編集

Azure Arc 対応サーバーの構成を管理する

Azure Arc
Azure Monitor
Azure Policy
Azure Resource Manager
Azure Virtual Machines

このリファレンス アーキテクチャは、Azure Arc を使って、オンプレミス、マルチクラウド、エッジのシナリオ全体でサーバーを管理、統制、保護する方法を示すものであり、Azure Arc Jumpstart ArcBox for IT Pros 実装に基づいています。 ArcBox は、Azure Arc のあらゆることに対応する、デプロイが簡単なサンドボックスを提供するソリューションです。ArcBox for IT Pros は、Azure Arc 対応サーバーの機能をサンドボックス環境で体験したいユーザー向けの ArcBox バージョンです。

アーキテクチャ

An Azure Arc hybrid server topology diagram with Arc-enabled servers connected to Azure.

このアーキテクチャの PowerPoint ファイルをダウンロードします。

Components

アーキテクチャは、次のコンポーネントで構成されています。

  • Azure リソース グループは、Azure ソリューションの関連するリソースを保持するコンテナーです。 リソース グループには、ソリューションのすべてのリソースか、グループとして管理したいリソースのみを含めることができます。
  • ArcBox ブックは Azure Monitor ブックです。ArcBox リソースを監視し、レポートするための 1 つのウィンドウがあります。 ブックは、Azure portal でデータ分析と視覚化のための柔軟なキャンバスとして機能し、ArcBox 全体の複数のデータ ソースから情報を収集し、それらを統合して対話型のエクスペリエンスにまとめます。
  • Azure Monitor を使用すると、Azure、オンプレミス、または他のクラウドで実行されているシステムのパフォーマンスとイベントを追跡できます。
  • Azure Policy ゲスト構成では、Azure で実行されているマシンと、オンプレミスまたは他のクラウドで実行されている Arc 対応サーバーの両方について、オペレーティング システムとマシン構成を監査できます。
  • Azure Log Analytics は、Azure Monitor ログによって収集されたデータのログ クエリを編集して実行し、その結果を対話的に分析する、Azure portal のツールです。 Log Analytics クエリを使用すると、特定の条件に一致するレコードの取得、傾向の特定、パターンの分析を行って、データに関するさまざまな分析情報を入手できます。
  • Defender for Cloud は、クラウド セキュリティ態勢管理 (CSPM) とクラウド ワークロード保護プラットフォーム (CSPM) のソリューションです。 Microsoft Defender for Cloud は、クラウド構成全体の弱点を検出し、環境の全体的なセキュリティ態勢の強化を支援し、進化する脅威からマルチクラウドとハイブリッドの環境全体のワークロードを保護することができます。
  • Microsoft Sentinel は、スケーラブルでクラウドネイティブのセキュリティ情報イベント管理 (SIEM) およびセキュリティ オーケストレーション自動応答 (SOAR) ソリューションです。 Microsoft Sentinel は、高度なセキュリティ分析と脅威インテリジェンスを企業全体で実現し、攻撃の検出、脅威の可視性、予防的な捜索、および脅威への対応のための 1 つのソリューションを提供します。
  • Azure Arc 対応サーバーを使用すると、Azure の外部でホストされている、企業ネットワーク上の Windows マシンと Linux マシンに Azure を接続できます。 サーバーは、Azure に接続されると Arc 対応サーバーになり、Azure 内のリソースとして扱われます。 各 Arc 対応サーバーにはリソース ID (マネージド システム ID) があり、サブスクリプション内のリソース グループの一部として管理されます。 Arc 対応サーバーは、インベントリ、ポリシー、タグ、Azure Lighthouse など、標準の Azure 構成要素の利点が得られます。
  • Hyper-V の入れ子になった仮想化は、Azure 仮想マシン内の Windows Server 仮想マシンをホストするために Jumpstart ArcBox for IT Pros で使われます。 これで、ハードウェア要件なしで、物理的な Windows Server マシンを使う場合と同じエクスペリエンスを実現できます。
  • Azure Virtual Network によって、仮想マシンなどの Azure リソース グループ内のコンポーネントが通信できるようになるプライベート ネットワークを提供します。

