Application Gateway に関してよく寄せられる質問Frequently asked questions about Application Gateway


この記事は、新しい Azure PowerShell Az モジュールを使用するために更新されました。This article has been updated to use the new Azure PowerShell Az module. AzureRM モジュールはまだ使用でき、少なくとも 2020 年 12 月までは引き続きバグ修正が行われます。You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Az モジュールと AzureRM の互換性の詳細については、「Introducing the new Azure PowerShell Az module (新しい Azure PowerShell Az モジュールの概要)」を参照してください。To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Az モジュールのインストール手順については、Azure PowerShell のインストールを参照してください。For Az module installation instructions, see Install Azure PowerShell.

Azure Application Gateway に関して寄せられた一般的な質問を以下に示します。The following are common questions asked about Azure Application Gateway.


Application Gateway とはWhat is Application Gateway?

Azure Application Gateway は、アプリケーション デリバリー コントローラー (ADC) をサービスとして提供します。Azure Application Gateway provides an application delivery controller (ADC) as a service. お客様のアプリケーションで、さまざまなレイヤー 7 負荷分散機能を利用できます。It offers various layer 7 load-balancing capabilities for your applications. このサービスは、Azure により提供されるフル マネージド サービスであり、高可用性とスケーラビリティを備えています。This service is highly available, scalable, and fully managed by Azure.

Application Gateway はどのような機能をサポートしますか?What features does Application Gateway support?

Application Gateway は、自動スケーリング、TLS オフロードとエンド ツー エンド TLS、Web アプリケーション ファイアウォール (WAF)、Cookie ベースのセッション アフィニティ、URL パスベースのルーティング、マルチサイト ホスティングなどの機能をサポートしています。Application Gateway supports autoscaling, TLS offloading, and end-to-end TLS, a web application firewall (WAF), cookie-based session affinity, URL path-based routing, multisite hosting, and other features. サポートされている機能の完全な一覧については、「Application Gateway の概要」をご覧ください。For a full list of supported features, see Introduction to Application Gateway.

Application Gateway と Azure Load Balancer の違いは何ですか?How do Application Gateway and Azure Load Balancer differ?

Application Gateway はレイヤー 7 のロード バランサーです。つまり、Web トラフィックのみ (HTTP、HTTPS、WebSocket、HTTP/2) に対して機能します。Application Gateway is a layer 7 load balancer, which means it works only with web traffic (HTTP, HTTPS, WebSocket, and HTTP/2). また、TLS 終端、Cookie ベースのセッション アフィニティ、ラウンド ロビンによるトラフィックの負荷分散などの機能をサポートします。It supports capabilities such as TLS termination, cookie-based session affinity, and round robin for load-balancing traffic. Load Balancer は、レイヤー 4 (TCP または UDP) でトラフィックを負荷分散するものです。Load Balancer load-balances traffic at layer 4 (TCP or UDP).

Application Gateway はどのようなプロトコルをサポートしますか?What protocols does Application Gateway support?

Application Gateway は、HTTP、HTTPS、HTTP/2、WebSocket をサポートします。Application Gateway supports HTTP, HTTPS, HTTP/2, and WebSocket.

Application Gateway は HTTP/2 をどのようにサポートしますか?How does Application Gateway support HTTP/2?

HTTP/2 のサポート」を参照してください。See HTTP/2 support.

バックエンド プールの一部としてはどのようなリソースがサポートされていますか?What resources are supported as part of a backend pool?

サポート対象のバックエンド リソースに関するセクションを参照してください。See supported backend resources.

Application Gateway はどのリージョンで利用できますか?In what regions is Application Gateway available?

Application Gateway v1 (Standard および WAF) は、グローバル Azure のすべてのリージョンで利用できます。Application Gateway v1 (Standard and WAF) is available in all regions of global Azure. また、Azure China 21VianetAzure Government でもご利用いただけます。It's also available in Azure China 21Vianet and Azure Government.

Application Gateway v2 (Standard_v2 と WAF_v2) の可用性については、Application Gateway v2 でサポートされているリージョンに関するページを参照してください。For Application Gateway v2 (Standard_v2 and WAF_v2) availability, see supported regions for Application Gateway v2

このデプロイは私のサブスクリプション専用ですか? それとも、複数の顧客と共有されますか?Is this deployment dedicated for my subscription, or is it shared across customers?

Application Gateway は、お客様の仮想ネットワーク専用のデプロイメントです。Application Gateway is a dedicated deployment in your virtual network.

Application Gateway は HTTP から HTTPS へのリダイレクトをサポートしていますか?Does Application Gateway support HTTP-to-HTTPS redirection?

リダイレクトはサポートされます。Redirection is supported. Application Gateway のリダイレクトの概要」を参照してください。See Application Gateway redirect overview.

リスナーはどのような順序で処理されますか?In what order are listeners processed?

リスナーを処理する順序」を参照してください。See the order of listener processing.

Application Gateway の IP と DNS はどこで確認できますか?Where do I find the Application Gateway IP and DNS?

エンドポイントとしてパブリック IP アドレスを使用している場合には、パブリック IP アドレス リソースで IP と DNS の情報を確認できます。If you're using a public IP address as an endpoint, you'll find the IP and DNS information on the public IP address resource. このほか、ポータル内にあるアプリケーション ゲートウェイの概要ページで確認することもできます。Or find it in the portal, on the overview page for the application gateway. 内部 IP アドレスを使用している場合は、概要ページで情報を確認できます。If you're using internal IP addresses, find the information on the overview page.

v2 SKU の場合は、パブリック IP リソースを開き、 [構成] を選択します。For the v2 SKU, open the public IP resource and select Configuration. DNS 名を構成するには、 [DNS 名ラベル (オプション)] フィールドを使用できます。The DNS name label (optional) field is available to configure the DNS name.

キープアライブ タイムアウトと TCP アイドル タイムアウトの設定はどのようになっていますか?What are the settings for Keep-Alive timeout and TCP idle timeout?

キープアライブ タイムアウトでは、固定接続が再利用されるか、または閉じられる前に、クライアントによってその接続上で別の HTTP 要求が送信されるまでの Application Gateway の待機時間が制御されます。Keep-Alive timeout governs how long the Application Gateway will wait for a client to send another HTTP request on a persistent connection before reusing it or closing it. TCP アイドル タイムアウトでは、アクティビティがない場合に TCP 接続が開いた状態になる時間の長さが制御されます。TCP idle timeout governs how long a TCP connection is kept open in case of no activity.

