今日のお勉強メモ
主にAzure FrontDoorのドキュメントを見てたのですが、 色々知らないところあったのでメモ。(主にSSL周りかもです)
Azure FrondDoor
Azureで可用性向上のため、東西の日本リージョン分散させたいとかなると出てくる選択肢として、 FrontDoorというサービスがあります。
個人的にへえと思った機能は以下の通り。
- 「ルールエンジンの構成」で合致した条件に応じて任意のリクエストやレスポンスヘッダを付与できる。 例えば、デバイスの種類がモバイルだったらとかメソッドがPOSTだったらなどの条件に合致したらX-xxxヘッダ付けたりとか。
- FD裏のバックエンド達は別にオンプレでも他のクラウドプロバイダーでもOK
IPベースとSNI(ネームベース)のSSL
一昔前の話っぽいですが、基本的に1つのサーバ(パブリックIP)に対して証明書は1つの制限がありました。
これの影響で、1つのサーバに色々なユーザ(ドメイン)が乗っかると、いきなりURLが変わったりとか不都合が生じていたそうな。 それがIPベースの方です。
それを解決するための技術がSNIであり、 単一のIPアドレスと複数のドメインのそれぞれで別のSSLサーバー証明書を使うことができる。
マルチドメイン(SANs)証明書
ワイルドカード証明書は利用している方も多いのではないでしょうか。 サブドメインをカバーする*.がついているものですね。
対してSANs証明書の方は、「異なるドメイン」のWebサイトを1つのSSL証明書でカバーができる。
次勉強すること
まだFrontDoorのDoc読み切ってないので概念あたりから読む。 AzureのWebApplicationFirewallについてまとめたい。(多機能!)