この参照アーキテクチャでは、Azure Arc を使用して、オンプレミス、マルチクラウド、エッジの各シナリオでサーバーを管理、管理、セキュリティで保護する方法を示します。 このアーキテクチャは、Azure Arc Jumpstart ArcBox for IT Pros 実装に基づいています。 ArcBox は、すべての Azure Arc に簡単にデプロイできるサンドボックスを提供するソリューションです。ArcBox for IT Pros は、サンドボックス環境で Azure Arc 対応サーバー機能を体験したいユーザーを対象とした ArcBox のバージョンです。
このアーキテクチャの PowerPoint ファイルをダウンロードします。
アーキテクチャは、次のコンポーネントで構成されています。
- Azure リソース グループ は、Azure ソリューションの関連リソースを保持するコンテナーです。 リソース グループには、ソリューションのすべてのリソースか、グループとして管理したいリソースのみを含めることができます。
- ArcBox ブックは Azure Monitor ブックです。ArcBox リソースを監視し、レポートするための 1 つのウィンドウがあります。 ブックは、Azure portal でデータ分析と視覚化のための柔軟なキャンバスとして機能し、ArcBox 全体の複数のデータ ソースから情報を収集し、それらを統合して対話型のエクスペリエンスにまとめます。
- Azure Monitor を使用すると、Azure、オンプレミス、または他のクラウドで実行されているシステムのパフォーマンスとイベントを追跡できます。
- Azure Policy ゲスト構成
、オンプレミスまたは他のクラウドで実行されている Azure Arc 対応サーバーと Azure Arc 対応サーバーで実行されているマシンの両方について、オペレーティング システムとマシン構成を監査できます。 - Azure Log Analytics は、Azure Monitor ログによって収集されたデータのログ クエリを編集して実行し、その結果を対話的に分析する、Azure portal のツールです。 Log Analytics クエリを使用すると、特定の条件に一致するレコードの取得、傾向の特定、パターンの分析を行って、データに関するさまざまな分析情報を入手できます。
- Defender for Cloud は、クラウド セキュリティ態勢管理 (CSPM) とクラウド ワークロード保護プラットフォーム (CSPM) のソリューションです。 Defender for Cloud は、クラウド構成全体の弱点を検出し、環境の全体的なセキュリティ体制を強化するのに役立ち、進化する脅威からマルチクラウドおよびハイブリッド環境全体のワークロードを保護できます。
- Microsoft Sentinel は、スケーラブルなクラウドネイティブのセキュリティ情報およびイベント管理 (SIEM) ソリューションと、セキュリティ オーケストレーション、自動化、応答 (SOAR) ソリューションです。 Microsoft Sentinel は、エンタープライズ全体でインテリジェントなセキュリティ分析と脅威インテリジェンスを提供します。 また、攻撃検出、脅威の可視性、プロアクティブハンティング、脅威対応のための単一のソリューションも提供します。
- Azure Arc 対応サーバーを使用すると、Azure の外部でホストされている、企業ネットワーク上の Windows マシンと Linux マシンに Azure を接続できます。 サーバーが Azure に接続されると、サーバーは Azure Arc 対応サーバーになり、Azure のリソースとして扱われます。 各 Azure Arc 対応サーバーは、リソース ID、マネージド システム ID を持ち、サブスクリプション内のリソース グループの一部として管理されます。 Azure Arc 対応サーバーは、インベントリ、ポリシー、タグ、Azure Lighthouse などの標準的な Azure コンストラクトの恩恵を受けます。
- 入れ子になった仮想化 Hyper-V は、Azure 仮想マシン内で Windows および Linux Server 仮想マシンをホストするために、Jumpstart ArcBox for IT Pros によって使用されます。 この方法では、物理 Windows Server マシンを使用する場合と同じエクスペリエンスが提供されますが、ハードウェア要件はありません。
- Azure Virtual Network は、Azure リソース グループ内の仮想マシンなどのコンポーネントが通信できるようにするプライベート ネットワークを提供します。
このアーキテクチャの一般的な用途は次のとおりです。
- 複数の環境にわたる仮想マシン (VM) とサーバーの大規模なグループを整理、管理、インベントリする。