シナリオの詳細

考えられるユース ケース

このアーキテクチャの一般的な用途は次のとおりです。

  • 複数の環境にわたる仮想マシン (VM) とサーバーの大規模なグループを整理、管理、インベントリする。
  • Azure Policy を使用して、組織の標準を適用し、あらゆる場所の全リソースのコンプライアンスを大規模に評価する。
  • サポートされている VM 拡張機能を Arc 対応サーバーに簡単にデプロイする。
  • 複数の環境にわたってホストされている VM とサーバーの Azure Policy を構成して適用する。

推奨事項

ほとんどのシナリオには、次の推奨事項が適用されます。 これらの推奨事項には、オーバーライドする特定の要件がない限り、従ってください。

Azure Arc Connected Machine エージェントを構成する

Windows または Linux を実行する他の任意の物理または仮想マシンを Azure Arc に接続できます。マシンをオンボードする前に、Azure Arc 対応サーバーの Azure リソース プロバイダーを登録するなど、Connected Machine エージェントの前提条件を必ず完了してください。 Azure Arc を使ってマシンを Azure に接続するには、Azure Arc を使って接続する予定の各マシンに Azure Connected Machine エージェントをインストールする必要があります。詳細については、Azure Arc 対応サーバー エージェントの概要に関する記事を参照してください。

構成が完了すると、Connected Machine エージェントは、5 分ごとに通常のハートビート メッセージを Azure に送信します。 ハートビートが受信されない場合、Azure はマシンに "オフライン" 状態を割り当てます。これは、15 から 30 分以内にポータルに反映されます。 Connected Machine エージェントから後続のハートビート メッセージを受信すると、その状態が "接続済み" に自動的に変更されます。

Azure には、Windows および Linux マシンを接続するための選択肢がいくつかあります。

  • 手動インストール: Windows Admin Center ツール セットを使用するか、一連の手順を手動で実行することで、お使いの環境内の 1 台または少数の Windows マシンまたは Linux マシンに対して Azure Arc 対応サーバーを有効にすることができます。
  • スクリプトベースのインストール: Azure portal からダウンロードしたテンプレート スクリプトを実行することで、エージェントの自動インストールを実行できます。
  • サービス プリンシパルを使ったマシンの大規模な接続: 大規模なオンボードの場合は、サービス プリンシパルを使って、組織の既存の自動化を介してデプロイします。
  • Windows PowerShell DSC を使用したインストール

使用できるさまざまなデプロイ オプションの包括的なドキュメントについては、「Azure Connected Machine エージェントのデプロイ オプション」を参照してください。

Azure Policy ゲスト構成を有効にする

Azure Arc 対応サーバーは、Azure Resource Management レイヤーと、ゲスト構成ポリシーを使用する個々のサーバー マシン内で、Azure Policy をサポートします。 Azure Policy ゲスト構成では、Azure で実行されているマシンと Arc 対応サーバーの両方について、マシン内の設定を監査できます。 たとえば、次のような設定を監査できます。

  • オペレーティング システムの構成
  • アプリケーションの構成または存在
  • 環境設定

Azure Arc 用の Azure Policy 組み込み定義がいくつかあります。これらのポリシーでは、Windows ベースのマシンと Linux ベースのマシンの両方について、監査と構成設定を提供します。

Azure Update Management を有効にする

更新の管理。 Arc 対応サーバーに対する更新の管理を実行できます。 Azure Automation の更新の管理を使用すると、オペレーティング システムの更新プログラムを管理し、すべてのエージェント マシンで利用可能な更新プログラムの状態をすばやく評価できます。 また、サーバーに必要な更新プログラムをインストールするプロセスを管理することもできます。

変更履歴とインベントリ。 Arc 対応サーバーに Azure Automation の変更履歴とインベントリを使用すると、自分の環境にインストールされているソフトウェアを確認できます。 ソフトウェア、ファイル、Linux デーモン、Windows サービス、Windows レジストリ キーのインベントリを収集し、監視できます。 マシンの構成を追跡すると、環境全体の運用上の問題を特定し、マシンの状態をよりよく理解することができます。

