これまで Azure Front Door には SKU が存在していませんでしたが、先週に Front Door に新しく Standard と Premium の SKU が追加されたバージョンが Public Preview として公開されました。

事前に REST API リファレンスには登場していたので知っていましたが、ARM 的にはこれまでの Front Door とは異なり CDN 寄りなのが大きな違いのように感じます。

機能的には今のところはこれまでの Front Door と大きな差はないのですが、Premium では Private Link を使ったオリジンへの安全なアクセスが行える機能が追加されています。これが今回の目玉機能でしょう。

本当にそれ以外は大きな差は無いと思います。Rule set を優先順位付きでの複数指定や、証明書の管理がわかりやすくなったなどいろいろありますが、CDN としての機能を見ると差はないです。

話を Private Link に戻すと、これまでオリジンのロックダウンには以前書いたように、アクセス元の広い IP Range を登録するか、特殊な HTTP リクエストヘッダーを見るしか方法が無かったです。

しかし Premium の場合は Private Link 経由でのアクセスを設定できるので、確実かつ簡単に Front Door 以外からのアクセスを遮断することが出来ます。CDN の各エッジから Private Link で見る仕組みが謎ではありますが、セキュリティ要件で確実に遮断が必要な場合には有効でしょう。

早速 Premium の Front Door を作成して App Service と Storage Account に対して Private Link 設定を試してみるわけですが、リソースの作成画面が大きく変わりました。単純な SKU だけではなく、ユースケースによって適切な Front Door / CDN を選べるようになっています。

とはいえ今回は Premium を試すと決めているので、Preview 版を直接選択してリソースを作成します。

SKU 自体はこの後に選択できるようになっています。説明にもあるように Premium はセキュリティを重視する場合に使うという認識で問題ないです。もちろん Standard に比べると高いです。

新しく Front Door を作成するタイミングで一緒にオリジンの追加も出来るので、前もって作成していた App Service を追加しておきます。"Enable private link service" にチェックを入れると、Private Link の追加設定が必要になりますが、大体は勝手に入ってくれます。

この辺りは Private Endpoint を作成する時と同じなので、追加したことがある人は見慣れたものでしょう。

ちなみに現在 Private Link が使えるリージョンは East US / West US 2 / South Central US だけなので、デプロイ先には注意しましょう。

新しい Front Door Premium (Preview) の Azure Portal はこれまでとは大きく変わっているので、若干戸惑うかもしれませんが Front Door Designer が細分化されたと考えればスムーズに扱えるかと思います。

これで Front Door のデプロイが完了しましたが、エンドポイントにアクセスしてもエラーになると思います。まだ Private Link が Approve されていないので、Front Door からアクセスできないのが原因です。

Private Link の設定を行ったリソースの Private Endpoint connections を確認すると、Front Door からのリクエストが追加されているはずなので、選択してから Approve する必要があります。忘れずに Approve しないといつまで待ってもアクセスできないので注意です。

ドキュメントには Private Link を有効化してからとあったので、とりあえず Private Endpoint を手動で作成しておいたのですが、これは実際には必要ありませんでした。意図としては Premium V2 / V3 などの Private Link に対応した SKU が必要というだけで、VNET と Private DNS Zone は不要という話だったようです。

実際にもう一つ VNET や Private Endpoint の設定が行われていない、まっさらの App Service を作成してみたところ、問題なく Front Door からの Private Link 接続が有効化できました。

この画面に表示されている Private Endpoint は Front Door が内部で管理しているものなので、確認することはできません。Front Door からオリジンを削除すれば自動的に Private Endpoint も削除されます。

Private Endpoint を Approve すれば、Front Door からアクセスできるようになっているはずです。App Service は Private Endpoint を追加すると、自動的に全てのパブリックアクセスは無効化されるので、安全にアクセス出来ていることが確認できます。

次は Storage Account をオリジンに追加して試してみます。単なる Blob ではなくて、使う機会が多いと思われる Static Website をターゲットにして試していますが、現在は Custom で追加するしかないです。

