Application Gateway に関してよく寄せられる質問Frequently asked questions for Application Gateway

注意

この記事は、新しい Azure PowerShell Az モジュールを使用するために更新されました。This article has been updated to use the new Azure PowerShell Az module. Az モジュールと AzureRM の互換性の詳細については、「Introducing the new Azure PowerShell Az module (新しい Azure PowerShell Az モジュールの概要)」を参照してください。To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. インストール手順については、Azure PowerShell のインストール を参照してください。For installation instructions, see Install Azure PowerShell.

全般General

Application Gateway とはWhat is Application Gateway?

Azure Application Gateway は、アプリケーション配信コントローラー (ADC) をサービスとして提供することで、さまざまなレイヤー 7 負荷分散機能をアプリケーションで利用できるようにします。Azure Application Gateway is an Application Delivery Controller (ADC) as a service, offering various layer 7 load-balancing capabilities for your applications. また、Azure で完全に管理されるスケーラブルな高可用性サービスを提供します。It offers highly available and scalable service, which is fully managed by Azure.

Application Gateway はどのような機能をサポートしますか?What features does Application Gateway support?

Application Gateway は、自動スケーリング、SSL オフロードとエンド ツー エンド SSL、Web アプリケーション ファイアウォール、Cookie ベースのセッション アフィニティ、URL パスベースのルーティング、マルチサイト ホスティングなどをサポートします。Application Gateway supports autoscaling, SSL offloading and end to end SSL, Web Application Firewall, cookie-based session affinity, url path-based routing, multisite hosting, and others. サポートされている機能の完全な一覧については、「Application Gateway の概要」をご覧ください。For a full list of supported features, see Introduction to Application Gateway.

Application Gateway と Azure Load Balancer の違いは何ですか?What is the difference between Application Gateway and Azure Load Balancer?

Application Gateway はレイヤー 7 のロード バランサーです。つまり、Web トラフィックのみ (HTTP/HTTPS/WebSocket/HTTP/2) で機能します。Application Gateway is a layer 7 load balancer, which means it works with web traffic only (HTTP/HTTPS/WebSocket/HTTP/2). また、SSL ターミネーション、Cookie ベースのセッション アフィニティ、ラウンド ロビンによるトラフィックの負荷分散などの機能をサポートします。It supports capabilities such as SSL termination, cookie-based session affinity, and round robin for load balancing traffic. Load Balancer は、レイヤー 4 (TCP/UDP) でトラフィックを負荷分散します。Load Balancer load balances traffic at layer 4 (TCP/UDP).

Application Gateway はどのようなプロトコルをサポートしますか?What protocols does Application Gateway support?

Application Gateway は、HTTP、HTTPS、HTTP/2、WebSocket をサポートします。Application Gateway supports HTTP, HTTPS, HTTP/2, and WebSocket.

Application Gateway は HTTP/2 をどのようにサポートしますか?How does Application Gateway support HTTP/2?

Application Gateway で HTTP/2 プロトコルがサポートされる方法については、HTTP/2 のサポートに関するページをご覧ください。See HTTP/2 Support to learn how Application gateway supports HTTP/2 protocol.

現在、バックエンド プールの一部としてどのようなリソースがサポートされますか?What resources are supported today as part of backend pool?

Application Gateway でサポートされるリソースについては、サポートされるバックエンド リソースに関するページをご覧ください。See supported backend resources to learn which resources are supported by Application gateway.

このサービスは、どのリージョンで利用できますか?What regions is the service available in?

Application Gateway は、グローバル Azure のすべてのリージョンで利用できます。Application Gateway is available in all regions of global Azure. また、Azure China 21VianetAzure Government で利用することもできます。It is also available in Azure China 21Vianet and Azure Government

Application Gateway はサブスクリプション専用のデプロイメントですか? または、複数の顧客と共有されますか?Is this a dedicated deployment for my subscription or is it shared across customers?

Application Gateway は、お客様の仮想ネットワーク専用のデプロイメントです。Application Gateway is a dedicated deployment in your virtual network.