Azure Arc 対応サーバーを監視する

Azure Monitor を使用して、VM、仮想マシン スケール セット、Azure Arc マシンを大規模に監視できます。 Azure Monitor では、Windows VM と Linux VM のパフォーマンスと正常性を分析し、それらのプロセスや、他のリソースおよび外部プロセスとの依存関係を監視します。 この場合は、オンプレミスまたは別のクラウド プロバイダーでホストされている VM について、パフォーマンスおよびアプリケーションの依存関係の監視もサポートされています。

Azure Monitor エージェントは、Azure Policy を介して Azure Arc 対応の Windows と Linux のサーバーに自動的にデプロイするようにします。 デプロイ前に Log Analytics エージェントがどのように 動作し、データを収集するかを確認し、理解します。

Log Analytics ワークスペースのデプロイを設計および計画します。 これは、データが収集、集計、および後で分析されるコンテナーになります。 Log Analytics ワークスペースは、データ、データの分離、およびデータ保持のような構成のスコープを示す地理的な場所を表します。 クラウド導入フレームワークの管理と監視に関するベスト プラクティスの記事で説明されているように、1 つの Azure Monitor Log Analytics ワークスペースを使います。

Azure Arc 対応サーバーをセキュリティで保護する

Azure RBAC を使用して、Azure Arc 対応サーバー マネージド ID のアクセス許可を制御および管理し、これらの ID に対する定期的なアクセス レビューを実行します。 システムマネージド ID が悪用され、Azure リソースに不正にアクセスされないように、特権ユーザー ロールを管理します。

Azure Arc 対応サーバーでの証明書管理に Azure Key Vault の使用を検討します。 Key Vault VM 拡張機能を使用すると、Windowsおよび Linux マシンで証明書のライフサイクルを管理できます。

Azure Arc 対応サーバーを Microsoft Defender for Cloud に接続します。こうすると、セキュリティ関連の構成とイベント ログの収集を開始できるので、アクションを推奨し、Azure 全体のセキュリティ態勢を向上させることができます。

Azure Arc 対応サーバーを Microsoft Sentinel に接続します。 これにより、セキュリティ関連のイベントの収集を開始し、他のデータ ソースとそれらの関連付けを開始できます。

ネットワーク トポロジを検証する

Linux および Windows 用の Connected Machine エージェントは、TCP ポート 443 を介して Azure Arc へのアウトバウンド通信を安全に行います。 Connected Machine エージェントは、次の方法を使用して Azure コントロール プレーンに接続できます。

  • Azure パブリック エンドポイントへの直接接続 (場合によってはファイアウォールまたはプロキシ サーバーの背後から)。
  • プライベート リンク スコープ モデルを使う Azure Private Link。複数のサーバーまたはマシンが 1 つのプライベート エンドポイントを使って Azure Arc リソースと通信できるようになります。

Arc 対応サーバー実装のための包括的なネットワーク ガイダンスについては、「Azure Arc 対応サーバーのネットワーク トポロジと接続」を参照してください。

考慮事項

以降の考慮事項には、ワークロードの品質向上に使用できる一連の基本原則である Azure "Well-Architected Framework" の要素が組み込まれています。 詳細については、「Microsoft Azure Well-Architected Framework」を参照してください。

[信頼性]

