Azure Arc で実現するハイブリッド管理の全貌
この記事の内容
- Azure Arc を使ってオンプレミスやマルチクラウドのリソースを Azure ポータルから一元管理する方法を紹介します
- Azure Stack HCI クラスター上への仮想マシン展開や、Arc 対応データサービスの構成について解説します
- Azure Monitor・Microsoft Defender for Cloud・Azure Policy などの管理系サービスがハイブリッド環境に対応している点を確認します
- Windows Admin Center を Azure ポータルから直接利用する新機能(当時プレビュー)を取り上げます
- 本記事は 2022 年 9 月末時点のデモ環境をもとにしており、機能の進化を前提としてお読みください
Azure Arc とは
Azure Arc は、オンプレミスや他クラウドのリソースを Azure の管理プレーン上に登録し、Azure ポータルから一元的に管理できるようにするサービスです。Azure の機能をクラウド外のリソースにも拡張することで、クラウドとオンプレミスを分け隔てなく扱えるハイブリッド管理基盤を実現します。
本記事で紹介するデモ環境は、以下の構成で組まれています。
- Azure Stack HCI クラスター × 2
- AKS on Azure Stack HCI
- Arc 対応データサービス(データコントローラー、SQL Managed Instance、PostgreSQL)
- Arc 対応サーバー
カスタムの場所(Custom Locations)
Azure Arc の重要な概念の一つが「カスタムの場所」です。オンプレミスのクラスターを Azure に登録したうえで、そのクラスター上でどのサービスを動かすかを定義する「場所」を作成します。
この場所に対して有効なサービスを紐付けることで、Azure ポータルからオンプレミスのインフラ上にサービスをデプロイできるようになります。デモ環境では以下のようなサービスが有効化されています。
- Arc データサービス:データコントローラー経由でデータベースを展開
- Azure Stack HCI VM オペレーター:ポータルから仮想マシンを展開・管理
データコントローラーと Arc 対応データサービス
データコントローラーは、Arc 対応データサービスの中核となるコンポーネントです。オンプレミスの Kubernetes クラスター上に Pod として展開され、その上で SQL Managed Instance や PostgreSQL Hyperscale などのデータベースサービスを管理します。
データベースはカスタムの場所に紐付いており、Azure ポータルのリソース一覧からも確認・管理できます。
Active Directory 認証(プレビュー)にも対応しており、AD コネクターを Pod として展開することで認証を司る構成も可能です。
リソースブリッジ(Resource Bridge)
リソースブリッジは、Azure からオンプレミスへの命令を仲介する中間コンポーネントです。Azure ポータルから「仮想マシンを作成する」といった操作を行うと、リソースブリッジがその命令を受け取り、実際のオンプレミス基盤(Azure Stack HCI など)に指示を出します。
実体は仮想マシン上で動作する Kubernetes Pod に近いイメージです。カスタムの場所と紐付けることで、どの基盤上でどのサービスが使えるかが Azure 側から認識されます。
サービスプリンシパルとオンボーディング
オンプレミスのサーバーを Azure Arc 対応サーバーとして登録(オンボーディング)する際には、Azure 上にオブジェクトを作成する権限が必要です。この権限を持つ仕組みとしてサービスプリンシパルが使われます。
Azure Arc のメニュー内にある「サービスプリンシパル」は、実体は Azure Active Directory に登録されたアプリです。オンボーディング専用のロール(「Azure Connected Machine のオンボード」など)のみが付与された、権限を絞ったサービスプリンシパルを作成して利用します。
インフラ管理者が Azure Active Directory の詳細を意識せずに管理できるよう、Arc ポータル上に簡略化されたビューが用意されています。
プライベートリンクスコープ
Azure Arc のリソースに対してプライベートネットワーク経由で接続したい場合は、Azure Arc プライベートリンクスコープを使用します。仮想ネットワークのプライベートエンドポイントと紐付けることで、Express Route などを介したプライベート接続が実現します。
企業ユースではセキュリティ要件からプライベート接続を求めるケースが多く、このコンポーネントが重要な役割を果たします。
Azure Arc 仮想マシンの展開
Azure Arc では、Azure 以外の基盤上に仮想マシンをポータルから作成できます。Azure ポータルの仮想マシン作成画面には以下の種別があります。
| 種別 | 概要 |
|---|---|
| Azure 仮想マシン | Azure 基盤上に作成 |
| Azure Arc 仮想マシン | Azure 以外の環境に作成(HCI / VMware / SCVMM 等) |
| Azure VMware Solution 仮想マシン | AVS 上に作成 |
仮想マシン作成の流れ
- リソースグループとカスタムの場所を選択
- VM イメージ(VHDx ファイルを事前に登録したもの)を選択
- プロセッサ・メモリを設定
- 管理者アカウントを設定
- データディスクを追加(任意)
- ネットワークインターフェースを設定(HCI 側の仮想スイッチに対応)
- タグを設定
- 作成を実行
作成を実行すると、Azure からの命令をリソースブリッジが受け取り、Azure Stack HCI 上に Hyper-V 仮想マシンとして展開されます。
Hyper-V マネージャーやフェールオーバークラスターマネージャーでも、展開された VM を確認できます。
現時点での制限事項(2022 年 9 月時点)
Arc 仮想マシンが作成された直後の状態では、ポータルから直接接続(コンソールアクセス等)はできません。Arc エージェントを VM 内にインストールして「Arc 対応サーバー」にすることで、SSH や Windows Admin Center、リモートデスクトップによる管理が可能になります。この点は今後改善予定とのことです。
Windows Admin Center を Azure ポータルから使う
