Azure Arc 対応サーバーとは

Azure Arc 対応サーバーを使用すると、Azure の "外部"、企業ネットワーク上、または他のクラウド プロバイダー上でホストされている Windows や Linux の物理サーバーと仮想マシンを管理できます。 この管理エクスペリエンスは、Azure Policy やタグの適用などの標準的な Azure のコンストラクトを使用して、ネイティブ Azure 仮想マシンの管理方法と一致するように設計されています。

ハイブリッド マシンは、Azure に接続されると接続済みマシンになり、Azure 内のリソースとして扱われます。 接続されている各マシンにはリソース ID があり、それによってマシンをリソース グループに含めることができます。

Azure にハイブリッド マシンに接続するには、Azure Connected Machine エージェントを各マシンにインストールします。 このエージェントは、Azure Log Analytics エージェント / Azure Monitor Agent に代わるものではありません。 次のことを行うには、Windows および Linux 向けの Log Analytics エージェントまたは Azure Monitor Agent が必要です。

  • マシン上で実行されている OS とワークロードを予防的に監視する
  • Automation Runbook、または Update Management などのソリューションを使用して管理する
  • Microsoft Defender for Cloud などの他の Azure サービスを使用する

Connected Machine エージェントは、シナリオに最適なデプロイ方法を使用して、手動でインストールするか、複数のマシンに大規模にインストールすることができます。

注意

このサービスは Azure Lighthouse をサポートしているため、サービス プロバイダーは各自のテナントにサインインして、顧客から委任されたサブスクリプションやリソース グループを管理することができます。

サポートされているクラウド運用

マシンを Azure Arc 対応サーバーに接続すると、ネイティブの Azure 仮想マシンと同様に、多くの運用機能を実行できます。 接続されたマシンでサポートされる主なアクションの一部を次に示します。

  • ガバナンス:
    • マシン内の設定を監査するために、Azure Policy のゲスト構成を割り当てます。 Arc 対応サーバーで Azure Policy ゲスト構成ポリシーを使用するコストについては、Azure Policy の価格ガイドを参照してください。
  • 保護:
    • Azure 以外のサーバーを Microsoft Defender for Endpoint で保護します。たとえば、Microsoft Defender for Cloud を利用したり、脅威を検出したり、脆弱性を管理したり、セキュリティ上の潜在的脅威がないか、積極的に監視したりします。 Microsoft Defender for Cloud は、検出された脅威からアラートと修復の提案を提示します。
    • Microsoft Sentinel を使用して、セキュリティ関連のイベントを収集し、それらを他のデータ ソースと関連付ける。
  • 構成する:
    • PowerShell と Python Runbook を使用して、頻繁で時間のかかる管理タスクに Azure Automation を使用する。 変更履歴とインベントリを使用して、インストールされているソフトウェア、Microsoft サービス、Windows レジストリとファイル、および Linux デーモンを対象に、構成変更を評価する
    • Update Management を使用して、Windows と Linux サーバーのオペレーティング システム用の更新プログラムを管理します。 Azure Automanage マシン (プレビュー)を使用する場合に、一連の Azure サービスのオンボードと構成を自動化する。
    • Azure 以外の Windows または Linux マシンに対し、サポートされている Arc 対応サーバーの VM 拡張機能を使用して、デプロイ後の構成および自動化タスクを実行する。
  • 監視:
    • VM insights を使用して、オペレーティング システムのパフォーマンスを監視し、アプリケーション コンポーネントを検出して、プロセスや他のリソースとの依存関係を監視する。
    • Log Analytics エージェントを使用して、マシンで実行されているオペレーティング システムやワークロードから、他のログ データ (パフォーマンス データやイベントなど) を収集する。 このデータは、Log Analytics ワークスペースに格納されます。

注意

現時点では、Azure Automation の Update Management を Azure Arc 対応サーバーから直接有効にすることはサポートされていません。 Azure 以外の VM サーバーに対して Update Management を有効化するための要件と方法について理解するには、「Automation アカウントから Update Management を有効にする」を参照してください。

