このページの本文へ

前へ 1 2 次へ

プロに教わるAzure設計運用のベストプラクティス 第3回

クラウドとオンプレミスの二重管理を脱却し、マルチクラウド/マルチプラットフォーム時代に備える

“ポストクラウド時代”の効率的なインフラ管理方法とは

2021年07月21日 08時00分更新

文● 佐藤壮一/日本マイクロソフト 編集● 大塚/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

マルチクラウド/ハイブリッドクラウドプラットフォームとしての「Azure Arc」

 こうしたパラダイムシフトに対応するためにMicrosoftが注力しているのが「Azure Arc」である。Azure Arcは単一のサービスを示す名称ではなく、複数のサービス/ソリューションを包括するカテゴリーの名称に近いということにご注意いただきたい。加えてAzure Arcは2つのサブカテゴリーに分かれている。

 1つが「Azure Arc enabled Infrastructure」である。これはMicrosoft Azureの管理機能そのものを、Azure外のリソースに対しても拡大するものだ。つまり、オンプレミス環境や他クラウド環境上の仮想マシン、Kubernetesクラスターといったインフラリソースを、Azure上のリソースと同様にリソースグループに含めたり、RBACによるアクセス管理をしたりといった包括的な管理機能の対象にするためのサービス群である。

 もう1つが「Azure Arc enabled Service」である。Microsoft Azure上ではさまざまなManaged ServiceやPaaSに属するサービスが提供されている。このAzure上のサービスをAzure外に提供するものが、Azure Arc enabled Serviceである。具体的には、現時点では「Azure Arc enabled Data Services」「Azure Arc enabled Machine Learning」「Azure Arc enabled Application Services」をアナウンスし、プレビュー提供している。

 ここからは前者を主題として詳細な内容を言及していくが、後者のイメージが持ちづらいと思うので、少しだけ詳細に触れておこう。具体的な利用例としては、Azure Arc enabled Application Servicesをオンプレミスの任意のKubernetes環境に展開しておけば、Azure PortalからAzure App Serviceを利用してWebサイトを展開しようとした際に、パブリックのAzureのリージョン群に加えて、オンプレミスの展開済み環境が選択肢として提示されるようになる。Azure Portalからパブリッククラウドに対しても、Arcによって接続されたオンプレミス環境に対しても、同様の使い勝手でWebサイトやWebアプリケーションの展開が可能になるわけだ。

Azureを1つのコントロールプレーンとして捉えることの意味合い

 さて、論を本題に戻そう。今回の記事の主題はハイブリッド管理であり、Azure Arc enabled Infrastructureである。重要なポイントは、Azure Arc enabled Infrastructureは「Azure」そのものによって、オンプレミスや他クラウド環境の管理を実現しようとしているというところにある。管理系サービスでも、Azure BackupやAzure Monitorといったオンプレミス環境をサポートするものは存在していたわけで、これらとAzure Arcのどこが異なるかを理解しておく必要があるということだ。

 最も理解が簡単な、Azure Arcによるサーバーの管理で考えてみよう。Azure Arc enabled Serverのアーキテクチャ概要は以下となる。

 Azure Arc Connected MachineエージェントのインストールによってAzureと管理対象のサーバー環境を接続するわけだが、接続されるとAzure Virtual Machineなど他のAzure上のリソースと同じく、リソースIDが割り当てられる。またAzure Portalでは以下のように表示され、Azure Portalからの管理作業が可能になる。

 Azure Virtual Machineの管理画面と比較すると簡素ではあるが、「Arc enabled Serverの管理」として各種管理機能が“操作”に集約されていることがお分かりいただけるかと思う。Arc対応している機能であれば、個別のサービスごとに設定を実施することなく、この管理画面から管理に必要な設定や操作を実施することができる。拡張機能として「Log Analytics」のエージェントをプッシュインストールを実施することも可能で、Azure Portalからの操作で多くの作業が完結するのである。

 Azure Arcにより、Azure Portalが「Azure上のリソースを管理するためのツール」から「Azureに接続されたものを管理するためのツール」へと拡大する。Azure Arcはオンプレミスだけではなく、他クラウド上のIaaS VMやManagedのKubernetesクラスターといったものまでサポートする。Azure ArcはAzureを「ハイブリッド/マルチクラウド対応の管理ソリューション」へと拡張するものだとご理解いただいても良いと思う。

Azure Arc enabled Serverを利用したプラットフォーム横断のサーバー管理でできること

 Azure Arc enabled Serverを利用した、具体的な管理のプラクティスについても触れていきたい。イメージしやすいところから紹介していこう。Azure Arc Connected Agentは、Windows Server/Linuxを問わずインストールすることができ、Azureへの接続を可能とする。そのインストールと接続もAzure Portal上で以下のスクリーンショットのように簡単にスクリプトを自動生成し、それを流すだけで実現できる。

 最もわかりやすい機能がAzure Monitorとの連携による監視だ。拡張機能からMonitoring Agentをプッシュインストールし、AutomationアカウントとLog Analyticsワークスペースの情報を設定しさえすれば、Azure Virtual Machineと同じく、ログやパフォーマンス監視が可能になる(2021年7月時点では、ポータルを英語表示にしないと「監視-分析情報/Monitor Insight」の有効化ができない場合があるようなので注意いただきたい)。Azure Arc側のビューだけではなく、当然、Azure Monitorのビューからも、監視対象すべてをまとめて確認することが可能になる。

 同様に、更新プログラムの管理も可能だ。複数の場所で、OSも違う環境を横断して一元管理するというのも従来ツールでは実現が難しいことも多かったと思うが、Azure Arcでは容易に実現できる。