Azure Stack HCI クラスターの管理に、Azure ポータルから Windows Admin Center を使えるようになりました(当時プレビュー)。
従来は、オンプレミスのサーバーやクライアントに Windows Admin Center をインストールし、そこから HCI クラスターに接続する必要がありました。新機能では Azure ポータルから直接接続でき、以下のような管理操作が可能です。
- CPU・メモリ・ネットワークのリアルタイム監視
- 仮想マシンの一覧・プロパティ確認
- ボリューム・ストレージの状態確認
- パフォーマンス(IOPS・待機時間)の確認
- 個別ノードへの接続・管理
- ドメイン参加・複製操作
ただし、オンプレミスの Windows Admin Center と Azure ポータル版では設定画面の項目に差異があります。特にリソースブリッジや Azure Arc 関連の設定項目はオンプレミス版にのみ存在するものがあり、両者を使い分ける必要が生じるケースもあります。
Azure Monitor によるハイブリッド監視
Azure Monitor を使うと、Azure 仮想マシンと Arc 対応サーバーを同一の画面で監視できます。
主な監視項目
- CPU 使用率・メモリ使用率
- ネットワーク送受信バイト数
- 論理ディスク使用率
- 接続マップ(どのサーバーがどこと通信しているかの可視化)
接続マップでは、サーバーごとの通信先や使用ポートが視覚的に表示され、プロセス単位での通信状況も確認できます。
ブック(Workbook)によるカスタマイズ
Azure Monitor のブックを使うと、独自の監視ダッシュボードを作成できます。
- 既存のブックをベースにクエリを編集
- テキスト・グラフ・メトリック・リンクを自由に追加
- 作成したブックをチームで共有・ダッシュボードにピン留め
たとえば「失敗した接続だけを表示するブック」のように、組織に必要な監視ビューを自作してハイブリッド環境全体を一括管理できます。
Microsoft Defender for Cloud によるセキュリティ管理
Microsoft Defender for Cloud は、Azure・オンプレミス・他クラウドのリソースを横断してセキュリティ状態を評価・管理するサービスです。
主な機能
- セキュリティスコア:推奨事項への対応状況をスコア化
- 推奨事項の提示:問題の内容・影響度・対処方法を具体的に提示
- クイックフィックス:対応可能なものはボタン一つで自動修復
- 適用除外:組織のポリシーとして許容するリスクを除外設定
- ロジックアプリ連携:推奨事項に応じて自動化処理を起動
脆弱性評価の自動修復例
脆弱性評価ソリューションが未導入のサーバーに対して、クイックフィックスを実行するだけで Microsoft Defender for Endpoint エージェントが自動的にデプロイされます。
本番環境ではコストがかかる機能ですが、発見・分析・修復まで一気通貫で管理できる点で非常に有効なソリューションです。
Microsoft Sentinel との連携
Microsoft Sentinel は、Log Analytics ワークスペースに収集されたログを分析し、脅威を検出・管理する SIEM サービスです。
Defender for Cloud と連携することで、Azure・オンプレミス・ファイアウォール機器など多様なソースのログを一元的に取り込み、インシデント管理を行えます。単発のログでは判断しにくい攻撃パターンも、連続する動きを相関分析することで脅威として検出できます。
Azure Automanage によるベストプラクティスの自動適用
Azure Automanage を使うと、Azure が定義するベストプラクティスをサーバーに一括適用できます。「運用」プロファイルでは以下が自動構成されます。
- バックアップの有効化
- マルウェア対策の有効化
- マシン分析の有効化
- Automanage マシン構成の有効化
- 更新管理の有効化
- 変更履歴・インベントリの有効化
- Microsoft Defender for Cloud の有効化
- Azure Automation アカウントの有効化
- Log Analytics ワークスペースの有効化
- 起動診断の有効化
- Windows Admin Center の有効化
これらをまとめて一括適用できるため、「手作業での設定漏れ」を防げます。Arc 対応サーバーにも適用可能です。
Update Management Center
Update Management Center では、Azure 仮想マシンと Arc 対応サーバーの Windows Update 状況を一元管理できます。
- 適用状況の一覧表示(準拠・非準拠)
- パッチスケジュールの設定
- オーケストレーションによる可用性を考慮したパッチ適用
- 更新履歴の確認
- Azure Workbook によるカスタム表示
Azure Policy によるコンプライアンス管理
Azure Policy を使うと、組織のコンプライアンス基準に対するリソースの準拠状況を継続的に監視・修復できます。
- 組み込みポリシーを割り当て、Arc 対応リソースにも適用可能
- 非準拠リソースを自動で修復(修復タスクの実行)
- 準拠していないポリシーの適用除外設定
- Event Grid 連携による外部システムとの自動化
ポリシーの裏側では Azure Arc Machine Configuration(旧 DSC / Guest Configuration)が使われており、自分でカスタムポリシーを作成して適用することもできます。
まとめ
Azure Arc を中心としたハイブリッド管理の全体像を確認しました。
- Azure Arc によってオンプレミスや他クラウドのリソースが Azure の管理プレーンに統合され、仮想マシン・データベース・Kubernetes クラスターを Azure ポータルから一元管理できます
- リソースブリッジとカスタムの場所が、Azure からオンプレミスへの命令を仲介する重要な役割を担います
- Azure Monitor・Defender for Cloud・Automanage・Update Management Center・Azure Policy など、Azure の管理系サービスはいずれもハイブリッド環境に対応しており、Azure とオンプレミスを区別せず同一の運用フローで管理できます
- 2022 年 9 月時点ではプレビュー段階の機能も多く、接続後のコンソールアクセスなど一部制限がありましたが、今後の進化が期待されます
オンプレミス環境とクラウドを分け隔てなく管理したいと考えている方は、ぜひ Azure Arc の導入を検討してみてください。