Application Gateway に関してよく寄せられる質問Frequently asked questions about Application Gateway

注意

この記事は、新しい Azure PowerShell Az モジュールを使用するために更新されました。This article has been updated to use the new Azure PowerShell Az module. AzureRM モジュールはまだ使用でき、少なくとも 2020 年 12 月までは引き続きバグ修正が行われます。You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Az モジュールと AzureRM の互換性の詳細については、「Introducing the new Azure PowerShell Az module (新しい Azure PowerShell Az モジュールの概要)」を参照してください。To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Az モジュールのインストール手順については、Azure PowerShell のインストールを参照してください。For Az module installation instructions, see Install Azure PowerShell.

Azure Application Gateway に関して寄せられた一般的な質問を以下に示します。The following are common questions asked about Azure Application Gateway.

全般General

Application Gateway とはWhat is Application Gateway?

Azure Application Gateway は、アプリケーション デリバリー コントローラー (ADC) をサービスとして提供します。Azure Application Gateway provides an application delivery controller (ADC) as a service. お客様のアプリケーションで、さまざまなレイヤー 7 負荷分散機能を利用できます。It offers various layer 7 load-balancing capabilities for your applications. このサービスは、Azure により提供されるフル マネージド サービスであり、高可用性とスケーラビリティを備えています。This service is highly available, scalable, and fully managed by Azure.

Application Gateway はどのような機能をサポートしますか?What features does Application Gateway support?

Application Gateway は、自動スケーリング、SSL オフロードとエンド ツー エンド SSL、Web アプリケーション ファイアウォール、Cookie ベースのセッション アフィニティ、URL パスベースのルーティング、マルチサイト ホスティングなどの機能をサポートしています。Application Gateway supports autoscaling, SSL offloading, and end-to-end SSL, a web application firewall (WAF), cookie-based session affinity, URL path-based routing, multisite hosting, and other features. サポートされている機能の完全な一覧については、「Application Gateway の概要」をご覧ください。For a full list of supported features, see Introduction to Application Gateway.

Application Gateway と Azure Load Balancer の違いは何ですか?How do Application Gateway and Azure Load Balancer differ?

Application Gateway はレイヤー 7 のロード バランサーです。つまり、Web トラフィックのみ (HTTP、HTTPS、WebSocket、HTTP/2) に対して機能します。Application Gateway is a layer 7 load balancer, which means it works only with web traffic (HTTP, HTTPS, WebSocket, and HTTP/2). また、SSL ターミネーション、Cookie ベースのセッション アフィニティ、ラウンド ロビンによるトラフィックの負荷分散などの機能をサポートしています。It supports capabilities such as SSL termination, cookie-based session affinity, and round robin for load-balancing traffic. Load Balancer は、レイヤー 4 (TCP または UDP) でトラフィックを負荷分散するものです。Load Balancer load-balances traffic at layer 4 (TCP or UDP).

Application Gateway はどのようなプロトコルをサポートしますか?What protocols does Application Gateway support?

Application Gateway は、HTTP、HTTPS、HTTP/2、WebSocket をサポートします。Application Gateway supports HTTP, HTTPS, HTTP/2, and WebSocket.

Application Gateway は HTTP/2 をどのようにサポートしますか?How does Application Gateway support HTTP/2?

HTTP/2 のサポート」を参照してください。See HTTP/2 support.

バックエンド プールの一部としてはどのようなリソースがサポートされていますか?What resources are supported as part of a backend pool?

サポート対象のバックエンド リソースに関するセクションを参照してください。See supported backend resources.

Application Gateway はどのリージョンで利用できますか?In what regions is Application Gateway available?

Application Gateway は、グローバル Azure のすべてのリージョンで利用できます。Application Gateway is available in all regions of global Azure. また、Azure China 21VianetAzure Government でもご利用いただけます。It's also available in Azure China 21Vianet and Azure Government.

このデプロイは私のサブスクリプション専用ですか? それとも、複数の顧客と共有されますか?Is this deployment dedicated for my subscription, or is it shared across customers?

Application Gateway は、お客様の仮想ネットワーク専用のデプロイメントです。Application Gateway is a dedicated deployment in your virtual network.

