VPN不要!AzureポータルからWindows Admin Centerでオンプレサーバーを管理する

この記事の内容

  • Azure Arc に登録したオンプレミスサーバーやAzure Stack HCIクラスターを、Azureポータルから Windows Admin Center(WAC)で管理できます
  • VPNやファイアウォールの穴あけは不要で、オンプレミス側からのアウトバウンドHTTPS(ポート443)さえあれば接続できます
  • WACのエージェントはAzure Arc拡張機能として自動インストールされるため、別途サーバーを立てる必要はありません
  • Azure Active Directoryの認証と組み合わせることで、世界中どこからでも安全に管理が可能です
  • 本記事で紹介するすべての機能は無料で利用できます

Azure Arc と Windows Admin Center の組み合わせとは

Azure Arc(Azure ARK)は、オンプレミスサーバーやAzure Stack HCIなどのリソースをAzureに登録し、Azureから一元管理できるようにするサービスです。

従来、Windows Admin Center(WAC)はオンプレミスのサーバーに直接インストールして使うツールでした。しかし今回紹介するのは、Azureポータルに統合されたWACであり、WACサーバーを別途用意することなく、Azureポータルからオンプレミスリソースをそのまま管理できる仕組みです。

対象となるリソースは以下の2種類です。

  • Azure Stack HCI クラスター:S2D(Storage Spaces Direct)を含むクラスター全体の管理
  • Azure Arcに登録された個別のWindowsサーバー:サーバー単体の管理

事前準備:Azure Arcへの登録

本機能を使うには、管理対象のリソースがあらかじめAzure Arcに登録されている必要があります。

Azure Stack HCIの場合、クラスターをAzureに登録すると、各ノードが自動的にAzure Arcのサーバーとしても登録されます。個別のWindowsサーバーも同様にAzure Arcへ登録することで対象になります。

Windows Admin Center 拡張機能のインストール手順

Azure Stack HCIまたはAzure Arcサーバーのリソースページに移動すると、Windows Admin Centerのメニューが表示されます。ここから、次の手順で設定を進めます。

1. リッスンポートの設定

接続要求のリッスンに使用するポートを指定します。デフォルトは 6516番ポート です。

:6516

このポートをインターネットに向けて開放する必要はありません。通信はAzure Arcのしくみを通じて行われるため、オンプレミス側からのアウトバウンドHTTPS(ポート443)のみで動作します。

2. インストールの実行

「インストール」を実行すると、Azure Arc拡張機能としてWACエージェントのインストールが自動で開始されます。画面には次のようなメッセージが表示されます。

Windows5AdminCenter

この操作により、AzureからオンプレミスのAzure Stack HCIノード(またはWindowsサーバー)に向けて指示が送られ、バックグラウンドでエージェントのセットアップが行われます。

3. 接続の確認

インストールが完了したら、「接続」ボタンをクリックします。見慣れたWindows Admin Centerの画面が表示されたら、オンプレミスのユーザー名とパスワードを入力して接続します。

接続後にできること

Azure Stack HCI クラスターの管理

S2Dクラスターに接続した場合、ボリューム管理やStorage Spaces Directの状態確認など、クラスター特有の管理操作が可能です。仮想マシンの確認や新規展開なども、このポータルから行えます。

個別サーバーの管理

Azure Arcに登録された個別のWindowsサーバーに対しても同様に接続できます。接続に際しては、対象サーバーのWindows Admin Center 管理者ログイングループのメンバーである必要があります。

:WindowsAdminCenterAdministratorLogin

接続後は、以下のような管理操作が可能です。

  • サーバー全般の設定管理
  • リモートPowerShellによる操作
  • リモートデスクトップ接続
  • ネットワーク情報(ローカルIPアドレス等)の確認

VPN不要の仕組みと通信の流れ

この機能の最大の特徴は、VPNやファイアウォールの穴あけが一切不要という点です。

通信の仕組みは次のようになっています。

  1. オンプレミスサーバーがAzure Arcに登録されている
  2. オンプレミス側からAzureへのアウトバウンドHTTPS(ポート443)通信が可能である
  3. AzureポータルからのWAC操作は、Azure Arcのしくみを通じてオンプレミス側に届く

つまり、管理者は世界中どこにいても、インターネット上のAzureポータルにアクセスできさえすれば、VPNなしでオンプレミスサーバーの管理が行えます。自宅からの管理も可能です。

セキュリティについての考え方

「VPN不要」と聞くと、「セキュリティが心配」と感じる方もいるかもしれません。この点については、以下のように整理できます。

  • 認証にAzure Active Directoryを使用:Azure ADの認証基盤を利用するため、Conditional Access(条件付きアクセス)やAzure AD P2などの機能と組み合わせて、きめ細かいアクセス制御が可能です
  • Endpoint Managerとの連携:デバイスの状態に基づいたアクセス制御も実現できます
  • ポート443のアウトバウンドのみ:インバウンドのポートを開放する必要がないため、外部からの直接アクセスは発生しません

従来のファイアウォールによるポートベースのアクセス制御は、ポート443(HTTPS)が開いている時点で実質的にフルオープンであるという現実があります。そのため、ネットワーク境界ではなくID(認証・認可)ベースでセキュリティを担保する考え方が現代的なアプローチです。

なお、現時点ではWAC接続のたびにオンプレミスの資格情報を入力する必要がありますが、将来的にはシングルサインオン対応が見込まれます。

費用について

本記事で紹介した機能(Azure Arc登録、WACのAzureポータル統合)はすべて無料で利用できます。管理コストの削減と利便性の向上を、追加費用なしに実現できる点は大きなメリットです。

まとめ

AzureポータルからWindows Admin Centerを使ってオンプレミスサーバーを管理する機能を紹介しました。

Azure Arcにサーバーを登録し、ポータルからWAC拡張機能をインストールするだけで、VPNや特別なネットワーク設定なしに、世界中どこからでもオンプレミスリソースの管理が行えるようになります。Azure Stack HCIクラスターはもちろん、個別のWindowsサーバーにも対応しており、リモートPowerShellやリモートデスクトップなど豊富な管理機能が利用可能です。

「管理の主体をAzureポータルへ」というMicrosoftの方向性が、この機能にも明確に現れています。セキュリティはAzure ADを中心とした認証・認可で担保しながら、ネットワーク構成を複雑にせず運用できる環境が整いつつあります。ぜひ一度試してみてください。