Tips
Azure アプリケーションゲートウェイ v2にはプライベートIPが付与されるのはご存知でしょうか。フロントエンドとして割り当てられるIPの方ではありません。
サーバー側などのログを確認するとわかると思いますが通常はアプリケーションゲートウェイ用のサブネットの中から振り当てられます。
最低2つは割り当てられます。スケールすると増えます。仮想ネットワーク内で通信をするんだから当たりまえといえばそうです。
実はアクセスすることができます。
これは前から気になっていた現象の一つです。
下記のようにフロントエンドIPをパブリックのみで作成している状態でもプライベートIPを持ちます。両方を選択した場合でも同じです。
この場合、内部からアプリケーションゲートウェイ経由で通信は行えないと思うと思いますが、実は自動的に振り当てられたIPアドレス経由でアクセスすることが可能です。
これは正常性プローブで設定しているエンドポイントのポートが開いています。
またバックエンドが複数ある場合にもちゃんとバランシングしてくれます。
これを利用することは推奨しません。
なにかセキュリティ的にも気持ち悪いですね。
アプリケーションゲートウェイ用のサブネットにはNSGを適用することで回避することもできます。