Application Gateway は HTTP から HTTPS へのリダイレクトをサポートしていますか?Does Application Gateway support HTTP-to-HTTPS redirection?

リダイレクトはサポートされます。Redirection is supported. Application Gateway のリダイレクトの概要」を参照してください。See Application Gateway redirect overview.

リスナーはどのような順序で処理されますか?In what order are listeners processed?

リスナーを処理する順序」を参照してください。See the order of listener processing.

Application Gateway の IP と DNS はどこで確認できますか?Where do I find the Application Gateway IP and DNS?

エンドポイントとしてパブリック IP アドレスを使用している場合には、パブリック IP アドレス リソースで IP と DNS の情報を確認できます。If you're using a public IP address as an endpoint, you'll find the IP and DNS information on the public IP address resource. このほか、ポータル内にあるアプリケーション ゲートウェイの概要ページで確認することもできます。Or find it in the portal, on the overview page for the application gateway. 内部 IP アドレスを使用している場合は、概要ページで情報を確認できます。If you're using internal IP addresses, find the information on the overview page.

キープアライブ タイムアウトと TCP アイドル タイムアウトの設定はどのようになっていますか?What are the settings for Keep-Alive timeout and TCP idle timeout?

Application Gateway v1 SKU では、キープアライブ タイムアウトは 120 秒です。In the Application Gateway v1 SKU, the Keep-Alive timeout is 120 seconds. v2 SKU のキープアライブ タイムアウトは 75 秒です。The Keep-Alive timeout for the v2 SKU is 75 seconds. TCP アイドル タイムアウトは、Application Gateway のフロントエンド仮想 IP (VIP) では既定値の 4 分となっています。The TCP idle timeout is a 4-minute default on the frontend virtual IP (VIP) of Application Gateway.

アプリケーション ゲートウェイの有効期間内に IP や DNS 名が変わることはありますか?Does the IP or DNS name change over the lifetime of the application gateway?

アプリケーション ゲートウェイを停止して起動すると、VIP が変わることがあります。The VIP can change if you stop and start the application gateway. これに対して、アプリケーション ゲートウェイに関連付けられている DNS 名は、そのゲートウェイの有効期間全体を通して変わりません。But the DNS name associated with the application gateway doesn't change over the lifetime of the gateway. DNS 名が変わることはないので、CNAME エイリアスを使用し、その参照先をアプリケーション ゲートウェイの DNS アドレスにするようにしてください。Because the DNS name doesn't change, you should use a CNAME alias and point it to the DNS address of the application gateway.

Application Gateway は静的 IP をサポートしますか?Does Application Gateway support static IP?

はい、Application Gateway v2 SKU は、静的パブリック IP アドレスをサポートしています。Yes, the Application Gateway v2 SKU supports static public IP addresses. v1 SKU では、静的内部 IP アドレスがサポートされます。The v1 SKU supports static internal IPs.

Application Gateway は複数のパブリック IP をサポートしますか?Does Application Gateway support multiple public IPs on the gateway?

1 つのアプリケーション ゲートウェイでサポートされるパブリック IP アドレスは 1 つだけです。An application gateway supports only one public IP address.

Application Gateway のサブネットはどのくらい大きくする必要がありますか?How large should I make my subnet for Application Gateway?

Application Gateway のサブネットのサイズに関する考慮事項のセクションを参照してください。See Application Gateway subnet size considerations.

1 つのサブネットに複数の Application Gateway リソースをデプロイできますか?Can I deploy more than one Application Gateway resource to a single subnet?

はい。Yes. 特定の Application Gateway のデプロイの複数のインスタンスに加え、別の Application Gateway リソースを含む既存のサブネットに別の一意の Application Gateway リソースをプロビジョニングできます。In addition to multiple instances of a given Application Gateway deployment, you can provision another unique Application Gateway resource to an existing subnet that contains a different Application Gateway resource.

1 つのサブネットで Standard_v2 と Standard の両方の Application Gateway を混在させることはできません。A single subnet can't support both Standard_v2 and Standard Application Gateway together.

