Azure Firewall 明示的プロキシ機能を使用すると、プライベート接続 (ExpressRoute またはサイト間 VPN) 経由ですべての Azure Arc トラフィックを Azure に安全にルーティングできます。 この機能を使用すると、オンプレミス環境をパブリック インターネットに公開せずに Azure Arc を使用できます。
この記事では、Arc 対応サーバーまたは Kubernetes リソースの転送プロキシとして明示的プロキシ機能を使用して Azure Firewall を構成する手順について説明します。
重要
Azure Firewall 明示的プロキシは現在プレビュー段階です。 ベータ版、プレビュー版、またはその他の一般提供にまだリリースされていない Azure 機能に適用される法的条件については、 Microsoft Azure プレビューの追加使用条件 を参照してください。
Azure Firewall 明示的プロキシ機能のしくみ
Azure Arc エージェントは、転送プロキシを使用して Azure サービスに接続できます。 Azure Firewall 明示的プロキシ機能を使用すると、仮想ネットワーク (VNet) 内の Azure Firewall を Arc エージェントの転送プロキシとして使用できます。
Azure Firewall 明示的プロキシはプライベート VNet 内で動作し、ExpressRoute またはサイト間 VPN 経由で安全に接続できるため、パブリック インターネット アクセスを必要とせずに、すべての Azure Arc トラフィックを Microsoft ネットワーク内の目的の宛先にルーティングできます。
アーキテクチャ図を高解像度でダウンロードするには、 Jumpstart Gem にアクセスしてください。
制限事項と現在の制限事項
- このソリューションでは、転送プロキシとして Azure Firewall 明示的プロキシを使用します。 明示的なプロキシ機能は、TLS 検査をサポートしていません。
- TLS 証明書を Azure Firewall 明示的プロキシに適用することはできません。
- 現在、このソリューションは、Azure Local または Azure Local で実行されている Azure Arc VM ではサポートされていません。
Azure Firewall のコスト
Azure Firewall の価格は、デプロイ時間と処理済みデータの合計に基づきます。 Azure Firewall の価格の詳細については、 Azure Firewall の価格に関するページを参照してください。
前提条件とネットワーク要件
このソリューションを使用するには、次が必要です。
- 既存の Azure VNet。
- オンプレミス環境から Azure VNet への既存の ExpressRoute またはサイト間 VPN 接続。
Azure Firewall を構成する
Azure Firewall で明示的なプロキシ機能を有効にするには、次の手順に従います。
Azure Firewall リソースを作成する
VNet に既存の Azure Firewall がある場合は、このセクションをスキップできます。 それ以外の場合は、次の手順に従って新しい Azure Firewall リソースを作成します。
- ブラウザーから Azure portal にサインインし、 Azure Firewalls ページに移動します。
- [ 作成] を選択して新しいファイアウォールを作成します。
- サブスクリプション、リソース グループ、名前、リージョンを入力します。
- Firewall SKU の場合は、Standard または Premium を選択します。
- 構成に必要に応じて、[ 基本 ] タブの残りの部分を完了します。
- [ 確認と作成] を選択し、[ 作成 ] を選択してファイアウォールを作成します。
詳細については、「 Azure Firewall のデプロイと構成」を参照してください。
明示的プロキシ (プレビュー) 機能を有効にする
Azure Firewall リソースに移動し、ファイアウォール ポリシーに移動します。
[設定] で、[明示的なプロキシ (プレビュー)] ウィンドウに移動します。
[ 明示的なプロキシを有効にする] を選択します。
HTTP および HTTPS ポートに望ましい値を入力します。
注
HTTP ポートには 8080 、HTTPS ポートには 8443 を使用するのが一般的です。
[ 適用] を選択して変更を保存します。
アプリケーションを作成する
Azure Firewall 明示的プロキシの許可リストを作成する場合は、必要に応じて、シナリオに必要なエンドポイントへの通信を許可するアプリケーション ルールを作成できます。
- 該当するファイアウォール ポリシーに移動します。
- [設定] で、[アプリケーション ルール] ウィンドウに移動します。
- [ ルール コレクションの追加] を選択します。
- ルール コレクションの 名前 を指定します。
- その他のルールに基づいて、ルール の優先度 を設定します。
- ルールの 名前 を指定します。
- [ソース] に「*」と入力するか、使用できるソース IP を入力します。
- プロトコルを http:80、https:443 として設定します。
- 宛先を、シナリオに必要な URL のコンマ区切りリストとして設定します。 必要な URL の詳細については、 Azure Arc ネットワークの要件に関するページを参照してください。
- [ 追加] を選択して、ルール コレクションとルールを保存します。
Azure Firewall を転送プロキシとして設定する
次の手順に従って、Azure Firewall を Arc リソースの転送プロキシとして設定します。
Arc 対応サーバー
新しい Arc サーバーのオンボード中に Azure Firewall を転送プロキシとして設定するには:
- オンボード スクリプトを生成します。
-
接続方法をプロキシ サーバーとして設定し、プロキシ サーバーの URL を
http://<Your Azure Firewall’s Private IP>:<Explicit Proxy HTTPS Port>として設定します。 - スクリプトを使用してサーバーをオンボードします。
既存の Arc 対応サーバーの転送プロキシを設定するには、ローカルの Azure Connected Machine Agent CLI を使用して次のコマンドを実行します。
azcmagent config set proxy.url http://<Your Azure Firewall's Private IP>:<Explicit Proxy HTTPS Port>`
Arc 対応 Kubernetes
新しい Kubernetes クラスターのオンボード中に Azure Firewall を転送プロキシとして設定するには、proxy-httpsパラメーターとproxy-httpパラメーターを指定して connect コマンドを実行します。
az connectedk8s connect --name <cluster-name> --resource-group <resource-group> --proxy-https http://<Your Azure Firewall's Private IP>:<Explicit Proxy HTTPS Port> --proxy-http http://<Your Azure Firewall’s Private IP>:<Explicit Proxy HTTPS Port>
既存の Arc 対応 Kubernetes クラスターの転送プロキシを設定するには、次のコマンドを実行します。
az connectedk8s update --proxy-https http://<Your Azure Firewall’s Private IP>:<Explicit Proxy HTTPS Port>
トラブルシューティング
トラフィックが Azure Firewall 明示的プロキシを介して正常にプロキシされていることを確認するには、まず、ネットワークから明示的プロキシにアクセスでき、想定どおりに動作していることを確認する必要があります。 これを行うには、curl -x <proxy IP> <target FQDN> コマンドを実行します。
さらに、Azure Firewall アプリケーション規則ログを表示してトラフィックを確認できます。 明示的なプロキシはアプリケーション ルールに依存するため、次の例に示すように、すべてのログを AZFWApplicationRules テーブルで使用できます。
Private Link の統合
Azure Firewall 明示的プロキシは、Azure Private Link と組み合わせて使用できます。 これらのソリューションを一緒に使用するには、Private Link をサポートしていないエンドポイントへのトラフィックが明示的プロキシ経由でルーティングされるように環境を構成します。一方、Private Link をサポートする Azure Arc エンドポイントへのトラフィックは、明示的なプロキシをバイパスし、代わりに関連するプライベート エンドポイントに直接トラフィックをルーティングできるようにします。
- Arc 対応サーバーの Azure Private Link の場合は、プロキシ バイパス機能を使用します。
- Arc 対応 Kubernetes 用 Azure Private Link (プレビュー) の場合は、クラスターのプロキシスキップ範囲に Microsoft Entra ID、Azure Resource Manager、Azure Front Door、および Microsoft Container Registry エンドポイントを含めます。