Azure Portalからクラウドライクな統合管理を実現。Azureとつながることによってはじめて実現されるさまざまな「価値」
Microsoft Azureとのネイティブな統合を図って一新された「Azure Stack HCI」は、「オンプレミスそのものを変えていくとともに、クラウドにも新しい可能性をもたらすという思いでリリースされたHCI製品」です。
これまでも、Azureからオンプレミス側の可視化・管理が行えるサービスは存在しましたが、何らかのエージェントのインストールや、スクリプトを実行する必要がありました。しかし新生Azure Stack HCIは、追加のエージェントやスクリプトを介することなく、OSそのものにAzureと連携するサービスがネイティブで組み込まれています。Azure Stack HCI Bootcamp 第4回の「Azure Stack HCIのAzure連携/統合の仕組み」では、日本マイクロソフト パートナー事業本部 パートナー技術統括本部 シニアクラウドソリューションアーキテクト 高添修氏からその仕組みが詳しく紹介されました。
▼Azure Stack HCI Bootcampに関する記事一覧
https://qiita.com/official-columns/tag/azure-stack-hci-bootcamp/
目次
秘密のコンポーネント「HciSvc」でつながるAzure Stack HCIとAzure
Azure Stack HCIはWindows Serverではなく、「Azure Stack HCI OS」という新しいOSをベースとしていることは、過去のセッションでもたびたび言及してきた通りです。このOSには「HCIサービス(HciSvc)」という新しいコンポーネントが標準で組み込まれており、Azureへの登録や接続状態の保存、ライセンス情報の共有といった処理に使われます。
ポイントは「HciSvcはOS上で常時動作する保護されたプロセスとして提供されます。エージェントではないため、特にインストールや有効化といった作業は必要ありません。アップデートが必要な場合も、Azure Stack HCI OSと同じタイミングで更新されていきます」(高添氏)ということです。
Azure Stack HCIを利用する際には、複数のサーバー ノードを束ねて1つのクラスターを構成します。HciSvcコンポーネントもクラスターに対応しているため、「ノードを1つ追加したからといって、わざわざAzureに登録する必要はありません。ノード追加時にはHciSvcが自動的にAzureに情報を伝えますし、逆にノードを減らしたら自動的にクリーンナップします」(高添氏)。つまり、「ハイブリッドでHCI環境の管理を簡単にする秘密のコンポーネント」というわけです。
仮に、Windows Admin CenterからHciSvcを選択して停止させようとしても、あるいはPowerShellの画面からプロセスを停止させようとしても手動では止まらない仕組みになっており、常にAzureとつながり、連携し続けます。
だからといって、Azure Stack HCIが勝手にAzureにつながりにいくわけではありません。新しいAzure Stack HCIを使い始める際には、当然ながら最初にAzureへの登録が必要になります。
Azureへの登録方法は2つ用意されています。1つはWindows Admin Centerを使ってGUIベースで行う方法、そしてもう1つは、AzureのPowerShellモジュール「Az.StackHCI」を使って登録する方法です。
「どちらの方法を採っても、基本的な流れは一緒です。AzureのサブスクリプションIDとリージョン名、リソースグループなどの情報を使って登録をします。Azure ADで認証すれば作業は完了なので登録自体は簡単です」と高添氏は説明し、デモンストレーションを通じてその方法を紹介しました。
なお、現時点でAzure Stack HCIの管理サービスが動いているAzureのリージョンはEast US、Southeast Asia、West Europaの3カ所です。ただし2021年中には「Japan East」、つまり東日本でもサービスが開始され、国内だけでさまざまな処理・管理が行えるようになる予定です。
高添氏はさらに「Azureに登録した世界中にあるAzure Stack HCIのクラスターにはタグ付けができるので、場所や用途で検索してリスト化したり作業の自動化に使ったりすることもできます」と、クラウドらしいメリットを説明しました。現時点ではタグ付けなど限られた管理機能のみだが、今後はさまざまな管理機能が追加されていく見込みとのことです。
数々のAzureサービスとの連携を生かすならば「オンライン状態」が推奨に