Application Gateway は x-forwarded-for ヘッダーをサポートしますか?Does Application Gateway support x-forwarded-for headers?

はい。Yes. 要求への変更」を参照してください。See Modifications to a request.

アプリケーション ゲートウェイのデプロイにはどのくらい時間がかかりますか?How long does it take to deploy an application gateway? アプリケーション ゲートウェイは更新中にも動作しますか?Will my application gateway work while it's being updated?

新しい Application Gateway v1 SKU のデプロイでは、プロビジョニングに最大 20 分かかります。New Application Gateway v1 SKU deployments can take up to 20 minutes to provision. インスタンスのサイズまたは数を変更しても中断が発生することはありません。ゲートウェイはその間もアクティブな状態が続きます。Changes to instance size or count aren't disruptive, and the gateway remains active during this time.

v2 SKU を使用するデプロイの場合には、プロビジョニングに最大 6 分かかります。Deployments that use the v2 SKU can take up to 6 minutes to provision.

Application Gateway で Exchange Server をバックエンドとして使用することはできますか?Can I use Exchange Server as a backend with Application Gateway?

いいえ。No. Application Gateway は SMTP、IMAP、POP3 などの電子メール プロトコルをサポートしていません。Application Gateway doesn't support email protocols such as SMTP, IMAP, and POP3.

パフォーマンスPerformance

Application Gateway は高可用性とスケーラビリティをどのようにサポートしますか?How does Application Gateway support high availability and scalability?

2 つ以上のインスタンスをデプロイすると、Application Gateway v1 SKU が高可用性のシナリオをサポートします。The Application Gateway v1 SKU supports high-availability scenarios when you've deployed two or more instances. Azure は、これらのインスタンスを更新ドメインと障害ドメインに分散させ、全インスタンスで同時に障害が発生しないようにします。Azure distributes these instances across update and fault domains to ensure that instances don't all fail at the same time. v1 SKU では、同じゲートウェイの複数のインスタンスを追加して負荷を共有することによってスケーラビリティをサポートします。The v1 SKU supports scalability by adding multiple instances of the same gateway to share the load.

v2 SKU では、新しいインスタンスが障害ドメインと更新ドメインに自動的に分散されるようにします。The v2 SKU automatically ensures that new instances are spread across fault domains and update domains. ゾーン冗長を選択した場合は、ゾーン障害回復性を提供するために、最新のインスタンスが可用性ゾーンにも分散されます。If you choose zone redundancy, the newest instances are also spread across availability zones to offer zonal failure resiliency.

Application Gateway を使用してデータ センターの垣根を越えた DR のシナリオを実現するにはどうすればよいですか?How do I achieve a DR scenario across datacenters by using Application Gateway?

Traffic Manager を使用すると、異なるデータ センターにある複数のアプリケーション ゲートウェイにトラフィックを分散できます。Use Traffic Manager to distribute traffic across multiple application gateways in different datacenters.

Application Gateway は自動スケーリングをサポートしていますか?Does Application Gateway support autoscaling?

はい、Application Gateway v2 SKU では、自動スケールをサポートします。Yes, the Application Gateway v2 SKU supports autoscaling. 詳しくは、「自動スケーリングとゾーン冗長 Application Gateway」を参照してください。For more information, see Autoscaling and Zone-redundant Application Gateway.

手動でのスケールアップまたはスケールダウンによってダウンタイムが発生することはありますか?Does manual scale up or scale down cause downtime?

いいえ。No. インスタンスはアップグレード ドメインと障害ドメインに分散されます。Instances are distributed across upgrade domains and fault domains.

Application Gateway は接続のドレインに対応していますか?Does Application Gateway support connection draining?

はい。Yes. 中断を発生させることなくバックエンド プール内のメンバーを変更するように接続のドレインを設定できます。You can set up connection draining to change members within a backend pool without disruption. この設定を使うと、既存の接続がある場合に、その接続を終了するか、接続が構成可能なタイムアウトに達するまで、以前の宛先に送信し続けることができます。This setup allows you to continue to send existing connections to their previous destination until either that connection closes or a configurable timeout expires. 接続のドレインは、現在処理中の接続に限り、完了するまで待機します。Connection draining waits for only current in-flight connections to finish. Application Gateway は、アプリケーションのセッション状態を認識しません。Application Gateway isn't aware of the application session state.

