Azure Arc を使用して Azure Stack HCI ベースの仮想化ワークロードを管理する
このモジュールの前のユニットで説明したように、Azure Arc により、Azure Resource Manager の多くの機能の範囲が、Azure Stack HCI VM など、Windows または Linux が実行されている Azure 以外のサーバーまで拡張されます。 場合によっては、Azure Arc に直接依存しないハイブリッド Azure サービスの一部の機能も拡張されます。このユニットでは、Azure Stack HCI VM を管理するときに、これらの機能を活用する方法について説明します。
Arc 対応 Azure Stack HCI VM の機能
Windows または Linux が実行されている Arc 対応サーバーの場合 (Azure Stack HCI VM を含む)、Azure portal から次の設定に直接アクセスできます。
| 設定 | 説明 |
|---|---|
| 概要 | 状態、場所、サブスクリプション、コンピューター名、オペレーティング システム、タグなど、Azure リソースおよび対応する Arc 対応サーバーに関する基本情報が提供されます。 |
| アクティビティ ログ | 変更のイニシエーターを示す情報など、Arc 対応サーバーを表す Azure リソースの状態に影響を与える Azure Resource Manager ベースの変更の一覧が示されます。 |
| アクセス制御 | Arc 対応サーバーを表す Azure リソースで管理タスクを実行するためのアクセス許可を表示、許可、取り消すことができます。 |
| タグ | 名前と値のペアで構成されるタグの表示、割り当て、削除を行うことができます。これにより、任意の方法で、Arc 対応サーバーを表す Azure リソースのラベル付けと分類を行うことができます。 また、チャージバック ポリシーを反映するコスト センターにマップされるタグを適用することで、統合された課金を容易にすることもできます。 |
| 拡張機能 | VM 拡張機能を使用することにより、Arc 対応サーバー内で実行されるオペレーティング システムとアプリケーションの構成を自動化できます。 |
| ロック | Arc 対応サーバーに対応する Azure リソースが誤って変更または削除されるのを防ぐことができます。 |
| ポリシー | Arc 対応サーバーのオペレーティング システムやアプリケーションの設定を監査できます。 |
| 更新管理 | Arc 対応サーバーでのオペレーティング システムの更新プログラムの自動デプロイとレポート作成を実装できます。 |
| インベントリ | Arc 対応サーバーのインベントリを実装できます。 |
| 変更の追跡 | Arc 対応サーバーの変更追跡を実装できます。 |
| 洞察 | Azure Monitor を使用して、ホストの中央処理装置 (CPU)、ディスク、Arc 対応サーバーのオペレーティング システムの状態を確認できます。 |
| ログ | Arc 対応サーバー上のオペレーティング システムとアプリケーションによって生成されたログを収集して分析できます。 |
VM 拡張機能とは
VM 拡張機能は、オペレーティング システムのデプロイ後の構成とオートメーション タスクを自動化する軽量のソフトウェア コンポーネントです。 従来、VM 拡張機能は Azure VM のみで使用できましたが、Azure Arc 対応サーバーで選択したものを使用できるようになりました。 次の表では、Azure Arc 対応サーバーに追加できる Windows Server 拡張機能について説明します。
| 拡張機能 | 関連情報 |
|---|---|
| CustomScriptExtension | 対象の Arc 対応サーバーでスクリプトを実行します。 |
| Log Analytics エージェント | 対象の Arc 対応サーバーに Log Analytics エージェントをインストールし、Log Analytics ワークスペースにログを転送するようにそれを構成します。 |
| Microsoft Dependency Agent | 対象の Arc 対応サーバーに Dependency Agent をインストールすると、サーバーのワークロードの内部および外部の依存関係の識別が容易になります。 |
Note
Linux が実行されている Arc 対応サーバーでも、同等の VM 拡張機能を使用できます。
Arc が有効になっている Azure Stack HCI VM の管理での Azure Policy のロール
Azure Policy は、組織が、さまざまな Azure サービスに加えて、Arc 対応サーバーの内部および規制上のコンプライアンスを管理および評価するのに役立つサービスです。 Azure Policy では、Windows や Linux オペレーティング システムなど、対象のリソースの種類のプロパティに基づく宣言型の規則が使用されます。 これらの規則によってポリシー定義が形成され、管理者は、Azure Arc 対応サーバーがホストされているリソース グループ、サブスクリプション、または管理グループに、ポリシーの割り当てを通じてそれを適用できます。 ポリシー定義の管理を簡素化するには、複数のポリシーをイニシアティブに結合した後、複数のポリシーの割り当ての代わりに、少数のイニシアティブの割り当てを作成することができます。
Azure Policy により、ゲスト構成ポリシーを使用した Arc 対応サーバーの状態の監査がサポートされています。 ゲスト構成ポリシーを使用すると、構成は適用されませんが、対象のオペレーティング システム内の設定が監査され、コンプライアンスが評価されます。 ただし、Azure Policy を使用すると、Arc 対応サーバーを表す Azure リソースの構成を適用できます。 また、Azure Policy を使用すると、VM 拡張機能を利用して構成をデプロイすることもできます。
たとえば、Contoso では Azure Policy を使用して次の規則を実装できます。
- 登録時に、Arc 対応サーバーを表すリソースに特定のタグを割り当てます。
- Windows Defender Exploit Guard が無効になっている Windows が実行されている Arc 対応サーバーを特定します。
- 特定の Active Directory Domain Services (AD DS) ドメインに参加していない Windows が実行されている Arc 対応サーバーを特定します。
- Log Analytics エージェントがインストールされていない Windows または Linux が実行されている Arc 対応サーバーを特定します。
- 認証に SSH キーが使用されていない Linux が実行されている Arc 対応サーバーを特定します。
![このスクリーンショットは Azure portal の [ポリシーの割り当て] ページを示しています。利用可能なポリシーの一覧から管理者が選択しています。](media/3-assign-policy.png)
その他の参考資料
詳細については、次の Web ページを参照してください。
- Azure Arc 対応サーバーを使用した仮想マシン拡張機能の管理
- Azure Arc for servers 用の Azure Policy 組み込み定義
- クイックスタート: 準拠していないリソースを識別するためのポリシー割り当てを作成する
以下の各質問に最も適した回答を選択してください。 その後、[回答を確認] を選択します。
自分の知識をチェックする
ヘルプが必要ですか? Microsoft のトラブルシューティング ガイドをご覧になるか、問題を報告して具体的なフィードバックをお送りください。