HTTP から HTTPS へのリダイレクトはサポートされていますか?Is HTTP->HTTPS redirection supported?

リダイレクトはサポートされます。Redirection is supported. 詳しくは、「Application Gateway のリダイレクトの概要」をご覧ください。See Application Gateway redirect overview to learn more.

リスナーはどのような順序で処理されますか?In what order are listeners processed?

リスナーを処理する順序」を参照してください。See order of processing listeners.

Application Gateway の IP と DNS はどこで確認できますか?Where do I find Application Gateway’s IP and DNS?

パブリック IP アドレスをエンドポイントとして使用する場合は、パブリック IP アドレス リソースまたはポータルにあるアプリケーション ゲートウェイの[概要] ページでこの情報を確認できます。When using a public IP address as an endpoint, this information can be found on the public IP address resource or on the Overview page for the application gateway in the portal. 内部 IP アドレスの場合は、[概要] ページで確認できます。For internal IP addresses, this can be found on the Overview page.

Application Gateway でのキープアライブ タイムアウトおよび TCP アイドル タイムアウト設定とは何ですか?What is Keep-Alive timeout and TCP idle timeout setting on Application Gateway?

v1 SKU 上のキープアライブ タイムアウトは 120 秒です。v2 SKU 上のキープアライブ タイムアウトは 75 秒です。TCP アイドル タイムアウトは Application Gateway のフロントエンド VIP では既定で 4 分です。Keep-Alive timeout on v1 SKU is 120 sec. Keep-Alive timeout on v2 SKU is 75 sec. TCP idle timeout is 4-min default on the frontend VIP of Application Gateway.

IP または DNS 名は Application Gateway の有効期間内に変更されますか?Does the IP or DNS name change over the lifetime of the Application Gateway?

アプリケーション ゲートウェイが停止され起動されると、VIP が変更される可能性があります。The VIP can change if the application gateway is stopped and started. アプリケーション ゲートウェイに関連付けられた DNS は、そのゲートウェイのライフサイクル全体を通して変更されません。The DNS name associated with the application gateway does not change over the lifecycle of the gateway. そのため、CNAME エイリアスを使用してアプリケーション ゲートウェイの DNS アドレスを参照することをお勧めします。For this reason, it is recommended to use a CNAME alias and point it to the DNS address of the application gateway.

Application Gateway は静的 IP をサポートしますか?Does Application Gateway support static IP?

はい、Application Gateway v2 SKU では、静的パブリック IP アドレスがサポートされます。Yes, the Application Gateway v2 SKU does support static public IP addresses. v1 SKU では、静的内部 IP アドレスがサポートされます。The v1 SKU supports static internal IPs.

Application Gateway は複数のパブリック IP をサポートしますか?Does Application Gateway support multiple public IPs on the gateway?

アプリケーション ゲートウェイでサポートされるパブリック IP アドレスは 1 つだけです。Only one public IP address is supported on an application gateway.

Application Gateway のサブネットはどのくらい大きくする必要がありますか?How large should I make my subnet for Application Gateway?

デプロイに必要なサブネットのサイズを理解するには、Application Gateway のサブネットのサイズについての考慮事項に関するページを参照してください。See Application Gateway subnet size considerations to understand the subnet size required for your deployment.

Q.Q. 1 つのサブネットに複数の Application Gateway リソースをデプロイできますか?Can I deploy more than one Application Gateway resource to a single subnet?

はい、特定の Application Gateway の複数のインスタンスのデプロイに加え、別の Application Gateway リソースを含む既存のサブネットに別の一意の Application Gateway リソースをプロビジョニングできます。Yes, in addition to having multiple instances of a given Application Gateway deployment, you can provision another unique Application Gateway resource to an existing subnet that contains a different Application Gateway resource.

同じサブネット上の Standard_v2 と Standard Application Gateway の混在はサポートされていません。Mixing Standard_v2 and Standard Application Gateway on the same subnet is not supported.

Application Gateway は x-forwarded-for ヘッダーをサポートしますか?Does Application Gateway support x-forwarded-for headers?