Private Link の設定は App Service とほぼ同じですが、Target sub resource の設定だけは気を付ける必要があります。今回は Static Website を使うので web を指定する必要があります。

オリジンを追加すると App Service の時のように Private Endpoint へのリクエストが追加されているので、同じように Approve することで Front Door からアクセスできるようになります。

ただし Storage Account は Private Endpoint を追加しただけではパブリックアクセスは閉じられないので、Firewall の設定からパブリックアクセスを拒否するように変更する必要があります。

正直なところ Preview だからか Private Link 周りの動作は若干不安定で、反映されるまでに時間がかかったりしますが、しばらく放置した後にアクセスできるようになりました。

オリジンのロックダウンが Private Link で行えるようになったのはかなり良い機能だとは思いますが、Premium が思ったより高いなという印象だったので、基本はこれまで通り Access Restriction などを使って HTTP リクエストベースでロックダウンをしつつ、高いセキュリティレベルが要求される部分は Private Link という使い分けが必要だと思います。

とはいえオリジンへのアクセスを Private Link でシンプルに行えるのは魅力的ですね。

毎日、何回も Azure Portal から App Service / Azure Functions のブレードを開いているので、新しい項目があればすぐに気が付きます。なので今回の Authentication (Preview) も発見が早かったです。

何の変哲もない App Service Authentication (Easy Auth) の設定が新しくなりつつあるという話なのですが、若干の新機能もあったので試しておきます。

ちなみに基本的な考え方は OpenID Connect に対応した新しい Authentication 周りを Azure Portal からも設定できるようにした、という感じです。ファイルベースは気軽ですが IaC との相性は悪かったです。

App Service Authentication の OpenID Connect 対応については以前書いたので紹介しておきます。

ファイルベースの場合は有効化のために ARM Explorer などで設定を変える必要がありましたが、Azure Portal からの場合は当然ながらそう言った設定は不要なので気楽です。

とりあえず新しい Authentication (Preview) を使ってみました。Authentication (Preview) を有効にすると古い Authentication / Authorization の設定は使えなくなるので注意が必要です。

現在の Preview では Microsoft しか Identity Provider を選べないですが、この辺りは今後徐々に増えていくようです。ひっそりと GitHub が増えているのが古い設定との違いです。

よく見ると GitHub が Github になっていて若干 typo していました。そのうち直ると思います。

OpenID Connect がグレーアウトされた選択肢にすら入っていないのが気になりましたが、Twitter で Chris が間もなく追加されると教えてくれたので安心です。

Coming soon. 😉

— Chris Gillum (@cgillum) 2021年1月22日

API 的には OpenID Connect 対応 Provider は他と違って複数追加できるようになるはずなので、その辺りでちょっと時間がかかりそうな気配はあります。この辺りは Azure AD B2C っぽさもありますね。

既に新しい Authentication (Preview) で使われている API は当然ながら ARM Template からも使えるようになっています。リファレンスも公開されているので、読めばどんなことができるのか想像がつきます。

一先ずは現在利用可能な Microsoft を選んで設定を行っていきます。この Microsoft というのは Azure AD のことを指していますが、古い設定でいうところの MSA っぽいので若干混乱します。

この設定画面から Azure AD アプリケーションを作成できるのはこれまで通りですが、Supported account types に Microsoft account 向けの項目が追加されました。

古い Authentication に慣れていたので、この辺り分かりにくいと Twitter で話していたら Chris が背景を説明してくれたのでクリアになりました。

詳細はツイートを読んでもらえばよいですが、今回のアップデートで AAD v2 エンドポイントを使うように変わったので、MSA も Azure AD で同じように扱えるようになったらしいです。

The idea is that AAD + MSA should just be a single "Microsoft Identity Platform". It uses the AAD v2 app registration type, which supports both AAD and MSA. But yeah, if you are used the old Easy Auth UX then this logo change can be a bit confusing...