- Azure Policy を使用して、組織の標準を適用し、あらゆる場所の全リソースのコンプライアンスを大規模に評価する。
- サポートされている VM 拡張機能を Azure Arc 対応サーバーに簡単にデプロイできます。
- 複数の環境にわたってホストされている VM とサーバーの Azure Policy を構成して適用する。
ほとんどのシナリオには、次の推奨事項が適用されます。 これらの推奨事項には、オーバーライドする特定の要件がない限り、従ってください。
Windows または Linux を実行する他の任意の物理または仮想マシンを Azure Arc に接続できます。マシンをオンボードする前に、Azure Arc 対応サーバーの Azure リソース プロバイダーを登録するなど、Connected Machine エージェントの前提条件を必ず完了してください。 Azure Arc を使ってマシンを Azure に接続するには、Azure Arc を使って接続する予定の各マシンに Azure Connected Machine エージェントをインストールする必要があります。詳細については、Azure Arc 対応サーバー エージェントの概要に関する記事を参照してください。
Connected Machine エージェントを構成すると、5 分ごとに通常のハートビート メッセージが Azure に送信されます。 ハートビートが受信されない場合、Azure はマシン オフライン 状態を割り当てます。これは、15 から 30 分以内にポータルに反映されます。 Azure が接続されたマシン エージェントから後続のハートビート メッセージを受信すると、その状態は自動的に Connectedに変わります。
Azure では、Windows マシンと Linux マシンを接続するために、次のようないくつかのオプションを使用できます。
- 手動でインストールする: Windows Admin Center を使用するか、一連の手順を手動で実行することで、環境内の 1 つ以上の Windows または Linux マシンに対して Azure Arc 対応サーバーを有効にすることができます。
- スクリプトを使用してインストールする: Azure portal からダウンロードしたテンプレート スクリプトを実行することで、エージェントの自動インストールを実行できます。
- サービス プリンシパルを使用して大規模なマシンを接続する: 大規模にオンボードするには、サービス プリンシパルを使用し、組織の既存の自動化を使用してデプロイします。
- Windows PowerShell DSC を使用してインストールします。
使用できるさまざまなデプロイ オプションの包括的なドキュメントについては、「Azure Connected Machine エージェントのデプロイ オプション」を参照してください。
Azure Arc 対応サーバーは、Azure Resource Management レイヤーと、ゲスト構成ポリシーを使用する個々のサーバー マシン内で、Azure Policy をサポートします。 Azure Policy ゲスト構成では、Azure と Azure Arc 対応サーバーで実行されているマシンの両方について、マシン内の設定を監査できます。 たとえば、次のような設定を監査できます。
- オペレーティング システムの構成
- アプリケーションの構成または存在
- 環境設定
Azure Arc 用の Azure Policy 組み込み定義がいくつかあります。これらのポリシーでは、Windows ベースのマシンと Linux ベースのマシンの両方について、監査と構成設定を提供します。
次のコンポーネントを有効にして、Azure Arc 対応サーバーの更新管理プロセスを採用することが重要です。
- Azure Update Manager を使用して、すべてのサーバーで Windows および Linux 更新プログラムのインストールを管理、評価、管理します。
- Azure Arc 対応サーバー 変更の追跡とインベントリの を使用して、次の処理を行います。
- 環境内にインストールされているソフトウェアを決定します。
- ソフトウェア、ファイル、Linux デーモン、Windows サービス、Windows レジストリ キーのインベントリを収集して観察します。
- マシンの構成を追跡して、環境全体の運用上の問題を特定し、マシンの状態をより深く理解します。
Azure Monitor を使用して、VM、Azure Virtual Machine Scale Sets、Azure Arc マシンを大規模に監視します。 Azure Monitor を使用して次の手順を実行します。
- Windows および Linux VM のパフォーマンスと正常性を分析します。
- 他のリソースと外部プロセスに対する VM プロセスと依存関係を監視します。
