Azure DNS に CNAME レコードを追加

先に DNS レコードの追加が必要かと思っていましたが、実は全く関係ないドメイン名でも API Gateway に追加可能のようです。App Service のように検証はしてくれなかったので、この点は注意が必要です。

Consumption 以外では A / CNAME の両方が使えるようですが、CNAME を使うのが安全です。

これで保存すれば、設定したドメイン名で API Management への解決が行えるようになります。

Key Vault に証明書を作成

証明書は API Management へのカスタムドメイン追加時に同時に指定する必要があるので、先に Key Vault 側に証明書を作成しておきます。

自己署名証明書でも問題ないかもしれませんが、今回は Let's Encrypt の証明書を使いました。

Azure DNS と Key Vault を使って Let's Encrypt を作るには、前に作った keyvault-acmebot を使いました。サクサク証明書を Key Vault に作成できるので便利です。

Key Vault を使うと証明書の一元管理が簡単に行えるようになるので、App Service で使う場合でも Key Vault 経由で証明書をインポートした方が便利なことが多いです。

API Management にカスタムドメインと証明書を追加

ここまでで DNS レコードと Key Vault 証明書の準備が完了したので、API Management に設定を追加していきます。Custom domains から Add を選ぶとドメイン追加の画面になります。

ドメインの割当先は Gateway にしておきます。Developer Portal への割り当ても考え方は同じなので、必要な場合は追加しておけばよいです。

ログインに OpenID Connect を使っている場合は、リダイレクト URL の変更も必要になるはずです。

証明書は PFX をアップロードする方法と Key Vault 証明書を参照する方法の 2 つが選べますが、PFX の手動管理は事故の元なので Key Vault を使うようにしていきましょう。

対象となる Key Vault と証明書を選ぶだけなので、非常に簡単に設定できます。

保存しようとすると、初回の場合は以下のようなメッセージが表示されると思うので、Yes を選んで Managed Identity と Key Vault のアクセスポリシーの設定を自動的に行ってもらいましょう。

ドキュメントでは自分で設定が必要という風に書いてありましたが、Azure Portal からの場合は全て自動でやってくれるので便利です。App Service と同様の仕組みですね。

Consumption Tier 以外の場合は設定完了までに 10 数分かかるようなのでしばらく待ちます。Cloud Services で動いてるインスタンスにデプロイしに行っているからか、割と時間がかかります。

設定が完了すれば、追加したカスタムドメインを使って API Management へのアクセスが行えるようになります。Key Vault 証明書を選んだ場合は、更新があれば自動的にアップデートしてくれるようでした。

API を呼び出して確認

設定が完了したので適当に API を呼び出して、カスタムドメインと証明書が設定されているか確認します。

ちゃんと Let's Encrypt で発行した証明書が使われていることが確認できます。

Protocol settings からは SSL/TLS の暗号スイートやプロトコル、HTTP/2 の有無なども設定できるので、要件に合わせて適宜選ぶことができます。デフォルトでは TLS 1.2 のみ有効になっています。

基本的には安全側に倒すような設定になっているので、変更する際はその副作用をしっかりと理解しておく必要があります。ほとんどのケースではデフォルト設定のままで良いはずです。

利用する際には Consumption Tier がかなり良いと感じているので、時間があればスケールについても調べてみたいですね。ちなみに Consumption は App Service 上に作られているので、多少は制限があります。