Scripted Actions Azure Runbook プライベートエンドポイントの有効化

Avatar
Nerdio Product Support

Scripted Actions Azure Runbook プライベートエンドポイントの有効化

このスクリプトは、Nerdio Manager App Service が SQL データベース、Key Vault、および Automation アカウントとプライベートネットワーク経由で連携できるようにプライベートエンドポイントを追加します。公共インターネットを経由するトラフィックはありません。SQL データベースと Key Vault へのアクセスはプライベートネットワークに制限されています。

  • MakeAppServicePrivate パラメーターを "true" に設定すると、プライベートネットワークまたはピア接続されたネットワーク上のクライアントに App Service へのアクセスを制限できます。

  • 1つ以上の既存のネットワークのリソース ID を指定すると、それらのネットワークが新しいプライベートネットワークにピア接続されます。

  • パラメーターで指定された VNet とサブネットがすでに存在する場合、既存のリソースが使用されます。存在しない場合は、作成されます。

  • このスクリプトによって作成されるリソースの名前(プライベートエンドポイント名など)は、このスクリプトを複製し、スクリプトの先頭にある変数を編集することでカスタマイズできます。

  • このスクリプトを実行する前に、DNS ゾーンやプライベートエンドポイントなどのリソースを作成したい場合は、スクリプトを複製し、作成したリソースに合わせてリソース名を編集できます。スクリプトは、Nerdio Manager と同じリソースグループにある限り、既存のリソースを見つけて使用します。

  • ユーザー別コスト配分リソース(App Service、LAW、Key Vault、App Insights)もプライベートネットワークに配置されます。

  • MakeSaStoragePrivate が "true" の場合、Scripted Actions ストレージアカウントはプライベート VNet に配置されます。

  • ストレージアカウントをプライベートにしながら Azure Runbook 機能を保持するために、ハイブリッド ワーカー VM が作成されます。

    注意: 環境でハイブリッド ワーカー VM を実行すると、Nerdio Manager Azure リソースに追加のコストが発生し、環境に必要ない場合があります。プライベートエンドポイントを使用して Azure Runbook を利用するお勧めの方法は、インラインスクリプトモードで Runbook を実行することです(詳細については Scripted Actions for Azure runbooksを参照してください)。このモードで Runbook を実行すると、ハイブリッド ワーカー VM は必要なくなり、削除できます。

  • AVD VM は、Scripted Actions を実行するためにストレージアカウントへのアクセスが必要です。PeerVnetIds パラメーターを使用して、AVD VNet をプライベートエンドポイントの VNet にピア接続します。

ランタイムパラメーター

次のパラメーターは、ランタイムで指定できます。

ランタイムパラメーター

パラメーター

説明

PrivateLinkVnetName

プライベートエンドポイント用のVNet。VNetが存在しない場合は、作成されます。既存のVNetを指定する場合、VNetまたはそのリソースグループはNerdio Managerにリンクされている必要があります。設定 > Azure環境

VnetAddressRange

プライベートエンドポイントVNetのアドレス範囲。VNetとサブネットがすでに作成されている場合、このパラメーターは無視されます。

PrivateEndpointSubnetName

プライベートエンドポイントサブネットの名前。サブネットが存在しない場合は、作成されます。

PrivateEndpointSubnetRange

プライベートエンドポイントサブネットのアドレス範囲。サブネットがすでに存在する場合は使用されません。

AppServiceSubnetName

App Service サブネット名。サブネットが存在しない場合は、作成されます。

AppServiceSubnetRange

App Service サブネットのアドレス範囲。サブネットがすでに存在する場合は使用されません。

ExistingDNSZonesRG

新しいプライベートエンドポイントで使用するためにすでに構成されたプライベートDNSゾーンがある場合は、ここにそのリソースグループを指定してください。スクリプトは既存のDNSゾーンを見つけて使用します。

注意: このリソースグループはNerdio Managerにリンクされている必要があります。設定 > Azure環境、またはNerdio Managerアプリ登録がリソースグループへのアクセスを許可されている必要があります。

MakeSaStoragePrivate

Scripted Actions ストレージアカウントをプライベートにします。これは、Azure Automation アカウントがストレージアカウントにアクセスできないことを意味します。これに対処するために、スクリプトは、まだ存在しない場合はハイブリッドワーカーVMを作成します。これにより、Nerdio Manager Azureリソースのコストが増加します。このスクリプトを実行する前に、Automation アカウントでハイブリッドワーカーを作成できます。これにより、スクリプトはハイブリッドワーカー VM の作成をスキップします。

このスクリプトまたは手動でハイブリッドワーカーを作成した後は、新しいハイブリッドワーカーを使用するためにNerdio Managerを更新する必要があります。

  1. Nerdio Managerで、設定 > Nerdio環境に移動します。

  2. Azure Runbook Scripted Actionsタイルで、有効にするを選択します。

  3. ドロップダウンリストから新しいハイブリッドワーカーグループを選択します。

PeerVnetIds

任意有効な値は「すべて」またはプライベートエンドポイントVNetにピアリングするVNetsのAzureリソースIDのカンマ区切りリストです。「すべて」が選択されている場合、Nerdio Managerが管理するすべてのVNetがピアリングされます。VNetまたはそのリソースグループは、Nerdio Managerにリンクされている必要があります。設定 > Azure環境

MakeAzureMonitorPrivate

警告: Azure Monitorは一部の共有エンドポイントを使用しているため、単一のリソースのためにプライベートリンクを設定すると、すべてのリソースへのトラフィックに影響を与えるDNS構成が変更されます。既存のLog Analytics ワークスペースや Insights がある場合は、これを有効にしない方が良いかもしれません。潜在的な影響を最小限に抑えるために、このスクリプトは取り込みとクエリアクセスモードを「オープン」に設定し、Nerdio Managerリソースのパブリックアクセスを無効にします。このスクリプトをクローンして、AMPLS設定変数を変更することで、これを変更できます。

MakeAppServicePrivate

Nerdio Managerアプリへのアクセスを制限します。「true」に設定されている場合、このスクリプトによって作成されたVNetまたはピアリングされたVNet上のホストのみがApp ServiceのURLにアクセスできます。

警告: このオプションを有効にすると、Nerdio Managerにアクセスできなくなる可能性があります。

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています
他にご質問がございましたら、リクエストを送信してください

関連記事

コメント (0件のコメント)

サインインしてコメントを残してください。