VM の Azure 検証
> 適用対象: Azure Stack HCI バージョン 23H2 以降。
Microsoft Azure では、Azure でのみ実行するように設計されたさまざまな区別されたワークロードと機能が提供されます。 Azure Stack HCI は、使い慣れた高パフォーマンスのオンプレミスまたはエッジの同環境で実行しながら、Azure から得られるのと同じ利点の多くを拡張します。
VM に対する Azure 検証 を使用すると、サポートされている Azure 専用ワークロードをクラウドの外部で動作させることができます。 Azure の IMDS 構成証明 サービスをモデルにしたこの機能は、Azure Stack HCI 23H2 以降で既定で有効になっている組み込みのプラットフォーム構成証明サービスです。 これらの VM が他の Azure 環境で動作することを保証するのに役立ちます。
Azure Stack HCI バージョン 22H2 以前の以前のバージョンのこの機能の詳細については、「 Azure Stack HCI の Azure 特典」を参照してください。
Azure Stack HCI で利用できる利点
VM の Azure 検証を使用すると、Azure Stack HCI でのみ使用できる次の利点を使用できます。
| ワークロード | 内容 | 特典を取得する方法 |
|---|---|---|
| 延長セキュリティ更新プログラム (ESU) | Azure Stack HCI 上のサポート終了 SQL および Windows Server VM のセキュリティ更新プログラムを追加料金なしで入手できます。 詳細については、「Free Extended Security Updates (ESU on Azure Stack HCI)」を参照してください。 |
最新のサービス スタック Updatesでバージョン Windows Server 2012 以前を実行している古い VM に対してレガシ OS サポートを有効にする必要があります。 |
| Azure Virtual Desktop (AVD) | AVD セッション ホストは、Azure インフラストラクチャでのみ実行できます。 Azure VM 検証を使用して、Azure Stack HCI 上の Windows マルチセッション VM をアクティブ化します。 AVD のライセンス要件は引き続き適用されます。 「Azure Virtual Desktop の価格」を参照してください。 |
2024 年 4 月 9 日にリリースされた 4B 更新プログラム (22H2: KB5036893、21H2: KB5036894) 以降でマルチセッションWindows 11バージョンを実行している VM に対して自動的にアクティブ化されます。 2024 年 4 月 9 日以降にリリースされた 4B 更新プログラムWindows 10マルチセッションでバージョンを実行している VM のレガシ OS サポートKB5036892を有効にする必要があります。 |
| Windows Server Datacenter: Azure Edition | Azure Edition VM は、Azure インフラストラクチャでのみ実行できます。 Windows Server Azure Edition VM をアクティブ化し、最新の Windows Server イノベーションやその他の排他的な機能を使用します。 ライセンス要件は引き続き適用されます。 Azure Stack HCI で Windows Server VM のライセンスを取得する方法について説明します。 |
2024 年 4 月 9 日にリリースされた 4B 更新プログラム (KB5036909) 以降で Windows Server Azure Edition 2022 を実行している VM に対して自動的にアクティブ化されます。 |
| Azure Policy ゲスト構成 | Azure Policyゲスト構成を無償で取得します。 この Arc 拡張機能を使用すると、サーバーと VM のコードとして OS 設定の監査と構成が可能になります。 | Arc エージェント バージョン 1.39 以降。 「最新の Arc エージェント リリース」を参照してください。 |
注意
継続的な機能を確保するには、Azure Stack HCI 上の VM を 2024 年 6 月 17 日までに最新の累積的な更新プログラムに更新します。 この更新プログラムは、VM が Azure 特典を引き続き使用するために不可欠です。 詳細については、 Azure Stack HCI のブログ投稿 を参照してください。
アーキテクチャ
このセクションは省略可能な読み取りであり、Azure Stack HCI での Azure VM 検証の "内部" のしくみについて詳しく説明します。
Azure VM の検証は、Azure Stack HCI 上の組み込みのプラットフォーム構成証明サービスに依存しています。 このサービスは、Azure で実行されるのと同じ IMDS 構成証明 サービスの後にモデル化され、ほぼ同じペイロードを返します。 主な違いは、オンプレミスで実行されるため、VM が Azure ではなく Azure Stack HCI で実行されていることが保証される点です。