Application Gateway v1 SKU でのキープアライブ タイムアウトは 120 秒であり、v2 SKU では 75 秒です。The Keep-Alive timeout in the Application Gateway v1 SKU is 120 seconds and in the v2 SKU it's 75 seconds. TCP アイドル タイムアウトは、Application Gateway の v1 および v2 SKU 両方のフロントエンド仮想 IP (VIP) 上で既定値の 4 分となっています。The TCP idle timeout is a 4-minute default on the frontend virtual IP (VIP) of both v1 and v2 SKU of Application Gateway. v1 および v2 Application Gateway での TCP アイドル タイムアウト値は、4 分から 30 分までの範囲で構成できます。You can configure the TCP idle timeout value on v1 and v2 Application Gateways to be anywhere between 4 minutes and 30 minutes. v1 と v2 どちらの Application Gateway でも、ポータルで Application Gateway のパブリック IP に移動し、パブリック IP の [構成] ブレードで TCP アイドル タイムアウトを変更する必要があります。For both v1 and v2 Application Gateways, you'll need to navigate to the public IP of the Application Gateway and change the TCP idle timeout under the "Configuration" blade of the public IP on Portal. 次のコマンドを実行して、PowerShell からパブリック IP の TCP アイドル タイムアウト値を設定できます。You can set the TCP idle timeout value of the public IP through PowerShell by running the following commands:

$publicIP = Get-AzPublicIpAddress -Name MyPublicIP -ResourceGroupName MyResourceGroup
$publicIP.IdleTimeoutInMinutes = "15"
Set-AzPublicIpAddress -PublicIpAddress $publicIP

アプリケーション ゲートウェイの有効期間内に IP や DNS 名が変わることはありますか?Does the IP or DNS name change over the lifetime of the application gateway?

Application Gateway V1 SKU では、アプリケーション ゲートウェイを停止して起動すると、VIP が変わることがあります。In Application Gateway V1 SKU, the VIP can change if you stop and start the application gateway. これに対して、アプリケーション ゲートウェイに関連付けられている DNS 名は、そのゲートウェイの有効期間全体を通して変わりません。But the DNS name associated with the application gateway doesn't change over the lifetime of the gateway. DNS 名が変わることはないので、CNAME エイリアスを使用し、その参照先をアプリケーション ゲートウェイの DNS アドレスにするようにしてください。Because the DNS name doesn't change, you should use a CNAME alias and point it to the DNS address of the application gateway. Application Gateway V2 SKU では、IP アドレスを静的として設定できるため、アプリケーション ゲートウェイの有効期間中、IP および DNS 名が変更されることはありません。In Application Gateway V2 SKU, you can set the IP address as static, so IP and DNS name will not change over the lifetime of the application gateway.

Application Gateway は静的 IP をサポートしますか?Does Application Gateway support static IP?

はい、Application Gateway v2 SKU は、静的パブリック IP アドレスをサポートしています。Yes, the Application Gateway v2 SKU supports static public IP addresses. v1 SKU では、静的内部 IP アドレスがサポートされます。The v1 SKU supports static internal IPs.

Application Gateway は複数のパブリック IP をサポートしますか?Does Application Gateway support multiple public IPs on the gateway?

1 つのアプリケーション ゲートウェイでサポートされるパブリック IP アドレスは 1 つだけです。An application gateway supports only one public IP address.

Application Gateway のサブネットはどのくらい大きくする必要がありますか?How large should I make my subnet for Application Gateway?

Application Gateway のサブネットのサイズに関する考慮事項のセクションを参照してください。See Application Gateway subnet size considerations.

1 つのサブネットに複数の Application Gateway リソースをデプロイできますか?Can I deploy more than one Application Gateway resource to a single subnet?

はい。Yes. 特定の Application Gateway のデプロイの複数のインスタンスに加え、別の Application Gateway リソースを含む既存のサブネットに別の一意の Application Gateway リソースをプロビジョニングできます。In addition to multiple instances of a given Application Gateway deployment, you can provision another unique Application Gateway resource to an existing subnet that contains a different Application Gateway resource.

1 つのサブネットで v2 と v1 両方の Application Gateway SKU をサポートすることはできません。A single subnet can't support both v2 and v1 Application Gateway SKUs.

Application Gateway v2 はユーザー定義ルート (UDR) をサポートしていますか?Does Application Gateway v2 support user-defined routes (UDR)?

はい。ただし、特定のシナリオのみです。Yes, but only specific scenarios. 詳細については、「Application Gateway インフラストラクチャの構成」を参照してください。For more information, see Application Gateway infrastructure configuration.

Application Gateway は x-forwarded-for ヘッダーをサポートしますか?Does Application Gateway support x-forwarded-for headers?

はい。Yes. 要求への変更」を参照してください。See Modifications to a request.

アプリケーション ゲートウェイのデプロイにはどのくらい時間がかかりますか?How long does it take to deploy an application gateway? アプリケーション ゲートウェイは更新中にも動作しますか?Will my application gateway work while it's being updated?

新しい Application Gateway v1 SKU のデプロイでは、プロビジョニングに最大 20 分かかります。New Application Gateway v1 SKU deployments can take up to 20 minutes to provision. インスタンスのサイズまたは数を変更しても中断が発生することはありません。ゲートウェイはその間もアクティブな状態が続きます。Changes to instance size or count aren't disruptive, and the gateway remains active during this time.

v2 SKU を使用するデプロイのほとんどは、プロビジョニングに 6 分ほどかかります。Most deployments that use the v2 SKU take around 6 minutes to provision. ただし、デプロイの種類によっては、それよりも時間がかかることがあります。However it can take longer depending on the type of deployment. たとえば、多数のインスタンスを持つ複数の可用性ゾーン全体にわたるデプロイには、6 分以上かかることがあります。For example, deployments across multiple Availability Zones with many instances can take more than 6 minutes.

Application Gateway で Exchange Server をバックエンドとして使用することはできますか?Can I use Exchange Server as a backend with Application Gateway?

いいえ。No. Application Gateway は SMTP、IMAP、POP3 などの電子メール プロトコルをサポートしていません。Application Gateway doesn't support email protocols such as SMTP, IMAP, and POP3.

v1 SKU から v2 SKU への移行に使用できるガイダンスはありますか。Is there guidance available to migrate from the v1 SKU to the v2 SKU?