- オンプレミスまたは別のクラウド プロバイダーでホストされている VM のパフォーマンスとアプリケーションの依存関係を監視します。
Azure Monitor エージェントは、Azure Policyを使用して、Azure Arc 対応の Windows および Linux サーバー
Azure Monitor ログ ワークスペースのデプロイを設計して計画します。 ワークスペースは、データが収集、集計、分析されるコンテナーです。 Azure Monitor ログ ワークスペースは、データの地理的な場所、データの分離、データ保持などの構成のスコープを表します。 Azure 向けクラウド導入フレームワークの 管理と監視のベスト プラクティス 説明されているように、1 つの Azure Monitor ログ ワークスペースを使用します。
Azure ロールベースのアクセス制御 (RBAC) を使用して、Azure Arc 対応サーバー上のマネージド ID のアクセス許可を制御および管理し、これらの ID の定期的なアクセス レビューを実行します。 特権ユーザー ロールを制御して、システムマネージド ID が悪用されて Azure リソースに不正アクセスされないようにします。
- Azure Arc 対応サーバーでの証明書管理に Azure Key Vault の使用を検討します。 キー コンテナー VM 拡張機能を使用して、Windows および Linux マシンで証明書のライフサイクルを管理できます。
- Azure Arc 対応サーバーを Defender for Cloudに接続します。 Defender for Cloud を使用して、アクションを推奨し、Azure の全体的なセキュリティ体制を改善するために必要なセキュリティ関連の構成とイベント ログを収集します。
- Azure Arc 対応サーバーを Microsoft Sentinel に接続します。 Microsoft Sentinel を使用してセキュリティ関連のイベントを収集し、それらを他のデータ ソースと関連付けます。
Linux および Windows 用の Connected Machine エージェントは、TCP ポート 443 を介して Azure Arc へのアウトバウンド通信を安全に行います。 Connected Machine エージェントは、次の方法を使用して Azure コントロール プレーンに接続できます。
- Azure パブリック エンドポイントへの直接接続 (場合によってはファイアウォールまたはプロキシ サーバーの背後から)。
- プライベート リンク スコープ モデルを使う Azure Private Link。複数のサーバーまたはマシンが 1 つのプライベート エンドポイントを使って Azure Arc リソースと通信できるようになります。
Azure Arc 対応サーバー 実装の包括的なネットワーク ガイダンスについては、Azure Arc 対応サーバーの のネットワーク トポロジと接続に関するページを参照してください。
以降の考慮事項には、ワークロードの品質向上に使用できる一連の基本原則である Azure "Well-Architected Framework" の要素が組み込まれています。 詳細については、「Microsoft Azure Well-Architected Framework」を参照してください。
信頼性により、アプリケーションは顧客に対するコミットメントを確実に満たすことができます。 詳細については、「信頼性
- ほとんどの場合、インストール スクリプトを作成するときに選択する場所は、マシンの場所に最も近い Azure リージョンにする必要があります。 残りのデータは、指定したリージョンを含む Azure geography 内に格納されます。データ所在地の要件がある場合は、リージョンの選択にも影響する可能性があります。 マシンが接続されている Azure リージョンに障害が影響を与える場合、停止は Azure Arc 対応サーバーには影響しません。 ただし、Azure を使った管理操作を使用できなくなる可能性があります。
- Azure に接続されたマシン エージェントが Azure へのハートビートの送信を停止した場合、またはオフラインになった場合は、操作タスクを実行できません。 そのため、通知と応答の計画を作成
必要があります。 - リソースの正常性状態が変化したときに準リアルタイムで通知を受けるようにリソース正常性アラートを設定します。 また、異常な Azure Arc 対応サーバーを特定する監視とアラートのポリシーを Azure Policy で定義します。
- 現在のバックアップ ソリューションを Azure に拡張するか、ビジネス ニーズに合わせて拡大縮小するアプリケーション対応レプリケーションとアプリケーション整合性バックアップを簡単に構成できます。