インスタンスを中断せずにサイズを中から大に変更できますか?Can I change instance size from medium to large without disruption?

はい。Yes. Azure では、インスタンスを更新ドメインと障害ドメインに分散させ、全インスタンスで同時に障害が発生することがないようにしています。Azure distributes instances across update and fault domains to ensure that instances don't fail all at the same time. Application Gateway は、同じゲートウェイの複数のインスタンスを追加して負荷を共有することによるスケーリングをサポートします。Application Gateway supports scaling by adding multiple instances of the same gateway to share the load.

構成Configuration

Application Gateway は常に仮想ネットワークにデプロイされますか?Is Application Gateway always deployed in a virtual network?

はい。Yes. Application Gateway は、必ず仮想ネットワーク サブネットにデプロイされます。Application Gateway is always deployed in a virtual network subnet. このサブネットにはアプリケーション ゲートウェイのみを含めることができます。This subnet can contain only application gateways. 詳細については、仮想ネットワークとサブネットの要件に関するセクションを参照してください。For more information, see virtual network and subnet requirements.

Application Gateway は、所属している仮想ネットワークやサブスクリプションの外部にあるインスタンスと通信できますか?Can Application Gateway communicate with instances outside of its virtual network or outside of its subscription?

Application Gateway は、IP 接続がある限り、所属している仮想ネットワークの外部にあるインスタンスと通信できます。As long as you have IP connectivity, Application Gateway can communicate with instances outside of the virtual network that it's in. Application Gateway は、所属しているサブスクリプションの外部にあるインスタンスとも通信できます。Application Gateway can also communicate with instances outside of the subscription it's in. バックエンド プール メンバーとして内部 IP を使用する予定の場合には、仮想ネットワーク ピアリングまたは Azure VPN Gateway を使用してください。If you plan to use internal IPs as backend pool members, use virtual network peering or Azure VPN Gateway.

アプリケーション ゲートウェイ サブネット内に何か他にデプロイできるものはありますか?Can I deploy anything else in the application gateway subnet?

いいえ。No. もっとも、サブネット内に他のアプリケーション ゲートウェイをデプロイすることはできます。But you can deploy other application gateways in the subnet.

アプリケーション ゲートウェイ サブネットでネットワーク セキュリティ グループはサポートされていますか?Are network security groups supported on the application gateway subnet?

アプリケーション ゲートウェイ サブネット内のネットワーク セキュリティ グループに関するセクションを参照してください。See Network security groups in the Application Gateway subnet.

アプリケーション ゲートウェイ サブネットはユーザー定義ルートをサポートしていますか?Does the application gateway subnet support user-defined routes?

アプリケーション ゲートウェイ サブネットでサポートされるユーザー定義ルート」を参照してください。See User-defined routes supported in the Application Gateway subnet.

Application Gateway にはどのような制限がありますか?What are the limits on Application Gateway? これらの制限値を引き上げることはできますか?Can I increase these limits?

Application Gateway の制限」を参照してください。See Application Gateway limits.

Application Gateway を外部と内部の両方のトラフィックに同時に使用することはできますか?Can I simultaneously use Application Gateway for both external and internal traffic?

はい。Yes. Application Gateway では、アプリケーション ゲートウェイごとに内部 IP と外部 IP を 1 つずつサポートできます。Application Gateway supports one internal IP and one external IP per application gateway.

Application Gateway は仮想ネットワークのピアリングをサポートしていますか?Does Application Gateway support virtual network peering?

はい。Yes. 仮想ネットワークのピアリングは、他の仮想ネットワークにおけるトラフィックの負荷分散に役立ちます。Virtual network peering helps load-balance traffic in other virtual networks.

ExpressRoute または VPN トンネルにより接続されているオンプレミスのサーバーと通信することはできますか?Can I talk to on-premises servers when they're connected by ExpressRoute or VPN tunnels?

はい。トラフィックが許可されている限り、通信可能です。Yes, as long as traffic is allowed.