以上のように、Azure Stack HCIはOSに組み込まれたHCIサービス(HciSvc)というコンポーネントによってAzureと連携しており、一度登録さえ済ませれば利用できるようになります。ならば、Azureと接続する際の要件はどうなっているのでしょうか。詳細は「docs.microsoft.com」に用意された技術情報やFAQに記されていますが、高添氏はその中からいくつか重要なポイントを紹介しました。
しばしば寄せられるのは、「Azure Stack HCIをAzureに登録した後、常につながっていないといけないのだろうか?」という疑問です。これに対し高添氏は「いったんAzureにつながれば、あとはオンプレミスのHCIとしてしっかり動作するため、接続が限られている環境でも問題なく動かすことができます」と述べました。 Windows Admin CenterがオンプレミスのHCI管理ツールとして利用できるので、常にクラウドを意識する必要もありません。
常時接続が難しい場合、少なくとも30日に1回の間隔でAzureと同期を行えば、課金情報も含めてAzureと連携でき、Azure Stack HCIを正常に動かすことができます。ただ、もし同期をしない期間が30日を超えてしまった場合には、クラスターの接続状態が「ポリシー違反」(out of policy)に変わり、クラスターが機能制限モードに移行してしまいます。それまで動作していた仮想マシンは引き続き動作しますが、再度同期を行うまでは新規に仮想マシンを作れなかったり、Azure側のサービスを利用できない状態になってしまいます。
高添氏はこうした条件を整理した上で、「Azure Stack HCIは、たまにつながらなかったり、定期的にクラウドとの接続を切る必要がある環境でも安心して利用できますが、基本的にはAzureとつながる状態での運用を推奨しています」とまとめました。
今後より便利に、よりセキュアにHCIを管理するため、Azure Stack HCIとAzureのさまざまなサービスとの連携が進んでいきますが、それらを活用するならば、常にオンライン状態にある方が望ましいでしょう。
「新しいAzure Stack HCIは、Azureに登録して基本機能を利用するだけでなく、ぜひAzureのいろんなサービスと一緒に使っていただきたいと考えています。たとえばログデータをどんどんAzureに送って管理や監視に使ったり、仮想マシンの災害対策を実現したいならば仮想マシンをAzureに自動複製して、いつでもAzure上で立ち上げられるようにするといった具合です。どういう形でAzureとAzure Stack HCIを連携するかを意識しながら、ハイブリッドな利用シナリオを実現してみてください」(高添氏)
なお、Azureに接続して課金情報などの同期を取る際の帯域も気になるところですが、「それほど大量のデータのやり取りは発生しません。最低限必要な帯域は1日あたり数KB程度となっているため、必ずしも有線ネットワークではなくとも、WiFiやモバイルネットワークでも十分なくらいの量です」と高添氏は述べました。
同様に、「同期を取るため、ファイアウォールの設定を緩める必要が生じてしまうのだろうか」という懸念もあるでしょうが、高添氏は「ドキュメントにあるとおり、必要な通信は明確に決められています」とし、既知のサービス、既知のAzureのIPアドレスのみ許可すれば利用できると説明しました。
ただし、「パブリックなクラウドサービスとして、Azureが利用しているグローバルなIPアドレスが変更になる可能性はゼロではありませんし、サービスのアーキテクチャが若干変わる可能性もあります。こうした変更に柔軟に対応するために、サービスタグを用いてMicrosoft DefenderのFirewallのルールを構成することを提案しています」と高添氏はヒントを紹介しました。
これを活用すれば、仮にAzure側のIPアドレスや構成に変更があっても、個別に手動で対応する必要はありません。変更にダイナミックに追随できる上、自動化やスクリプト化も容易になります。「このように、できるだけ少ないリスクでクラウドとつながっている状態を実現したいと考えています」(高添氏)
Azure Portalから世界中のAzure Stack HCIクラスターを一元管理
こうしてAzureとAzure Stack HCIがつながれば、いよいよ、クラウドとオンプレミスにまたがるハイブリッドな管理が実現できるでしょう。
高添氏は「Azure Stack HCIの世界をハイブリッドファーストに変革していこうと考え、新しい取り組みを始めています。以前から提供されてきたものもあれば、Azure Stack HCIのリリースに合わせて新たに提供したもの、クラウドライクな開発スタイルを目指して今まさに開発を進めているものもある。ロードマップを意識しながら、それらを統合的に活用していただきたいと考えています」と述べ、その一部を紹介しました。
まずAzureには、「Azure Resource Manager」(ARM)という管理基盤が動いています。これを用いれば、Azureの各種サービスはもちろん、オンプレミスのAzure Stack HCIもクラウドライクに管理できます。
