service Environment v3 is in public preview. プレビューの進行中に、一部の機能が追加されます。Some features are being added during the preview progression. ASEv3 の現在の制限事項は次のとおりです。The current limitations of ASEv3 include:

  • 5 つのインスタンスを超えて App Service プランをスケールできないInability to scale an App Service plan beyond five instances
  • プライベート レジストリからコンテナーを取得できないInability to get a container from a private registry
  • 現在サポートされていない App Service 機能は顧客の VNet を経由できないInability for currently unsupported App Service features to go through customer VNet
  • インターネットにアクセス可能なエンドポイントを持つ外部デプロイ モデルがないNo external deployment model with an internet accessible endpoint
  • コマンド ラインがサポートされていない (AZ CLI と PowerShell)No command line support (AZ CLI and PowerShell)
  • ASEv2 から ASEv3 へのアップグレード機能がないNo upgrade capability from ASEv2 to ASEv3
  • FTP がサポートされていないNo FTP support
  • 顧客の VNet を経由する一部の App Service 機能がサポートされていない。No support for some App Service features going through the customer VNet. サービス エンドポイントまたはプライベート エンドポイントでは、バックアップ/復元、アプリ設定での Key Vault 参照、プライベート コンテナー レジストリの使用、ストレージへの診断ログの記録が機能しません。Backup/restore, Key Vault references in app settings, using a private container registry, and Diagnostic logging to storage won't function with service endpoints or private endpoints

ASEv3 プレビューのアーキテクチャASEv3 preview architecture

ASEv3 プレビューでは、ASE でプライベート エンドポイントを使用して受信トラフィックがサポートされます。In ASEv3 preview, the ASE will use private endpoints to support inbound traffic. プライベート エンドポイントは、GA によってロード バランサーに置き換えられます。The private endpoint will be replaced with load balancers by GA. プレビュー段階では、インターネット アクセスが可能なエンドポイントのサポートは ASE に組み込まれません。While in preview, the ASE won't have built in support for an internet accessible endpoint. このような目的で Application Gateway を追加することもできます。You could add an Application Gateway for such a purpose. ASE には、2 つのサブネット内のリソースが必要です。The ASE needs resources in two subnets. 受信トラフィックは、プライベート エンドポイントを経由してフローします。Inbound traffic will flow through a private endpoint. プライベート エンドポイントは、プライベート エンドポイントで使用できるアドレスを持つ限り、任意のサブネットに配置できます。The private endpoint can be placed in any subnet so long as it has an available address that can be used by private endpoints. 送信サブネットは空で、Microsoft.Web/hostingEnvironments に委任されている必要があります。The outbound subnet must be empty and delegated to Microsoft.Web/hostingEnvironments. 送信サブネットは ASE で使用されますが、他のものに使用することはできません。While used by the ASE, the outbound subnet can't be used for anything else.

ASEv3 では、ASE サブネットに受信または送信ネットワークの要件はありません。With ASEv3, there are no inbound or outbound networking requirements on the ASE subnet. ネットワーク セキュリティ グループとルート テーブルを使用してトラフィックを制御できます。これにより、アプリケーションのトラフィックのみが影響を受けます。You can control the traffic with Network Security Groups and Route Tables and it only will affect your application traffic. ASE に関連付けられているプライベート エンドポイントは削除しないでください。この操作を元に戻すことはできません。Don't delete the private endpoint associated with your ASE as that action can't be undone. ASE に使用されるプライベート エンドポイントは、ASE 内のすべてのアプリに使用されます。The private endpoint used for the ASE is used for all of the apps in the ASE.