  • ほとんどの場合、インストール スクリプトを作成するときに選択する場所は、マシンの場所に最も近い Azure リージョンにする必要があります。 残りのデータは、指定したリージョンを含む Azure 地域内に保存されます。データ所在地の要件がある場合、これはリージョンの選択にも影響する可能性があります。 停止の影響がマシンの接続先 Azure リージョンに及ぶ場合でも、その停止は Arc 対応サーバーには影響がありません。 ただし、Azure を使った管理操作を使用できなくなる可能性があります。
  • リージョンの停止が発生した場合の回復性を確保するために、地理的に冗長なサービスを提供する複数の場所がある場合は、各場所のマシンを別の Azure リージョンに接続するのが最善です。
  • Azure Connected Machine エージェントが Azure へのハートビートの送信を停止した場合、またはオフラインになった場合、そのエージェントに対して運用タスクを実行することはできません。 そのため、通知と応答の計画を作成する必要があります。
  • リソースの正常性状態が変化したときに準リアルタイムで通知を受けるようにリソース正常性アラートを設定します。 また、異常な Azure Arc 対応サーバーを特定する監視とアラートのポリシーを Azure Policy で定義します。
  • 現在のバックアップ ソリューションを Azure に拡張するか、ビジネス ニーズに合わせて拡大縮小するアプリケーション対応レプリケーションとアプリケーション整合性バックアップを簡単に構成できます。 Azure BackupAzure Site Recovery の一元化された管理インターフェイスを使用すると、Arc 対応 Windows および Linux サーバーをネイティブに保護、監視、管理するためのポリシーを簡単に定義できます。
  • 自社の要件を満たしているかどうかを判断するには、事業継続とディザスター リカバリーに関するガイダンスを参照してください。
  • ソリューションの信頼性に関するその他の考慮事項は、Microsoft Azure Well-Architected Framework の「信頼性の設計原則」セクションを参照してください。

セキュリティ

  • Arc 対応サーバーについて、適切な Azure ロールベースのアクセス制御 (Azure RBAC) を管理する必要があります。 マシンをオンボードするには、Azure Connected Machine のオンボード ロールのメンバーである必要があります。 マシンの読み取り、変更、再オンボード、削除を行うには、Azure Connected Machine のリソース管理者ロールのメンバーである必要があります。
  • Microsoft Defender for Cloud を使用すると、オンプレミスのシステム、Azure VM、Azure Monitor リソース、および他のクラウド プロバイダーでホストされている VM も監視できます。 セキュリティ ベースラインの監視、セキュリティ体制の管理、脅威の防止のために、Azure Arc 対応サーバーを含むすべてのサブスクリプションに対して Microsoft Defender for Servers を有効にします。
  • Microsoft Sentinel は、組み込みコネクタを使用して、Azure、オンプレミス ソリューション、クラウドを含む、さまざまなソースにわたるデータ収集を簡素化するのに役立ちます。
  • Azure Policy を使用すると、Microsoft Defender for Cloud でのセキュリティ ポリシーの実装を含め、お使いの Arc 対応サーバー全体のセキュリティ ポリシーを管理できます。 セキュリティ ポリシーは、ワークロードの必要な構成を定義し、会社や規制当局のセキュリティ要件に確実に準拠できるようにします。 Defender for Cloud のポリシーは、Azure Policy で作成されたポリシー イニシアティブに基づいています。
  • Arc 対応サーバーにインストールできる拡張機能を制限するには、サーバーで許可およびブロックする拡張機能の一覧を構成します。 拡張機能マネージャーは、拡張機能をインストール、更新、またはアップグレードする要求を許可リストとブロックリストに照らして評価することで、拡張機能をサーバーにインストールできるかどうかを判断します。
  • Azure Private Link を使用すると、プライベート エンドポイントを使用して Azure PaaS サービスを仮想ネットワークに安全に接続できます。 オンプレミスまたはマルチクラウドのサーバーを Azure Arc に接続し、パブリック ネットワークを使用する代わりに、Azure ExpressRoute またはサイト間 VPN 接続経由ですべてのトラフィックを送信できます。 プライベート リンク スコープ モデルを使うと、複数のサーバーまたはマシンが 1 つのプライベート エンドポイントを使って Azure Arc リソースと通信できるようになります。
  • Azure Arc 対応サーバーのセキュリティ機能の包括的な概要については、「Azure Arc 対応サーバー セキュリティの概要」を参照してください。
  • ソリューションのセキュリティに関するその他の考慮事項は、Microsoft Azure Well-Architected Framework の「セキュリティの設計原則」セクションを参照してください。