はい。Yes. Application Gateway によってサポートされる x-forwarded-for ヘッダーについては、「要求への変更」をご覧ください。See modifications to request to learn about the x-forwarded-for headers supported by Application Gateway.

Application Gateway のデプロイにはどのくらい時間がかかりますか?How long does it take to deploy an Application Gateway? 更新中にも Application Gateway は動作しますか?Does my Application Gateway still work when being updated?

新しい Application Gateway v1 SKU のデプロイでは、プロビジョニングに最大 20 分かかります。New Application Gateway v1 SKU deployments can take up to 20 minutes to provision. インスタンス サイズ/数の変更は中断を伴わず、ゲートウェイはこの時間にはアクティブなままです。Changes to instance size/count are not disruptive, and the gateway remains active during this time.

V2 SKU のデプロイは、プロビジョニングに約 5 分から 6 分かかります。V2 SKU deployments can take about five to six minutes to provision.

Application Gateway で Exchange Server をバックエンドとして使用できますか?Can Exchange server be used as backend with Application Gateway?

いいえ。Application Gateway では SMTP、IMAP、POP3 などの電子メール プロトコルはサポートされません。No, Application Gateway does not support email protocols such as SMTP, IMAP and POP3.

パフォーマンスPerformance

Application Gateway は高可用性とスケーラビリティをどのようにサポートしますか?How does Application Gateway support high availability and scalability?

2 つ以上のインスタンスをデプロイすると、Application Gateway v1 SKU は高可用性のシナリオをサポートします。The Application Gateway v1 SKU supports high availability scenarios when you have two or more instances deployed. Azure は、これらのインスタンスを更新ドメインと障害ドメインに分散して、すべてのインスタンスで同時に障害が発生しないようにします。Azure distributes these instances across update and fault domains to ensure that all instances do not fail at the same time. v1 SKU では、同じゲートウェイの複数のインスタンスを追加して負荷を共有することによってスケーラビリティをサポートします。The v1 SKU supports scalability by adding multiple instances of the same gateway to share the load.

v2 SKU では、新しいインスタンスが障害ドメインと更新ドメインに自動的に分散されるようにします。The v2 SKU automatically ensures that new instances are spread across fault domains and update domains. ゾーンの冗長性が選択されている場合は、ゾーン障害回復性を提供するために、最新のインスタンスが可用性ゾーンにも分散されます。If zone redundancy is chosen, the newest instances are also spread across availability zones to offer zonal failure resiliency.

Application Gateway を使用して複数のデータ センター間で障害復旧のシナリオを実現するにはどうすればよいですか?How do I achieve DR scenario across data centers with Application Gateway?

お客様は、Traffic Manager を使用して、異なるデータ センターにある複数の Application Gateway にトラフィックを分散できます。Customers can use Traffic Manager to distribute traffic across multiple Application Gateways in different datacenters.

自動スケールはサポートされていますか?Is autoscaling supported?

はい、Application Gateway v2 SKU では、自動スケールをサポートします。Yes, the Application Gateway v2 SKU supports autoscaling. 詳細については、「自動スケールとゾーン冗長 Application Gateway (パブリック プレビュー)」を参照してください。For more information, see Autoscaling and Zone-redundant Application Gateway (Public Preview).

手動でのスケールアップまたはスケールダウンによってダウンタイムが発生しますか?Does manual scale up/down cause downtime?

ダウンタイムは発生しません。There is no downtime. インスタンスはアップグレード ドメインと障害ドメインに分散されます。Instances are distributed across upgrade domains and fault domains.

Application Gateway は接続のドレインに対応していますか?Does Application Gateway support connection draining?

はい。Yes. 中断することなくバックエンド プール内のメンバーを変更するように接続のドレインを構成できます。You can configure connection draining to change members within a backend pool without disruption. そのため、既存の接続がある場合、その接続が閉じられるか、構成可能なタイムアウトに達するまで、以前の宛先に送信し続けることができます。This allows existing connections to continue to be sent to their previous destination until either that connection is closed or a configurable timeout expires. 接続のドレインは、現在処理中の接続が完了するまで待機するだけです。Connection draining only waits for current in-flight connections to complete. Application Gateway は、アプリケーションのセッション状態を認識しません。Application Gateway is not aware of application session state.