1 つのバックエンド プールで異なるポートを使用し、多数のアプリケーションにサービスを提供することはできますか?Can one backend pool serve many applications on different ports?

マイクロサービス アーキテクチャがサポートされています。Microservice architecture is supported. 異なる複数のポートを対象にプローブを実行するには、複数の HTTP 設定を構成する必要があります。To probe on different ports, you need to configure multiple HTTP settings.

カスタム プローブは応答データ上のワイルドカードや正規表現をサポートしていますか?Do custom probes support wildcards or regex on response data?

いいえ。No.

Application Gateway ではルーティング規則がどのように処理されるのでしょうか?How are routing rules processed in Application Gateway?

規則を処理する順序」を参照してください。See Order of processing rules.

カスタム プローブの [ホスト] フィールドは何を表しているのでしょうか?For custom probes, what does the Host field signify?

Application Gateway 上でマルチサイトを構成した場合には、[ホスト] フィールドにプローブの送信先の名前を指定します。The Host field specifies the name to send the probe to when you've configured multisite on Application Gateway. それ以外の場合には、"127.0.0.1" を使用します。Otherwise use '127.0.0.1'. この値は、仮想マシンのホスト名とは異なります。This value is different from the virtual machine host name. 形式は、<プロトコル>://<ホスト>:<ポート><パス> です。Its format is <protocol>://<host>:<port><path>.

Application Gateway に対するアクセスを少数のソース IP アドレスだけに限定することはできますか?Can I allow Application Gateway access to only a few source IP addresses?

はい。Yes. アクセスを特定のソース IP だけに限定する方法に関するセクションを参照してください。See restrict access to specific source IPs.

パブリック側のリスナーとプライベート側のリスナーの両方に同じポートを使用することはできますか?Can I use the same port for both public-facing and private-facing listeners?

いいえ。No.

v1 SKU から v2 SKU への移行に使用できるガイダンスはありますか。Is there guidance available to migrate from the v1 SKU to the v2 SKU?

はい。Yes. 詳しくは、「Migrate Azure Application Gateway and Web Application Firewall from v1 to v2 (Azure Application Gateway と Web アプリケーション ファイアウォールを v1 から v2 に移行する)」をご覧ください。For details see, Migrate Azure Application Gateway and Web Application Firewall from v1 to v2.

構成 - SSLConfiguration - SSL

Application Gateway はどのような証明書をサポートしていますか?What certificates does Application Gateway support?

Application Gateway は、自己署名証明書、証明機関 (CA) の証明書、Extended Validation (EV) 証明書、ワイルドカード証明書をサポートしています。Application Gateway supports self-signed certificates, certificate authority (CA) certificates, Extended Validation (EV) certificates, and wildcard certificates.

Application Gateway はどのような暗号スイートをサポートしていますか?What cipher suites does Application Gateway support?

Application Gateway は、次の暗号スイートをサポートしています。Application Gateway supports the following cipher suites.

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHATLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHATLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHATLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHATLS_DHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_GCM_SHA256TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA256TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHATLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHATLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHATLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHATLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_DSS_WITH_AES_256_CBC_SHA256TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
  • TLS_DHE_DSS_WITH_AES_128_CBC_SHA256TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
  • TLS_DHE_DSS_WITH_AES_256_CBC_SHATLS_DHE_DSS_WITH_AES_256_CBC_SHA
  • TLS_DHE_DSS_WITH_AES_128_CBC_SHATLS_DHE_DSS_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHATLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHATLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA

SSL オプションのカスタマイズ方法については、「Application Gateway で SSL ポリシーのバージョンと暗号スイートを構成する」を参照してください。For information on how to customize SSL options, see Configure SSL policy versions and cipher suites on Application Gateway.

Application Gateway はバックエンドへのトラフィックの再暗号化をサポートしていますか?Does Application Gateway support reencryption of traffic to the backend?

はい。Yes. Application Gateway は SSL オフロードとエンド ツー エンド SSL をサポートしており、バックエンドへのトラフィックが再暗号化されます。Application Gateway supports SSL offload and end-to-end SSL, which reencrypt traffic to the backend.

