Key Vault を強化する

Key Vault は、キー、シークレット、および証明書の安全な格納とアクセスを可能にします。SQL 接続も Key Vault に依存しており、SQL 接続文字列を格納します。デフォルトでは、Key Vault はインターネット上の任意の場所からアクセス可能です。ただし、ファイアウォール ルールを構成するか、プライベート エンドポイントを有効にすることで、Key Vault へのアクセスを制限できます。

Key Vault を強化するには、次の手順を完了してください：

• ステップ 1: Nerdio Managerの App Service の VNet 統合を有効にする

• ステップ 2: Key Vault を強化する

• ステップ 3: Key Vault にプライベートエンドポイントを作成する

前提条件

Key Vault を強化する前に、次の前提条件が満たされていることを確認してください：

• App Service プランは、VNet 統合をサポートするティアにある必要があります。詳細については、Azure App Serviceをアップグレードします。を参照してください。

• App Service とストレージ アカウントを接続するために使用できる仮想ネットワーク (VNet) を構成する必要があります。この仮想ネットワークは、Nerdio Managerが HTTPS (TCP/443) 経由で Nerdio ライセンス サーバーと連携するために、アウトバウンド アクセスも必要です。ライセンス サーバーの URL は https://nwp-web-app.azurewebsites.net/ です。

ステップ 1: Nerdio Managerの App Service の VNet 統合を有効にする

まず、Nerdio Managerの App Service に対して仮想ネットワーク (VNet) 統合を設定します。

Nerdio ManagerのApp ServiceのVNet 統合を有効にするには：

1. Azureポータルで、App Servicesに移動します。

2. Nerdio Manager App Serviceを選択します。

   注意: 通常、次の形式の名前があります: nmw-app-xxxxxxxxx。

3. 左側のメニューで、設定 > ネットワーキングに移動します。

4. アウトバウンドトラフィックの構成の下で、仮想ネットワーク統合で、未構成を選択します。

5. 仮想ネットワーク統合で、仮想ネットワーク統合の追加を選択します。

6. 開いた右側のペインで、使用したい仮想ネットワークを追加します:

   • サブスクリプション: サブスクリプションを選択します。

   • 仮想ネットワーク: 仮想ネットワークを選択します。

   • サブネット: サブネットを選択します。

   注:

   • VNet 統合には、App Service専用に委任されたサブネットが必要です。このサブネットは、他のAzureリソースと共有することはできません。

   • 統合のために選択されたサブネットは、/28以上である必要があります。

   • 未使用のサブネットが利用できない場合、またはすべての既存のサブネットが他のサービスに既に委任されている場合、統合のために追加のサブネットを作成する必要があるかもしれません。

7. 接続を選択します。

   VNetが統合されました。

8. Nerdio Managerが正しく機能するために、VNet 統合ファイアウォール要件で指定されたアドレスへのアクセスを許可してください。

ステップ 2: Key Vault を強化する

Nerdio Managerの App Service の VNet 統合が有効になったら、Key Vault を強化できます。

Key Vault を強化するには：

1. Azure ポータルで、Key Vaults に移動します。

2. 強化したい Key Vault を選択してください (nmw-app-kv-xxxxxxx)。

3. 左側のメニューで、[設定] > [ネットワーキング] に移動します。

4. ファイアウォールと仮想ネットワークタブで、次の情報を入力してください：

   • アクセスを許可: 特定の仮想ネットワークと IP アドレスからのパブリックアクセスを許可するを選択します。

   • 仮想ネットワーク: + 仮想ネットワークを追加を選択します。

   • ネットワーク追加の右ペインが開いたら、

     • 仮想ネットワーク: ドロップダウンリストから使用する VNet とサブネットを選択します。

     • サブネット: ドロップダウンリストから使用するサブネットを選択します。

   • 有効にするを選択します。

     注意:このようなメッセージが表示された場合、変更が完全に反映されるまでに時間がかかることを意味します。

     次のネットワークには 'Microsoft.KeyVault' のサービス エンドポイントが有効になっていません。アクセスを有効にするには、最大 15 分かかります。この操作を開始した後、待ちたくない場合は、安全に離れて後で戻ることができます。

     これは正常で予想されることです。

5. 必要な情報をすべて入力したら、[保存] を選択します。

ステップ 3: Key Vault にプライベートエンドポイントを作成する

Key Vault が強化されたら、Key Vault にプライベートエンドポイントを作成します。

Key Vault にプライベートエンドポイントを作成するには：

1. Azure ポータルで、Key Vaults に移動します。

2. Nerdio ManagerKey Vault を選択します (nmw-app-kv-xxxxxxx)。

3. 左側のメニューで、[設定] > [ネットワーキング] に移動します。

4. プライベートエンドポイント接続タブで、作成を選択します。

5. プライベートエンドポイントの作成ページで、次の情報を入力してください：

   1. 基本タブで:

      • サブスクリプション: サブスクリプションを選択します。

        • リソースグループ: リソースグループを選択してください。

      • 名前: プライベートエンドポイントのカスタム名を入力してください。

      • ネットワークインターフェイス名: NICのカスタム名を入力してください。

      • リージョン: VNetを含むリージョンを選択してください。

   2. リソースタブで:

      • サブスクリプション: Key Vault を含むサブスクリプションを選択してください。

      • リソースタイプ: Microsoft.KeyVault/vaultsを選択してください。

      • リソース: Key Vault を選択してください。

      • ターゲットサブリソース: リソースを選択すると、このフィールドはKey Vaultで自動的に入力されます。

   3. 仮想ネットワークタブで:

      • 仮想ネットワーク: プライベートエンドポイントをデプロイするVNetを選択してください。

      • サブネット: プライベートエンドポイントをデプロイするサブネットを選択してください。

      • プライベートエンドポイントのネットワークポリシー: プライベートエンドポイントサブネットにNSGやユーザー定義ルートを追加したい場合は、この設定をオプションで有効にしてください。

      • プライベートIP構成: デフォルトの選択をそのままにしてください。

      • アプリケーションセキュリティグループ: オプションで、アプリケーションセキュリティグループ（ASG）を追加または作成してください。

   4. DNSタブで:

      • プライベートDNS統合: VNetのDNS構成に応じて、プライベートDNSゾーンと統合するオプションを選択できる場合があります。

        注:

        • ほとんどの顧客は、内部AD環境をターゲットにしたカスタムDNSサーバーを指定します。この場合、このオプションは無効になる可能性があります。
        • プライベートDNSゾーンとの統合が有効でない場合は、DNSがプライベートエンドポイントを正しく解決するように構成されていることを確認してください。詳細については、Azure Private EndpointプライベートDNSゾーンの値を参照してください。

   5. レビュー + 作成タブで、作成を選択してください。

6. プライベートエンドポイントが作成され、DNSが正しく設定された後、ファイアウォールと仮想ネットワークに移動し、パブリックアクセスを無効にするを選択して、プライベートエンドポイント経由でトラフィックを有効にします。

7. このファイアウォールをバイパスするために、信頼されたMicrosoftサービスを許可するオプションのチェックを外してください。

8. 適用を選択してください。