はい。Yes. 詳しくは、「Migrate Azure Application Gateway and Web Application Firewall from v1 to v2 (Azure Application Gateway と Web アプリケーション ファイアウォールを v1 から v2 に移行する)」をご覧ください。For details see, Migrate Azure Application Gateway and Web Application Firewall from v1 to v2.

Application Gateway v1 SKU は引き続きサポートされますか?Will the Application Gateway v1 SKU continue to be supported?

はい。Yes. Application Gateway v1 SKU は引き続きサポートされます。The Application Gateway v1 SKU will continue to be supported. ただし、その SKU で行われた機能の更新を利用するために、v2 に移行することを強くお勧めします。However, it is strongly recommended that you move to v2 to take advantage of the feature updates in that SKU. 詳細については、「自動スケーリングとゾーン冗長 Application Gateway v2」を参照してください。For more information, see Autoscaling and Zone-redundant Application Gateway v2.

Application Gateway v2 では、NTLM 認証を使用したプロキシ要求をサポートしていますか?Does Application Gateway V2 support proxying requests with NTLM authentication?

いいえ。No. Application Gateway v2 では、NTLM 認証を使用したプロキシ要求をまだサポートしていません。Application Gateway V2 doesn't support proxying requests with NTLM authentication yet.

はい。Chromium ブラウザー v80 の更新 で、SameSite 属性のない HTTP Cookie を SameSite=Lax として扱うことが必須になりました。Yes, the Chromium browser v80 update introduced a mandate on HTTP cookies without SameSite attribute to be treated as SameSite=Lax. これは、サードパーティのコンテキストでは、Application Gateway アフィニティ Cookie がブラウザーによって送信されないことを意味します。This means that the Application Gateway affinity cookie won't be sent by the browser in a third-party context.

このシナリオをサポートするために、Application Gateway では、既存の ApplicationGatewayAffinity Cookie に加えて、ApplicationGatewayAffinityCORS という別の同一の Cookie が挿入されます。To support this scenario, Application Gateway injects another cookie called ApplicationGatewayAffinityCORS in addition to the existing ApplicationGatewayAffinity cookie. これらの Cookie は似ていますが、ApplicationGatewayAffinityCORS Cookie には、次の 2 つの属性が追加されています。SameSite=None; Secure です。These cookies are similar, but the ApplicationGatewayAffinityCORS cookie has two more attributes added to it: SameSite=None; Secure. これらの属性は、クロスオリジン要求でも固定セッションを維持します。These attributes maintain sticky sessions even for cross-origin requests. 詳細については、「Cookie ベースのアフィニティ」セクションを参照してください。See the cookie based affinity section for more information.


Application Gateway は高可用性とスケーラビリティをどのようにサポートしますか?How does Application Gateway support high availability and scalability?

2 つ以上のインスタンスをデプロイすると、Application Gateway v1 SKU が高可用性のシナリオをサポートします。The Application Gateway v1 SKU supports high-availability scenarios when you've deployed two or more instances. Azure は、これらのインスタンスを更新ドメインと障害ドメインに分散させ、全インスタンスで同時に障害が発生しないようにします。Azure distributes these instances across update and fault domains to ensure that instances don't all fail at the same time. v1 SKU では、同じゲートウェイの複数のインスタンスを追加して負荷を共有することによってスケーラビリティをサポートします。The v1 SKU supports scalability by adding multiple instances of the same gateway to share the load.

v2 SKU では、新しいインスタンスが障害ドメインと更新ドメインに自動的に分散されるようにします。The v2 SKU automatically ensures that new instances are spread across fault domains and update domains. ゾーン冗長を選択した場合は、ゾーン障害回復性を提供するために、最新のインスタンスが可用性ゾーンにも分散されます。If you choose zone redundancy, the newest instances are also spread across availability zones to offer zonal failure resiliency.

Application Gateway を使用してデータ センターの垣根を越えた DR のシナリオを実現するにはどうすればよいですか?How do I achieve a DR scenario across datacenters by using Application Gateway?

Traffic Manager を使用すると、異なるデータ センターにある複数のアプリケーション ゲートウェイにトラフィックを分散できます。Use Traffic Manager to distribute traffic across multiple application gateways in different datacenters.

Application Gateway は自動スケーリングをサポートしていますか?Does Application Gateway support autoscaling?

はい、Application Gateway v2 SKU では、自動スケールをサポートします。Yes, the Application Gateway v2 SKU supports autoscaling. 詳しくは、「自動スケーリングとゾーン冗長 Application Gateway」を参照してください。For more information, see Autoscaling and Zone-redundant Application Gateway.

手動または自動のスケールアップまたはスケールダウンによってダウンタイムは発生しますか?Does manual or automatic scale up or scale down cause downtime?

いいえ。No. インスタンスはアップグレード ドメインと障害ドメインに分散されます。Instances are distributed across upgrade domains and fault domains.

Application Gateway は接続のドレインに対応していますか?Does Application Gateway support connection draining?

はい。Yes. 中断を発生させることなくバックエンド プール内のメンバーを変更するように接続のドレインを設定できます。You can set up connection draining to change members within a backend pool without disruption. 詳細については、Application Gateway の「接続のドレイン」セクションを参照してください。For more information, see connection draining section of Application Gateway.

インスタンスを中断せずにサイズを中から大に変更できますか?Can I change instance size from medium to large without disruption?



Application Gateway は常に仮想ネットワークにデプロイされますか?Is Application Gateway always deployed in a virtual network?

はい。Yes. Application Gateway は、必ず仮想ネットワーク サブネットにデプロイされます。Application Gateway is always deployed in a virtual network subnet. このサブネットにはアプリケーション ゲートウェイのみを含めることができます。This subnet can contain only application gateways. 詳細については、仮想ネットワークとサブネットの要件に関するセクションを参照してください。For more information, see virtual network and subnet requirements.

Application Gateway は、所属している仮想ネットワークやサブスクリプションの外部にあるインスタンスと通信できますか?Can Application Gateway communicate with instances outside of its virtual network or outside of its subscription?