インスタンスを中断せずにサイズを中から大に変更できますか?Can I change instance size from medium to large without disruption?

はい。Azure は、インスタンスを更新ドメインと障害ドメインに分散して、すべてのインスタンスで同時に障害が発生しないようにします。Yes, Azure distributes instances across update and fault domains to ensure that all instances do not fail at the same time. Application Gateway は、同じゲートウェイの複数のインスタンスを追加して負荷を共有することによるスケーリングをサポートします。Application Gateway supports scaling by adding multiple instances of the same gateway to share the load.

構成Configuration

Application Gateway は常に仮想ネットワークにデプロイされますか?Is Application Gateway always deployed in a virtual network?

はい。Application Gateway は常に仮想ネットワーク サブネットにデプロイされます。Yes, Application Gateway is always deployed in a virtual network subnet. このサブネットには Application Gateway のみを含めることができます。This subnet can only contain Application Gateways. Application Gateway のサブネットの考慮事項については、仮想ネットワークとサブネットの要件に関するページをご覧ください。See virtual network and subnet requirements to understand the subnet considerations for Application Gateway.

Application Gateway は、仮想ネットワークの外部にあるインスタンスまたはサブスクリプションの外部にあるインスタンスと通信できますか?Can Application Gateway communicate with instances outside of the virtual network it is in or outside of the subscription it is in?

Application Gateway は IP 接続がある限り、仮想ネットワークの外部にあるインスタンスまたはサブスクリプションの外部にあるインスタンスと通信できます。Application Gateway can communicate with instances outside of the virtual network that it is in or outside of the subscription it is in, as long as there is IP connectivity. 内部 IP をバックエンド プールのメンバーとして使用する場合は、VNET ピアリングまたは VPN Gateway が必要です。If you plan to use internal IPs as backend pool members, then it requires VNET Peering or VPN Gateway.

アプリケーション ゲートウェイ サブネット内に何か他にデプロイできるものはありますか?Can I deploy anything else in the application gateway subnet?

いいえ。ただし、サブネット内に他のアプリケーション ゲートウェイをデプロイすることはできます。No, but you can deploy other application gateways in the subnet.

ネットワーク セキュリティ グループはアプリケーション ゲートウェイ サブネットでサポートされますか?Are Network Security Groups supported on the application gateway subnet?

Application Gateway サブネットでサポートされるネットワーク セキュリティ グループについて学習するには、Application Gateway のサブネットに関するネットワーク セキュリティ グループの制限に関するページを参照してください。See Network Security Groups restrictions on the Application Gateway subnet learn about the Network Security Groups supported on the application gateway subnet.

ユーザー定義ルートは Application Gateway サブネットでサポートされますか?Are user-defined routes supported on the application gateway subnet?

Application Gateway サブネットでサポートされるユーザー定義ルートについては、ユーザー定義ルートの制限に関するページをご覧ください。See user-defined routes restrictions to learn about the user-defined routes supported on the application gateway subnet.

Application Gateway にはどのような制限がありますか?What are the limits on Application Gateway? これらの制限値を引き上げることはできますか?Can I increase these limits?

制限については、「Application Gateway の制限」をご覧ください。See Application Gateway Limits to view the limits.

Application Gateway を外部と内部の両方のトラフィックに同時に使用できますか?Can I use Application Gateway for both external and internal traffic simultaneously?

はい。Application Gateway では、アプリケーション ゲートウェイごとに 1 つの内部 IP と 1 つの外部 IP をサポートできます。Yes, Application Gateway supports having one internal IP and one external IP per application gateway.

VNET ピアリングはサポートされていますか?Is VNet peering supported?

はい。VNET ピアリングはサポート対象であり、他の仮想ネットワークにおけるトラフィックの負荷分散に適しています。Yes, VNet peering is supported and is beneficial for load balancing traffic in other virtual networks.

