App Service を強化する
Nerdio Manager は複数の PaaS サービスで構成されています。Nerdio Manager アプリへのエントリーポイントは App Service です。デフォルトでは、Nerdio Manager App Service は Entra ID 認証(MFA および条件付きアクセスを含む)で保護されており、インターネット上のどこからでもアクセス可能です。アクセス制限の使用やプライベートエンドポイントの有効化により、Nerdio Manager App Service をさらに保護できます。
注意: Azure App Services にはデフォルトで FTP サービスも有効になっています。これらは Nerdio Manager に対して完全に無効できます。
要件
VNet 統合を使用するには、場合によっては App Service プランが Standard、Premium、PremiumV2、または PremiumV3 である必要があります。一部の Basic プランは VNet 統合をサポートしていることに注意してください。詳細については、次を参照してください。
Nerdio Manager App Service のアクセス制限を構成する
Nerdio Manager App Service のアクセス制限を構成して、許可されたネットワークのみが接続できるようにします。
-
Azure ポータルで、App Services に移動し、Nerdio Manager App Service リソースを選択します。
注意: 通常、名前は nmw-app-xxxxxxxxx の形式です。
-
左側のメニューで、設定 > ネットワーキング に移動します。
注意: デフォルトでは、構成はすべてのアクセスを許可するようになっています。
受信トラフィック セクションで、アクセス制限 を選択します。
[+ 追加] を選択します。
新しいルールの 名前 と 説明 を入力します。
アクション が 許可 に設定されていることを確認してください。
-
アクセスを許可するためのソースIPアドレスブロックを指定してください。
注意: これにより、他のすべての場所からのアクセスを防ぐために、新しい すべて拒否 ルールがリストに自動的に追加されます。
[ルールを追加] を選択します。
すべてのルールが適用されたら、App Service > [あなたのNerdio ManagerApp Service名] > 設定 > ネットワーキング > パブリックネットワークアクセス制限 に移動します。
サイトアクセスとルールの下で、高度なツールサイトタブを選択し、メインサイトルールを使用オプションを選択します。
数分後、Nerdio Managerアプリには、許可された IP 範囲からのみ接続できるようになります。
Nerdio ManagerApp Serviceにプライベートエンドポイントを作成します。
Nerdio ManagerApp Service にプライベートエンドポイントを作成すると、トラフィックはパブリックインターネットではなく、あなたの VNet およびプライベート IP 空間を経由して流れるようになります。
Nerdio ManagerApp Serviceにプライベートエンドポイントを作成するには:
-
Azureポータルで、Nerdio Manager App Serviceリソースを選択します。
注意: 通常、名前は nmw-app-xxxxxxxxx の形式です。
左側のメニューで、[設定] > [ネットワーキング] に移動します。
受信トラフィックセクションで、追加を選択します。
プライベートエンドポイントのカスタム名前を入力します。
あなたのVNetを含むサブスクリプションを選択します。
プライベートエンドポイントを接続するVNetとサブネットを選択します。
-
オプションで、あなたのVNet DNS構成に応じて、プライベートDNSゾーンと統合オプションを選択できる場合があります。
注:
ほとんどの顧客は、内部AD環境をターゲットにしたカスタムDNSサーバーを指定します。この場合、このオプションは無効になる可能性があります。
プライベートDNSゾーンと統合が有効でない場合は、DNSがプライベートエンドポイントを正しく解決するように構成されていることを確認してください。詳細については、Azure プライベートエンドポイント DNS 構成を参照してください。
プライベートエンドポイントを保存するには、OKを選択します。
数分後、Nerdio Managerの App Service への接続でパブリック IP アドレスにルーティングされているものは拒否されます。Nerdio Manager の URL をプライベートエンドポイント IP アドレスに解決する接続のみが成功します。
Nerdio Manager App Service の FTP サービスを無効にします。
Nerdio Manager App Service の FTP サービスを無効にすると、不要なアクセスを防ぎ、セキュリティ ベストプラクティスに沿った運用ができます。
-
Azure ポータルで、Nerdio Manager App Service リソースを選択します。
注意: 通常、名前は nmw-app-xxxxxxxxx の形式です。
左側のメニューで、設定 > 構成 に移動します。
一般設定 タブに移動します。
FTP 状態 セレクターで、オプションを すべて許可(デフォルト)から 無効に変更します。
保存を選択します。
Nerdio Managerの App Service の FTP サービスは現在無効になっています。
VNet 統合を有効にします。
App Service の VNet 統合を有効にすると、アウトバウンドトラフィックのために App Service を VNet に接続できます。これにより、パブリックインターネットを経由せず、プライベートエンドポイントを通じてのみアクセス可能な他の強化された Nerdio Manager リソース(例:ストレージ、Key Vault、SQL)に、App Service から安全にアクセスできるようになります。
開始する前に、次の前提条件を満たしていることを確認してください:
App Service プランは、VNet 統合をサポートするティアにある必要があります。詳細については、Azure App Serviceをアップグレードします。を参照してください。
App Service を Azure ネットワークに接続するために使用できる仮想ネットワーク(VNet)を構成する必要があります。この仮想ネットワークは、Nerdio ManagerがHTTPS(TCP/443)経由でNerdioライセンスサーバーと通信するためにアウトバウンドアクセスも必要です。ライセンスサーバーのURLは、https://nwp-web-app.azurewebsites.net/です。
Nerdio ManagerのApp ServiceのVNet 統合を有効にするには:
Azureポータルで、App Servicesに移動します。
-
Nerdio Manager App Serviceを選択します。
注意: 通常、次の形式の名前があります: nmw-app-xxxxxxxxx。
左側のメニューで、設定 > ネットワーキングに移動します。
アウトバウンドトラフィックの構成の下で、仮想ネットワーク統合で、未構成を選択します。
仮想ネットワーク統合で、仮想ネットワーク統合の追加を選択します。
-
開いた右側のペインで、使用したい仮想ネットワークを追加します:
サブスクリプション: サブスクリプションを選択します。
仮想ネットワーク: 仮想ネットワークを選択します。
サブネット: サブネットを選択します。
注:
VNet 統合には、App Service専用に委任されたサブネットが必要です。このサブネットは、他のAzureリソースと共有することはできません。
統合のために選択されたサブネットは、/28以上である必要があります。
未使用のサブネットが利用できない場合、またはすべての既存のサブネットが他のサービスに既に委任されている場合、統合のために追加のサブネットを作成する必要があるかもしれません。
-
接続を選択します。
VNetが統合されました。
Nerdio Managerが正しく機能するために、VNet 統合ファイアウォール要件で指定されたアドレスへのアクセスを許可してください。
コメント (0件のコメント)