Application Gateway は、IP 接続がある限り、所属している仮想ネットワークの外部にあるインスタンスと通信できます。As long as you have IP connectivity, Application Gateway can communicate with instances outside of the virtual network that it's in. Application Gateway は、所属しているサブスクリプションの外部にあるインスタンスとも通信できます。Application Gateway can also communicate with instances outside of the subscription it's in. バックエンド プール メンバーとして内部 IP を使用する予定の場合には、仮想ネットワーク ピアリングまたは Azure VPN Gateway を使用してください。If you plan to use internal IPs as backend pool members, use virtual network peering or Azure VPN Gateway.

アプリケーション ゲートウェイ サブネット内に何か他にデプロイできるものはありますか?Can I deploy anything else in the application gateway subnet?

いいえ。No. もっとも、サブネット内に他のアプリケーション ゲートウェイをデプロイすることはできます。But you can deploy other application gateways in the subnet.

アプリケーション ゲートウェイ サブネットでネットワーク セキュリティ グループはサポートされていますか?Are network security groups supported on the application gateway subnet?

アプリケーション ゲートウェイ サブネット内のネットワーク セキュリティ グループに関するセクションを参照してください。See Network security groups in the Application Gateway subnet.

アプリケーション ゲートウェイ サブネットはユーザー定義ルートをサポートしていますか?Does the application gateway subnet support user-defined routes?

アプリケーション ゲートウェイ サブネットでサポートされるユーザー定義ルート」を参照してください。See User-defined routes supported in the Application Gateway subnet.

サービス エンドポイント ポリシーは Application Gateway サブネットでサポートされていますか。Are service endpoint policies supported in the Application Gateway subnet?

いいえ。No. ストレージ アカウントのサービス エンドポイント ポリシーは Application Gateway サブネットではサポートされていません。構成すると、Azure インフラストラクチャのトラフィックがブロックされます。Service endpoint policies for storage accounts are not supported in Application Gateway subnet and configuring it will block Azure infrastructure traffic.

Application Gateway にはどのような制限がありますか?What are the limits on Application Gateway? これらの制限値を引き上げることはできますか?Can I increase these limits?

Application Gateway の制限」を参照してください。See Application Gateway limits.

Application Gateway を外部と内部の両方のトラフィックに同時に使用することはできますか?Can I simultaneously use Application Gateway for both external and internal traffic?

はい。Yes. Application Gateway では、アプリケーション ゲートウェイごとに内部 IP と外部 IP を 1 つずつサポートできます。Application Gateway supports one internal IP and one external IP per application gateway.

Application Gateway は仮想ネットワークのピアリングをサポートしていますか?Does Application Gateway support virtual network peering?

はい。Yes. 仮想ネットワークのピアリングは、他の仮想ネットワークにおけるトラフィックの負荷分散に役立ちます。Virtual network peering helps load-balance traffic in other virtual networks.

ExpressRoute または VPN トンネルにより接続されているオンプレミスのサーバーと通信することはできますか?Can I talk to on-premises servers when they're connected by ExpressRoute or VPN tunnels?

はい。トラフィックが許可されている限り、通信可能です。Yes, as long as traffic is allowed.

1 つのバックエンド プールで異なるポートを使用し、多数のアプリケーションにサービスを提供することはできますか?Can one backend pool serve many applications on different ports?

マイクロサービス アーキテクチャがサポートされています。Microservice architecture is supported. 異なる複数のポートを対象にプローブを実行するには、複数の HTTP 設定を構成する必要があります。To probe on different ports, you need to configure multiple HTTP settings.

カスタム プローブは応答データ上のワイルドカードや正規表現をサポートしていますか?Do custom probes support wildcards or regex on response data?


Application Gateway ではルーティング規則がどのように処理されるのでしょうか?How are routing rules processed in Application Gateway?

規則を処理する順序」を参照してください。See Order of processing rules.

カスタム プローブの [ホスト] フィールドは何を表しているのでしょうか?For custom probes, what does the Host field signify?

Application Gateway 上でマルチサイトを構成した場合には、[ホスト] フィールドにプローブの送信先の名前を指定します。The Host field specifies the name to send the probe to when you've configured multisite on Application Gateway. それ以外の場合には、"" を使用します。Otherwise use ''. この値は、仮想マシンのホスト名とは異なります。This value is different from the virtual machine host name. 形式は <protocol>://<host>:<port><path>です。Its format is <protocol>://<host>:<port><path>.

Application Gateway に対するアクセスを少数のソース IP アドレスだけに限定することはできますか?Can I allow Application Gateway access to only a few source IP addresses?

はい。Yes. アクセスを特定のソース IP だけに限定する方法に関するセクションを参照してください。See restrict access to specific source IPs.

パブリック側のリスナーとプライベート側のリスナーの両方に同じポートを使用することはできますか?Can I use the same port for both public-facing and private-facing listeners?


Application Gateway は IPv6 をサポートしていますか?Does Application Gateway support IPv6?

現在、Application Gateway v2 は IPv6 をサポートしていません。Application Gateway v2 does not currently support IPv6. IPv4 のみを使用してデュアル スタック VNet で動作できますが、ゲートウェイ サブネットは IPv4 のみである必要があります。It can operate in a dual stack VNet using only IPv4, but the gateway subnet must be IPv4-only. Application Gateway v1 は、デュアル スタック VNet をサポートしていません。Application Gateway v1 does not support dual stack VNets.

プライベート フロントエンド IP アドレスのみで Application Gateway V2 を使用するにはどうすればよいですか?How do I use Application Gateway V2 with only private frontend IP address?

現在、Application Gateway V2 はプライベート IP モードのみをサポートしていません。Application Gateway V2 currently does not support only private IP mode. 次の組み合わせをサポートしています。It supports the following combinations

  • プライベート IP とパブリック IPPrivate IP and Public IP
  • パブリック IP のみPublic IP only

ただし、プライベート IP のみで Application Gateway V2 を使用する場合は、次の手順に従うことができます。But if you'd like to use Application Gateway V2 with only private IP, you can follow the process below:

  1. パブリックとプライベートの両方のフロントエンド IP アドレスを使用して Application Gateway を作成するCreate an Application Gateway with both public and private frontend IP address

  2. パブリック フロントエンド IP アドレスのリスナーは作成しないでください。Do not create any listeners for the public frontend IP address. リスナーが作成されていない場合、Application Gateway ではパブリック IP アドレスのトラフィックがリッスンされません。Application Gateway will not listen to any traffic on the public IP address if no listeners are created for it.