ExpressRoute または VPN トンネルによって接続されているオンプレミスのサーバーと通信できますか?Can I talk to on-premises servers when they are connected by ExpressRoute or VPN tunnels?

はい。トラフィックが許可されている限り、通信可能です。Yes, as long as traffic is allowed.

1 つのバックエンド プールが複数のポートで多数のアプリケーションを提供することはできますか?Can I have one backend pool serving many applications on different ports?

マイクロ サービス アーキテクチャがサポートされています。Micro service architecture is supported. 複数のポートでプローブを実行するには、複数の HTTP 設定を構成する必要があります。You would need multiple http settings configured to probe on different ports.

カスタム プローブは応答データでワイルドカード/正規表現をサポートしますか?Do custom probes support wildcards/regex on response data?

カスタム プローブは応答データでワイルドカードまたは正規表現をサポートしません。Custom probes do not support wildcard or regex on response data.

ルールはどのように処理されますか?How are rules processed?

Application Gateway でルーティング規則が処理される方法を理解するには、「規則を処理する順序」を参照してください。See Order of processing rules to understand how routing rules are processes in Application Gateway.

カスタム プローブの [ホスト] フィールドは何を表しますか?What does the Host field for custom probes signify?

[ホスト] フィールドは、プローブの送信先の名前を指定します。Host field specifies the name to send the probe to. Application Gateway でマルチサイトが構成されている場合にのみ適用されます。それ以外の場合は、"127.0.0.1" を使用します。Applicable only when multi-site is configured on Application Gateway, otherwise use '127.0.0.1'. この値は VM ホスト名とは異なり、<プロトコル>://<ホスト>:<ポート><パス> という形式になります。This value is different from VM host name and is in format <protocol>://<host>:<port><path>.

Application Gateway アクセスを少数のソース IP に限定できますか?Can I whitelist Application Gateway access to a few source IPs?

はい。Yes. ホワイトリスト登録したソース IP のみが Application Gateway にアクセスできるようにする方法については、特定のソース IP へのアクセスの制限に関するページをご覧ください。See restrict access to specific source IPs to understand how to ensure that only whitelisted source IPs can access the Application Gateway.

パブリック側のリスナーとプライベート側のリスナーの両方に同じポートを使用できますか?Can the same port be used for both public and private facing listeners?

いいえ、これはサポートされていません。No, this is not supported.

構成 - SSLConfiguration - SSL

Application Gateway ではどの証明書がサポートされますか?What certificates are supported on Application Gateway?

自己署名証明書、CA 証明書、EV 証明書、およびワイルドカード証明書がサポートされています。Self-Signed certs, CA certs, EV certs, and wild-card certs are supported.

Application Gateway でサポートされている最新の暗号スイートはどれですか?What are the current cipher suites supported by Application Gateway?

Application Gateway でサポートされている最新の暗号スイートは次のとおりです。The following are the current cipher suites supported by Application Gateway. SSL オプションのカスタマイズ方法については、「Configure SSL policy versions and cipher suites on Application Gateway」(Application Gateway で SSL ポリシーのバージョンと暗号スイートを構成する) をご覧ください。See Configure SSL policy versions and cipher suites on Application Gateway to learn how to customize SSL options.

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHATLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHATLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHATLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHATLS_DHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_GCM_SHA256TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA256TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHATLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHATLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHATLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHATLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_DSS_WITH_AES_256_CBC_SHA256TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
  • TLS_DHE_DSS_WITH_AES_128_CBC_SHA256TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
  • TLS_DHE_DSS_WITH_AES_256_CBC_SHATLS_DHE_DSS_WITH_AES_256_CBC_SHA
  • TLS_DHE_DSS_WITH_AES_128_CBC_SHATLS_DHE_DSS_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHATLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHATLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA

Application Gateway ではバックエンドへのトラフィックの再暗号化もサポートされていますか?Does Application Gateway also support re-encryption of traffic to the backend?

