Azure Stack HCI での Azure 特典

適用対象: Azure Stack HCI バージョン 21H2 以降

Microsoft Azure では、Azure でのみ実行するように設計されたさまざまな区別されたワークロードと機能が提供されます。 Azure Stack HCI は、使い慣れた高パフォーマンスのオンプレミスまたはエッジの同環境で実行しながら、Azure から得られるのと同じ利点の多くを拡張します。

"Azure 特典" を使用すると、サポートされている Azure 専用ワークロードをクラウドの外部で動作させることができます。 Azure 特典は、追加コストなしで Azure Stack HCI で有効にすることができます。 Windows Server のワークロードがある場合は、これを有効にすることをお勧めします。

少し時間を取って、Azure 特典に関する入門ビデオをご覧ください。

Azure Stack HCI で利用可能な Azure 特典

Azure 特典をオンにすると、Azure Stack HCI でこれらの Azure 専用ワークロードを使用できるようになります。

ワークロード サポートされているバージョン 説明
Windows Server Datacenter: Azure Edition 2022 エディション以降 最新の Windows Server のイノベーションとその他の専用機能をすべて含む Azure 専用のゲスト オペレーティング システム。
詳細情報: Windows Server 用 Automanage
延長セキュリティ更新プログラム (ESU) 2021 年 10 月 12 日以降のセキュリティ更新プログラム サポートが終了する SQL Server および Windows Server VM のセキュリティ更新プログラムをお客様が引き続き取得できるようにするプログラムです。Azure Stack HCI で実行する場合は、現在無料でご利用いただけます。
詳細については、Azure Stack HCI での拡張セキュリティ更新プログラム (ESU) に関するページをご覧ください。
Azure Policy ゲスト構成 Arc エージェント バージョン 1.13 以降 ホストとゲスト マシンの両方について、OS 設定をコードとして監査または構成できる機能。
詳細情報: Azure Policy のゲスト構成機能について

しくみ

このセクションは省略可能な読み物であり、HCI での Azure 特典のしくみについて詳しく説明します。

Azure 特典は、Azure Stack HCI 上の組み込みのプラットフォーム構成証明サービスを利用しており、VM が実際に Azure 環境で実行されているという保証を提供するのに役立ちます。

このサービスは、Azure で実行される同じ IMDS 構成証明サービスの後にモデル化されており、Azure のお客様が利用できるものと同じワークロードと特典の一部を有効にするためのものです。 Azure 特典では、ほぼ同じペイロードが返されます。 主な違いは、オンプレミスで実行されるため、VM が Azure ではなく Azure Stack HCI で実行されていることが保証される点です。

Architecture

Azure 特典をオンにすると、Azure Stack HCI クラスターで実行されているサービスが開始されます。

  1. すべてのサーバーで、HciSvc により Azure から証明書が取得され、サーバー上のエンクレーブ内に安全に格納されます。

    Note

    証明書は Azure Stack HCI クラスターが Azure と同期するたびに更新され、各更新は 30 日間有効です。 Azure Stack HCI の通常の 30 日間の接続要件を維持している限り、ユーザーによる操作は不要です。

  2. HciSvc では、同じサーバー上の VM のみにアクセスできる、プライベートおよびルーティング不可の REST エンドポイントが公開されます。 このエンドポイントを有効にするために、(AZSHCI_HOST-IMDS_DO_NOT_MODIFY という名前の) 内部 vSwitch が Azure Stack HCI ホストに構成されます。 その後、VM に NIC を構成し、同じ vSwitch (AZSHCI_GUEST-IMDS_DO_NOT_MODIFY) に接続する必要があります。

    Note

    このスイッチと NIC を変更または削除すると、Azure 特典が適切に機能しなくなります。 エラーが発生した場合は、Windows Admin Center、または後述の PowerShell の手順を使用して Azure 特典を無効にしてから、もう一度試してください。

  3. コンシューマー ワークロード (たとえば、Windows Server Azure Edition のゲスト) は構成証明を要求します。 その後、HciSvc では Azure 証明書を使用して応答に署名します。

    Note

    Azure 特典が必要な VM ごとにアクセスを手動で有効にする必要があります。

Azure 特典を有効にする

開始する前に、次の前提条件を満たす必要があります。

Windows Admin Center または PowerShell を使用して Azure Stack HCI の Azure 特典を有効にできます。 次のセクションでは、各オプションについて説明します。

