ハイブリッド マシンを大規模に Azure に接続する

要件に応じていくつかの柔軟なオプションを使用して、環境内の複数の Windows または Linux マシンに対して Azure Arc 対応サーバーを有効にすることができます。 提供するテンプレート スクリプトを使用すると、Azure Arc への接続の確立など、インストールのすべての手順を自動化できます。ただし、ターゲット コンピューターと Azure で昇格されたアクセス許可を持つアカウントを使用して、このスクリプトを手動で実行する必要があります。

Azure Arc 対応サーバーにマシンを接続する方法の 1 つは、Microsoft Entra のサービス プリンシパルを使用することです。 対話形式でマシンを接続するための特権 ID の代わりに、このサービス プリンシパル方式を使用できます。 このサービス プリンシパルは、azcmagent コマンドを使用してマシンを Azure に接続するために必要な最小限のアクセス許可のみが付与される、特殊な制限付きの管理用 ID です。 この方法は、テナント管理者のような、より高い特権を持つアカウントを使用するよりも安全で、アクセス制御セキュリティのベスト プラクティスに従っています。

サービス プリンシパルはオンボーディングの際にのみ使用され、それ以外の目的では使用されません。

Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。

[前提条件]

マシンの接続を開始する前に、次の要件を確認してください。

• オンボードの対象となるマシンの管理者アクセス許可があることを確認します。 接続マシン エージェントをインストールするには、管理者特権が必要です。Linux ではルート アカウントを使用するか、Windows のローカル管理者グループのメンバーである必要があります。

• Connected Machine エージェントの前提条件を確認し、サブスクリプションとリソースが要件を満たしていることを確認します。 マシンのリソース グループに対して Azure Connected Machine Onboarding ロールまたは 寄稿者 ロールが必要です。 事前に以下の Azure リソースプロバイダーをターゲット サブスクリプションに登録しておきます。

  • Microsoft.HybridCompute

  • Microsoft.GuestConfiguration

  • Microsoft.HybridConnectivity

  • Microsoft.AzureArcData (Arc 対応 SQL Server インスタンスを計画している場合)

  詳細については、 Azure リソース プロバイダーの前提条件に関するページを参照してください。

サポートされているリージョン、および関連するその他の考慮事項については、 サポート対象の Azure リージョン に関する記事を参照してください。 また、設計と展開の条件、および管理と監視に関する推奨事項については、規模拡大に関する計画ガイドを参照してください。

SQL Server の自動接続

Microsoft SQL Server もインストールされている Azure Arc に Windows または Linux サーバーを接続すると、SQL Server インスタンスも Azure Arc に自動的に接続されます。 Azure Arc によって有効化された SQL Server には、SQL Server インスタンスとデータベース用の詳細インベントリと追加の管理機能が備わっています。 接続プロセスの一環として、拡張機能が Azure Arc 対応サーバーにデプロイされ、 新しいロール が SQL Server とデータベースに適用されます。 SQL Server を Azure Arc に自動的に接続しない場合は、Azure Arc に接続するときに、 ArcSQLServerExtensionDeployment と値 Disabled という名前のタグを Windows または Linux サーバーに追加することでオプトアウトできます。

詳細については、「Azure Arc によって有効化された SQL Server の自動接続を管理する」を参照してください。

大規模なオンボーディング用のサービス プリンシパルを作成する

サービス プリンシパルは、Azure CLI (Windows または Linux)、PowerShell、または Azure portal で作成できます。

Note

サービス プリンシパルを作成するには、Microsoft Entra テナントでユーザーがアプリケーションを登録できる必要があります。 そうでない場合は、アカウントが アプリケーション管理者 ロールまたは クラウド アプリケーション管理者 ロールのメンバーである必要があります。

テナント レベルの要件の詳細については、「 Microsoft Entra ID でアプリの登録アクセス許可を委任する」を参照してください。 Arc 対応のサーバー ロールを割り当てるには、アカウントを、オンボーディングに使用するサブスクリプションの所有者またはユーザー アクセス管理者ロールのメンバーにする必要があります。

Azure Portal

Azure portal の Azure Arc サービスは、ハイブリッド マシンを Azure に接続するために使用可能なサービス プリンシパルを効率的に作成する方法を提供します。

