Arc 対応 System Center Virtual Machine Manager の概要
Azure Arc 対応 System Center Virtual Machine Manager (SCVMM) を利用すると、System Center のお客様が VMM 環境を Azure に接続して、Azure portal から VM セルフサービス操作を実行できるようになります。 Azure Arc 対応 SCVMM は、Azure コントロール プレーンを SCVMM マネージド インフラストラクチャに拡張し、System Center マネージド資産と Azure 全体で Azure のセキュリティ、ガバナンス、管理機能を一貫して使用できるようにします。
Azure Arc 対応 System Center Virtual Machine Manager では、ハイブリッド環境を一貫して管理でき、Azure portal でセルフサービス VM 操作を実行することができます。 Microsoft Azure パックのお客様は VM セルフサービス操作を実行する代わりにこのソリューションを使用できます。
Arc 対応 System Center VMM を使用すると、次のことができます。
- SCVMM マネージド VM 上での VM の開始、停止、一時停止、削除など、さまざまな VM ライフサイクル操作を Azure から直接実行します。
- Azure ロールベースのアクセス制御 (RBAC) を使用して、開発者とアプリケーション チームがオンデマンドで VM 操作をセルフサービスで実行できるようになります。
- Azure で VMM リソース (VM、テンプレート、VM ネットワーク、ストレージ) を参照し、両方の環境のインフラストラクチャを単一のペインに表示できます。
- 既存の SCVMM マネージド VM を検出し、Azure にオンボードします。
- Arc に接続されたコンピューター エージェントを SCVMM VM に大規模にインストールして、それらを管理、保護、構成、および監視します。
Note
Azure Arc で利用できるさまざまなサービスに関する詳細情報については、「マシンに適切な Azure Arc サービスを選択する」を参照してください。
Azure 管理にリソースを大規模にオンボードする
Microsoft Defender for Cloud、Azure Monitor、Azure Update Manager、Azure Policy などの Azure サービスは、Arc を介してオフ Azure 外のリソースをセキュリティで保護、監視、修正、管理するための豊富な機能セットを提供します。
Arc 対応 SCVMM の機能を使用して SCVMM マネージド資産を検出し、Arc エージェントを大規模にインストールすることで、System Center 資産全体をこれらのサービスに簡単にオンボードできます。
それはどのように機能しますか?
System Center VMM 管理サーバーを Arc 対応にするには、VMM 環境に Azure Arc リソース ブリッジ をデプロイします。 Arc リソース ブリッジは、VMM 管理サーバーを Azure に接続する仮想アプライアンスです。 Azure Arc リソース ブリッジを使用すると、Azure で SCVMM リソース (クラウド、VM、テンプレートなど) を表示し、それらに対してさまざまな操作を実行できます。
Architecture
次の図は、Arc 対応 SCVMM のアーキテクチャを示しています。
Arc 対応 SCVMM と Arc 対応サーバーの違い
- Azure Arc 対応サーバーは、基になるインフラストラクチャ ファブリックと、それらが実行されている仮想化プラットフォームを認識することなく、ゲスト オペレーティング システム レベルで対話します。 Arc 対応サーバーはベア メタル マシンもサポートしているため、実際にはホスト ハイパーバイザーではない場合もあります。
- Azure Arc 対応 SCVMM は、ゲスト オペレーティング システム以外の管理機能を VM 自体に拡張する Arc 対応サーバーのスーパーセットです。 この機能には、SCVMM VM でのライフサイクル管理と CRUD (作成、読み取り、更新、および削除) 操作が用意されています。 これらのライフサイクル管理機能は、Azure portal で公開され、通常の Azure VM と同じように見えます。 Azure Arc 対応 SCVMM では、ゲスト オペレーティング システム管理も提供されます。実際には、Azure Arc 対応サーバーと同じコンポーネントが使用されます。
どちらのオプションからでも開始でき、中断することなく後でもう 1 つを組み込むこともできる柔軟性があります。 両方のオプションで、一貫性のある同じエクスペリエンスを楽しむことができます。
サポートされるシナリオ
次のシナリオが、Azure Arc 対応 SCVMM でサポートされています。
- SCVMM 管理者が VMM インスタンスを Azure に接続して、SCVMM 仮想マシン インベントリを Azure で参照できます。
- 管理者が、Azure portal を使用して SCVMM インベントリを参照し、SCVMM クラウド、仮想マシン、VM ネットワーク、VM テンプレートを Azure に登録できます。
- 管理者は、Azure RBAC を使用して、それらの SCVMM リソースに関するきめ細かいアクセス許可をアプリ チームや開発者に付与できます。
- アプリ チームは、Azure インターフェイス (ポータル、CLI、または REST API) を使用して、アプリケーションのデプロイに使用するオンプレミス VM のライフサイクル (CRUD、開始/停止/再起動) を管理できます。
- 管理者は大規模な SCVMM VM に Arc エージェントをインストールし、Microsoft Defender for Cloud、Azure Update Manager、Azure Monitor などの Azure 管理サービスを使用するために、対応する拡張機能をインストールできます。
