Azure Arc にサーバーを大規模にオンボードするさまざまな方法を確認する
Wide World Importers は、複数のオフィスで何千台ものマシンを使用しています。 デプロイの規模を考えると、当面の課題はすべてのサーバーをどのように正常にオンボードするかということになります。
単一サーバーの場合、オンボード オプションには、Azure portal、Azure PowerShell、Azure PowerShell DSC、Windows Admin Center があります。 複数のサーバーのオンボード オプションには、Azure サービス プリンシパルと Azure Automation Update Management があります。 さらに、任意の構成管理ツール (グループ ポリシー、Systems Center Configuration Manager、Ansible など) を使って、サービス プリンシパル アプローチを自動化できます。
多くのデプロイ方法が用意されているので、組織のニーズと専門知識に最適なツールを使用して Azure Arc 対応サーバーを大規模にデプロイできます。
単一サーバーへのデプロイ
Arc 対応の単一サーバーには、Azure portal、Powershell、PowerShell DSC、Windows Admin Center など、幅広いオプションが用意されています。
| Method | 説明 |
|---|---|
| Azure Portal | Azure portal でリソースとデプロイの詳細を送信すると、サーバーを Arc 対応にするためのスクリプトが提供されます。 このスクリプトは、Windows または Linux サーバーで昇格された特権を使用してダウンロードして実行する必要があります。 そのためには、インストールのたびに、Azure サブスクリプションに対して対話形式で認証を行う必要があります。 |
| PowerShell | PowerShell コマンドレット Connect-AzConnectedMachine を使って Connected Machine エージェントをダウンロードし、エージェントをインストールして、Azure Arc にマシンを登録できます。このコマンドレットは、Windows エージェント パッケージ (Windows インストーラー) を Microsoft ダウンロード センターからダウンロードし、Linux エージェント パッケージを Microsoft のパッケージ リポジトリからダウンロードします。 |
| PowerShell DSC | Windows PowerShell Desired State Configuration (DSC) を使用して、Windows コンピューターのソフトウェアのインストールと構成を自動化できます。 Azure Connected Machine Agent 構成を管理するよう設計された ConnectedMachine DSC モジュールをインストールできます。 モジュールには、ダウンロードとインストールを自動化し、Azure Arc との接続を確立するための PowerShell スクリプト AzureConnectedMachineAgent.ps1 も含まれます。このリソースを既存の DSC 構成に追加して、マシンのエンドツーエンドの構成を表すことができます。 |
| Windows Admin Center | Windows Admin Center を使用して、Connected Machine エージェントを展開し、オンプレミスのサーバーを登録することができます。このツール以外で手順を実行する必要はありません。 Windows Admin Center の Azure ハイブリッド サービスで、[Leverage Azure policies and solutions to manage your servers with Azure Arc] (Azure Arc で Azure ポリシーとソリューションを利用してサービスを管理する) サービスを選びます。 |
複数サーバーのデプロイ
Arc 対応サーバーの大規模なデプロイには、サービス プリンシパルを持つ特権 ID を使用できます。 このスクリプトを無数の構成管理ツールと組み合わせて、複数のサーバーに対するオンボードを自動化できます。 代わりに、Update Management によって既に管理されている Azure 以外のマシンを、Azure portal から直接オンボードできます。
| Method | 説明 |
|---|---|
| サービス プリンシパルを使用した複数のマシンの接続 | マシンを大規模に Azure Arc に安全に接続するために、特権 ID を使用してマシンにインタラクティブに接続するのではなく、Microsoft Entra サービス プリンシパルを使用することができます。 サービス プリンシパルは、azcmagent コマンドを使用してマシンを Azure に接続するために必要な最小限のアクセス許可のみが付与される、特殊な制限付きの管理用 ID です。 この方法は、より高い特権を使用するよりも安全であり、アクセス制御のセキュリティに関するベスト プラクティスにも従っています。 サービス プリンシパルはオンボード中にのみ使用され、それ以外の目的では使用されません。 |
| Update Management (Azure portal) | Update Management サービスによって管理されている Azure 以外のサーバーを、Azure Arc を介して Azure に簡単に接続できます。これらの Azure 以外のサーバーは Azure portal で直接選択でき、デプロイは自動的に実行されます。 |
さまざまな既存のソフトウェア構成製品を使って、Arc 対応サーバー エージェントを大規模にマシンにデプロイできます。 デプロイするためのスクリプトは、Azure Service Principal メソッドに依存している必要があります。これは、単一サーバーのデプロイ用のスクリプトはサーバーごとに個別の認証を必要とするためです。
グループ ポリシー: PowerShell スクリプトを実行するための新しいグループ ポリシー オブジェクトを定義し、GPO を目的の組織単位に割り当てて、複数のサーバーに展開するタスクをスケジュールします。
Systems Center Configuration Manager: カスタム PowerShell スクリプトを作成して承認し、一連のデバイスに対して実行します。 「スクリプトの作成と実行 - Configuration Manager」を参照してください。
Chef、Puppet、または Ansible のような他の自動化ツールを使って、マネージド サーバーにスクリプトをデプロイすることもできます。