Azure Backup と Azure Site Recoveryの一元管理インターフェイスを使用すると、Azure Arc 対応 Windows および Linux サーバーをネイティブに保護、監視、管理するためのポリシーを簡単に定義できます。 - 自社の要件を満たしているかどうかを判断するには、事業継続とディザスター リカバリーに関するガイダンスを参照してください。
- ソリューションのその他の信頼性に関する考慮事項については、Well-Architected フレームワーク 信頼性設計原則に関する説明を参照してください。
セキュリティは、意図的な攻撃や貴重なデータとシステムの悪用に対する保証を提供します。 詳細については、「セキュリティ
- Azure Arc 対応サーバーに対して適切な Azure RBAC を管理する必要があります。 マシンをオンボードするには、Azure Connected Machine のオンボード ロールのメンバーである必要があります。 マシンの読み取り、変更、再オンボード、削除を行うには、Azure Connected Machine のリソース管理者ロールのメンバーである必要があります。
- Defender for Cloud では、他のクラウド プロバイダーによってホストされているオンプレミス システム、Azure VM、VM を監視できます。 セキュリティ ベースラインの監視、セキュリティ体制の管理、脅威の防止のために、Azure Arc 対応サーバーを含むすべてのサブスクリプションに対して Microsoft Defender for servers を有効にします。
- Microsoft Sentinel は、組み込みコネクタを使用して、Azure、オンプレミス ソリューション、クラウドを含む、さまざまなソースにわたるデータ収集を簡素化するのに役立ちます。
- Azure Policy を使用して、Defender for Cloud でのセキュリティ ポリシーの実装など、Azure Arc 対応サーバー全体のセキュリティ ポリシーを管理できます。 セキュリティ ポリシーは、ワークロードの必要な構成を定義し、会社や規制当局のセキュリティ要件に確実に準拠できるようにします。 Defender for Cloud のポリシーは、Azure Policy で作成されたポリシー イニシアティブに基づいています。
- Azure Arc 対応サーバーにインストールできる拡張機能を制限するには、サーバーで許可およびブロックする拡張機能の一覧を構成します。 拡張機能マネージャーは、拡張機能をインストール、更新、またはアップグレードするすべての要求を許可リストとブロックリストに対して評価して、拡張機能をサーバーにインストールできるかどうかを判断します。
- Azure Private Link を使用すると、プライベート エンドポイントを使用して Azure PaaS サービスを仮想ネットワークに安全に接続できます。 オンプレミスまたはマルチクラウドのサーバーを Azure Arc に接続し、パブリック ネットワークを使用する代わりに、Azure ExpressRoute またはサイト間 VPN 接続経由ですべてのトラフィックを送信できます。 プライベート リンク スコープ モデルを使うと、複数のサーバーまたはマシンが 1 つのプライベート エンドポイントを使って Azure Arc リソースと通信できるようになります。
- Azure Arc 対応サーバーのセキュリティ機能の包括的な概要については、「Azure Arc 対応サーバー セキュリティの概要」を参照してください。
- ソリューションのその他のセキュリティに関する考慮事項については、Well-Architected フレームワーク セキュリティ設計原則 を参照してください。
コストの最適化は、不要な費用を削減し、運用効率を向上させる方法を検討することです。 詳細については、「コストの最適化
- Azure Arc コントロール プレーン機能は、追加コストなしで提供されます。 これには、Azure 管理グループとタグを使用したリソース編成のサポート、および Azure RBAC によるアクセス制御が含まれます。 Azure Arc 対応サーバーと組み合わせて使用する Azure サービスには、その使用量に応じてコストが発生します。
- Azure Arc のコスト最適化のガイダンスについては、Azure Arc 対応サーバーの コスト ガバナンス に関するページを参照してください。
- ソリューションのコスト最適化に関するその他の考慮事項については、Well-Architected フレームワークで
コスト最適化の設計原則を参照してください。 - コストの見積もりには、Azure 料金計算ツールをご利用ください。