オプション 1: Windows Admin Center を使用して Azure 特典を有効にする

Manage Benefits in WAC

  1. Windows Admin Center で、上部のドロップダウン メニューから [クラスター マネージャー] を選び、アクティブにするクラスターに移動して、[設定][Azure Benefits](Azure 特典) を選択します。

  2. [Azure Benefits](Azure 特典) ペインで、[オンにする] を選択します。 既定では、既存のすべての VM に対してオンにするチェック ボックスが選択されています。 その選択を解除し、後で VM を手動で追加できます。

  3. もう一度 [オンにする] を選択してセットアップを確定します。 サーバーで変更が反映されるまで数分かかる場合があります。

  4. Azure 特典のセットアップが成功すると、ページが更新され、Azure 特典ダッシュボードが表示されます。 ホストの Azure 特典を確認するには、次のようにします。

    1. [Azure Benefits cluster status](Azure 特典のクラスターの状態)[オン] と表示されていることを確認します。
    2. ダッシュボードの [クラスター] タブで、すべてのサーバーに対する Azure 特典がテーブルで [アクティブ] と表示されていることを確認します。
  5. VM の Azure 特典へのアクセスを確認するには: Azure 特典がオンになっている VM の状態を確認します。 既存のすべての VM (たとえば、3 台の VM 中 3 台) で Azure 特典がオンになっていることが推奨されます。

VM の Azure 特典へのアクセスを管理する - WAC

Manage Benefits for VMs

VM に対して Azure 特典をオンにするには、[VM] タブを選び、上部のテーブルの [VMs without Azure Benefits](Azure 特典のない VM) で VM を選択してから、[Turn on Azure Benefits for VMs](VM に対して Azure 特典をオンにする) を選びます。

トラブルシューティング - WAC

  • クラスターで Azure 特典をオフにしてリセットするには:
    • [クラスター] タブで、[Turn off Azure Benefits](Azure 特典をオフにする) をクリックします。
  • VM の Azure 特典へのアクセスを削除するには:
    • [VM] タブで、上部のテーブルの [VMs without Azure Benefits](Azure 特典のない VM) で VM を選択してから、[Turn on Azure Benefits for VMs](VM に対して Azure 特典をオンにする) をクリックします。
  • [クラスター] タブの下に、1 つまたは複数のサーバーが [期限切れ] と表示されます。
    • 1 つまたは複数のサーバーの Azure 特典が 30 日を超えて Azure と同期されていない場合、[期限切れ] または [非アクティブ] と表示されます。 [Azure との同期] を選んで手動同期をスケジュールします。
  • [VM] タブの下に、ホスト サーバーの特典が [不明] または [非アクティブ] と表示されます。
    • これらのホスト サーバー上の VM に対する Azure 特典を追加したり削除したりすることはできません。 [クラスター] タブに移動して、エラーのあるホスト サーバーの Azure 特典を修正してから、VM を再度試して管理します。

オプション 2: PowerShell を使用して Azure 特典をオンにする

  1. Azure 特典を設定するには、Azure Stack HCI クラスターで管理者特権の PowerShell ウィンドウから次のコマンドを実行します。

    Enable-AzStackHCIAttestation
    

    または、セットアップ時に既存のすべての VM を追加する場合は、次のコマンドを実行できます。

    Enable-AzStackHCIAttestation -AddVM
    
  2. Azure 特典が正しく設定されると、Azure 特典の状態を確認できます。 次のコマンドを実行して、クラスター プロパティ [IMDS Attestation](IMDS 構成証明) を確認します。

    Get-AzureStackHCI
    

    または、サーバーの Azure 特典の状態を表示するには、次のコマンドを実行します。

    Get-AzureStackHCIAttestation [[-ComputerName] <string>]
    
  3. VM の Azure 特典へのアクセスを確認するには、次のコマンドを実行します。

    Get-AzStackHCIVMAttestation
    

VM の Azure 特典へのアクセスを管理する - PowerShell

  • 選択された VM の特典をオンにするには、Azure Stack HCI クラスターで次のコマンドを実行します。

    Add-AzStackHCIVMAttestation [-VMName]
    

