Azure Arc 対応サーバーのネットワーク トポロジと接続

Azure Arc 対応サーバーを使用すると、Azure コントロール プレーンを使用して、Windows と Linux の物理サーバーと仮想マシン (オンプレミス環境またはサードパーティ クラウド プロバイダーのいずれかでホストされている) を管理できます。 このドキュメントでは、クラウド導入フレームワークのエンタープライズ規模のランディング ゾーン ガイダンスの一部として、Azure Arc 対応サーバー接続の主な設計上の考慮事項とベスト プラクティスについて説明します。

この記事では、エンタープライズ規模のランディング ゾーンを正常に実装し、ハイブリッド ネットワーク接続を確立したことを前提としているため、Azure Arc 対応サーバーの Connected Machine エージェント接続に焦点を当てています。 この前提条件の詳細については、エンタープライズ規模の概要と実装ガイダンスに関するページをご確認ください。

アーキテクチャ

次の図は、Azure Arc 対応サーバーの接続に関する概念参照アーキテクチャを示しています。

設計上の考慮事項

次の一覧では、Azure Arc 対応サーバーのネットワーク設計に関する考慮事項の概要を示しています。

• エージェントの接続方法を定義する: 既存のインフラストラクチャ、セキュリティ要件を確認し、Connected Machine エージェントがオンプレミス ネットワークまたは他のクラウド プロバイダーから Azure と通信する方法を決定します。 この接続はインターネット経由で直接、またはプロキシ サーバー経由で行われるか、プライベート接続用に Private Link を実装することもできます。
• Azure サービス タグへのアクセスを管理する: 「Connected Machine エージェントのネットワーク要件」に従って、ファイアウォールとプロキシ ネットワーク ルールを常に更新しておくための自動プロセスを作成します。
• Azure Arc へのネットワーク接続をセキュリティで保護する: トランスポート層セキュリティ (TLS) バージョン 1.2 を使用するようにマシン オペレーティング システムを構成します。 既知の脆弱性があるため、これより古いバージョンは推奨されません。
• 拡張機能の接続方法を定義する: Azure Arc 対応サーバーにデプロイされた Azure 拡張機能は、通常、他の Azure サービスが通信する必要があります。 この接続は、パブリック ネットワーク、ファイアウォール、またはプロキシ サーバーを使用して直接行うことができます。 設計でプライベート接続が必要な場合は、ARC エージェントのプライベート エンドポイントを構成する以外に、追加の手順を実行して、拡張情報を使用してアクセスされる各サービスのプライベート エンドポイント接続を有効にする必要があります。
• 全体的な接続アーキテクチャを検討する: エンタープライズ規模の Azure ランディング ゾーンのネットワーク トポロジと接続設計領域を検討して、Azure Arc 対応サーバーが全体的な接続に与える影響を評価します。

設計の推奨事項

Azure Arc エージェントの接続方法を定義する

Azure Arc 対応サーバーを使用すると、次の方法を使用してハイブリッド マシンを接続できます。

• 直接接続 (オプションでファイアウォールまたはプロキシ サーバーの背後から)
• Azure Private Link

直接接続

Azure Arc 対応サーバーは、Azure パブリック エンドポイントとの直接接続を提供します。 この接続方法では、すべてのマシン エージェントがパブリック エンドポイントを使用してインターネット経由で接続を開きます。 Linux と Windows 用の Connected Machine エージェントは、HTTPS プロトコル (TCP/443) を使用して安全に Azure Arc へのアウトバウンド通信を行います。

直接接続方法を使用する場合は、Connected Machine エージェントのインターネット アクセスを確認する必要があります。 必要なネットワーク ルールの構成をお勧めします。

プロキシ サーバーまたはファイアウォール接続 (省略可能)

マシンでファイアウォールまたはプロキシ サーバーを使用して、インターネットを介した通信を行う場合、エージェントは HTTPS プロトコルを使用して送信接続を行います。

ファイアウォールまたはプロキシ サーバーによって送信接続が制限されている場合は、「Connected Machine エージェントのネットワーク要件」のようにして、IP 範囲を許可します。 エージェントに必要な IP 範囲またはドメイン名のみにサービスとの通信を許可する場合は、サービス タグおよび URL を使用してファイアウォールまたはプロキシ サーバーを構成します。