  3. Application Gateway サブネットのネットワーク セキュリティ グループを作成し、次の構成を使用して優先度順にアタッチします。Create and attach a Network Security Group for the Application Gateway subnet with the following configuration in the order of priority:

    a.a. [ソース] には GatewayManager サービス タグ、[宛先] には [すべて] 、[宛先のポート] には 65200-65535 を指定してトラフィックを許可します。Allow traffic from Source as GatewayManager service tag and Destination as Any and Destination port as 65200-65535. このポート範囲は、Azure インフラストラクチャの通信に必要です。This port range is required for Azure infrastructure communication. これらのポートは、証明書の認証によって保護 (ロック ダウン) されます。These ports are protected (locked down) by certificate authentication. ゲートウェイ ユーザー管理者を含む外部エンティティは、適切な証明書が配置されていないと、このようなエンドポイントに対する変更を開始できません。External entities, including the Gateway user administrators, can't initiate changes on those endpoints without appropriate certificates in place

    b.b. [ソース] には AzureLoadBalancer サービスタグ、[宛先] と [宛先のポート] には [すべて] を指定してトラフィックを許可します。Allow traffic from Source as AzureLoadBalancer service tag and Destination and destination port as Any

    c.c. [ソース] には Internet サービス タグ、[宛先] と [宛先のポート] には [すべて] を指定して受信トラフィックを拒否します。Deny all inbound traffic from Source as Internet service tag and Destination and destination port as Any. この規則には、受信規則で最小の優先順位を指定します。Give this rule the least priority in the inbound rules

    d.d. プライベート IP アドレスへのアクセスがブロックされないように、VirtualNetwork の受信を許可するなどの既定の規則をそのまま使用します。Keep the default rules like allowing VirtualNetwork inbound so that the access on private IP address is not blocked

    e.e. 送信インターネット接続はブロックできません。Outbound internet connectivity can't be blocked. そうしないと、ログ記録やメトリックなどの問題が発生します。Otherwise, you will face issues with logging, metrics, etc.

プライベート IP のみのアクセスの NSG 構成の例:プライベート IP アクセスのみの Application Gateway V2 NSG 構成Sample NSG configuration for private IP only access: Application Gateway V2 NSG Configuration for private IP access only

構成 - TLSConfiguration - TLS

Application Gateway はどのような証明書をサポートしていますか?What certificates does Application Gateway support?

Application Gateway は、自己署名証明書、証明機関 (CA) の証明書、Extended Validation (EV) 証明書、複数ドメイン (SAN) 証明書、ワイルドカード証明書をサポートしています。Application Gateway supports self-signed certificates, certificate authority (CA) certificates, Extended Validation (EV) certificates, multi-domain (SAN) certificates, and wildcard certificates.

Application Gateway はどのような暗号スイートをサポートしていますか?What cipher suites does Application Gateway support?

Application Gateway は、次の暗号スイートをサポートしています。Application Gateway supports the following cipher suites.


TLS オプションのカスタマイズ方法については、「Application Gateway で SSL ポリシーのバージョンと暗号スイートを構成する」を参照してください。For information on how to customize TLS options, see Configure TLS policy versions and cipher suites on Application Gateway.

Application Gateway はバックエンドへのトラフィックの再暗号化をサポートしていますか?Does Application Gateway support reencryption of traffic to the backend?

はい。Yes. Application Gateway は TLS オフロードとエンド ツー エンド TLS をサポートしており、バックエンドへのトラフィックが再暗号化されます。Application Gateway supports TLS offload and end-to-end TLS, which reencrypt traffic to the backend.

TLS プロトコルのバージョンを制御するように TLS ポリシーを構成できますか?Can I configure TLS policy to control TLS protocol versions?

はい。Yes. Application Gateway を構成して、TLS1.0、TLS1.1、TLS1.2 を拒否することができます。You can configure Application Gateway to deny TLS1.0, TLS1.1, and TLS1.2. SSL 2.0 および 3.0 は既定で無効になっているため、構成できません。By default, SSL 2.0 and 3.0 are already disabled and aren't configurable.

暗号スイートおよびポリシーの順序は構成できますか?Can I configure cipher suites and policy order?

はい。Yes. Application Gateway では、暗号スイートを構成できます。In Application Gateway, you can configure cipher suites. カスタム ポリシーを定義するためには、次の暗号スイートのうち少なくとも 1 つを有効にする必要があります。To define a custom policy, enable at least one of the following cipher suites.


Application Gateway では、バックエンドの管理に SHA256 を使用しています。Application Gateway uses SHA256 to for backend management.

Application Gateway は、TLS または SSL 証明書をいくつサポートしていますか?How many TLS/SSL certificates does Application Gateway support?

Application Gateway は、TLS または SSL 証明書を 100 件までサポートしています。Application Gateway supports up to 100 TLS/SSL certificates.

Application Gateway は、バックエンドの再暗号化用の認証証明書をいくつサポートしていますか?How many authentication certificates for backend reencryption does Application Gateway support?

Application Gateway は、認証証明書を 100 件までサポートしています。Application Gateway supports up to 100 authentication certificates.

Application Gateway は Azure Key Vault とネイティブに統合されていますか?Does Application Gateway natively integrate with Azure Key Vault?

はい、Application Gateway v2 SKU では、Key Vault をサポートします。Yes, the Application Gateway v2 SKU supports Key Vault. 詳細については、「Key Vault 証明書での SSL 終了」を参照してください。For more information, see TLS termination with Key Vault certificates.

.com と .net のサイトの HTTPS リスナーはどのように構成するのでしょうか?How do I configure HTTPS listeners for .com and .net sites?

複数ドメインベース (ホストベース) のルーティングでは、マルチサイト リスナーを作成し、プロトコルとして HTTPS を使用するリスナーを設定してから、リスナーとルーティング規則を関連付けます。For multiple domain-based (host-based) routing, you can create multisite listeners, set up listeners that use HTTPS as the protocol, and associate the listeners with the routing rules. 詳細については、Application Gateway を使用した複数サイトのホスティングに関するページを参照してください。For more information, see Hosting multiple sites by using Application Gateway.

.pfx ファイルのパスワードに特殊文字を使用できますか?Can I use special characters in my .pfx file password?

いいえ、.pfx ファイルのパスワードには英数字のみを使用してください。No, use only alphanumeric characters in your .pfx file password.