— Chris Gillum (@cgillum) 2021年1月22日

これまでは v1.0 エンドポイントが使われていたので、MSAL と組み合わせる時にいろいろと苦労がありましたが、新しい Authentication (Preview) では解消されそうです。

後の設定は未認証時の動作設定ぐらいですが、これまで 302 でログイン画面にリダイレクトさせるぐらいしかなかったのが、401 や 403 を明示的に返すオプションが増えていました。

User-Agent によってこれまで 302 リダイレクトさせるかどうかを判別していたので、Web API を App Service Authentication で認証させる場合には明示的な User-Agent の加工や、X-Request-With をリクエストヘッダーに付ける必要がありましたが不要になります。

最後に Azure AD アプリケーションを新規作成する場合は、Graph API のパーミッションを同時に指定できるようになっていました。この辺りは通常の Azure AD アプリケーションを作成する流れと同じでした。

油断すると User.Read のパーミッションが無くなるので気を付けたいところです。というか Azure Portal 側の不具合っぽいのでフィードバックして直してもらおうかと思います。

これで保存すれば Azure AD を使ったログインが有効になるので難しいことはないですね。基本的には UI の変更がメインではありますが、1 点だけ大きな変更点として Client Secret などのセキュアな情報は App Settings に保存されるように変わりました。

OpenID Connect を使うときと同じ仕組みに統一されたという話ですが、知っておかないと ARM Template や Terraform などで設定する時にはまりそうです。

最後になりましたが、既存の Authentication の移行には一度設定を全て削除してから、新しい Authentication の画面から再度行う必要があるので若干面倒です。設定が排他になっているので仕方ないですが、作業中は一瞬認証が外れるので注意する必要があります。

基本的に NuGet に関しては CI でのパッケージのキャッシュがあまり効果的ではないのですが、推奨設定での使い方をちゃんと試しておこうと思ったので残します。

GitHub Actions や Azure Pipelines には NuGet 向けのサンプル定義が用意されています。中身はほぼ一緒なのでサンプル自体も非常に似通ったものになっています。

今回は GitHub Actions で試すので actions/cache@v2 の方のサンプルを持ってきましたが、見慣れない packages.lock.json というファイルのハッシュを使ってキャッシュキーを生成しています。

- uses: actions/cache@v2
  with:
    path: ~/.nuget/packages
    key: ${{ runner.os }}-nuget-${{ hashFiles('**/packages.lock.json') }}
    restore-keys: |
      ${{ runner.os }}-nuget-

ぶっちゃけ今回はこの packages.lock.json に関して試すのがメインです。ファイル名の通り NuGet パッケージの依存関係ロックファイルなのですが、使い方や説明を見た記憶があまりありません。

基本的には NuGet 公式ブログの以下の記事が実質的なリファレンスという感じです。

最近のパッケージマネージャではロックファイルで依存関係のバージョンを固定化して、CI などで利用するのが一般的になっているので、それを NuGet でも利用可能にしたという話です。

特に Floating Version を使っている場合には、ビルドのタイミングでバージョンが変わる可能性もあるので、ロックファイルを使って CI ではバージョンを固定しつつも、開発中には自動で最新バージョンを使うという流れは重要になります。

Docs にも一部だけロックファイルについての説明があるので、上の記事と併せて読みましょう。

メリットはブログにもいろいろと書いてありますが、全てのパッケージ依存関係が書き込まれているので、CI での利用を考えるとキャッシュキーとして最適という訳です。ちなみに csproj はパッケージ以外の情報も含まれるため、キャッシュキーとしては若干非効率です。

早速ロックファイルを有効化してみますが、いくつか方法がある内の csproj にプロパティを追加する方法を選びました。単純に RestorePackagesWithLockFile を追加するとパッケージの復元・更新時にロックファイルが生成されるようになります。

