Azure仮想マシンの管理機能を徹底解説——ポータルから使える機能を総まとめ

この記事の内容

  • Azure仮想マシン(VM)のポータルメニューに用意されている管理機能を網羅的に紹介します
  • 接続方法(RDP/SSH/Bastion)から監視・自動化・トラブルシューティングまで幅広く解説します
  • Just-In-TimeアクセスやManaged Identityなどのセキュリティ機能についても触れています
  • 各機能の概要と、より詳細な理解が必要な場合にどこを深掘りすべきかがわかります
  • 2023年2月時点のAzureポータルの状態をベースにしています

接続方法の選択肢

仮想マシンへの接続方法は複数用意されています。

RDP / SSH

最も基本的な接続方法です。ただし、インターネット経由でRDP接続を行う場合はパブリックIPアドレスが必要になります。セキュリティ上の観点からパブリックIPを持たせたくない場合は、後述のBastionが選択肢になります。

Azure Bastion

BastionはパブリックIPアドレスを持たせることなく、ブラウザベースで仮想マシンに接続できるサービスです。

  • 仮想ネットワーク経由のプライベート接続(VPN/ExpressRoute)は高コストになる場合がある
  • Bastionを使えば、パブリックIPもプライベートネットワーク接続も不要
  • ネットワーク的には繋がっていないが画面だけ見えるという構成を実現できる

セキュリティに配慮した環境での接続手段として有効です。なお、Bastionは別途デプロイが必要で、利用料金が発生します。

DNS名の設定

仮想マシンに割り当てたパブリックIPアドレスに対して、DNS名ラベルを付与することができます。

Azureが用意しているドメイン(例:ebisuda-vm.japaneast.cloudapp.azure.com)に対してラベルを設定すると、IPアドレスの代わりにDNS名でアクセスできるようになります。独自ドメインを使いたい場合は、CNameレコードやAレコードを別途設定する方法もあります。この機能はパブリックIPアドレスリソース側の機能となっています。

可用性とスケーリング

可用性セットや仮想マシンスケールセット(VMSS)を使った高可用性構成やスケーリングについても、ポータルから設定可能です。内容が広範なため、詳細は別途確認することをお勧めします。

アクティビティログ

仮想マシンに対してどのような操作が行われたかを確認できます。VMの内部ログではなく、AzureポータルやAzure APIを通じて行われた操作の履歴が記録されています。

  • 仮想マシン作成時にAzureが自動で行った処理(例:ゲスト構成)も記録される
  • 誰がいつ何をしたかを追跡できる
  • Log Analyticsと連携して一元管理することも可能

タグの管理

ポータルのタグメニューから、仮想マシンに対してタグの追加・変更・削除ができます。コスト管理や環境区分(本番・開発など)の識別に活用できます。

問題の診断と解決

トラブルシューティングのためのナレッジベースが用意されています。

  • いつメンテナンスがあるかの確認
  • VMに接続できない場合の対処方法
  • パフォーマンス問題のガイダンス
  • パスワードリセットやシリアルコンソールへのアクセスといったツール

困ったときにまずここを参照すると、解決の手がかりが得られる場合があります。

ディスクの管理

仮想マシンにはOSディスクとデータディスクが存在します。

  • OSディスク:基本的に1つ。変更は可能ですが操作に注意が必要です
  • データディスク:新規作成して追加できます。複数接続可能です
  • サイズ変更:VMを停止(再起動)することでサイズを変更できます。クラウドならではの柔軟性を活用し、負荷に応じて動的にサイズを調整することが可能です

セキュリティ関連機能

Microsoft Defender for Cloud

セキュリティ対策を強化するための大規模なサービスです。仮想マシンのセキュリティ推奨事項の確認や脅威の検出に利用できます。

Azure Advisor の推奨事項

Azureが仮想マシンに対する推奨事項を自動で提示してくれます。コストの最適化や可用性の向上といった観点からのアドバイスが表示されます。

Just-In-Time VMアクセス

通常の管理では、管理者がいつでもVMにアクセスできる状態が続きます。Just-In-Timeアクセスを使うと、必要な時間帯だけアクセスを許可し、作業終了後はアクセスを閉じることができます。

  • ネットワークやアクセス制御の観点でより安全な運用が実現できる
  • 設定はポータルの「構成」メニューから行える

拡張機能とアプリケーション

仮想マシンに拡張機能を追加することができます。例えば、Windows Admin Centerをインストールする際にも拡張機能が使われます。自動化スクリプトの実行やツールの展開など、様々な用途に活用できます。

Windows Admin Center

仮想マシンの管理に使えるWebベースのツールです。拡張機能としてインストールすることで、AzureポータルからWindows Admin Centerを介してVMを管理できるようになります。ただし、接続には適切なネットワーク設定(ポートの開放など)が必要です。

Managed Identity(マネージドID)

VMから他のAzureサービスにアクセスする際に使用します。IDやパスワードをスクリプトに埋め込む必要がなく、安全に認証を行える仕組みです。

  • システム割り当てマネージドID:VMに対して自動的に割り当てられるID
  • ユーザー割り当てマネージドID:手動で作成して複数リソースに割り当て可能

スクリプトの自動化などでAzureリソースへのアクセスが必要な場合に積極的に活用することをお勧めします。

リソースのロック

誤って仮想マシンを削除してしまうことを防ぐためのロック機能が用意されています。

  • 削除ロック:削除操作をブロックする。削除するには明示的にロックを外す必要がある
  • 読み取り専用ロック:変更を禁止する

重要なVMには削除ロックをかけておくことで、意図しない削除を防げます。

自動シャットダウン

指定した時刻にVMを自動的にシャットダウンする設定ができます。開発・テスト環境などで夜間の無駄なコストを抑えるのに有効です。

Webhookエンドポイントを設定すると、シャットダウン前に指定したエンドポイントへ通知を送ることができ、Logic AppsやPower Automateなどと連携した処理も可能です。