Note
Azure Arc 対応 SCVMM では、SCVMM によって管理される VMware vCenter VM はサポートされていません。 VMware VM を Azure Arc にオンボードするには、Azure Arc 対応 VMware vSphere を使用することをお勧めします。
サポートされている VMM バージョン
Azure Arc 対応 SCVMM は VMM 2019 と 2022 のバージョンで動作し、最大 15,000 の VM の SCVMM 管理サーバーをサポートします。
サポートされているリージョン
Azure Arc 対応 SCVMM は、次のリージョンで現在サポートされています。
- 米国東部
- 米国東部 2
- 米国西部 2
- 米国西部 3
- 米国中部
- 米国中南部
- 英国南部
- 北ヨーロッパ
- 西ヨーロッパ
- スウェーデン中部
- 東南アジア
- オーストラリア東部
リソース ブリッジのネットワーク要件
Azure Arc リソース ブリッジ VM には、次のファイアウォール URL の例外が必要です。
送信接続
以下のファイアウォールとプロキシ URL は、管理マシン、アプライアンス VM、コントロール プレーン IP から必要な Arc リソース ブリッジ URL への通信を有効にするために、許可リストに載せる必要があります。
ファイアウォール/プロキシ URL 許可リスト
| サービス | [ポート] | URL | 方向 | メモ |
|---|---|---|---|---|
| SFS API エンドポイント | 443 | msk8s.api.cdp.microsoft.com |
管理マシンとアプライアンス VM IP には送信接続が必要です。 | SFS から製品カタログ、製品ビット、OS イメージをダウンロードします。 |
| リソース ブリッジ (アプライアンス) イメージのダウンロード | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
管理マシンとアプライアンス VM IP には送信接続が必要です。 | Arc Resource Bridge OS イメージをダウンロードします。 |
| Microsoft Container Registry | 443 | mcr.microsoft.com |
管理マシンとアプライアンス VM IP には送信接続が必要です。 | Arc リソース ブリッジのコンテナー イメージをダウンロードします。 |
| Windows NTP サーバー | 123 | time.windows.com |
管理マシンとアプライアンス VM IP (Hyper-V の既定値が Windows NTP の場合) には UDP での送信接続が必要です | アプライアンス VM と管理マシン (Windows NTP) での OS 時刻同期。 |
| Azure Resource Manager | 443 | management.azure.com |
管理マシンとアプライアンス VM IP には送信接続が必要です。 | Azure でのリソースの管理。 |
| Microsoft Graph | 443 | graph.microsoft.com |
管理マシンとアプライアンス VM IP には送信接続が必要です。 | Azure RBAC に必要です。 |
| Azure Resource Manager | 443 | login.microsoftonline.com |
管理マシンとアプライアンス VM IP には送信接続が必要です。 | ARM トークンの更新が必要です。 |
| Azure Resource Manager | 443 | *.login.microsoft.com |
管理マシンとアプライアンス VM IP には送信接続が必要です。 | ARM トークンの更新が必要です。 |
| Azure Resource Manager | 443 | login.windows.net |
管理マシンとアプライアンス VM IP には送信接続が必要です。 | ARM トークンの更新が必要です。 |
| リソース ブリッジ (アプライアンス) データプレーン サービス | 443 | *.dp.prod.appliances.azure.com |
アプライアンス VM IP には送信接続が必要です。 | Azure 内でリソース プロバイダーと通信します。 |
| リソース ブリッジ (アプライアンス) コンテナー イメージのダウンロード | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
アプライアンス VM IP には送信接続が必要です。 | コンテナー イメージをプルするために必要です。 |
| マネージド ID | 443 | *.his.arc.azure.com |
アプライアンス VM IP には送信接続が必要です。 | システム割り当てマネージド ID 証明書をプルするために必須。 |
| Azure Arc for Kubernetes コンテナー イメージのダウンロード | 443 | azurearcfork8s.azurecr.io |
アプライアンス VM IP には送信接続が必要です。 | コンテナー イメージのプル。 |
| Azure Arc エージェント | 443 | k8connecthelm.azureedge.net |
アプライアンス VM IP には送信接続が必要です。 | Azure Arc エージェントをデプロイします。 |
| ADHS テレメトリ サービス | 443 | adhs.events.data.microsoft.com |
アプライアンス VM IP には送信接続が必要です。 | 必要な診断データをアプライアンス VM から Microsoft に定期的に送信します。 |
| Microsoft イベント データ サービス | 443 | v20.events.data.microsoft.com |