<Project Sdk="Microsoft.NET.Sdk">
  <PropertyGroup>
    <TargetFramework>netcoreapp3.1</TargetFramework>
    <AzureFunctionsVersion>v3</AzureFunctionsVersion>
    <RestorePackagesWithLockFile>true</RestorePackagesWithLockFile>
  </PropertyGroup>
  <ItemGroup>
    <PackageReference Include="Microsoft.NET.Sdk.Functions" Version="3.0.11" />
  </ItemGroup>
  <ItemGroup>
    <None Update="host.json">
      <CopyToOutputDirectory>PreserveNewest</CopyToOutputDirectory>
    </None>
    <None Update="local.settings.json">
      <CopyToOutputDirectory>PreserveNewest</CopyToOutputDirectory>
      <CopyToPublishDirectory>Never</CopyToPublishDirectory>
    </None>
  </ItemGroup>
</Project>

csproj に追加しておくと、これまでと同じようにパッケージの追加や更新の時にロックファイルも自動的に更新されるので、特に意識する必要が無く便利です。

最近の .NET CLI はビルド時にパッケージの復元も自動的に行うので、プロパティを追加してビルドすると以下のようにプロジェクトのルートに packages.lock.json が生成されます。

ロックファイルはちゃんとリポジトリに含めてコミットするようにしましょう。Visual Studio 向けの .gitignore には含まれていないので勝手に入るはずですが、忘れないようにします。

実際にロックファイルを使ってパッケージの復元を行うには dotnet restore に --locked-mode スイッチを渡すのが簡単です。これは Node.js で言うところの npm ci に相当するコマンドになります。

# restore と build を分ける
dotnet restore --locked-mode
dotnet build --no-restore

# build + MSBuild パラメータを渡す
dotnet build -p:RestoreLockedMode=true

依存関係の再評価をロックファイルを使う場合は行う必要が無いので、復元のパフォーマンスが向上するのではと期待しましたが、自分が試した範囲では特に変化を感じませんでした。インストールされたパッケージの数にも寄るかもしれませんが、少し残念でした。

ロックファイルを有効にすると NuGet の Fallback Folder 周りでエラーが出ることもありますが、その場合は DisableImplicitNuGetFallbackFolder プロパティを追加して Fallback Folder を使わないようにします。

この辺りのコマンドを使い分けるのが面倒な場合は Directory.Build.props を以下のような内容で用意しておくと、csproj への設定も既存の Workflow への変更もなしにロックファイルを有効化できます。

<Project>

  <PropertyGroup>
    <RestorePackagesWithLockFile>true</RestorePackagesWithLockFile>
    <RestoreLockedMode Condition="'$(CI)' == 'true'">true</RestoreLockedMode>
  </PropertyGroup>

</Project>

GitHub Actions 向けになっているので CI 環境変数を見るようにしていますが、TF_BUILD を見るように変えれば Azure Pipelines 向けにも出来ます。

実際に GitHub Actions で NuGet パッケージのキャッシュを試してみましたが、予想通りアプリケーションに左右される部分と Agent に依存する部分が多すぎるので、明確な差は出ませんでした。早い時もあれば遅い時もあるので、大体は外部要因でしょう。

もう少し規模の大きいプロジェクトの場合は差が出るかもしれませんが、当然キャッシュの保存と復元にもコストがかかるので、その辺りを上手く吸収できるかは怪しいです。ビルドのパフォーマンス改善という面ではあまり期待できないでしょう。

ただしデフォルトだと常に NuGet からパッケージをダウンロードしているので、NuGet に障害が発生すると CI が通らなくなりますが、パッケージのキャッシュを行うと構成を変えない限りは影響を受けません。

NuGet の障害対策で有効化するのは要件によってはアリだと思います。事前に検証はちゃんとしましょう。

App Service のドキュメントには Managed Identity を使って SQL Database を利用するサンプルが載っていますが、ここのサンプルコードは結構いい加減で特に .NET Core 向けでは使う気がしないものでした。

サンプルコードがダメなだけで SQL Database の設定周りは特に問題ないので、Managed Identity を使って SQL Database を利用したい場合は、このドキュメントを参考に Azure AD のユーザー作成や管理者の追加などを行ってください。

具体的に何がダメかというと .NET Core の場合は以下のような実装を載せているところです。

public class AppDbContext : DbContext
{
    public AppDbContext(DbContextOptions<AppDbContext> options)
        : base(options)
    {
        var connection = (SqlConnection)Database.GetDbConnection();

