【Part3】Azure ArcBox 3.0 for IT Pro の体験シナリオを試す
この記事の内容
- Azure ArcBox 3.0(IT Proフレーバー)の展開翌日のリソース確認
- Azure Arc 経由でのSSH・RDP・リモートPowerShellによるサーバー接続
- Microsoft Entra IDを使ったSSHログインの設定と実践
- Azure Monitor ワークブックによるインベントリ・パフォーマンス監視
- Arc対応SQLサーバーのベストプラクティスアセスメントと移行評価
展開翌日のリソース確認
ArcBox 3.0(IT Proフレーバー)を展開して一晩置いた状態で、Azureポータルからリソースを確認してみます。
展開後には以下のリソースが作成されていることを確認できます。
- Arc対応仮想マシン(Linux・Windows)計5台
- Arc対応SQLサーバーおよびSQLデータベース
- Key Vault
- Log Analyticsワークスペース
- Azureモニター ワークブック
- データコレクションルール / データ収集エンドポイント
一部のポリシー展開で失敗が記録されていることがありますが、これはサポート対象外のLinuxディストリビューションにDependency Agentがインストールできなかった等の想定内の挙動である場合があります。ArcBoxはオープンソースで開発されており、問題はIssueとプルリクエストで継続的に修正されていきます。1日のみの検証目的であれば、大きく気にする必要はありません。
仮想マシン内では、デプロイメントステータスのテスト(21件)がすべて成功していることが確認でき、展開自体は正常に完了しています。
Hyper-V Managerからの仮想マシン接続
ArcBoxクライアントVM内にはHyper-V Managerが用意されており、展開された仮想マシンへ直接接続できます。
接続用クレデンシャルは以下の通りです。
| 項目 | 値 |
|---|---|
| ユーザー名 | jumpstart(Linuxは小文字、Windowsは大文字) |
| パスワード | JS123!! |
LinuxゲストVM、Windows Serverゲストともに接続を確認できます。また、SQLサーバーが稼働しているVMにはSQL Server Management Studioも用意されており、localhost に対してWindows認証でログインしてデータベース(AdventureWorksなど)を参照することができます。
Azure Arc 経由のSSH接続
ArcBoxの大きな特徴のひとつが、パブリックIPを持たないサーバーに対してインターネット経由でSSH接続できる点です。Azure Arc対応サーバーとして登録することで、az ssh コマンドを使った接続が可能になります。
Linuxへの接続
まず、Azure CLIにサインインします。
az login
次に、対象のArc対応サーバーにSSHで接続します(初回実行時はSSH拡張が自動インストールされます)。
az ssh arc \
--resource-group <リソースグループ名> \
--name ArcBox-Ubuntu-01 \
--local-user jumpstart
接続が成功するとパスワードを求められ、Arc経由でサーバー内に入れます。パブリックIPや特別なネットワーク設定なしに接続できるのがポイントです。
Windowsへの接続
同様に、Windowsサーバーへも接続できます。
az ssh arc \
--resource-group <リソースグループ名> \
--name ArcBox-Win2K22 \
--local-user Administrator
接続するとコマンドプロンプトが起動します。powershell と入力すればPowerShellセッションにも切り替えられます。
RDP(リモートデスクトップ)のSSHトンネリング
az ssh arc コマンドに --rdp オプションを付けると、SSHトンネル経由でRDP接続も可能です。
az ssh arc \
--resource-group <リソースグループ名> \
--name ArcBox-Win2K22 \
--local-user Administrator \
--rdp
実行するとRDPクライアントが localhost へのリダイレクトで起動し、SSHトンネル経由でリモートデスクトップに接続できます。
Microsoft Entra IDによるSSHログイン
ローカルユーザーではなく、Microsoft Entra IDアカウントでSSHログインすることもできます。これには追加の拡張機能インストールとRBAC設定が必要です。
拡張機能のインストール
az connectedmachine extension create \
--machine-name ArcBox-Ubuntu-01 \
--resource-group <リソースグループ名> \
--publisher Microsoft.Azure.ActiveDirectory \
--name AADSSHLoginForLinux \
--type AADSSHLoginForLinux \
--location <リージョン>
RBACロールの割り当て
Azureポータルから対象のArc対応サーバーリソースを開き、アクセス制御(IAM) → ロールの割り当ての追加 で、以下のいずれかを自分のアカウントに割り当てます。
- 仮想マシンの管理者ログイン(管理者権限)
- 仮想マシンのユーザーログイン(一般ユーザー権限)
Entra IDでのSSH接続
ロールを割り当てた後は、--local-user オプションを省略するだけでEntra IDによる認証が使われます。
az ssh arc \
--resource-group <リソースグループ名> \
--name ArcBox-Ubuntu-01
パスワードを求められることなく、Entra IDの認証情報でサーバーに接続できます。認証の優先順位はEntra ID → SSHキー → パスワードの順で試行されます。
リモートPowerShell(SSH経由)
Arc経由でリモートPowerShellセッションを確立することもできます。まずSSHプロキシ設定ファイルを生成します。
az ssh config \
--resource-group <リソースグループ名> \
--name ArcBox-Win2K22 \
--local-user Administrator \
--file <設定ファイルの保存先パス>
生成された設定ファイルを使い、PowerShellからリモートセッションを作成します。
# 変数の設定(サーバー名、ユーザー名等)
$session = New-PSSession -HostName <サーバー名> -UserName Administrator -SSHTransport