はい。Application Gateway は SSL オフロードとエンド ツー エンド SSL をサポートしており、バックエンドへのトラフィックが再暗号化されます。Yes, Application Gateway supports SSL offload, and end to end SSL, which re-encrypts the traffic to the backend.

SSL プロトコルのバージョンを管理する SSL ポリシーを構成できますか?Can I configure SSL policy to control SSL Protocol versions?

はい。TLS1.0、TLS1.1、および TLS1.2 を拒否するように Application Gateway を構成できます。Yes, you can configure Application Gateway to deny TLS1.0, TLS1.1, and TLS1.2. SSL 2.0 および 3.0 は既定で無効になっているため、構成できません。SSL 2.0 and 3.0 are already disabled by default and are not configurable.

暗号スイートおよびポリシーの順序は構成できますか?Can I configure cipher suites and policy order?

はい、暗号スイートの構成はサポートされています。Yes, configuration of cipher suites is supported. カスタム ポリシーを定義する際、次の暗号スイートを 1 つ以上有効にする必要があります。When defining a custom policy, at least one of the following cipher suites must be enabled. アプリケーション ゲートウェイでは、バックエンドの管理に SHA256 を使用します。Application gateway uses SHA256 to for backend management.

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_128_GCM_SHA256TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA256TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256TLS_RSA_WITH_AES_128_CBC_SHA256

いくつの SSL 証明書がサポートされていますか?How many SSL certificates are supported?

サポートされている SSL 証明書は最大 100 個です。Up to 100 SSL certificates are supported.

バックエンドの再暗号化用として、いくつの認証証明書がサポートされていますか?How many authentication certificates for backend re-encryption are supported?

サポートされている認証証明書は最大 10 個 (既定値は 5 個) です。Up to 10 authentication certificates are supported with a default of 5.

Application Gateway は Azure Key Vault とネイティブに統合されますか?Does Application Gateway integrate with Azure Key Vault natively?

いいえ。Azure Key Vault とは統合されません。No, it is not integrated with Azure Key Vault.

.com および .net サイトの HTTPS リスナーはどのように構成すればよいですか?How to configure HTTPS listeners for .com and .net sites?

複数ドメインベース (ホストベース) のルーティングでは、マルチサイト リスナーを作成し、リスナー構成でプロトコルとして HTTPS を選択し、リスナーとルーティング規則を関連付けることができます。For multiple domain-based (host-based) routing, you can create multi-site listeners, choose HTTPS as the protocol in listener configuration and associate the listeners with the routing rules. 詳しくは、「Application Gateway の複数サイトのホスト」をご覧ください。For more details, see hosting multiple sites with Application Gateway.

構成 - Web Application Firewall (WAF)Configuration - Web Application Firewall (WAF)

WAF SKU は、Standard SKU で使用可能なすべての機能を提供しますか?Does the WAF SKU offer all the features available with the Standard SKU?

はい。WAF は標準 SKU に含まれるすべての機能をサポートします。Yes, WAF supports all the features in the Standard SKU.

Application Gateway がサポートするのはどの CRS バージョンですか?What is the CRS version Application Gateway supports?

Application Gateway は CRS 2.2.9 と CRS 3.0 をサポートします。Application Gateway supports CRS 2.2.9 and CRS 3.0.

WAF を監視するにはどうすればよいですか?How do I monitor WAF?

WAF は診断ログを通じて監視されます。診断ログについて詳しくは、「Application Gateway のバックエンドの正常性、診断ログ、およびメトリック」をご覧ください。WAF is monitored through diagnostic logging, more information on diagnostic logging can be found at Diagnostics Logging and Metrics for Application Gateway

検出モードではトラフィックがブロックされますか?Does detection mode block traffic?

いいえ。検出モードは、WAF ルールをトリガーしたトラフィックをログに記録するだけです。No, detection mode only logs traffic, which triggered a WAF rule.

WAF ルールはカスタマイズできますか?Can I customize WAF rules?