バックアップとディザスタリカバリー

Azure Backup

仮想マシンのバックアップをAzure Backupサービスと連携して構成できます。

ディザスタリカバリー

別リージョンへのレプリケーションを設定し、障害時にはフェールオーバーできる構成を組めます。ポータルではリージョン間のレプリケーション状況が視覚的に確認できます。

更新プログラムの管理

OS内の更新プログラムの適用状況を確認し、Azureから一元管理することができます。Azure Update Managerを使うことで、複数台のVMの更新を効率的に管理できます。

インベントリと変更管理

VMにインストールされているアプリケーションや設定の一覧(インベントリ)を収集し、変更履歴を管理できます。Log Analyticsと連携して使用します。

Azure Automanage(オートマネージ)

VMの運用を自動化するサービスです。バックアップ・監視・更新管理など、運用に必要なベストプラクティスをまとめて適用できます。

  • 本番・開発テストなどのプロファイルを選択するだけで設定が完了
  • カスタムプロファイルの作成も可能
  • 1台ごとに手動設定する手間を省き、大規模な運用管理を効率化できる

構成管理(Azure Policy / DSC)

Azure Policy

AzureリソースにポリシーをAzure全体で適用し、準拠状況を可視化・強制できます。ポリシーに違反したリソースを自動修正することも可能です。

Desired State Configuration(DSC)

VM内部の構成(インストールするアプリ、レジストリ設定など)を宣言的に管理する仕組みです。VMの内側の状態を自動的に目的の状態に維持します。

Azure PolicyでAzureリソース全体を管理し、DSCでVM内部を管理するという組み合わせにより、大規模な環境でも一貫した構成を維持できます。

実行コマンド(Run Command)

VMエージェントを介して、AzureポータルからVMに対してコマンドを実行できる機能です。RDPやSSH接続ができない状況でも操作が可能です。

監視機能

仮想マシンの監視は複数の階層に分かれています。

VMインサイト(分析情報)

Azure Monitorと連携してVMの正常性・パフォーマンスを詳細に可視化します。OSから収集したメトリクスやログも対象に含まれます。

メトリック

Azureの基盤側から収集できる情報(CPU使用率、ディスクI/O、ネットワーク入出力など)をグラフで確認できます。OSの内部情報を取得するには「ゲストメトリクス」の有効化が必要です。

アラートルール

しきい値を定義しておくことで、問題発生時にアラートを発生させることができます。アラートに応じてアクション(通知・自動処理など)を実行させることも可能です。

診断設定

パフォーマンスカウンター・ログ・イベントトレース・クラッシュダンプなど、様々な診断データを収集し、Azure MonitorやApplication Insightsへ送信できます。

ブック(Workbooks)

収集したログやメトリクスをもとに、カスタムのダッシュボードを作成できます。テンプレートとして用意されているブックも活用できます。

トラブルシューティングツール

ブート診断

VMのブートスクリーンショットやシリアルログを確認できます。VMへの接続が取れない場合に、OSが正常に起動しているかどうかを確認するのに役立ちます。

パスワードのリセット

管理者アカウントのパスワードを忘れた場合でも、ポータルからリセットできます。VMアクセス拡張機能を介して実行されます。

再デプロイ(Redeploy)

VMをAzureデータセンター内の別のホストに移し直す操作です。基盤側の問題が疑われる場合に試すことができます。

シリアルコンソール

RDPやSSHで接続できない場合の最終手段として、シリアルコンソール経由での操作が可能です。特にLinux環境で有効な手段です。

NSGフロー検証(IPフロー検証)

ネットワーク接続の問題がNSGの問題なのか、VMの問題なのかを切り分けるためのツールです。どこでトラフィックがブロックされているかを確認できます。

パフォーマンス診断

パフォーマンス問題のトラブルシューティングを支援するツールです。診断を実行するとレポートが生成されます。

テンプレートのエクスポート

仮想マシンの構成をARMテンプレート(JSON形式)としてエクスポートできます。ただし、すべての設定が完全にエクスポートされるわけではないため、エクスポートしたテンプレートをそのまま再利用できないケースがあります。IaCでの管理を前提とする場合は、BicepやARMテンプレートを最初から手で記述するアプローチも検討してください。

まとめ

Azure仮想マシンのポータルには、単純なRDP接続以外にも非常に多くの管理機能が用意されています。本記事では以下の機能群を紹介しました。

  • 接続:RDP/SSH・Bastion・Windows Admin Center
  • セキュリティ:Just-In-Timeアクセス・Defender for Cloud・Managed Identity・ロック
  • 運用自動化:Automanage・構成管理(DSC)・Azure Policy・実行コマンド
  • 監視:VMインサイト・メトリック・アラート・診断設定・ブック
  • 可用性:バックアップ・ディザスタリカバリー・更新管理
  • トラブルシューティング:ブート診断・パスワードリセット・再デプロイ・シリアルコンソール

仮想マシンを「作ってRDPで繋ぐだけ」で使っている場合も多いと思いますが、こうした機能を活用することで、セキュアかつ運用効率の高い環境を構築できます。Azureのサービスは継続的にアップデートされるため、定期的にポータルを確認し、新機能を積極的に取り入れていくことをお勧めします。