はじめに
Microsoft Ignite 2023にてアダプティブクラウドアプローチが発表されました。アダプティブクラウドは、お客様の複数の拠点に跨ったシステムをAzureの中央の管理センターで集中制御し、Microsoftの持つAI、セキュリティ、アプリケーション開発・管理機能、データモデルを活用することで、マーケットのトレンドや顧客ニーズにプロアクティブに対応していくアプローチです。
Azure外の環境に対してもアダプティブクラウドアプローチを取るために、Azure外のリソースを仮想的にAzureのリソースとして登録するAzure Arcがキーコンポーネントになります。
ただし、Azure ArcでAzure外のマシンをAzureに登録した後の管理・運用にはAzureへの理解と経験が求められると思います。
そこで今回の記事では、Azure外の仮想マシンをAzureを使って管理・運用する第一歩としてAzure Automanageをご紹介します。
環境準備
Azure ArcBoxを使ってAzure上に仮想的にAzure Arcで接続された環境を構築します。Azure ArcBoxはAzure Arcのデモ環境を簡単に構築するためのアクセラレータです。ドキュメントの手順通りに進めることで環境が構築できます。本記事ではDevOps環境は必要としていないため、ITPro用の環境を構築しています。
Azure ArcBoxの構成図
Azure ArcBoxの構成図は以下です(こちらから引用)。Azure Arcで接続された仮想マシン5台がNestedでAzure仮想マシン上に構成されます。
構築直後の状態
ArcBox構築直後のArc Enabled Servers(Windows Server 2022)の状態が以下です。画面中央下のCapabilityのパネルを見るとMonitoring InsightsのみConfiguredになっていますが、他は構成されていない状態です。実際のオンプレミス環境にAzure Arcをオンボードした場合はMonitoring Insightsも構成されておらずまっさらな状態になります。Azure ArcはAzure外部のリソースをAzureとして管理するための橋渡し役をするが、Azure Arcだけでは管理は成り立たず、適切なAzureソリューションを構成していく必要があります。
Azure Automanageについて
Azure Automanageは仮想マシンの運用・管理に必要なAzureサービスをAzureのベストプラクティスに従って自動で構成し、継続的に運用するためのサービスです。
以下の図はMicrosoftドキュメントから引用しています。
カテゴリ別に構成されるAzureサービスを以下に分類してみました。これらを活用することでAzureのベストプラクティスに従った運用が実施できます。いくつかのサービスはAzure Automanageを通じてAzure Arc Enabled Serversに対して構成できないため注意が必要です。
| No | カテゴリ | サービス名 |
|---|---|---|
| (1) | 監視 | Monitoring |
| (2) | セキュリティ | Security center(Arc対象外), Update management, Configuration management |
| (3) | インベントリ管理 | Change tracking and inventory |
| (4) | 自動化 | Automation account |
| (5) | トラブルシュート・ログ管理 | Log analytics, Boot diagnostics(Arc対象外) |
| (6) | バックアップ | Backup(Arc対象外) |
コスト
Azure上の仮想マシンを対象としたAzure Automanageは基本無償ですが、Azure Arcで接続された仮想マシンの場合マシン1台あたり月額$6が必要です。さらにいずれの場合でも構成した各種サービスの費用は発生するため、ログやバックアップ、セキュリティ、自動化にかかるコストについて注意する必要があります。
Azure Automanageの構成
Azure Policyを使用して構成する方法やARMテンプレートを使用する方法もありますが、ここではAzure Portalから構成する方法を確認していきます。
Automanage Machinesを押下して構成を開始します。
本番環境用、Dev/Test用、自身で構成したカスタムプロファイルから好きなものを選択します。ここでは本番環境用を選択します。Azure Arc machinesにはバックアップ、Microsoft Defender for Cloud、Boot診断は構成されません。
次にAutomanageを構成するマシンを選択します。ここではArcBoxで構築したArcに接続されたWindowsマシンを選択し、Automanageを有効化します。
約3時間ほどで構成が完了したのですが、Microsoft Monitoring Agentの追加が作成中のステータスから完了できず、Non Comformantの状態になっています。それ以外は正しく構成できました。該当のエージェントは別途再インストールすることで解決を図ります。
ここから構成した機能について先のカテゴリーに沿って画面と共に確認していきます。