EV 証明書は DigiCert によって発行され、中間証明書は失効しています。My EV certificate is issued by DigiCert and my intermediate certificate has been revoked. Application Gateway で証明書を更新するには、どうすればよいですか?How do I renew my certificate on Application Gateway?

証明機関 (CA) ブラウザーのメンバーが最近公開したレポートでは、お客様、Microsoft、大規模のテクノロジ コミュニティが使用する CA ベンダーが発行している、公的に信頼されている CA の業界標準に準拠していない複数の証明書について詳しく説明しています。Certificate Authority (CA) Browser members recently published reports detailing multiple certificates issued by CA vendors that are used by our customers, Microsoft, and the greater technology community that were out of compliance with industry standards for publicly trusted CAs. 準拠していない CA に関するレポートは、こちらで確認できます。 The reports regarding the non-compliant CAs can be found here:

業界のコンプライアンス要件に従って、CA ベンダーは非準拠の CA の失効と準拠 CA の発行を開始しました。お客様の証明書を再発行する必要があります。As per the industry’s compliance requirements, CA vendors began revoking non-compliant CAs and issuing compliant CAs which requires customers to have their certificates re-issued. Microsoft は、Azure サービスへの潜在的な影響を最小限に抑えるために、これらのベンダーと密接に連携しています。**ただし、BYOC ("Bring Your Own Certificate") シナリオで使用される証明書は、今もなお予期せずに失効するリスクがあります。** Microsoft is partnering closely with these vendors to minimize the potential impact to Azure Services, *however your self-issued certificates or certificates used in “Bring Your Own Certificate” (BYOC) scenarios are still at risk of being unexpectedly revoked*.

アプリケーションによって使用されている証明書が失効しているかどうかを確認するには、DigiCert の発表Certificate Revocation Tracker を参照してください。To check if certificates utilized by your application have been revoked reference DigiCert’s Announcement and the Certificate Revocation Tracker. 証明書が失効している場合、または失効する場合は、アプリケーションで使用されている CA ベンダーから新しい証明書を要求する必要があります。If your certificates have been revoked, or will be revoked, you will need to request new certificates from the CA vendor utilized in your applications. 証明書が予期せず失効していることが原因でアプリケーションの可用性が中断されないようにする場合、または失効した証明書を更新する場合は、BYOC をサポートするさまざまな Azure サービスの修復リンクについて、Azure の最新情報に関する投稿を参照してください。 avoid your application’s availability being interrupted due to certificates being unexpectedly revoked, or to update a certificate which has been revoked, please refer to our Azure updates post for remediation links of various Azure services that support BYOC:

Application Gateway 固有の情報については、以下を参照してください。For Application Gateway specific information, see below -

失効した ICA のいずれかによって発行された証明書を使用している場合、アプリケーションの可用性が中断し、アプリケーションによっては、次のようなさまざまなエラーメッセージが表示されることがあります。If you are using a certificate issued by one of the revoked ICAs, your application’s availability might be interrupted and depending on your application, you may receive a variety of error messages including but not limited to:

  1. 無効な証明書/失効した証明書Invalid certificate/revoked certificate
  2. 接続がタイムアウトしましたConnection timed out
  3. HTTP 502HTTP 502

この問題によってアプリケーションが中断されないようにする、または失効した CA を再発行するには、次の操作を行う必要があります。To avoid any interruption to your application due to this issue, or to re-issue a CA which has been revoked, you need to take the following actions:

  1. 証明書を再発行する方法については、証明書プロバイダーに問い合わせてくださいContact your certificate provider on how to re-issue your certificates
  2. 再発行後、完全な信頼チェーン (リーフ、中間、ルート証明書) を使用して、Azure Application Gateway/WAF で証明書を更新します。Once reissued, update your certificates on the Azure Application Gateway/WAF with the complete chain of trust (leaf, intermediate, root certificate). 証明書を使用している場所に基づいて、Application Gateway のリスナーまたは HTTP 設定で、次の手順に従って証明書を更新します。詳細については、記載されているドキュメントのリンクを確認してください。Based on where you are using your certificate, either on the listener or the HTTP settings of the Application Gateway, follow the steps below to update the certificates and check the documentation links mentioned for more information.
  3. 再発行された証明書を使用するようにバックエンド アプリケーション サーバーを更新します。Update your backend application servers to use the re-issued certificate. 使用しているバックエンド サーバーによっては、証明書の更新手順が異なる場合があります。Depending on the backend server that you are using, your certificate update steps may vary. ベンダーからのドキュメントを確認してください。Please check for the documentation from your vendor.

リスナーで証明書を更新するには、次の操作を行います。To update the certificate in your listener:

  1. Azure Portal で、Application Gateway リソースを開きます。In the Azure portal, open your Application Gateway resource
  2. 証明書に関連付けられているリスナー設定を開きます。Open the listener settings that’s associated with your certificate
  3. [選択した証明書の更新または編集] をクリックします。Click “Renew or edit selected certificate”
  4. 新しい PFX 証明書をパスワード付きでアップロードし、[保存] をクリックします。Upload your new PFX certificate with the password and click Save
  5. Web サイトにアクセスして、サイトが想定どおりに動作しているかどうかを確認します。詳細については、こちらのドキュメントを参照してください。Access the website and verify if the site is working as expected For more information, check documentation here.

Application Gateway リスナーで Azure KeyVault からの証明書を参照している場合は、次の手順に従って簡単な変更を行うことをお勧めします。If you are referencing certificates from Azure KeyVault in your Application Gateway listener, we recommend the following the steps for a quick change –

  1. Azure portal で、Application Gateway に関連付けられている Azure KeyVault の設定に移動します。In the Azure portal, navigate to your Azure KeyVault settings which has been associated with the Application Gateway
  2. 再発行された証明書をストアに追加またはインポートします。Add/import the reissued certificate in your store. 詳しくは、こちらのドキュメントをご覧くださいSee documentation here for more information on how-to.
  3. 証明書がインポートされたら、Application Gateway リスナー設定に移動し、[キー コンテナーから証明書を選択する] で [証明書] ドロップダウンをクリックし、最近追加した証明書を選択します。Once the certificate has been imported, navigate to your Application Gateway listener settings and under “Choose a certificate from Key Vault”, click on the “Certificate” drop down and choose the recently added certificate
  4. [保存] をクリックします。キー コンテナー証明書による Application Gateway での TLS 終端の詳細については、こちらのドキュメントを参照してください。Click Save For more information on TLS termination on Application Gateway with Key Vault certificates, check documentation here.