- このアーキテクチャに対応する Jumpstart ArcBox for IT Pros リファレンス実装をデプロイする場合、ArcBox リソースは、基の Azure リソースの Azure 従量課金料金がかかることに注意してください。 これらのリソースには、コア コンピューティング、ストレージ、ネットワーク、補助サービスが含まれます。
オペレーショナル エクセレンスは、アプリケーションをデプロイし、運用環境で実行し続ける運用プロセスを対象としています。 詳細については、「オペレーショナル エクセレンス
- Azure Arc 対応サーバー環境のデプロイを自動化します。 このアーキテクチャのリファレンス実装は、Azure ARM テンプレート、VM 拡張、Azure Policy 構成、PowerShell スクリプトを組み合わせて完全に自動化されています。 また、これらの成果物を独自のデプロイに再利用することもできます。 詳細については、「Azure Arc 対応サーバー
Automation の規範」を参照してください。 - Azure Arc 対応サーバーの
オンボードを自動化するために、Azure にはいくつかのオプションがあります。 大規模なオンボードの場合は、サービス プリンシパルを使って、組織の既存の自動化プラットフォームを介してデプロイします。 - VM 拡張機能を Azure Arc 対応サーバーにデプロイして、ライフサイクル全体を通じてハイブリッド サーバーの管理を簡略化できます。 大規模なサーバー管理の場合は、Azure Policy を使って VM 拡張機能のデプロイを自動化することを検討してください。
- オンボードされた Azure Arc 対応サーバーでパッチと更新プログラムの管理を有効すると、OS のライフサイクル管理が簡単になります。
- Azure Arc 対応サーバーのその他のオペレーショナル エクセレンス シナリオについては、Azure Arc Jumpstart Unified Operations のユース ケース
を参照してください。 - ソリューションのオペレーショナル エクセレンスに関するその他の考慮事項については、Well-Architected Framework で されるオペレーショナル エクセレンス設計原則
参照してください。
パフォーマンス効率は、効率的な方法でユーザーの要求に合わせてワークロードをスケーリングする機能です。 詳細については、「パフォーマンス効率
- Azure Arc 対応サーバーを使用してマシンを構成する前に、Azure Resource Manager のサブスクリプションの制限とリソース グループの制限を確認して、接続するマシンの数を計画する必要があります。
- デプロイ ガイドに記載されている段階的なデプロイ アプローチは、実装のためのリソース容量要件を判断するために役立ちます。
- Azure Monitor を使用して、Azure Arc 対応サーバーから Azure Monitor ログ ワークスペースに直接データを収集し、詳細な分析と相関関係を得ることができます。 Azure Monitor エージェントの デプロイ オプション を確認します。
- ソリューションのパフォーマンス効率に関する考慮事項については、Well-Architected Framework で パフォーマンス効率の原則
参照してください。
このアーキテクチャのリファレンス実装は、Azure Arc Jumpstart プロジェクトの一部として含まれる、Jumpstart ArcBox for IT Prosにあります。 ArcBox は、1 つの Azure サブスクリプションとリソース グループ内に自己完結するように設計されています。 ArcBox を使うと、使用可能な Azure サブスクリプションのみを使って、すべての使用可能な Azure Arc テクノロジを簡単に体験できます。
参照実装をデプロイするには、Jumpstart ArcBox for IT Pros を選択し、GitHub リポジトリの手順に従います。
この記事は、Microsoft によって保守されています。 当初の寄稿者は以下のとおりです。
プリンシパル作成者:
- Pieter de Bruin | シニア プログラム マネージャー
パブリックでない LinkedIn プロファイルを表示するには、LinkedIn にサインインします。
- Azure Arc の詳細情報
- Azure Arc 対応サーバーの詳細情報
- Azure Arc ラーニング パス
- Azure Arc Jumpstart で Azure Arc Jumpstart シナリオを確認する
- クラウド導入フレームワークで Azure Arc 対応サーバーランディング ゾーン アクセラレータ を確認する
次の関連するアーキテクチャを確認してください。
- Azure Arc を使用して SQL Server を最適化する
- Kubernetes クラスター向けの Azure Arc ハイブリッド管理とデプロイ