        // この例だと同期で取るしか方法がない
        connection.AccessToken = new AzureServiceTokenProvider().GetAccessTokenAsync("https://database.windows.net/").Result;
    }

    public DbSet<TodoItem> TodoItems { get; set; }
}

この方法だとローカル開発環境でも Managed Identity が強制されますし、そもそもコンストラクタ内で同期処理でトークン取得してを設定させるのは意味が分からないですね。サンプルとは言えとにかく酷いです。

しかし Microsoft.Data.SqlClient の v2.1.0 からはプロバイダに Managed Identity 対応が追加されたため、上のサンプルのような最悪なコードを書く必要が無くなりました。

最近追加されたのであまり知られていないようですが、ちゃんとドキュメントも用意されています。

同様に Microsoft.Data.SqlClient のリリースノートにも記載されています。

要約すると接続文字列に Authentication=Active Directory Managed Identity を追加するだけで、後は自動的に Managed Identity を使った認証を行ってくれるようになりました。最高ですね。

ちょっと前は App Service や Azure Functions などの System Assigned Managed Identity だと正常に動かなかったようですが、Microsoft.Data.SqlClient v2.1.1 で修正されたとリリースノートに書いてあります。

大きなメリットとして接続文字列を変更するだけで、本番では System Assigned Managed Identity を使いつつも、ローカル開発環境では ID / パスワードや Windows 統合認証でアクセス出来るところにあります。

サンプルコードを書いて試してみましたが、これまでのコードと全く同じで接続文字列のみ違うという状態です。接続文字列の修正だけで Managed Identity が使えるため、移行などの手間が発生しません。

public class Startup : FunctionsStartup
{
    public override void Configure(IFunctionsHostBuilder builder)
    {
        var connectionString = "Server=***.database.windows.net,1433;Database=***;Authentication=Active Directory Managed Identity;";

        builder.Services.AddDbContext<AppDbContext>(options => options.UseSqlServer(connectionString));
    }
}

public class AppDbContext : DbContext
{
    public AppDbContext(DbContextOptions<AppDbContext> options)
        : base(options)
    {
    }

    public DbSet<TodoItem> TodoItems { get; set; }
}

public class TodoItem
{
    public int Id { get; set; }
    public string Title { get; set; }
    public string Body { get; set; }
}

NuGet パッケージに関しては Entity Framework Core が参照しているバージョンが古いため、明示的に新しいバージョンをインストールする必要はありますが、大した手間ではありません。

おまけ的に Function の実装も載せておきます。単純に DI で AppDbContext を受け取って、LINQ でレコードを取得しているだけなので説明するまでもないですが。

public class Function1
{
    public Function1(AppDbContext appDbContext)
    {
        _appDbContext = appDbContext;
    }

    private readonly AppDbContext _appDbContext;

    [FunctionName("Function1")]
    public async Task<IActionResult> Run(
        [HttpTrigger(AuthorizationLevel.Function, "get")] HttpRequest req,
        ILogger log)
    {
        var todoItems = await _appDbContext.TodoItems.AsNoTracking().Take(10).ToArrayAsync();

        return new OkObjectResult(todoItems);
    }
}

この Function を Managed Identity が有効になっている Azure Function にデプロイして、適当に実行してみると正しくレコードが取得できていることが確認できました。

Application Insights で E2E ログを確認してみるとトークンを取得しているのが確認できます。

SQL のログは残念ながら出ていませんが、これは Microsoft.Data.SqlClient で EventSource 名が変わったことに Application Insights 側が追従できていないことによります。

最新のプレビュー版 SDK だと修正されているようなので、ASP.NET Core アプリケーションで使う場合は試してみると良いでしょう。Azure Functions では Runtime がアップデートされるのを待つ必要があります。

既存のコードを変更することなく、パッケージのアップデートと接続文字列の変更だけで Managed Identity を使った認証が行えるようになったので、劇的に使い勝手が良くなりました。IaC との相性もかなり良い感じなので、今後は使っていきたいと思います。