(1)監視
Azure Monitor VM Insightsが構成され、以下のようにマシンのパフォーマンスについて既定のビューで表示することが可能です。
複数のリソースをまとめて描画することも可能なので、まとめて異変をチェックすることも可能です。ただしアラートについては自身で設定する必要があり、完全に自動で隅から隅までというわけにはいきません。
(2)セキュリティ
Azure Arc Enabled Serversについては、Windows Defender for CloudがAzure Automanageで構成できないため、Update ManagementとMicrosoft Antimalwareを確認します。
セキュリティ設定のアセスメント
OSのセキュリティ設定をAzure Windows Baselineに沿って評価し結果が以下のような画面で確認できます。これを活用することでAzureのベストプラクティスに沿ったWindowsのセキュリティ項目を設定できます。Azure Automanageでは既定で監査モードとして提供されますが、Custom Profileを使うことで自動的にセキュアな状態に修正されるよう設定することもできます。
パッチ更新管理
Azure Automation Update Managementが自動構成されます。更新管理系の機能はAzure Update Managerが後継として登場しており、Azure Automation Update Managementは2024年8月31日に廃止されることがわかっているため、Microsoft側の対応が期待されます。Automanageを構成する際にカスタムプロファイルを使って構成することができるので、それまでの間はAzure Automation Update Managementについてはオフにしてもよいかもしれません。
Azure Automation Update Managementを構成した場合は、以下の画面のように仮想マシンに適用可能な更新がないかの評価結果と不足しているアップデートの一覧が表示できるビューが用意されます。
マルウェア対策
Antimalware Assessmentというソリューションがあり、自身で追加することで以下のようなビューを追加できます。Azure Portal上部の検索バーでAntimalware Assessmentと検索するとMarketplaceからソリューションを見つけることができるます。
以下の画面だと脅威が検出できておらず面白くないのですが、エージェントはAzure Automanageによって構成されているので、検出された場合に確認することができます。
(3)インベントリ管理
Azure Automation Update Management同様、こちらの機能も2024年8月31日に廃止されるエージェントベースで構成されてしまいます。Microsoft側の対応を期待し、現時点ではAutomanageを構成する際にカスタムプロファイルを使ってオフにしてよいかもしれません。
構成すると以下の画面でOS上のリソース(Windowsであればファイル、レジストリ、ソフトウェア、サービス)に発生した変更をトラッキングし、可視化できます。
(4)自動化
Azure Automation Accountがセットアップされます。ただし自動化したい作業がある場合は自身でRunbookを構成する必要があります。Azure Automanageによる構成はその下準備となるAzure Automation Accountのリソースを構築するところになります。
(5)ログ管理
パフォーマンスやイベントログなどはLog Analytics Workspaceに集約・管理されます。Azure Automanageを構成したことで特にログ収集に関する設定を追加で実施することなく、これまでご説明した画面で表示した情報の多くはLog Analytics Workspaceに保存されており、既定では30日間保持されます。
まとめ
Azureを活用したオンプレミス環境の運用・管理の第一歩として、必要なAzureサービスを構成する方法をご紹介しました。コンセプトは非常に魅力的で、個人的にはWindows Server 2025が登場する頃にはAzureサービスを活用した運用・管理のセットアップのファーストチョイスとして広く活用できるようになってほしいと期待しています。気になったポイントは以下です。
- Windows Server 2025の新機能への対応:Azure Editionの対応としてホットパッチの構成やSMB over QUICの構成が可能になっています(こちらを参照)。Windows Server 2025ではホットパッチ対応やAzure ArcのセットアップウィザードがInbox化されることが発表されており、Windows Server 2025の新機能の一部をAzureから簡単に構成する手段としてAutomanageの活用が期待できるのではないかと思います。
- 旧エージェントからの移行:更新管理および変更履歴とインベントリについては2024年8月31日に廃止されるエージェントを活用した形で構成されてしまいます。現時点ではMicrosoftの対応を期待して、該当機能はAzure Automanageを使用せず自身で新しいエージェントにて構成した方が安全なように思います。