# Azure Container Apps上のゲートウェイ

## 概要本文書では、Azure Container Apps上にKeeperゲートウェイをインストール、構成、更新する手順を説明します。Keeperゲートウェイのコンテナは、Rocky Linux 9のベースイメージを基にビルドされ、[DockerHub](https://hub.docker.com/r/keeper/gateway)で配布されています。 ## 要件 #### Azure環境の要件 * 有効なAzureサブスクリプション * `containerapp` 拡張機能付きのAzure CLI * Keeperボルトから取得したゲートウェイの構成文字列 * オプションBを利用する場合は `keyvault` 拡張機能が必要 * `Microsoft.App/environments` に委任したACA環境用サブネット (プレフィックス長は少なくとも `/27`) #### **Docker Hubの認証** Azureで匿名のイメージプルに起因するレート制限を避けるため (多くの場合 `429 Too Many Requests` となります)、以下が必要です。 * **Docker Hubアカウント:** [hub.docker.com](https://hub.docker.com/)に登録したアカウント * **パーソナルアクセストークン:** **\[アカウント設定]** > **\[セキュリティ]** で生成し、`Read Only` 権限を付与したトークン

*** ## ゲートウェイの作成新しいゲートウェイは、ウェブボルトまたはデスクトップアプリで **\[新規作成]** > **\[ゲートウェイ]** から作成できます。 KeeperコマンダーのCLIからゲートウェイと構成ファイルを作成することもできます。 ``` pam gateway new -n "" -a -c b64 ``` アプリケーション名とUIDは `secrets-manager app list` で確認できます。 *** ## 環境のセットアップコンテナアプリ環境は、ゲートウェイを配置するセキュリティ上の境界となります。 ``` az containerapp env create \ --name \ --resource-group \ --location \ --infrastructure-subnet-resource-id /subscriptions//resourceGroups//providers/Microsoft.Network/virtualNetworks//subnets/ ```

### シークレット管理の選択肢 `GATEWAY_CONFIG` は、内部マネージドシークレットまたはAzure Key Vaultのいずれかで管理します。 #### オプションA: 内部マネージドシークレット ``` az containerapp create \ --name \ --resource-group \ --environment \ --image keeper/gateway:latest \ --cpu 2.0 --memory 8Gi \ --min-replicas 2 \ --max-replicas 5 \ --registry-server index.docker.io \ --registry-username \ --registry-password \ --secrets "gateway-config-secret=" \ --env-vars "ACCEPT_EULA=Y" "GATEWAY_CONFIG=secretref:gateway-config-secret" ``` #### オプションB: Azure Key Vault **シークレットの保存:** ゲートウェイの構成値をAzure Key Vaultに保存します。 ``` az keyvault secret set --vault-name --name "DOCKER-TOKEN" --value "" az keyvault secret set --vault-name --name "GATEWAY-CONFIG" --value "" ``` **IDを付与してデプロイ:** システム割り当てマネージドIDを有効にしてコンテナアプリを作成します。 ``` az containerapp create \ --name \ --resource-group \ --environment \ --image keeper/gateway:latest \ --cpu 2.0 --memory 8Gi \ --system-assigned \ --registry-server index.docker.io \ --registry-username \ --registry-password --env-vars "ACCEPT_EULA=Y" ```

**アクセスの付与:** コンテナアプリのマネージドIDに、Key Vaultのシークレット読み取り権限を付与します。 ``` PRINCIPAL_ID=$(az containerapp show -n -g --query identity.principalId -o tsv) az role assignment create --assignee $PRINCIPAL_ID --role "Key Vault Secrets User" --scope /subscriptions//resourceGroups/providers/Microsoft.KeyVault/vaults/ ``` **シークレットの参照:** Key Vaultのシークレットをコンテナアプリのシークレットとして登録します。 ``` az containerapp secret set -n -g \ --secrets "docker-password-kv=keyvaultref:https://.vault.azure.net/secrets/DOCKER-TOKEN,identityref:system" \ "gateway-config-kv=keyvaultref:https://.vault.azure.net/secrets/GATEWAY-CONFIG,identityref:system" ``` **レジストリへの割り当て:** Docker Hub へのイメージプル認証用シークレットを登録します。 ``` az containerapp registry set -n \ -g \ --server index.docker.io \ --username \ --password "secretref:gateway-config-kv" ```

*** ### 共有メモリの有効化セッション録画のため、Keeperゲートウェイは共有メモリ (`/dev/shm`) の容量拡張が必要です。初回作成後にYAMLを更新して反映します。 **構成のエクスポート** `az containerapp show -n -g -o yaml > keeper-app.yaml`

**YAMLの編集** `template` セクションを開き、 `volumes` および `volumeMounts` のブロックを追加します。 ``` template: containers: - name: image: keeper/gateway:latest env: - name: GATEWAY_CONFIG secretRef: gateway-config-kv # Use name from Option A or B volumeMounts: - mountPath: /dev/shm volumeName: shm-volume volumes: - name: shm-volume storageType: EmptyDir ``` **更新の適用** `az containerapp update -n -g --yaml keeper-app.yaml` #### 運用コマンド | **操作** | **コマンド** | | ---------- | -------------------------------------------------------------------------------------------------- | | 共有メモリの確認 | `az containerapp exec -n -g --command "df -h \| grep shm"` | | ログの表示 | `az containerapp logs show -n -g --follow` | | レプリカ数のゼロ化 | `az containerapp scale update -n -g --min-replicas 0 --max-replicas 0` | | レプリカ数の引き上げ | `az containerapp scale update -n -g --min-replicas 2 --max-replicas 5` | *** ## ネットワーク構成 Keeperゲートウェイはアウトバウンド専用の接続を確立するため、インバウンドのファイアウォールルールは必要ありません。ただし、以下のアウトバウンド接続は許可されている必要があります。 | 宛先エンドポイント | 必要なポート | 備考 | | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | -------------------------------------------------------------------------------- | ---------------------------------------------------------------- | |

Keeperクラウド keepersecurity.\[x]

エンドポイント:

US: .com

EU: .eu

AU: .com.au

JP: .jp

CA: .ca

US\_GOV: .us

| TLSポート443 | Keeperクラウドと通信し、ネイティブプロトコル (例: SSH、RDP) を介して対象インフラストラクチャにアクセスします。 | |

Keeperルーター connect.keepersecurity.\[x]

エンドポイント:

US: .com

EU: .eu

AU: .com.au

JP: .jp

CA: .ca

US\_GOV: .us

| TLSポート443 | Keeperルーターと通信し、安全なリアルタイムWebSocket接続を確立します。 | |

Keeper Stun/Turnサービス

krelay.keepersecurity.\[x]

エンドポイント:

US: .com

EU: .eu

AU: .com.au

JP: .jp

CA: .ca

US\_GOV: .us

TCPおよびUDPのポート3478を開放。

さらに、TCPおよびUDPのポート49152～65535のアウトバウンドアクセスを許可。

| ゲートウェイを介して、エンドユーザーのボルトと対象システム間の安全で暗号化されたWebRTC接続を確立します。 | ゲートウェイでは、すべての暗号化および復号化処理をローカルで実行することでゼロ知識を保持します。Keeperクラウドとの通信にはKeeperシークレットマネージャーのAPIを使用します。 --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.keeper.io/keeperpam/jp/privileged-access-manager/getting-started/gateways/gateway-on-azure-container-app.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.