はい、WAF ルールはカスタマイズできます。Yes, WAF rules are customizable. 詳しくは、WAF ルール グループとルールのカスタマイズに関するページをご覧くださいFor more information, see Customize WAF rule groups and rules

現在使用できるのはどのようなルールですか?What rules are currently available

現在、WAF は CRS 2.2.9 と CRS 3.0 をサポートしています。CRS 2.2.9 と CRS 3.0 は、Open Web Application Security Project (OWASP) が特定した 10 の脆弱性 (OWASP Top 10 の脆弱性に関するページをご覧ください) のほとんどに対するベースライン セキュリティを提供します。WAF currently supports CRS 2.2.9 and 3.0, which provide baseline security against most of the top 10 vulnerabilities identified by the Open Web Application Security Project (OWASP) found here OWASP top 10 Vulnerabilities

  • SQL インジェクションからの保護SQL injection protection

  • クロス サイト スクリプティングからの保護Cross site scripting protection

  • 一般的な Web 攻撃からの保護 (コマンド インジェクション、HTTP 要求スマグリング、HTTP レスポンス スプリッティング、リモート ファイル インクルード攻撃など)Common Web Attacks Protection such as command injection, HTTP request smuggling, HTTP response splitting, and remote file inclusion attack

  • HTTP プロトコル違反に対する保護Protection against HTTP protocol violations

  • HTTP プロトコル異常に対する保護 (ホスト ユーザー エージェントと承認ヘッダーが見つからない場合など)Protection against HTTP protocol anomalies such as missing host user-agent and accept headers

  • ボット、クローラー、スキャナーの防止Prevention against bots, crawlers, and scanners

  • 一般的なアプリケーション構成ミスの検出 (Apache、IIS など)Detection of common application misconfigurations (that is, Apache, IIS, etc.)

WAF は DDoS 防止もサポートしますか?Does WAF also support DDoS prevention?

はい。Yes. アプリケーション ゲートウェイがデプロイされている VNet 上で DDos Protection を有効にすることができます。You can enable DDos protection on the VNet where the application gateway is deployed. これにより、Azure DDos Protection サービスを使用してアプリケーション ゲートウェイ VIP も確実に保護されます。This ensures that the application gateway VIP is also protected using the Azure DDos Protection service.

診断とログDiagnostics and Logging

Application Gateway ではどのような種類のログを使用できますか?What types of logs are available with Application Gateway?

Application Gateway で使用できるログは 3 つあります。There are three logs available for Application Gateway. これらのログとその他の診断機能について詳しくは、「Application Gateway のバックエンドの正常性、診断ログ、およびメトリック」をご覧ください。For more information on these logs and other diagnostic capabilities, see Backend health, diagnostics logs, and metrics for Application Gateway.

  • ApplicationGatewayAccessLog - アクセス ログには、アプリケーション ゲートウェイ フロントエンドに送信された各要求が格納されます。ApplicationGatewayAccessLog - The access log contains each request submitted to the application gateway frontend. このデータには、呼び出し元の IP、要求された URL、応答の待機時間、リターン コード、入出力バイトが含まれます。アクセス ログは 300 秒ごとに収集されます。The data includes the caller's IP, URL requested, response latency, return code, bytes in and out. Access log is collected every 300 seconds. このログには、アプリケーション ゲートウェイのインスタンスごとに 1 つのレコードが含まれます。This log contains one record per instance of an application gateway.
  • ApplicationGatewayPerformanceLog - パフォーマンス ログでは、インスタンスごとのパフォーマンス情報 (処理された要求の総数、スループット (バイト単位)、失敗した要求の数、正常および異常なバックエンド インスタンスの数など) が取得されます。ApplicationGatewayPerformanceLog - The performance log captures performance information on per instance basis including total request served, throughput in bytes, total requests served, failed request count, healthy and unhealthy back-end instance count.
  • ApplicationGatewayFirewallLog - ファイアウォール ログには、Web アプリケーション ファイアウォールが構成されたアプリケーション ゲートウェイの、検出モードまたは防止モードでログに記録された要求が含まれます。ApplicationGatewayFirewallLog - The firewall log contains requests that are logged through either detection or prevention mode of an application gateway that is configured with web application firewall.