Azure VM の検証は、バージョン 23H2 以降を実行している Azure Stack HCI で既定で有効になっています。 サーバーの起動時に、HciSvc は Hyper-V ソケット (VMBus) 経由で統合サービスを生成し、VM とサーバー間のセキュリティで保護された通信を容易にします。
レガシ OS のサポート: Win32 API 呼び出しを行ったり、統合サービスに直接クエリを実行したりできないワークロードでは、レガシ OS のサポートを有効にする必要があります。 この設定により、同じサーバー上の VM にプライベートでルーティング不可能な REST エンドポイントが提供されます。
このエンドポイントを有効にするには、内部 vSwitch が Azure Stack HCI サーバー ( AZSHCI_HOST-IMDS_DO_NOT_MODIFY という名前) で構成されます。 その後、VM に NIC (AZSHCI_GUEST-IMDS_DO_NOT_MODIFY) が構成され、同じ vSwitch にアタッチされている必要があります。
注意
このスイッチと NIC を変更または削除すると、Azure VM の検証が正しく機能しなくなります。 エラーが発生した場合は、無効にしてから、レガシ OS サポートを有効に戻してみてください。
Azure Stack HCI が Azure と同期するたびに、HciSvc は Azure から証明書を取得し、各サーバーのエンクレーブ内に安全に格納します。
Note
証明書は Azure Stack HCI クラスターが Azure と同期するたびに更新され、各更新は 30 日間有効です。 Azure Stack HCI の通常の 30 日間の接続要件を維持している限り、証明書を更新するためにユーザー操作は必要ありません。
ベネフィットをアクティブ化するために、コンシューマー ワークロードはサーバーからの構成証明を要求します。 VM Bus 経由で要求を送信しようとします。または、レガシ OS サポートで構成されたネットワーク コンポーネントを使用して REST エンドポイントに対してクエリを実行することもできます。 VM とサーバー間の通信のどちらの方法もサポートされており、同じクラスター上に共存できます。
注意
レガシ OS サポートを使用する場合は、特典のアクティブ化を必要とする VM のアクセスを手動で有効にする必要があります。
その後、HciSvc は、格納されている Azure 証明書を使用して署名された応答を返します。 コンシューマーは応答を確認し、関連する利点をアクティブ化します。
Azure VM の検証を管理する
Azure VM の検証は、Azure Stack HCI 23H2 以降で既定で自動的に有効になります。 次の手順では、この機能を使用するための前提条件と、利点を管理するための手順 (省略可能) について説明します。
注意
拡張セキュリティ Updates (ESU) を有効にするには、追加のセットアップを行い、レガシ OS サポートを有効にする必要があります。
ホストの前提条件
- Azure Stack HCI バージョン 23H2 システムにアクセスできることを確認します。 すべてのサーバーは、オンライン、登録済み、クラスターがデプロイされている必要があります。 詳細については、「Arc にサーバーを登録する」および「Azure portal経由でデプロイする」を参照してください。
- Hyper-V および RSAT-Hyper-V ツールをインストールする。
- (省略可能)Windows Admin Centerを使用している場合は、Cluster Manager 拡張機能 (バージョン 2.319.0) 以降をインストールする必要があります。
VM に関する前提条件
必ず VM を更新してください。 ワークロードの バージョン要件を参照してください。
Hyper-V ゲスト サービス インターフェイスを有効にします。 Windows Admin Centerまたは PowerShell の手順を参照してください。
Windows Admin Centerまたは PowerShell を使用して Azure VM の検証を管理するか、Azure CLI またはAzure portalを使用してその状態を表示できます。 次のセクションでは、各オプションについて説明します。
Azure VM 検証のサーバーの状態を確認する
Windows Admin Centerで、上部のドロップダウン メニューから [クラスター マネージャー] を選択し、アクティブにするクラスターに移動し、[設定]で [VM の Azure 検証] を選択します。
Azure VM 検証サーバーの状態をチェックするには:
クラスター レベルの状態: ホストの状態 は [オン] と表示されます。
サーバー レベルの状態: ダッシュボードの [サーバー] タブで、すべてのサーバーの状態が [アクティブ] として表に表示されることをチェックします。
サーバーのトラブルシューティング