Azure Static Web Apps がリリースされた時に羨ましかった機能として、Pull Request を作成する度にプレビュー用の環境を自動で作成してくれる、というものがありました。レビュー中に実際のアプリケーションを確認できるのは重要なので、App Service でも欲しいと思っていました。

App Service にも Deployment slot という機能があるので、これを使えばいい感じに Pull Request が作成されたタイミングでデプロイまで出来るのではと考えていたので、そろそろ試してみることにしました。

Pull Request が作成された時に Deployment slot の作成とデプロイを行い、Pull Request が閉じられた時に Deployment slot を削除すれば、理論上は 20 個まで同時にプレビュー環境を作成出来るはずです。

実のところ、同じ仕組みは App Service Team Blog で既に運用されているので、もはや目新しいことでもないのですが、最近リリースされた GitHub Actions の Environments と組み合わせてみたかったのです。

早速 GitHub Actions の Workflow をいろいろと出していくので、まずはベースとなる部分を載せておきます。Pull Request トリガーの設定が良く使われるものより多いです。

デプロイするアプリケーションは ASP.NET Core 3.1 で適当に作ったもので、App Service はこの例では Windows ですが Linux でも同じような考え方で実現できるはずです。

name: Staging

on:
  pull_request:
    types: [opened, synchronize, reopened, closed]
    branches: [ main ]

env:
  DOTNET_VERSION: 3.1.x
  AZURE_WEB_APP_NAME: webapp-deploytest-1
  AZURE_RESOURCE_GROUP_NAME: deploytest-rg

jobs:
  build:
    if: github.event_name == 'push' || (github.event_name == 'pull_request' && github.event.action != 'closed')
    runs-on: ubuntu-latest
    steps:
    - uses: actions/checkout@v2

    - name: Use .NET Core ${{ env.DOTNET_VERSION }}
      uses: actions/setup-dotnet@v1
      with:
        dotnet-version: ${{ env.DOTNET_VERSION }}

    - name: Publish projects
      run: dotnet publish -c Release

    - name: Upload artifact
      uses: actions/upload-artifact@v2
      with:
        name: webapp
        path: WebApplication1/*.zip

ビルドしたアプリケーションは自動的に zip にするように設定しておくと CI / CD を構築する上で便利です。MSBuild の定義を置いておくだけで実現できます。方法は以下のエントリを参照してください。

作成した zip は一旦 Artifact としてアップロードしておきます。今回のように Job が分かれている時には前に Job のビルド結果は保持されないはずなので、アップロードしておかないと後続 Job で使えません。

deploy:
  runs-on: ubuntu-latest
  environment:
    name: staging
    url: https://${{ env.AZURE_WEB_APP_NAME }}-pr-${{ github.event.number }}.azurewebsites.net
  needs: build
  steps:
  - name: Download artifact
    uses: actions/download-artifact@v2
    with:
      name: webapp

  - name: Login to Azure
    uses: azure/login@v1
    with:
      creds: ${{ secrets.AZURE_CREDENTIALS }}

  - name: Create staging slot
    run: az webapp deployment slot create -n ${{ env.AZURE_WEB_APP_NAME }} -g ${{ env.AZURE_RESOURCE_GROUP_NAME }} -s pr-${{ github.event.number }} --configuration-source ${{ env.AZURE_WEB_APP_NAME }}

  - name: Deploy staging
    uses: azure/webapps-deploy@v2
    with:
      app-name: ${{ env.AZURE_WEB_APP_NAME }}
      slot-name: pr-${{ github.event.number }}
      package: ./WebApplication1.zip

delete-slot:
  if: github.event_name == 'pull_request' && github.event.action == 'closed'
  runs-on: ubuntu-latest
  steps:
  - name: Login to Azure
    uses: azure/login@v1
    with:
      creds: ${{ secrets.AZURE_CREDENTIALS }}

  - name: Delete staging slot
    run: az webapp deployment slot delete -n ${{ env.AZURE_WEB_APP_NAME }} -g ${{ env.AZURE_RESOURCE_GROUP_NAME }} -s pr-${{ github.event.number }}