バックエンド プールのメンバーが正常かどうかを確認するにはどうすればよいですか?How do I know if my backend pool members are healthy?

PowerShell コマンドレット Get-AzApplicationGatewayBackendHealth を使用するか、またはポータルから正常性を確認できます (「Application Gateway のバックエンドの正常性、診断ログ、およびメトリック」をご覧ください)。You can use the PowerShell cmdlet Get-AzApplicationGatewayBackendHealth or verify health through the portal by visiting Application Gateway Diagnostics

診断ログにおける保持ポリシーとは何ですか?What is the retention policy on the diagnostics logs?

診断ログはお客様のストレージ アカウントに送信され、お客様はログの優先順位に基づいて保持ポリシーを設定できます。Diagnostic logs flow to the customers storage account and customers can set the retention policy based on their preference. 診断ログをイベント ハブまたは Azure Monitor ログに送信することもできます。Diagnostic logs can also be sent to an Event Hub or Azure Monitor logs. 詳しくは、Application Gateway の診断に関する記事をご覧ください。See Application Gateway Diagnostics for more details.

Application Gateway の監査ログを取得するにはどうすればよいですか?How do I get audit logs for Application Gateway?

Application Gateway では監査ログを使用できます。Audit logs are available for Application Gateway. ポータルで、Application Gateway のメニュー ブレードの [アクティビティ ログ] をクリックして監査ログにアクセスします。In the portal, click Activity Log on the menu blade of an application gateway to access the audit log.

Application Gateway でアラートを設定できますか?Can I set alerts with Application Gateway?

はい、Application Gateway では、アラートをサポートしています。Yes, Application Gateway does support alerts. メトリックに関するアラートが構成されます。Alerts are configured on metrics. Application Gateway のメトリックの詳細については、Application Gateway のメトリックに関する記事を参照してください。See Application Gateway Metrics to learn more about Application Gateway metrics. アラートについて詳しくは、「アラート通知の受信」をご覧ください。To learn more about alerts, see Receive alert notifications.

Application Gateway のトラフィック統計情報を分析するにはどうすればよいですか?How do I analyze traffic statistics for Application Gateway?

Azure Monitor ログ、Excel、Power BI などのいくつかのメカニズムを使用して、アクセス ログを表示および分析することができます。You can view and analyze Access logs via several mechanisms such as Azure Monitor logs, Excel, Power BI etc.

Microsoft は、一般的な GoAccess ログ アナライザーをインストールし、Application Gateway アクセス ログに対して実行する、Resource Manager テンプレートも発行しています。We have also published a Resource Manager template that installs and runs the popular GoAccess log analyzer for Application Gateway Access Logs. GoAccess では、ユニーク ビジター、要求されたファイル、ホスト、オペレーティング システム、ブラウザー、HTTP 状態コードなど、重要な HTTP トラフィック統計情報が提供されます。GoAccess provides valuable HTTP traffic statistics such as Unique Visitors, Requested Files, Hosts, Operating Systems, Browsers, HTTP Status codes and more. 詳細については、GitHub の Resource Manager テンプレート フォルダーにある Readme ファイルを参照してください。For more details, please see the Readme file in the Resource Manager template folder in GitHub.

バックエンドの正常性から不明な状態が返されるのですが、この状態はどのような原因が考えられますか?Backend health returns unknown status, what could be causing this status?

最も一般的な原因は、バックエンドへのアクセスが NSG、カスタム DNS によってブロックされるか、または Application Gateway サブネット上に UDR が存在することです。The most common reason is access to the backend is blocked by an NSG, custom DNS, or you have a UDR on the application gateway subnet. 詳しくは、「Application Gateway のバックエンドの正常性、診断ログ、およびメトリック」をご覧ください。See Backend health, diagnostics logging, and metrics for Application Gateway to learn more.

次の手順Next Steps

Application Gateway の詳細については、「Azure Application Gateway とは」を参照してください。To learn more about Application Gateway see What is Azure Application Gateway?