- [ サーバー ] タブで、1 つ以上のサーバーが [期限切れ] と表示される場合:
- サーバーが Azure と 30 日以上同期されていない場合、その状態は [有効期限切れ ] または [非アクティブ] として表示されます。 [ Azure と同期] を選択して、手動同期をスケジュールします。
VM でアクティブ化された特典を管理する
VM でアクティブ化される利点をチェックするには、[VM] タブに移動します。
ダッシュボードには、次の VM の数が表示されます。
- アクティブな利点: これらの VM には、Azure VM 検証を介してアクティブ化された Azure 専用機能があります。
- 非アクティブな利点: これらの VM には、アクティブ化の前にさらなるアクションが必要な Azure 専用機能があります。
- 不明: Hyper-V データ交換がオフになっているため、これらの VM の対象となる利点を特定できません。 次のトラブルシューティングのセクションを参照してください。
- 該当する利点はありません:これらの VM には Azure 専用の機能がないため、Azure VM の検証は必要ありません。
この表には、各 VM に適用できる 適格な特典 が表示されます。 Azure Stack HCI で利用できる利点の完全な一覧を参照してください。
VM のトラブルシューティング
[ VM] タブで、1 つ以上の VM が 非アクティブな特典として表示される場合:
- 推奨されるアクションが [更新プログラムのインストール] の場合は、特典に必要な最小 OS バージョンがない可能性があります。 ワークロードのバージョン要件を満たすように VM を更新します。
- 推奨されるアクションが ゲスト サービス インターフェイスを有効にする場合は、それを選択し、コンテキスト ウィンドウを開いて Hyper-V ゲスト サービス インターフェイスを有効にします。 この機能は、VM が VMbus 経由でホストと通信するために必要です。
- 推奨されるアクションが レガシ OS のサポートに関する場合は、 レガシ OS サポートのトラブルシューティングに関するページを参照してください。
[ VM ] タブで、1 つ以上の VM が [不明] と表示される場合:
- これらの VM で利用できる利点を特定する場合は、Azure Stack HCI で利用可能な特典の完全な一覧を確認して手動で行うか、この情報を表示Windows Admin Center。 Windows Admin Centerを介して情報にアクセスするには、[Hyper-V データ交換を有効にする] というラベルの付いたアクションを選択して、VM の Hyper-V データ交換 (KVP) を有効にします。
レガシ OS のサポート
ホストと直接通信するために必要な Hyper-V 機能 (ゲスト サービス インターフェイス) がない古い VM の場合は、Azure VM 検証用に従来のネットワーク コンポーネントを構成する必要があります。 拡張セキュリティ Updates (ESU) などのこれらのワークロードがある場合は、このセクションの手順に従ってレガシ OS サポートを設定します。
1. ホストでレガシ OS サポートを有効にする
Windows Admin Centerで、上部のドロップダウン メニューから [クラスター マネージャー] を選択し、アクティブにするクラスターに移動し、[設定]で [VM の Azure 検証] を選択します。
[ レガシ OS のサポート] セクションで、[ 状態の変更] を選択します。 コンテキスト ウィンドウで [オン] を選択します。 この設定により、既存のすべての VM に対するネットワーク アクセスも有効になります。 後で作成する新しい VM のレガシ OS サポートを手動で有効にする必要があります。
[ 状態の変更] を選択して確認します。 サーバーが変更を反映するまでに数分かかる場合があります。
レガシ OS のサポートが正常に有効になっている場合:
レガシ OS のサポートが [オン] と表示されていることを確認します。
ダッシュボードの [サーバー] タブで、すべてのサーバーの従来の OS サポートが [オン] と表示されていることをチェックします。
2. 新しい VM のアクセスを有効にする
最初のセットアップ後に作成する新しい VM に対してレガシ OS ネットワークを有効にする必要があります。 VM のアクセスを管理するには、[ VM] タブ に移動します。レガシ OS サポート アクセスを必要とする VM は 、非アクティブとして表示されます。 選択した VM またはクラスター上のすべての既存の VM に対 してレガシ OS ネットワークを設定 するアクションを選択します。
注意
第 1 世代 VM でレガシ OS サポートを正常に有効にするには、まず VM の電源をオフにして、NIC を追加できるようにする必要があります。
よく寄せられる質問
このセクションでは、Azure 特典の使用に関してよく寄せられる質問に対する回答を示します。
Azure VM 検証で有効にできる Azure 排他的ワークロードは何ですか?