ハイブリッド マシンから収集されて Log Analytics ワークスペースに格納されるログ データには、リソース コンテキストのログ アクセスをサポートするために、リソース ID など、マシンに固有のプロパティが含まれます。

ハイブリッドおよびマルチクラウド環境での Azure の監視、セキュリティ、更新サービスについて詳しくは、次のビデオをご覧ください。

サポートされているリージョン

Azure Arc 対応サーバーでサポートされているリージョンの一覧については、リージョン別の Azure 製品に関するページを参照してください。

ほとんどの場合、インストール スクリプトを作成するときに選択する場所は、マシンの場所に最も近い Azure リージョンにする必要があります。 保存データは、指定したリージョンを含む Azure 地域内に保存されます。データ所在地の要件がある場合は、これがリージョンの選択に影響する可能性もあります。 マシンが接続されている Azure リージョンが障害の影響を受ける場合、接続されたマシンは影響を受けませんが、Azure を使用した管理操作を完了できない可能性があります。 リージョンで障害が発生したとき、地理的に冗長なサービスをサポートする複数の場所がある場合、各場所のマシンを別の Azure リージョンに接続することをお勧めします。

接続されているマシンに関するインスタンス メタデータ情報は、Azure Arc マシン リソースが構成されているリージョンで収集され、保存されます。これには以下の情報が含まれます。

  • オペレーティング システムの名前とバージョン
  • コンピューター名
  • コンピューターの完全修飾ドメイン名 (FQDN)
  • Connected Machine エージェントのバージョン

たとえば、マシンが米国東部リージョンの Azure Arc に登録されている場合、メタデータは米国リージョンに保存されます。

サポートされている環境

Azure Arc 対応サーバーでは、Azure の "外部" でホストされている物理サーバーと仮想マシンの管理がサポートされます。 VM をホストするハイブリッド クラウド環境のうち、サポートされている環境の詳細については、Connected Machine エージェントの前提条件に関するページを参照してください。

注意

Azure Arc 対応サーバーは、Azure で実行される仮想マシンの管理を可能にするようには設計されておらず、サポートされていません。

エージェントの状態

接続されているマシンの状態は、Azure portal の [Azure Arc] > [サーバー] で確認できます。

Connected Machine エージェントは、5 分間隔でハートビート メッセージをサービスに送信します。 これらのハートビート メッセージをサービスがマシンから受信できなくなると、そのマシンはオフラインと見なされ、15 分から 30 分以内に、その状態が自動的に [切断] に変更されます。 その後、Connected Machine エージェントからハートビート メッセージを受信すると、状態は自動的に [接続] に戻されます。

マシンが 45 日間切断されたままの場合、その状態が [期限切れ] に変わる可能性があります。 有効期限が切れたマシンは Azure に接続できなくなり、Azure Arc で管理を続行するには、サーバー管理者が切断してから Azure に再接続する必要があります。マシンの有効期限が切れる正確な日付は、マネージド ID の資格情報の有効期限によって決まります。これは最大 90 日間有効で、45 日ごとに更新されます。

サービスの制限

Azure Arc 対応サーバーには、各リソース グループに作成できるインスタンスの数に制限があります。 サブスクリプションまたはサービス レベルの制限はありません。

リソースの種類の制限について詳しくは、リソース インスタンスの制限に関する記事を参照してください。

データの保存場所

顧客がサービス インスタンスをデプロイしたリージョンの外部で、Azure Arc 対応サーバーによって、顧客データの格納または処理が行われることはありません。

次のステップ

  • 複数のハイブリッド マシンにまたがって Azure Arc 対応サーバーを評価または有効にする前に、Connected Machine エージェントの概要に関するページを確認して、要件、エージェントに関する技術的な詳細、デプロイ方法を理解してください。
  • 計画と展開ガイドを参照して、任意の規模で Azure Arc 対応サーバーをデプロイし、一元的な管理と監視を実装する計画を立ててください。