1. Azure portal の上部で、Azure Arc を検索して選択 します。
2. サービス メニューで、[追加の セットアップ] を展開し、[ サービス プリンシパル] を選択します。
3. 右側のウィンドウで、[ 追加] を選択します。
4. 次のフィールドに、次の値を指定します。
   1. サービス プリンシパルの名前。
   2. サービス プリンシパルがサブスクリプション全体にアクセスできるか、特定のリソース グループにのみアクセスできるかを選択します。
   3. サービス プリンシパルがアクセスできるサブスクリプション (および該当する場合はリソース グループ) を選択します。
   4. サービス プリンシパルの サービス ツリー ID を 入力します (該当する場合)。
   5. [ クライアント シークレット ] セクションで、必要に応じて、[ 説明 ] フィールドに任意のフレンドリ名を入力できます。 次に、生成されたクライアント シークレットが使用されている期間を選択します。
   6. [ ロールの割り当て ] セクションで、[ Azure Connected Machine Onboarding] を選択します。
5. を選択してを作成します。

Azure CLI

Azure CLI (Windows または Linux) を使用して、 az ad sp create-for-rbac コマンドを使用してサービス プリンシパルを作成できます。

1. 次のコマンドを実行して Azure にサインインします。

   az login
   

2. サービス プリンシパルを作成して、選択したサブスクリプションでそれを Azure Connected Machine のオンボード ロールに割り当てるには、次のコマンドを実行します。 サービス プリンシパルが作成された後に、アプリケーション ID とシークレットが出力されます。 シークレットは 1 年間有効です。その後、新しいシークレットを生成し、新しいシークレットでスクリプトを更新する必要があります。

   az ad sp create-for-rbac --name "Arc server onboarding account" --role "Azure Connected Machine Onboarding" --scopes "/subscriptions/<subscription-id>"
   

パラメーター:

• --name: サービス プリンシパルの表示名。
• --role: Azure Connected Machine のオンボード ロールを割り当てます。
• --scopes: ロールの割り当てのスコープ (この場合はサブスクリプション レベル)。
• <subscription-id> は、サブスクリプション ID で置き換えてください。

出力例:

{
  "appId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
  "displayName": "Arc server onboarding account",
  "password": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
  "tenant": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
}

Note

「azcmagentする」セクションで後述するに渡されるパラメーターで使用されるこれらの値を書き留めます。

• appId プロパティの値は、--service-principal-id値に使用されます。
• パスワード プロパティの値は、エージェントの接続に使用される--service-principal-secretに使用されます。

Azure PowerShell

Azure PowerShell を使用して、New-AzADServicePrincipal コマンドレットでサービス プリンシパルを作成できます。

1. 作業中の Azure PowerShell セッションのコンテキストが正しいサブスクリプションであることを確認します。 サブスクリプションを変更する必要がある場合は、Set-AzContext を使います。

   Get-AzContext
   

2. サービス プリンシパルを作成して、選択したサブスクリプションでそれを Azure Connected Machine のオンボード ロールに割り当てるには、次のコマンドを実行します。 サービス プリンシパルが作成された後に、アプリケーション ID とシークレットが出力されます。 シークレットは 1 年間有効です。その後、新しいシークレットを生成し、新しいシークレットでスクリプトを更新する必要があります。

   $sp = New-AzADServicePrincipal -DisplayName "Arc server onboarding account" -Role "Azure Connected Machine Onboarding"
   $sp | Format-Table AppId, @{ Name = "Secret"; Expression = { $_.PasswordCredentials.SecretText }}
   

   AppId                                Secret
   -----                                ------
   aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee PASSWORD_SHOWN_HERE
   

   以下のプロパティの値は、azcmagent に渡されるパラメーターと共に使用されます。

   • AppId プロパティの値は、--service-principal-id パラメーター値に使用されます
   • Secret プロパティの値は、エージェントを接続するために使用される --service-principal-secret パラメーターに使用されます。

Azure portal からインストール スクリプトを生成する

Azure portal を使用して、エージェントのダウンロードとインストールを自動化し、Azure Arc との接続を確立するスクリプトを作成します。このプロセスを完了するには、次の手順を実行します。