SSL ポリシーを構成して SSL プロトコルのバージョンを管理することはできますか?Can I configure SSL policy to control SSL protocol versions?

はい。Yes. Application Gateway を構成して、TLS1.0、TLS1.1、TLS1.2 を拒否することができます。You can configure Application Gateway to deny TLS1.0, TLS1.1, and TLS1.2. SSL 2.0 および 3.0 は既定で無効になっているため、構成できません。By default, SSL 2.0 and 3.0 are already disabled and aren't configurable.

暗号スイートおよびポリシーの順序は構成できますか?Can I configure cipher suites and policy order?

はい。Yes. Application Gateway では、暗号スイートを構成できます。In Application Gateway, you can configure cipher suites. カスタム ポリシーを定義するためには、次の暗号スイートのうち少なくとも 1 つを有効にする必要があります。To define a custom policy, enable at least one of the following cipher suites.

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_128_GCM_SHA256TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA256TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256TLS_RSA_WITH_AES_128_CBC_SHA256

Application Gateway では、バックエンドの管理に SHA256 を使用しています。Application Gateway uses SHA256 to for backend management.

Application Gateway は、SSL 証明書をいくつサポートしていますか?How many SSL certificates does Application Gateway support?

Application Gateway は、SSL 証明書を 100 件までサポートしています。Application Gateway supports up to 100 SSL certificates.

Application Gateway は、バックエンドの再暗号化用の認証証明書をいくつサポートしていますか?How many authentication certificates for backend reencryption does Application Gateway support?

Application Gateway は、認証証明書を 10 件までサポートしています。Application Gateway supports up to 10 authentication certificates. 既定値は 5 です。The default is 5.

Application Gateway は Azure Key Vault とネイティブに統合されていますか?Does Application Gateway natively integrate with Azure Key Vault?

はい、Application Gateway v2 SKU では、Key Vault をサポートします。Yes, the Application Gateway v2 SKU supports Key Vault. 詳細については、「Key Vault 証明書での SSL 終了」を参照してください。For more information, see SSL termination with Key Vault certificates.

.com と .net のサイトの HTTPS リスナーはどのように構成するのでしょうか?How do I configure HTTPS listeners for .com and .net sites?

複数ドメインベース (ホストベース) のルーティングでは、マルチサイト リスナーを作成し、プロトコルとして HTTPS を使用するリスナーを設定してから、リスナーとルーティング規則を関連付けます。For multiple domain-based (host-based) routing, you can create multisite listeners, set up listeners that use HTTPS as the protocol, and associate the listeners with the routing rules. 詳細については、Application Gateway を使用した複数サイトのホスティングに関するページを参照してください。For more information, see Hosting multiple sites by using Application Gateway.

構成 - Web アプリケーション ファイアウォール (WAF)Configuration - web application firewall (WAF)

WAF SKU では、Standard SKU で利用可能な機能をすべて利用できますか?Does the WAF SKU offer all the features available in the Standard SKU?

はい。Yes. WAF は Standard SKU に含まれる機能をすべてサポートしています。WAF supports all the features in the Standard SKU.

Application Gateway がサポートしている CRS のバージョンは何ですか?Which CRS versions does Application Gateway support?

Application Gateway は CRS 2.2.9 と CRS 3.0 をサポートします。Application Gateway supports CRS 2.2.9 and CRS 3.0.

WAF を監視するにはどうすればよいですか?How do I monitor WAF?

WAF の監視には、診断ログを使用します。Monitor WAF through diagnostic logging. 詳細については、Application Gateway の診断ログとメトリックに関するページを参照してください。For more information, see Diagnostic logging and metrics for Application Gateway.

検出モードではトラフィックがブロックされますか?Does detection mode block traffic?

いいえ。No. 検出モードでは、WAF 規則をトリガーするトラフィックをログに記録するにとどまります。Detection mode only logs traffic that triggers a WAF rule.

WAF ルールはカスタマイズできますか?Can I customize WAF rules?

はい。Yes. 詳細については、WAF 規則グループと規則のカスタマイズに関するページを参照してください。For more information, see Customize WAF rule groups and rules.