「Azure Portalでは、たとえば世界中の工場に散らばっているAzure Stack HCIクラスター、本社のデータセンターのAzure Stack HCIクラスターを、1つのグローバルビューで一元的に管理できます。ただAzureは、APIベースの管理の仕組みがベースとして動いているので、ポータルにアクセスせずともAPI や PowerShellを使って情報を引っ張ってくることもできるし、リソースグループを用いれば、複数のリソースを部署ごと、用途ごとに束ねて権限設定を行うことも可能です」(高添氏)
そして同氏は、クラスターの状況を色分けして一元的に表示するグローバルビューのデモ画面を例に挙げ、「世界中で動いているクラスターのどこかで何かおかしいことがあっても一目瞭然で、何が起きているのか、たとえばAzureときちんとつながっていないのか、といった事柄がはっきり分かります。この画面1つだけでも、Azureとつながることによる価値は明らかだと思います」と説明しました。
なお、ここで管理を行う際にはAzure Portalにログインする、つまりAzureが持つID管理の仕組みに入っていくことになります。「一般にはHCIはオンプレミスの仕組みであり、管理者にはいろいろな権限が与えられている一方で、利用者は仮想マシンを使うだけ、という形になります。しかしAzureの認証を組み合わせることにより、『管理者か、利用者か』だけにとどまらない、よりきめ細かな権限コントロールをオンプレミスのHCIに対して実施できるようになります」と高添氏は述べ、今後はAzure Portalを使ったセルフサービス機能の登場にも期待してほしいとした。
また、新生Azure Stack HCIは、Azureのサポート対象となります。高添氏は「これまではオンプレミスの仕組みとしてサポートにリクエストを出し、Azure側はまた別途、Azure Portalからサポートにコンタクトを取ってもらっていました。このようにクラウドとオンプレミスとでサポートの仕掛けが分かれていましたが、新生Azure Stack HCIはAzureに包含した形でサポートを処理していきます」と説明しました。
さらに、Azureが提供する機能の一部を、追加コストの負担なく利用できることも特徴です。
その一例が「Azure Policy」です。これまでオンプレミスでポリシーと言えばActive Directoryのグループポリシーでした。Azure Policyは同じものではありませんが、クラウドとオンプレミスのAzure Stack HCIの両方を対象にしたポリシー管理が実現できます。「サーバーにはこのモジュールが必須である」「セキュリティアップデートも含め、最新の状態で動作していなければいけない」といったポリシーへの準拠状況を自動的かつ定期的にチェックし、違反するものがあれば可視化して警告できます。
しかも、事前にいくつかのテンプレートが用意されているほか、カスタムポリシーを作成することも可能です。NISTやISO27001をはじめとする業界標準のフレームワークやガイドラインに準拠しているかどうかを確認できる「イニシアティブ」も重要な役割を担ってくれることでしょう。
それ以外にも、構成管理や更新管理などが、追加コストなしでAzure Stack HCIでも利用できるようになる計画です。
高添氏は、Azure Portalを使ってオンプレミスのAzure Stack HCIクラスターに対する拡張モジュールのインストールを自動化したり、Azure Policyでポリシーに準拠していないサーバーを把握し、対処するといった運用が簡単に行えることをデモンストレーションを通じて紹介し、「もし大量のサーバーの運用管理に苦しんでいるのであれば、AzureからAzure Policyを使ってどこまで効率的に管理ができるか、チャレンジしていただければと思います」と呼びかけました。
Azureとつながることで実現できる統合管理のメリット、ぜひ体感を
一般論として、これまでHCIで構成されたオンプレミスのクラスターは、オンプレミス環境に閉じた管理しかできませんでした。しかしここまで説明した通り、Azureとネイティブに統合されたAzure Stack HCIは、Azureとつながり、物理的な場所を問わずAzureから管理できるようになっています。
「本社のデータセンターのクラスターも、海外のデータセンターや工場、施設のクラスターも、Azureを経由してしっかり管理していくことができます。もちろん研究所などに置かれる個別HCIも同様で、仮想マシンを作ったり消したりは研究者に委ねつつ、稼働状況や会社のポリシーに合致しているかどうかのチェックなどはAzure PortalやAzure Policyを使って中央での管理が実現できます」と高添氏は述べ、Azureとつながることによってはじめて実現できる統合的な管理のメリットをぜひ体験してほしいと呼びかけました。
詳しい動画解説を見る
(Azure Stack HCI Bootcamp Japan 第4回)
文:高橋睦美