 Azureの管理下に入ることならではの利用例も紹介していきたい。まずは、Azure Policyによる管理対象にできるというところから紹介しよう。Azure上ではAzure Policyのイニシアティブ定義を利用することで、“Azureセキュリティベンチマーク”に従う設定を行うといった利用方法が可能である。Azure Arc enabled Server用にもAzure Policyの組み込み定義が準備されており、管理下のサーバー群へ一定の設定を定義することができる。

●Azure Arc 対応サーバーの組み込みポリシー定義 - Azure Arc | Microsoft Docs

 「Azure Security Center」「Azure Defender」によるセキュリティ強化や、「Azure Sentine」に接続することも可能だ。つまりはSIEMを利用した各種対処にすることはもちろんのこと、ファイルの整合性監視(FIM:File Integrity Monitoring)もプラットフォーム横断で構成することができる。複数プラットフォーム上で稼働する数百~数千の仮想マシンの重要なファイルやフォルダが意図せず変更されていないかを一元監視するという、離れ業のような運用も可能なわけだ。

●Azure Arc 対応サーバーを Azure Sentinel に接続する - Cloud Adoption Framework | Microsoft Docs
●Azure Security Center のファイルの整合性の監視 | Microsoft Docs

Azureを利用すれば、より高度なオンプレミスの管理も実現できる?

 Azure Arcを活用することで、環境を横断した管理が実現できそうだということはこれまでの説明でもご理解いただけたかと思う。加えて、重要なポイントはAzure Arc自体がクラウドサービスであり、その機能拡張や進化が継続的に実施されているということにある。Azure Arc enabledの対象が増えていくこと自体にもご期待いただきたいが、Azure Arc enabled Serverに対応する管理機能も増えているのである。

 今回のタイミングでは、直近で「Azure Automanage」のArc enabled Server対応のプレビューが開始した。Azure Automanageそのものも新しいサービスなのでご存知ない方もいらっしゃるかもしれないが、端的に言えばベストプラクティスに基づいた自動構成を実現するためのサービスだ。例えばAzure Virtual Machineに対し、Security CenterやAutomationといった管理サービスで設定しておいたあるべき構成に自動設定することを実現する。つまりは、IaaS環境をマネージドサービスに近い使い勝手に近づけるサービスと言える。

●Azure Automanage | Microsoft Azure

 このAzure Automanageが、Arc enabled Serverへの対応を進めている。これが実現すれば何が起きるか? それは、オンプレミス環境やエッジネットワーク環境で稼働する仮想マシンも、マネージドサービスに近い使い勝手に近づけることが可能になるということだ。

●Azure Automanage for Arc enabled servers | Microsoft Docs

 また、紙面の関係もあり今回は多くを説明することが叶わないが、Azure Arc enabled Infrastructureのもう1つの大きな柱になっているソリューションが「Azure Arc enabled Kubernetes」である。Azure Arc enabled Kubernetesは、素のKubernetesはもちろん、CNCF認定の各種Kubernetesディストリビューションやマネージドサービスとして提供されるKubernetesもサポートする。

●Azure Arc 対応 Kubernetes の概要 - Azure Arc | Microsoft Docs

 エッジネットワークで稼働するワークロードが仮想マシンベースではなくコンテナベースであった場合でも、Azure Arc はそのプラットフォーム横断の管理機能が提供できる。サーバー同様にKubernetesクラスターについても場所を問わずに監視や管理ができるだけではなく、GitOpsを使用した構成のデプロイや、CI/CDの実装も行える。

●チュートリアル: GitOps を使用して Azure Arc 対応 Kubernetes クラスターに構成をデプロイする - Azure Arc | Microsoft Docs
●チュートリアル: Azure Arc 対応 Kubernetes クラスターを使用して GitOps で CI/CD を実装する - Azure Arc | Microsoft Docs

★Azure Arc enabled Serverで場所を問わずにサーバーの高度な一元管理が可能になる

 ・監視や更新プログラム管理のような従来の運用だけでなく、SIEM連携やFIMも可能。
 ・Automanageによる半自動化のような今後の機能や、Kubernetes 管理といったサーバー管理以外の対応についても注目しておくことをお勧めしたい。

* * *

 今回は、ハイブリッド管理をトピックに取り上げ、なぜMicrosoftがAzure Arcに注力しているのかを説明し、その中でも最も身近なAzure Arc enabled Serverによるサーバー管理を具体例として取り上げて、ハイブリッド/マルチクラウド環境における新しい管理の方法論について述べさせていただいた。この領域はまだまだ新しく、今後も機能面でも大きく変化/進化を続けていくことが間違いない上に、実環境での利用が進むことによってより細かく、実践的なプラクティスが生まれていくことだろう。皆様にもぜひ、この新しいパラダイムに基づく運用をお試しいただきたいと思う。

●筆者プロフィール

佐藤壮一/日本マイクロソフト マーケティング&オペレーションズ部門 Azure ビジネス本部 プロダクトマーケティング部 プロダクトマネージャー

 日本マイクロソフト株式会社に入社後、ポストセールスの技術職として10年、前半はお客様担当として、後半は製品担当としてユーザーに近い場所で研鑽を積む。Windows Server、Hyper-V、Failover Cluster、System Center、AzureにAzure Stackという幅の広さとPowerShellへの愛がちょっとした自慢。その後、マーケティングチームに移り、現在はインフラ担当プロダクトマネージャーとして活動中。

前へ 1 2 次へ

カテゴリートップへ

この連載の記事