アプライアンス VM IP には送信接続が必要です。 | Windows から診断データを送信します。 |
| Arc リソース ブリッジのログ収集 | 443 | linuxgeneva-microsoft.azurecr.io |
アプライアンス VM IP には送信接続が必要です。 | アプライアンス管理コンポーネントのログをプッシュします。 |
| リソース ブリッジ コンポーネントのダウンロード | 443 | kvamanagementoperator.azurecr.io |
アプライアンス VM IP には送信接続が必要です。 | アプライアンスのマネージド コンポーネントの成果物をプルします。 |
| Microsoft オープン ソース パッケージ マネージャー | 443 | packages.microsoft.com |
アプライアンス VM IP には送信接続が必要です。 | Linux インストール パッケージをダウンロードします。 |
| カスタムの場所 | 443 | sts.windows.net |
アプライアンス VM IP には送信接続が必要です。 | カスタムの場所に必要です。 |
| Azure Arc | 443 | guestnotificationservice.azure.com |
アプライアンス VM IP には送信接続が必要です。 | Azure Arc に必要です。 |
| カスタムの場所 | 443 | k8sconnectcsp.azureedge.net |
アプライアンス VM IP には送信接続が必要です。 | カスタムの場所に必要です。 |
| 診断データ | 443 | gcs.prod.monitoring.core.windows.net |
アプライアンス VM IP には送信接続が必要です。 | 必要な診断データを Microsoft に定期的に送信します。 |
| 診断データ | 443 | *.prod.microsoftmetrics.com |
アプライアンス VM IP には送信接続が必要です。 | 必要な診断データを Microsoft に定期的に送信します。 |
| 診断データ | 443 | *.prod.hot.ingest.monitor.core.windows.net |
アプライアンス VM IP には送信接続が必要です。 | 必要な診断データを Microsoft に定期的に送信します。 |
| 診断データ | 443 | *.prod.warm.ingest.monitor.core.windows.net |
アプライアンス VM IP には送信接続が必要です。 | 必要な診断データを Microsoft に定期的に送信します。 |
| Azure portal | 443 | *.arc.azure.net |
アプライアンス VM IP には送信接続が必要です。 | Azure portal からクラスターを管理します。 |
| Azure CLI と拡張機能 | 443 | *.blob.core.windows.net |
管理マシンには送信接続が必要です。 | Azure CLI インストーラーと拡張機能をダウンロードします。 |
| Azure Arc エージェント | 443 | *.dp.kubernetesconfiguration.azure.com |
管理マシンには送信接続が必要です。 | Arc エージェントで使用されるデータプレーン。 |
| Python パッケージ | 443 | pypi.org, *.pypi.org |
管理マシンには送信接続が必要です。 | Kubernetes と Python のバージョンを検証します。 |
| Azure CLI | 443 | pythonhosted.org, *.pythonhosted.org |
管理マシンには送信接続が必要です。 | Azure CLI インストール用の Python パッケージ。 |
| SSH | 22 | Arc resource bridge appliance VM IPs |
管理マシンには送信接続が必要です。 | アプライアンス VM のトラブルシューティングに使用します。 |
| Kubernetes API サーバー | 6443 | Arc resource bridge appliance VM IPs |
管理マシンには送信接続が必要です。 | アプライアンス VM の管理。 |
さらに、SCVMM には次の例外が必要です。
| サービス | [ポート] | URL | 方向 | メモ |
|---|---|---|---|---|
| SCVMM 管理サーバー | 443 | SCVMM 管理サーバーの URL。 | アプライアンス VM IP とコントロール プレーン エンドポイントには送信接続が必要です。 | アプライアンス VM およびコントロール プレーンと通信するために SCVMM サーバーによって使用されます。 |
| WinRM | WinRM ポート番号 (既定値: 5985 と 5986)。 | WinRM サービスの URL。 | アプライアンス VM とコントロール プレーンで使用される IP プール内の IP には、VMM サーバーとの接続が必要です。 | アプライアンス VM と通信するために SCVMM サーバーによって使用されます。 |
一般に、接続要件には次の原則が含まれます。
- 特に指定がない限り、すべての接続は TCP です。
- すべての HTTP 接続では、公式に署名された検証可能な証明書と共に HTTPS と SSL/TLS が使用されます。
- 特に指定がない限り、すべての接続はアウトバウンドです。
プロキシを使用するには、オンボード プロセスを実行しているエージェントとマシンがこの記事のネットワーク要件を満たしていることを確認します。
Azure Arc 機能と Azure Arc 対応サービスのネットワーク要件の完全な一覧については、「Azure Arc ネットワークの要件」(統合) を参照してください。
データ所在地
顧客がサービス インスタンスをデプロイしたリージョンの外部で、Azure Arc 対応 SCVMM によって、顧客データの格納または処理が行われることはありません。