WAF で現在利用できるのはどのような規則ですか?What rules are currently available for WAF?

WAF が現在サポートしているのは CRS 2.2.93.0 です。WAF currently supports CRS 2.2.9 and 3.0. これらの規則は、Open Web Application Security Project (OWASP) が特定した 10 の脆弱性のほとんどに対するベースライン セキュリティを提供するものです。These rules provide baseline security against most of the top-10 vulnerabilities that Open Web Application Security Project (OWASP) identifies:

  • SQL インジェクションからの保護SQL injection protection
  • クロスサイト スクリプティングに対する保護Cross-site scripting protection
  • 一般的な Web 攻撃 (コマンド インジェクション、HTTP 要求スマグリング、HTTP 応答スプリッティング、リモート ファイル インクルード攻撃など) に対する保護Protection against common web attacks such as command injection, HTTP request smuggling, HTTP response splitting, and remote file inclusion attack
  • HTTP プロトコル違反に対する保護Protection against HTTP protocol violations
  • HTTP プロトコル異常に対する保護 (ホスト ユーザー エージェントと承認ヘッダーが見つからない場合など)Protection against HTTP protocol anomalies such as missing host user-agent and accept headers
  • ボット、クローラー、スキャナーの防止Prevention against bots, crawlers, and scanners
  • アプリケーションのよくある構成ミスの検出 (Apache、IIS など)Detection of common application misconfigurations (that is, Apache, IIS, and so on)

詳細については、OWASP の 10 の脆弱性に関するページを参照してください。For more information, see OWASP top-10 vulnerabilities.

WAF は DDoS 保護をサポートしていますか?Does WAF support DDoS protection?

はい。Yes. アプリケーション ゲートウェイをデプロイしてある仮想ネットワーク上で、DDos 保護を有効にすることができます。You can enable DDoS protection on the virtual network where the application gateway is deployed. この設定によって、アプリケーション ゲートウェイの仮想 IP (VIP) も Azure DDoS Protection サービスによる保護の対象になります。This setting ensures that the Azure DDoS Protection service also protects the application gateway virtual IP (VIP).

v1 SKU から v2 SKU への移行に使用できるガイダンスはありますか。Is there guidance available to migrate from the v1 SKU to the v2 SKU?

はい。Yes. 詳しくは、「Migrate Azure Application Gateway and Web Application Firewall from v1 to v2 (Azure Application Gateway と Web アプリケーション ファイアウォールを v1 から v2 に移行する)」をご覧ください。For details see, Migrate Azure Application Gateway and Web Application Firewall from v1 to v2.

診断とログ記録Diagnostics and logging

Application Gateway ではどのような種類のログを利用できますか?What types of logs does Application Gateway provide?

Application Gateway では、次の 3 つのログを利用できます。Application Gateway provides three logs:

  • ApplicationGatewayAccessLog:このアクセス ログには、アプリケーション ゲートウェイ フロントエンドに送信された要求がそれぞれ記録されます。ApplicationGatewayAccessLog: The access log contains each request submitted to the application gateway frontend. データには、呼び出し元の IP、要求された URL、応答の待ち時間、リターン コード、入出力バイトが含まれます。アクセス ログの収集間隔は 300 秒ごとです。The data includes the caller's IP, URL requested, response latency, return code, and bytes in and out. The access log is collected every 300 seconds. アプリケーション ゲートウェイ 1 つごとに 1 つのレコードが含まれます。It contains one record per application gateway.
  • ApplicationGatewayPerformanceLog:このパフォーマンス ログには、各アプリケーション ゲートウェイのパフォーマンスが記録されます。ApplicationGatewayPerformanceLog: The performance log captures performance information for each application gateway. 情報には、バイト単位のスループット、処理された要求の総数、失敗した要求の数、正常および異常なバックエンド インスタンスの数などが含まれます。Information includes the throughput in bytes, total requests served, failed request count, and healthy and unhealthy backend instance count.
  • ApplicationGatewayFirewallLog:このファイアウォール ログには、WAF を構成してあるアプリケーション ゲートウェイについて、検出モードまたは防止モードを通じてログが作成された要求が記録されます。ApplicationGatewayFirewallLog: For application gateways that you configure with WAF, the firewall log contains requests that are logged through either detection mode or prevention mode.