    または、既存のすべての VM を追加するには、次のコマンドを実行します。

    Add-AzStackHCIVMAttestation -AddAll
    

トラブルシューティング - PowerShell

  • クラスターで Azure 特典をオフにし、リセットするには、次のコマンドを実行します。

    Disable-AzStackHCIAttestation -RemoveVM
    
  • 選択された VM の Azure 特典へのアクセスを削除するには、次のようにします。

    Remove-AzStackHCIVMAttestation -VMName <string>
    

    または、既存のすべての VM のアクセスを削除するには、次のようにします。

    Remove-AzStackHCIVMAttestation -RemoveAll
    
  • 1 つまたは複数のサーバーの Azure 特典がまだ Azure と同期されて更新されていない場合は、[期限切れ] または [非アクティブ] と表示されることがあります。 手動同期をスケジュールする:

    Sync-AzureStackHCI
    
  • サーバーが新しく追加され、Azure 特典がまだ設定されていない場合は、[非アクティブ] と表示されることがあります。 新しいサーバーを追加するには、セットアップを再度実行します。

    Enable-AzStackHCIAttestation
    

(省略可能) Azure portal を使用して Azure 特典を表示する

  1. Azure Stack HCI クラスター リソース ページで、[構成] タブに移動します。

  2. [Enable Azure Benefits](Azure 特典を有効にする) 機能で、ホスト構成証明の状態を表示します。

    Attestation status

(省略可能) VM から Azure 特典にアクセスする

VM がホスト上の Azure 特典に適切にアクセスできることを確認するには、VM から次のコマンドを実行し、応答があることを確認します。

Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri "http://169.254.169.253:80/metadata/attested/document?api-version=2018-10-01"

よく寄せられる質問

この FAQ では、Azure 特典の使用に関するいくつかの質問に対する回答を提供します。

Azure 特典で有効にできる Azure 専用ワークロードは何ですか?

こちらの詳細な一覧を参照してください。

Azure 特典をオンにするためのコストはかかりますか?

いいえ。Azure 特典をオンにしても追加料金はかかりません。

Azure Stack HCI 以外の環境で Azure 特典を使用できますか?

いいえ。Azure 特典は、Azure Stack HCI OS に組み込まれている機能であり、Azure Stack HCI でのみ使用できます。

クラスターに Azure 特典を設定したばかりです。 Azure 特典を確実にアクティブのままにしておくにはどうすればよいですか?

  • ほとんどの場合、ユーザー操作は必要ありません。 Azure Stack HCI により、Azure との同期の際に Azure 特典が自動的に更新されます。
  • しかし、クラスターが 30 日を超えて切断されており、Azure 特典が [期限切れ] と表示される場合は、PowerShell と Windows Admin Center を使用して手動で同期できます。 詳細については、Azure Stack HCI の同期に関するページを参照してください。

新しい VM をデプロイしたり、VM を削除したりするとどうなりますか?

  • Azure 特典を必要とする新しい VM をデプロイする場合は、前の手順を使用し、Windows Admin Center または PowerShell を使って Azure 特典にアクセスするための新しい VM を手動で追加できます。
  • 引き続き VM を通常どおり削除および移行できます。 移行後も、VM には NIC AZSHCI_GUEST-IMDS_DO_NOT_MODIFY が存在します。 移行前に NIC をクリーンアップする場合は、前の手順を使用し、Windows Admin Center または PowerShell を使って Azure 特典から VM を除去することも、最初に NIC を移行し、後で手動で削除することもできます。

サーバーを追加または除去するとどうなりますか?

  • サーバーを追加する場合は、Windows Admin Center の [Azure Benefits](Azure 特典) ページに移動することができます。表示されるバナーには、非アクティブなサーバーを有効にするためのリンクが示されます。
  • または、PowerShell で Enable-AzStackHCIAttestation [[-ComputerName] <String>] を実行できます。
  • 引き続きサーバーを通常どおり削除したり、クラスターから除去することができます。 クラスターから除去した後も、サーバー上には vSwitch AZSHCI_HOST-IMDS_DO_NOT_MODIFY が存在します。 後でサーバーをクラスターに追加して戻す予定の場合は、そのままにしておいてかまいません。手動で除去することもできます。

次の手順