Azure Arc 対応サーバーに拡張機能をデプロイする場合、すべての拡張機能が、それぞれのエンドポイントに接続して、ファイアウォールまたはプロキシですべての対応する URL も許可する必要があります。 これらのエンドポイントを追加すると、最小限の特権 (PoLP) の原則を満たすために、きめ細かくセキュリティで保護されたネットワーク トラフィックが確保されます。

Private Link

Arc Private Link Scopeで Azure Arc 対応サーバーを使用すると、Arc エージェントからのすべてのトラフィックをネットワーク上にとどめることができます。 この構成には、トラフィックがインターネットを通過しないや、データセンターのファイアウォールで多くの送信例外を開く必要がないなど、セキュリティ上の利点があります。 ただし、Private Link を使用すると、全体的な複雑さとコストが増加する一方で、特にグローバルな組織にとって、多くの管理上の課題が挙がります。 たとえば、次のような課題があります。

• Azure Arc Private Link Scop を使用する選択には、同じ DNS スコープ内のすべての Arc クライアントが含まれます。 プライベート エンドポイントを使用する Arc クライアントと、DNS サーバーを共有するときにパブリックを使用する Arc クライアント (DNS ポリシーなどの回避策なし) を使用することはできません
• Arc クライアントは、プライマリ リージョン内のすべてのプライベート エンドポイントまたは DNS を構成して、同じプライベート エンドポイント名が異なる IP アドレスに解決されるようにする必要があります (たとえば、Active Directory 統合 DNS に対して選択的にレプリケートされた DNS パーティションを使用するなど)。 すべての Arc クライアントに同じプライベート エンドポイントを使用する場合は、すべてのネットワークからプライベート エンドポイントにトラフィックをルーティングできる必要があります。
• Log Analytics ワークスペース、Automation アカウント、Key Vault、Azure Storage など、Arc を使用してデプロイされた拡張ソフトウェア コンポーネントがアクセスする Azure サービスにもプライベート エンドポイントを使用するには追加の手順が必要です。
• Azure Entra ID への接続ではパブリック エンドポイントが使用されるため、クライアントには引き続きインターネット アクセスが必要です

このような課題があるため、Private Link が Arc 実装の要件であるかどうかを評価することをお勧めします。 パブリック エンドポイントではトラフィックが暗号化され、Arc for Servers の使用方法によっては、管理トラフィックとメタデータ トラフィックに制限される可能性があることを考慮します。 ローカル エージェントのセキュリティ制御を実装することで、セキュリティの問題を軽減できます。

詳細については、Arc の Private Link サポートに関連する制限事項と制限事項を確認してください。

ヒント

詳細については、Azure Private Link セキュリティに関するページを確認してください。

Azure サービス タグへのアクセスを管理する

Azure Arc ネットワークの要件に従って、ファイアウォールとプロキシ ネットワーク ルールを常に更新しておくための自動プロセスを実装することをお勧めします。

Azure Arc へのネットワーク接続をセキュリティで保護する

トランスポート層セキュリティ 1.2 プロトコルを使用して、Azure に転送中のデータのセキュリティを確保することをお勧めします。 これより前のバージョンの TLS/Secure Sockets Layer (SSL) は脆弱であることが判明しており、推奨されません。

拡張機能の接続方法を定義する

Azure Arc 対応サーバーでサポートされている VM 拡張機能を有効にすると、それらの拡張機能は他の Azure サービスに接続されます。 これらの拡張機能の接続方法、すなわち直接、プロキシ サーバー/ファイアウォールの背後、または Azure Private Link の使用のいずれかを決定することが重要です。

Azure Arc 対応サーバーでプロキシまたはファイアウォールを使用する場合は、独自のエンドポイントと通信するため、拡張機能に必要なすべての URL も許可する必要があります。

Private Link を使用している場合は、サービスごとに Private Link を構成する必要があります。

次の手順

ハイブリッド クラウドの導入に関する詳細なガイダンスについては、次のリソースを参照してください。

• Azure Arc Jumpstart のシナリオを検討します。
• Azure Arc 対応サーバーの前提条件を検討します。
• Private Link 接続方法に必要なネットワーク構成を確認します。
• Azure Arc 対応サーバーの Private Link のしくみを理解します。
• Azure Arc 対応サーバーの大規模デプロイを計画します。
• Private Link のセットアップを計画します。
• 接続の問題を解決するには、Azure Arc 対応サーバー エージェント接続のトラブルシューティング ガイドを確認します。
• Azure Arc ラーニング パスを使用して Azure Arc の詳細を確認します。