詳細については、「Application Gateway のバックエンドの正常性、診断ログ、およびメトリック」を参照してください。For more information, see Backend health, diagnostics logs, and metrics for Application Gateway.

バックエンド プールのメンバーが正常かどうかを確認するにはどうすればよいですか?How do I know if my backend pool members are healthy?

PowerShell コマンドレット Get-AzApplicationGatewayBackendHealth とポータルのいずれかを使用することによって、正常性を確認できます。Verify health by using the PowerShell cmdlet Get-AzApplicationGatewayBackendHealth or the portal. 詳細については、Application Gateway の診断に関するトピックを参照してください。For more information, see Application Gateway diagnostics.

診断ログのアイテム保持ポリシーとは何ですか?What's the retention policy for the diagnostic logs?

お客様のストレージ アカウントには、診断ログが送られます。Diagnostic logs flow to the customer's storage account. お客様は、自身の好みに応じてアイテム保持ポリシーを設定できます。Customers can set the retention policy based on their preference. 診断ログは、イベント ハブまたは Azure Monitor ログに送信することもできます。Diagnostic logs can also be sent to an event hub or Azure Monitor logs. 詳細については、Application Gateway の診断に関するトピックを参照してください。For more information, see Application Gateway diagnostics.

Application Gateway の監査ログを取得するにはどうすればよいですか?How do I get audit logs for Application Gateway?

ポータル内で、アプリケーション ゲートウェイのメニュー ブレードにある [アクティビティ ログ] を選択すると、監査ログにアクセスできます。In the portal, on the menu blade of an application gateway, select Activity Log to access the audit log.

Application Gateway でアラートを設定できますか?Can I set alerts with Application Gateway?

はい。Yes. Application Gateway では、メトリックに基づいてアラートを構成します。In Application Gateway, alerts are configured on metrics. 詳細については、Application Gateway のメトリックに関するセクションと、アラート通知の受信に関するページを参照してください。For more information, see Application Gateway metrics and Receive alert notifications.

Application Gateway のトラフィック統計情報を分析するにはどうすればよいですか?How do I analyze traffic statistics for Application Gateway?

アクセス ログを確認および分析する方法はいくつかあります。You can view and analyze access logs in several ways. Azure Monitor ログ、Excel、Power BI などを使用してください。Use Azure Monitor logs, Excel, Power BI, and so on.

このほか、Application Gateway のアクセス ログに対応した人気のログ アナライザー GoAccess をインストールして実行する Resource Manager テンプレートも利用できます。You can also use a Resource Manager template that installs and runs the popular GoAccess log analyzer for Application Gateway access logs. GoAccess では、ユニーク ビジター、要求されたファイル、ホスト、オペレーティング システム、ブラウザー、HTTP 状態コードなど、有益な HTTP トラフィック統計情報を確認できます。GoAccess provides valuable HTTP traffic statistics such as unique visitors, requested files, hosts, operating systems, browsers, and HTTP status codes. 詳細については、GitHub の Resource Manager テンプレート フォルダーにある Readme ファイルを参照してください。For more information, in GitHub, see the Readme file in the Resource Manager template folder.

バックエンドの正常性として不明な状態が返されるのですが、どのような原因が考えられますか?What could cause backend health to return an unknown status?

不明な状態が返されるのは通常、アプリケーション ゲートウェイ サブネット上でネットワーク セキュリティ グループ (NSG)、カスタム DNS、またはユーザー定義ルーティング (UDR) により、バックエンドに対するアクセスがブロックされているときです。Usually, you see an unknown status when access to the backend is blocked by a network security group (NSG), custom DNS, or user-defined routing (UDR) on the application gateway subnet. 詳細については、Application Gateway のバックエンドの正常性、診断ログ、およびメトリックに関するページを参照してください。For more information, see Backend health, diagnostics logging, and metrics for Application Gateway.

次の手順Next steps

Application Gateway の詳細については、「Azure Application Gateway とは」を参照してください。To learn more about Application Gateway, see What is Azure Application Gateway?.