本記事について
前回に引き続きパブリックプレビューになったローカルID構成のAzure Localについて見ていきます。
本記事では運用面を確認していきます。ドキュメントではWindows Admin Centerがサポートされないと明言されているなど気になる点がありますが、実際には動作はするのか・動作もしないのか確認してみました。
前回デプロイについてまとめた内容はこちら。
ADを使わないAzure Localを構築してみる
ローカルID構成独自の運用
まずはローカルID構成独自の運用を確認しますと、Key Vault拡張機能の管理があります。
Azure LocalからKey Vaultの利用に問題がある場合のアラート機能が提供されており、またKey Vaultを変更して構成しなおすこともできるようです。
とは言っても通常利用している中でKey Vaultを変更することも基本はないと思うので、ネットワーク障害や設定ミスでKey Vaultが利用できない場合を想定して覚えておくとよいものと思います。
Key Vault拡張機能
この構成ではAzure Localのノードに"AzureEdgeAKVBackupForWindows"というAzure Arcの拡張機能がインストールされています。
AzureEdgeDeviceManagementやAzureEdgeLifecycleManagerと同じく手動でAzureポータルから更新することはNGとのことですので注意しましょう。
MS Learn | Azure Arc拡張機能の管理
Key Vaultが利用できない場合のアラート
ドキュメントによるとAzure LocalがKey Vaultを参照できない場合に正常性のアラートが上がるようです。
アラートを確認するためKey Vaultのネットワーク設定を絞ってみました。
以下の通りアラートが記録されて、拡張機能も失敗になっていました。レベルは警告でした。
運用で利用する管理ツール
オンプレミスの管理ツールのサポート
Microsoftのドキュメントではサポートされるツールとサポートれされない・制限があるツールが以下のように定義されています。
MS Learn | Azure Key Vault で構成された Azure ローカル環境でのツールの互換性
| ツール | サポート方針 |
|---|---|
| PowerShell | サポートされる |
| Azureポータル | サポートされる |
| Windows Admin Center | サポートされない |
| フェールオーバークラスターマネージャー | すべてのシナリオで機能するとは限らない |
| Hyper-Vマネージャー | すべてのシナリオで機能するとは限らない |
| SCVMM | "サポートが制限されているか、サポートされていないことが予想されます" (ドキュメント文引用) |
オンプレミスの管理ツールは原則サポートされていないか、動作確認がとられていないようです。
Azure LocalのAzureからの管理が進んでいる状況、ADに依存しない構成のコンセプトから考えても自然な対応には見えます。
オンプレミスの管理ツールを使った運用作業
一方でまだAzure Localの運用はすべてがAzureからの管理で閉じる状況ではないため、PowerShellかWAC等のオンプレミスの管理ツールに頼らざるを得ません。
一般的な運用中に遭遇するオンプレミスの管理ツールを使わなければならない操作は例えば以下があります。
- ハードウェアメンテナンス等でのノードのメンテナンス、起動・停止操作、クラスターの停止
- クラスターグループ、クラスターリソースの手動マイグレーション(手動負荷分散)
- 仮想マシンへのVMConnectによるコンソール接続
- その他トラブル時の対応もろもろ
ノードのメンテナンスを除けば、トラブルがない限りはAzure管理でうまく閉じられそうな気もしますが、オンプレミスの管理ツールが実際にはどの程度利用できるのか、制限を受けるのか試してみたいと思います。
Windows Admin Center
ドキュメントではサポートされないと明言されていましたが、クラスター、ノードともに接続してステータスの確認や操作ができました。
他のツールと違い明示的にサポートされないと記載されているあたり、今後のAzure Localの更新に追従されないということなのかもしれませんが、少なくとも現状は通常の構成と同じように利用できそうです。
-
ステータス確認は一通り利用できる
-
ノードのメンテナンス操作も可能
-
Hyper-V VMの作成も可能
-
VMConnectも問題なく利用できる
(おまけ)WAC in Azure Portal
プレビューが続くAzureポータルのWAC機能も試してみました。
インストールは通常通りで、こちらも同じように利用できています。
フェールオーバークラスターマネージャー
こちらも問題なくクラスターに接続できました。
ステータスの確認は一通り見られるようでした。操作についてもいくつか試した範囲では問題なく動作していました。
-
クラスターリソース一覧
-
VMの操作
一点クラスターに接続するときの注意点として、フェールオーバークラスターマネージャーでクラスターに接続するアカウントはOSのログインユーザーがデフォルトですので、以下のようにrunasコマンドでユーザーを指定して起動してクラスターに接続します。
※ローカルID構成に依存する話ではありませんがドメイン環境に慣れているとつまづくのでお気をつけを。
ノードのローカル管理者と同一アカウント名・パスワードのアカウントがローカルにない場合は、"/netonly"もつけておかないとエラーが出ます。
# フェールオーバークラスターマネージャーのパスは環境に応じて確認を
runas /netonly /user:localhost\<Azure Localのローカル管理者アカウント名> "mmc.exe C:\Windows\System32\CluAdmin.msc"
Hyper-Vマネージャー
こちらも問題なくノードに接続して操作できました。
接続するときの注意点として、資格情報の委任が許可されていないとHyper-Vマネージャーの接続に失敗しました。
ローカルIDを利用したAzure Localではなく、WORKGROUP環境で接続する際の注意点ですがこちらのドキュメントを参考に接続元端末側の設定をしておきましょう。
MS Learn | ドメイン外またはドメインなしでリモートホストに接続する
私の環境ではグループポリシーで明示的にNTLM認証を利用した資格情報の委任を設定することで接続できています。
以下の通りノードを"wsman/<ノード名>"の形で登録しています。
まとめ
ローカルID構成のAzure Localで運用ツールの動作を確認しました。
現状は通常のADに依存した構成と同様に操作ができるようでしたが、ドキュメントでWACが明示的にサポートされないと記載されており今後の動向は確認しておきたいところです。
そして、早くAzureからすべての操作ができるようになり脱WAC (FCM, Hyper-V Manager)できればよいなと・・・。