# リモートコマンドの実行
Invoke-Command -Session $session -ScriptBlock { hostname }
# セッションの切断
Disconnect-PSSession $session
パブリックIPもVPNも不要で、インターネット接続さえあればどこからでもリモートPowerShellを実行できるのが特徴です。
Azure Monitor ワークブックでの監視
ArcBoxにはAzure Monitorワークブックが事前に用意されており、接続済みのサーバー群を一元的に可視化できます。
インベントリワークブック
Azureポータルの ブック から確認できます。以下の情報が表示されます。
- Arc対応サーバーの台数・種別(Linux / Windows)
- OSバージョン、エージェントバージョン、ロケーション
- コンプライアンスポリシーの準拠状況
- 適用すべきWindowsアップデート / Linuxアップデートの一覧
- Microsoft Defender for Cloudのアクティブなアラート
パフォーマンスワークブック
Log Analyticsワークスペースを選択して開くと、以下のメトリクスを時系列で確認できます。
- CPU使用率(ピーク値・履歴)
- メモリ使用量(閾値超過時は赤表示)
- ディスク空き容量
- ディスク読み書きパフォーマンス
- ハートビートの状態
これにより、オンプレミスサーバーであってもAzure Arcで接続することで、Azureと同等の監視体験が得られます。従来のパフォーマンスカウンターを手動収集してExcelで月次レポートを作成していたような運用から脱却できる仕組みです。
Azure Update Manager
Azure Update Managerを使うと、Windows / Linuxを問わず、オンプレミスや他クラウド上のサーバーも含めて、パッチ管理を一元化できます。
ArcBoxでは定期アセスメントがあらかじめ有効化されており、適用可能なアップデートが自動的に検出されています。
- メンテナンス期間(ウィンドウ)を設定してスケジュール実行が可能
- オンデマンド実行も可能
- 有効化後は24時間に1回、自動でアップデート情報が取得されます
対象サーバーを開き、操作 → 更新 から現在適用可能なアップデートの一覧と実行履歴を確認できます。
SSHポスチャーコントロール(マシン構成)
Azureポリシーを使ったSSHサーバーのセキュリティ設定管理機能もArcBoxで体験できます。
ArcBoxではSSHポリシーのアセスメントが 監査モード(Audit Only) で構成されており、設定を強制変更せず、現在の設定状態を評価して警告を表示します。
Azureポータルの マシン構成 から確認すると、以下のような構成が割り当てられています。
- Azureリナックスベースライン
- SSHパスワード認証の無効化
- SSHサーバーセキュリティベースライン(ArcBox独自定義)
準拠していないルールとその理由がポータル上に一覧表示されます。
Azure Resource Graphでの確認
以下のようなKQLクエリをAzure Resource Graphエクスプローラーで実行することで、準拠状況をプログラム的に取得できます。
GuestConfigurationResources
| where type == "microsoft.guestconfiguration/guestconfigurationassignments"
| project name, properties
取得結果はAPIでも利用できるため、既存の管理ツールやソリューションへの組み込みも可能です。
Arc対応SQLサーバーのベストプラクティスアセスメント
Azure ArcにSQLサーバーを接続すると、SQLサーバーとしての管理機能も利用できます。
対象のSQLサーバーリソースを開き、設定 → ベストプラクティスアセスメント から評価を実行します。評価が完了すると、構成上の問題点と推奨事項が一覧表示されます。
SQLサーバー移行アセスメント
Arc対応SQLサーバーでは、Azure移行の可否を評価する 移行アセスメント 機能も用意されています。
移行評価 から確認すると、移行先ごとに以下のような結果が得られます。
| 移行先 | 結果の例 |
|---|---|
| Azure SQL Managed Instance | FileStream / FileTable使用のため不可 |
| Azure VM上のSQL Server | 対応可能(推奨VMサイズも提示) |
| Azure SQL Database | 一部DBは機能非対応のためブロック |
データベース単位での移行可否が分かるほか、SQLサーバーのエディション・バージョン・サポート終了日なども確認できます。Azure Database Migration ServiceやAzure Migrateを使った移行ツールへの誘導もポータル上で提示されます。
Microsoft Defender for Cloud(SQLサーバー向け)
Microsoft Defender for SQL を有効化することで、SQLサーバーに対する継続的なセキュリティチェックが可能になります。
有効化手順はAzureポータルの Defender for Cloud → 環境の設定 から対象サブスクリプションを開き、Microsoft Defender for SQL servers on machines を有効化します。
※ 有効化には課金が発生するため、検証環境での有効化は任意です。
有効化すると、SQLサーバーに脅威検出用のPowerShellスクリプトが配置され、SQLインジェクションや異常なクエリ実行などのセキュリティイベントが検知されます。問題が検知された場合はポータルへの表示やメール通知が行われます。
まとめ
Azure ArcBox 3.0(IT Proフレーバー)では、以下の体験シナリオを一通り試すことができました。
- 展開の簡単さ: 複数台のVM・SQLサーバー・監視環境が一晩で自動構成される
- SSH / RDP / リモートPowerShell: パブリックIPなしにインターネット経由でどこからでもアクセス可能
- Entra IDによるSSH認証: ローカルユーザー不要でID基盤と統合した接続が可能
- Azure Monitor ワークブック: オンプレミス含むサーバー群のインベントリとパフォーマンスを一元可視化
- Update Manager / マシン構成: パッチ管理とセキュリティポリシー準拠を集中管理
- SQLサーバーアセスメント: ベストプラクティス評価・Azure移行アセスメント・Defender連携
検証が終わったらリソースグループを削除するだけでクリーンアップが完了します。必要なときに展開して検証し、終わったら即削除するというサイクルが手軽に回せるのがArcBoxの大きな利点です。ハイブリッド環境でAzure Arcを活用する場面を想定している方は、ぜひ一度試してみてください。