HTTP 設定で証明書を更新するには、次の操作を行います。To update the certificate in your HTTP Settings:

Application Gateway/WAF サービスの V1 SKU を使用している場合は、バックエンド認証証明書として新しい証明書をアップロードする必要があります。If you are using V1 SKU of the Application Gateway/WAF service, then you would have to upload the new certificate as your backend authentication certificate.

  1. Azure Portal で、Application Gateway リソースを開きます。In the Azure portal, open your Application Gateway resource
  2. 証明書に関連付けられている HTTP 設定を開きます。Open the HTTP settings that’s associated with your certificate
  3. [証明書の追加] をクリックして、再発行された証明書をアップロードし、[保存] をクリックします。Click on “Add certificate” and upload the reissued certificate and click save
  4. 後で古い証明書を削除できます。[...]You can remove the old certificate later by clicking on the “…” [オプション] ボタン (古い証明書の横にある) をクリックし、[削除] を選択して [保存] をクリックします。options button next to the old certificate and select delete and click save. 詳細については、こちらのドキュメントを参照してください。For more information, check documentation here.

Application Gateway/WAF サービスの V2 SKU を使用している場合、HTTP 設定で新しい証明書をアップロードする必要はありません。V2 SKU では "信頼されたルート証明書" が使用され、ここでアクションを実行する必要がないためです。If you are using the V2 SKU of the Application Gateway/WAF service, you don’t have to upload the new certificate in the HTTP settings since V2 SKU uses “trusted root certificates” and no action needs to be taken here.

構成 - AKS のイングレス コントローラーConfiguration - ingress controller for AKS

イングレス コントローラーとは何ですか?What is an Ingress Controller?

Kubernetes を使用すると、deployment リソースおよび service リソースを作成して、クラスター内のポッドのグループを内部で公開できます。Kubernetes allows creation of deployment and service resource to expose a group of pods internally in the cluster. 同じサービスを外部で公開するには、Ingress リソースを定義します。これは、負荷分散、TLS 終端、および名前ベースの仮想ホスティングを提供します。To expose the same service externally, an Ingress resource is defined which provides load balancing, TLS termination and name-based virtual hosting. この Ingress リソースを満たすには、Ingress リソースの変更をリスンし、ロード バランサー ポリシーを構成するイングレス コントローラーが必要です。To satisfy this Ingress resource, an Ingress Controller is required which listens for any changes to Ingress resources and configures the load balancer policies.

Application Gateway イングレス コントローラー (AGIC) を使用すると、AKS クラスターとも呼ばれる Azure Kubernetes Service に対するイングレスとして Azure Application Gateway を使用できます。The Application Gateway Ingress Controller (AGIC) allows Azure Application Gateway to be used as the ingress for an Azure Kubernetes Service also known as an AKS cluster.

イングレス コントローラーの単一のインスタンスで複数の Application Gateway を管理できますか?Can a single ingress controller instance manage multiple Application Gateways?

現在、イングレス コントローラーの 1 つのインスタンスは、1 つの Application Gateway にのみ関連付けることができます。Currently, one instance of Ingress Controller can only be associated to one Application Gateway.

AKS クラスターと kubenet が AGIC で機能しないのはなぜですか?Why is my AKS cluster with kubenet not working with AGIC?

AGIC はルート テーブル リソースを Application Gateway サブネットに自動的に関連付けようとしますが、AGIC からのアクセス許可がないため、関連付けに失敗する場合があります。AGIC tries to automatically associate the route table resource to the Application Gateway subnet but may fail to do so due to lack of permissions from the AGIC. AGIC がルート テーブルを Application Gateway サブネットに関連付けることができない場合、そのことを示すエラーが AGIC ログに記録されます。その場合、AKS クラスターによって作成されたルート テーブルを Application Gateway のサブネットに手動で関連付ける必要があります。If AGIC is unable to associate the route table to the Application Gateway subnet, there will be an error in the AGIC logs saying so, in which case you'll have to manually associate the route table created by the AKS cluster to the Application Gateway's subnet. 詳細については、「サポートされているユーザー定義のルート」を参照してください。For more information, see Supported user-defined routes.

AKS クラスターと Application Gateway を別々の仮想ネットワークに接続できますか?Can I connect my AKS cluster and Application Gateway in separate virtual networks?

はい。ただし、仮想ネットワークがピアリングされていて、アドレス空間が重複していないことが条件です。Yes, as long as the virtual networks are peered and they don't have overlapping address spaces. kubenet と共に AKS を実行している場合は必ず、AKS によって生成されたルート テーブルを Application Gateway サブネットに関連付けてください。If you're running AKS with kubenet, then be sure to associate the route table generated by AKS to the Application Gateway subnet.

AGIC アドオンでサポートされていない機能は何ですか?What features are not supported on the AGIC add-on?

Helm 経由でデプロイされる AGIC と、AKS アドオンとしてデプロイされる AGIC の違いについて、こちらを参照してください。Please see the differences between AGIC deployed through Helm versus deployed as an AKS add-on here

アドオンと Helm デプロイのどちらを使用すればよいですか?When should I use the add-on versus the Helm deployment?

Helm 経由でデプロイされる AGIC と、AKS アドオンとしてデプロイされる AGIC の違いについて、こちらを参照してください。特に、AKS アドオンではなく Helm 経由でデプロイされる AGIC でサポートされているシナリオについて説明した表を参照してください。Please see the differences between AGIC deployed through Helm versus deployed as an AKS add-on here, especially the tables documenting which scenario(s) are supported by AGIC deployed through Helm as opposed to an AKS add-on. 一般に、Helm 経由でデプロイすると、正式リリースよりも前にベータ機能とリリース候補をテストできます。In general, deploying through Helm will allow you to test out beta features and release candidates before an official release.

どのバージョンの AGIC がアドオンでデプロイされるかを制御できますか?Can I control which version of AGIC will be deployed with the add-on?

いいえ。AGIC アドオンはマネージド サービスであり、アドオンは Microsoft によって自動的に最新の安定バージョンに更新されます。No, AGIC add-on is a managed service which means Microsoft will automatically update the add-on to the latest stable version.