コストの最適化

  • Azure Arc コントロール プレーン機能は、追加コストなしで提供されます。 これには、Azure 管理グループとタグによるリソース編成、Azure ロールベースのアクセス制御 (RBAC) によるアクセス制御のサポートが含まれます。 Azure Arc 対応サーバーと組み合わせて使用する Azure サービスには、その使用量に応じてコストが発生します。
  • Azure Arc のコスト最適化に関するその他のガイダンスは、「Azure Arc 対応サーバーのコスト ガバナンス」を参照してください。
  • ソリューションのコスト最適化に関するその他の考慮事項は、Microsoft Azure Well-Architected Framework の「コスト最適化の設計原則」を参照してください。
  • コストの見積もりには、Azure 料金計算ツールをご利用ください。
  • このアーキテクチャに対応する Jumpstart ArcBox for IT Pros リファレンス実装をデプロイする場合、ArcBox リソースは、基の Azure リソースの Azure 従量課金料金がかかることに注意してください。 これらのリソースには、コア コンピューティング、ストレージ、ネットワーク、補助サービスが含まれます。

オペレーショナル エクセレンス

  • Arc 対応サーバー環境のデプロイを自動化します。 このアーキテクチャのリファレンス実装は、Azure ARM テンプレート、VM 拡張、Azure Policy 構成、PowerShell スクリプトを組み合わせて完全に自動化されています。 また、これらの成果物を独自のデプロイに再利用することもできます。 クラウド導入フレームワーク (CAF) の Arc 対応サーバーの自動化に関するガイダンスは、「Azure Arc 対応サーバーの自動化の規範」を参照してください。
  • Azure には、Arc 対応サーバーのオンボードを自動化するための選択肢がいくつかあります。 大規模なオンボードの場合は、サービス プリンシパルを使って、組織の既存の自動化プラットフォームを介してデプロイします。
  • VM 拡張機能を Azure Arc 対応サーバーにデプロイすると、ライフサイクル全体でのハイブリッド サーバーの管理が簡単になります。 大規模なサーバー管理の場合は、Azure Policy を使って VM 拡張機能のデプロイを自動化することを検討してください。
  • オンボードされた Azure Arc 対応サーバーでパッチと更新プログラムの管理を有効すると、OS のライフサイクル管理が簡単になります。
  • Azure Arc 対応サーバーのその他のオペレーショナル エクセレンス シナリオについては、Azure Arc Jumpstart の統合運用のユース ケースに関する記事を参照してください。
  • ソリューションのオペレーショナル エクセレンスに関するその他の考慮事項は、Microsoft Azure Well-Architected Framework の「オペレーショナル エクセレンス設計の原則」セクションを参照してください。

パフォーマンス効率

  • Azure Arc 対応サーバーを使用してマシンを構成する前に、Azure Resource Manager のサブスクリプションの制限リソース グループの制限を確認して、接続するマシンの数を計画する必要があります。
  • デプロイ ガイドに記載されている段階的なデプロイ アプローチは、実装のためのリソース容量要件を判断するために役立ちます。
  • Azure Monitor を使って、詳細な分析と相関のために、Azure Arc 対応サーバーから Log Analytics ワークスペースにデータを直接収集します。 Azure Monitor エージェントについては、デプロイ オプションに関する記事を参照してください。
  • ソリューションのパフォーマンス効率に関するその他の考慮事項は、Microsoft Azure Well-Architected Framework の「パフォーマンス効率の原則」のセクションを参照してください。

このシナリオのデプロイ

このアーキテクチャのリファレンス実装は、Arc Jumpstart プロジェクトの一部として含まれている Jumpstart ArcBox for IT Pros で確認できます。 ArcBox は、1 つの Azure サブスクリプションとリソース グループ内で完全に自己完結するように設計されています。 ArcBox を使うと、使用可能な Azure サブスクリプションのみを使って、すべての使用可能な Azure Arc テクノロジを簡単に体験できます。

リファレンス実装をデプロイするには、次の [Jumpstart ArcBox for IT Pros] ボタンを選び、GitHub リポジトリの手順を実行してください。

Jumpstart ArcBox for IT Pros

共同作成者

この記事は、Microsoft によって保守されています。 当初の寄稿者は以下のとおりです。

プリンシパル作成者:

パブリックでない LinkedIn プロファイルを表示するには、LinkedIn にサインインします。

次のステップ

次の関連するアーキテクチャを確認してください。