App Service 環境でネットワークセキュリティグループ (NSG) を利用する際の注意点

こんにちは Azure CIE サポートの村山です。 今回は、最近様々なサービスの裏側で利用され始めている  App Service Environment (以下 ASE) にてネットワークセキュリティ機能を利用する際の注意点についてご紹介します。 ASE は普段他社様と環境を共有している通常の App Service とは異なり、お客様専用のApp Service の環境を作成することができます。 加えて、ASE はご利用者様の仮想ネットワーク上の、サブネット内にデプロイするため、仮想ネットワークのセキュリティ機能を利用して受信と送信のネットワークを制御することも可能です。 また、内部ロードバランサーを含む ASE を利用することで、仮想ネットワーク内からプライベート接続を行うこともできるので、セキュリティ要件が厳しいシステムを構築する際に利用されることが度々ございます。 下記では、このネットワークのセキュリティ機能をご利用の際ので注意点について説明します。   2017/10/31 時点 現在では、ASE を新規作成すると、NSG が一緒に作成されます。 このため、手作業で全部作る必要がなくなりより便利になっています。     ASE でネットワークのセキュリティ機能を利用する ASE では、ASE リソースがデプロイされた仮想ネットワークに対し、ネットワークセキュリティグループ (以下 NSG) をバインドすることで、サブネット内にデプロイされた ASE のインスタンスに対して、受信と送信トラフィックの制御を行うことが可能です。 NSG については、以下のドキュメントに詳細が記載されています。 ネットワーク セキュリティ グループを使用したネットワーク トラフィック フローの制御 https://docs.microsoft.com/ja-jp/azure/virtual-network/virtual-networks-nsg NSG を作成後、Azure ポータルでは下記のような画面が表示され、受信/送信セキュリティ規則に、許可/拒否したいルールを利用者が追加します。 そして、作成した NSG…


クラウドサービスで接続元 IP 制限を行う方法について

こんにちは。CIE サポート小野寺です。 クラウドサービスはインターネットに公開されているエンドポイントです。そのため、デフォルトでは不特定多数の利用者様からのアクセスが可能となっています。 しかしながら、公開するサービスによっては、特定の IP アドレスのみ公開を許可するケースも少なからず存在します。 このようなアクセス制御を実施する場合にはいくつかの方法が考えられますが、ここでは Endpoint の Access Control List を利用した制御についてご案内します。   Endpoint の Access Control List (ACL) を利用する。 クラウドサービスでは、ServiceDefinition.csdef ファイルにサービスにアクセス可能なポートを指定することができます。 この各ポートに対して、ServiceConfiguration.cscfg ファイルでアクセス可能な IP の範囲を指定することが可能です。 今回はその手順について、順を追ってみてみましょう。(英語版の UI となります。ご容赦ください。)   開発環境: Visual Studio 2015 Enterprise (Update 3) Azure SDK 2.9 (ACL の機能を利用するためには 2.3 以降が必要となります。)   1. Visual Studio を管理者モードで起動します。   2. Start Page の [New Project]…


Azure WebJobs をリモート デバッグする方法について

こんにちは。日本マイクロソフト Azure CIE サポートです。 今回は、Visual Studio を使用して Azure 上で動作している WebJobs をデバッグする方法についてご案内します。   事前準備 WebJobs をホストしている App Service の設定で、リモート デバッグが有効化されている必要があります。 Azure ポータルから対象の App Service を開き、[アプリケーション設定] の設定項目の中から [リモート デバッグ] を “オン” に設定し、使用する Visual Studio のバージョンを選択して、設定を [保存] してください。     方法 1 : サーバー エクスプローラーからデバッガーをアタッチする方法 本方法では、対象の WebJobs をホストしている App Service のサブスクリプションにおける管理者、共同管理者などの高い権限が必要となりますが、Visual Studio の画面上からの簡単な操作のみで WebJobs のデバッグを行っていただくことができます。以下に、手順をご案内します。   Visual Studio…