診断とログ記録Diagnostics and logging

Application Gateway ではどのような種類のログを利用できますか?What types of logs does Application Gateway provide?

Application Gateway では、次の 3 つのログを利用できます。Application Gateway provides three logs:

  • ApplicationGatewayAccessLog:このアクセス ログには、アプリケーション ゲートウェイ フロントエンドに送信された要求がそれぞれ記録されます。ApplicationGatewayAccessLog: The access log contains each request submitted to the application gateway frontend. データには、呼び出し元の IP、要求された URL、応答の待ち時間、リターン コード、入出力バイトが含まれます。アプリケーション ゲートウェイ 1 つごとに 1 つのレコードが含まれます。The data includes the caller's IP, URL requested, response latency, return code, and bytes in and out. It contains one record per application gateway.
  • ApplicationGatewayPerformanceLog:このパフォーマンス ログには、各アプリケーション ゲートウェイのパフォーマンスが記録されます。ApplicationGatewayPerformanceLog: The performance log captures performance information for each application gateway. 情報には、バイト単位のスループット、処理された要求の総数、失敗した要求の数、正常および異常なバックエンド インスタンスの数などが含まれます。Information includes the throughput in bytes, total requests served, failed request count, and healthy and unhealthy backend instance count.
  • ApplicationGatewayFirewallLog:このファイアウォール ログには、WAF を構成してあるアプリケーション ゲートウェイについて、検出モードまたは防止モードを通じてログが作成された要求が記録されます。ApplicationGatewayFirewallLog: For application gateways that you configure with WAF, the firewall log contains requests that are logged through either detection mode or prevention mode.

すべてのログが 60 秒ごとに収集されます。All logs are collected every 60 seconds. 詳細については、「Application Gateway のバックエンドの正常性、診断ログ、およびメトリック」を参照してください。For more information, see Backend health, diagnostics logs, and metrics for Application Gateway.

バックエンド プールのメンバーが正常かどうかを確認するにはどうすればよいですか?How do I know if my backend pool members are healthy?

PowerShell コマンドレット Get-AzApplicationGatewayBackendHealth とポータルのいずれかを使用することによって、正常性を確認できます。Verify health by using the PowerShell cmdlet Get-AzApplicationGatewayBackendHealth or the portal. 詳細については、Application Gateway の診断に関するトピックを参照してください。For more information, see Application Gateway diagnostics.

診断ログのアイテム保持ポリシーとは何ですか?What's the retention policy for the diagnostic logs?

お客様のストレージ アカウントには、診断ログが送られます。Diagnostic logs flow to the customer's storage account. お客様は、自身の好みに応じてアイテム保持ポリシーを設定できます。Customers can set the retention policy based on their preference. 診断ログは、イベント ハブまたは Azure Monitor ログに送信することもできます。Diagnostic logs can also be sent to an event hub or Azure Monitor logs. 詳細については、Application Gateway の診断に関するトピックを参照してください。For more information, see Application Gateway diagnostics.

Application Gateway の監査ログを取得するにはどうすればよいですか?How do I get audit logs for Application Gateway?

ポータル内で、アプリケーション ゲートウェイのメニュー ブレードにある [アクティビティ ログ] を選択すると、監査ログにアクセスできます。In the portal, on the menu blade of an application gateway, select Activity Log to access the audit log.

Application Gateway でアラートを設定できますか?Can I set alerts with Application Gateway?

はい。Yes. Application Gateway では、メトリックに基づいてアラートを構成します。In Application Gateway, alerts are configured on metrics. 詳細については、Application Gateway のメトリックに関するセクションと、アラート通知の受信に関するページを参照してください。For more information, see Application Gateway metrics and Receive alert notifications.

Application Gateway のトラフィック統計情報を分析するにはどうすればよいですか?How do I analyze traffic statistics for Application Gateway?

アクセス ログを確認および分析する方法はいくつかあります。You can view and analyze access logs in several ways. Azure Monitor ログ、Excel、Power BI などを使用してください。Use Azure Monitor logs, Excel, Power BI, and so on.

このほか、Application Gateway のアクセス ログに対応した人気のログ アナライザー GoAccess をインストールして実行する Resource Manager テンプレートも利用できます。You can also use a Resource Manager template that installs and runs the popular GoAccess log analyzer for Application Gateway access logs. GoAccess では、ユニーク ビジター、要求されたファイル、ホスト、オペレーティング システム、ブラウザー、HTTP 状態コードなど、有益な HTTP トラフィック統計情報を確認できます。GoAccess provides valuable HTTP traffic statistics such as unique visitors, requested files, hosts, operating systems, browsers, and HTTP status codes. 詳細については、GitHub の Resource Manager テンプレート フォルダーにある Readme ファイルを参照してください。For more information, in GitHub, see the Readme file in the Resource Manager template folder.

バックエンドの正常性として不明な状態が返されるのですが、どのような原因が考えられますか?What could cause backend health to return an unknown status?

不明な状態が返されるのは通常、アプリケーション ゲートウェイ サブネット上でネットワーク セキュリティ グループ (NSG)、カスタム DNS、またはユーザー定義ルーティング (UDR) により、バックエンドに対するアクセスがブロックされているときです。Usually, you see an unknown status when access to the backend is blocked by a network security group (NSG), custom DNS, or user-defined routing (UDR) on the application gateway subnet. 詳細については、Application Gateway のバックエンドの正常性、診断ログ、およびメトリックに関するページを参照してください。For more information, see Backend health, diagnostics logging, and metrics for Application Gateway.

許可されているトラフィックが NSG フロー ログに表示されない場合がありますか?Is there any case where NSG flow logs won't show allowed traffic?

はい。Yes. 構成が次のシナリオに一致する場合は、許可されているトラフィックが NSG フロー ログに表示されません。If your configuration matches following scenario, you won't see allowed traffic in your NSG flow logs:

  • Application Gateway v2 をデプロイしたYou've deployed Application Gateway v2
  • アプリケーション ゲートウェイ サブネットに NSG があるYou have an NSG on the application gateway subnet
  • その NSG 上で NSG フロー ログを有効にしたYou've enabled NSG flow logs on that NSG

次のステップNext steps

Application Gateway の詳細については、「Azure Application Gateway とは」を参照してください。To learn more about Application Gateway, see What is Azure Application Gateway?.