こちらの詳細な一覧を参照してください。
Azure VM の検証を有効にするには何かコストがかかりますか?
いいえ。 Azure VM の検証を有効にすると、追加料金は発生しません。
Azure Stack HCI 以外の環境で Azure VM 検証を使用できますか?
いいえ。 Azure VM 検証は、Azure Stack HCI OS に組み込まれている機能であり、Azure Stack HCI でのみ使用できます。
22H2 から 23H2 にアップグレードしたばかりで、以前に Azure 特典機能を有効にした場合、何か新しい操作を行う必要がありますか?
以前にワークロード用 に Azure Benefits on Azure Stack HCI が設定されていたクラスターをアップグレードした場合、23H2 にアップグレードするときに何もする必要はありません。 アップグレードすると、この機能は有効なままになり、レガシ OS のサポートも有効になります。 ただし、23H2 で VM Bus 経由で VM 間通信を行う方法を改善する場合は、必要な ホストの前提条件 と VM の前提条件があることを確認してください。
クラスターで Azure VM の検証を設定するだけです。 Azure VM の検証操作方法アクティブなままであることを確認しますか?
- ほとんどの場合、ユーザーアクションは必要ありません。 Azure Stack HCI は、Azure との同期時に Azure VM 検証を自動的に更新します。
- ただし、クラスターが 30 日を超えて切断され、Azure VM の検証で [期限切れ] と表示される場合は、PowerShell とWindows Admin Centerを使用して手動で同期できます。 詳細については、Azure Stack HCI の同期に関するページを参照してください。
新しい VM をデプロイしたり、VM を削除したりするとどうなりますか?
Azure VM の検証を必要とする新しい VM をデプロイすると、VM の前提条件が正しい場合は自動的にアクティブ化 されます。
ただし、レガシ OS サポートを使用するレガシ VM の場合は、前の手順を使用して、Windows Admin Centerまたは PowerShell を使用して Azure VM 検証にアクセスするための新しい VM を手動で追加できます。
引き続き VM を通常どおり削除および移行できます。 NIC AZSHCI_GUEST-IMDS_DO_NOT_MODIFY は、移行後も VM 上に存在します。 移行前に NIC をクリーンするには、従来の OS サポートに関する前述の手順を使用して、Windows Admin Centerまたは PowerShell を使用して Azure VM 検証から VM を削除するか、最初に移行してから NIC を手動で削除します。
サーバーを追加または除去するとどうなりますか?
- サーバーを追加すると、適切な ホストの前提条件がある場合は、自動的にアクティブ化されます。
- 従来の OS サポートを使用している場合は、これらのサーバーを手動で有効にする必要がある場合があります。 PowerShell で を実行
Enable-AzStackHCIAttestation [[-ComputerName] <String>]します。 引き続きサーバーを通常どおり削除したり、クラスターから除去することができます。 vSwitch AZSHCI_HOST-IMDS_DO_NOT_MODIFY は、クラスターから削除した後もサーバー上に存在します。 後でクラスターにサーバーを追加し直す予定の場合、または手動でサーバーを削除する場合は、そのままにしておくことができます。
次の手順
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示