1. Azure portal の上部で、Azure Arc を検索して選択します。
2. サービス メニューで、[ インフラストラクチャ] を展開し、[ マシン] を選択します。
3. [オンボード/作成]を選択し、[既存のマシンのオンボード]を選択します。
4. [ 基本 ] ページで、次の情報を入力します。
   1. マシンの [サブスクリプション] と [リソース グループ] を選びます。
   2. [ リージョン] で、サーバーのメタデータを格納する Azure リージョンを選択します。
   3. [ オペレーティング システム] で、スクリプトを実行するように構成されているオペレーティング システムを選択します。
   4. [ 接続方法] で次の手順を実行します。
      1. [パブリック エンドポイント] または [プライベート エンドポイント] を選択します。 [プライベート エンドポイント] を選択した場合は、既存のプライベート リンク スコープを選択するか、新しいプライベート リンク スコープを作成できます。
      2. プロキシ サーバーの URL を使用する場合は、プロキシ サーバーの IP アドレス、またはコンピューターが使用する名前とポート番号をhttp://<proxyURL>:<proxyport>形式で入力します。
      3. [パブリック エンドポイント] を選択し、Azure Arc Gateway を使用する場合は、既存のゲートウェイ リソースを選択するか、新しいリソースを作成します。
   5. [ 認証] で、[ マシンの自動認証] を選択し、サービス プリンシパルを選択します。
   6. [次へ] を選択します。
5. [ タグ] で、推奨される既定の 物理的な場所のタグ を確認し、値を入力するか、標準をサポートする 1 つ以上の カスタム タグ を指定します。
6. [次へ] を選択します。
7. [ スクリプトのダウンロードと実行] で、デプロイ方法を選択し、概要情報を確認します。 変更する必要がある場合は、[ 前へ ] を選択し、必要な編集を行います。
8. [ ダウンロード] を選択します。

Windows の場合は、 OnboardingScript.ps1を保存し、Linux OnboardingScript.sh をコンピューターに保存するように求められます。

エージェントをインストールして Azure に接続する

先ほど作成したスクリプト テンプレートがあれば、組織で利用中の自動化ツールを使用して、Connected Machine エージェントを複数のハイブリッド Linux コンピューターおよび Windows コンピューターにインストールして構成できます。 このスクリプトでは、「Azure portal からハイブリッド マシンを Azure に接続する」に説明されているものに似た手順が実行されます。 違いは、サービス プリンシパルを使用して azcmagent コマンドを実行し、Azure Arc への接続を確立する最後の手順です。

以下に、サービス プリンシパル用に使用する azcmagent コマンドを構成する設定を示します。

• service-principal-id: サービス プリンシパルのアプリケーション ID を示す一意の識別子 (GUID)。
• service-principal-secret | サービス プリンシパルのパスワード。
• tenant-id: Microsoft Entra ID の専用インスタンスを表す一意識別子 (GUID)。
• subscription-id: マシンを配置したい Azure サブスクリプションのサブスクリプション ID (GUID)。
• resource-group: 接続されているマシンが属するリソース グループ名。
• location: サポートされている Azure リージョンを参照してください。 この場所は、リソース グループの場所と同じ場合も異なる場合もあります。
• resource-name: (省略可能) オンプレミス コンピューターの Azure リソース表現に使用されます。 この値を指定しない場合は、マシンのホスト名が使用されます。

azcmagent コマンドライン ツールの詳細については、「接続されたマシン エージェントの管理と管理」を参照してください。

Note

Windows PowerShell スクリプトは、64 ビット版の Windows PowerShell からの実行のみをサポートしています。

エージェントをインストールし、Azure Arc 対応サーバーに接続するように構成した後、Azure portal に移動して、サーバーが正常に接続されたことを確認します。 Azure portal でマシンを表示し、Arc エージェントの状態でデバイスが接続されていることを確認します。

トラブルシューティング

次のエラーが表示された場合は、 アプリケーション管理者 ロールまたは クラウド アプリケーション管理者 ロールのメンバーとして追加する必要があります。

ServiceManagementReference field is required for Create, but is missing in the request. Refer to the TSG `https://aka.ms/service-management-reference-error` for resolving the error.

次のステップ

• 計画と展開ガイドを参照して、任意の規模で Azure Arc 対応サーバーをデプロイし、一元的な管理と監視を実装する計画を立ててください。
• エージェントの接続問題をトラブルシューティングする方法を確認してください。
• 仮想マシン (VM) ゲスト構成などのタスクには、Azure Policy を使用してマシンを管理できます。 Azure Policy は、マシンが予想される Log Analytics ワークスペースにレポートしていることを確認するのにも役立ちます。 VM 分析情報やその他の監視ツールを使用してマシンを監視することもできます。