オンプレミスだけでもクラウドだけでもない、真のハイブリッド基盤管理を。一貫性を保ちつつ補完し合うWindows Admin CenterとAzure Portal
Azure Stack HCI Bootcampの第5回「新ハイブリッド時代に最適、Azure Stack HCIが提供する “一貫した” 管理機能」では、第4回の内容を受けて、Microsoft AzureとAzure Stack HCIがつながることによって、これまで個別にサイロ化された形で行ってきたオンプレミスとクラウドの管理がどのように統合できるのかを、日本マイクロソフト パートナー事業本部 パートナー技術統括本部 シニアクラウドソリューションアーキテクトの高添修氏が実例を挙げながら解説しました。
▼Azure Stack HCI Bootcampに関する記事一覧
https://qiita.com/official-columns/tag/azure-stack-hci-bootcamp/
目次
Azure Stack HCIの24時間365日の管理体制をAzure Portalで実現
繰り返しになりますが、Azure Stack HCIはAzureとネイティブな統合を図った、まったく新しいハイパーコンバージド インフラストラクチャです。オンプレミスとクラウドの両方ともが進化し、より高いセキュリティやパフォーマンスを得られる、真の意味でのハイブリッド環境を実現していきます。マイクロソフトはその思いを「オンプレミスに進化を。クラウドにさらなる可能性を」というタグラインに込めています。
第4回のBootcampでは、Azure Stack HCIが、OSに標準で組み込まれた「HCIサービス(HciSvc)」でAzureとつながることにより、Azureの管理基盤「Azure Resource Manager」の配下のリソースとして管理されることを説明しました。ポイントの1つは、追加でエージェントを導入したり、スクリプトを操作することなく、OS標準のサービスによってAzureとつながっていくことです。
このためオンプレミスに置かれたAzure Stack HCIもAzure Portalから可視化し、ハイブリッドな管理が行えます。世界中のさまざまな拠点や工場に置かれた複数のAzure Stack HCIクラスターを、Azure Portalから一元的に管理できるようになります。この際、Azure Policyを使ってセキュリティやガバナンスに関するポリシーを適用させることもできます。
「より複雑な環境であっても、全体の管理をシンプルにしていこうと考えています」(高添氏)
最初にAzureと接続する手順も含め、Azure Stack HCIの基本的な管理は「Windows Admin Center」で行うことができます。
ですが、できることならばAzure側に管理を一元化したいところです。そこでマイクロソフトでは、Azure Portalの機能拡張を進めています。
「現時点のAzure Portalでは、Azure Stack HCIでどのようなノードが用意されており、Azureにきちんとつながっているかといった情報しか管理できませんが、今後は、HCIクラスターのボリュームやドライブの管理、仮想マシンの管理、サーバー ノード管理やモニタリングの仕組みをAzureから提供していく予定です。Azure に情報を集約してアラート設定までできるようになれば、オンプレミスHCIの24時間365日の監視/管理をAzureから行うようなことも可能になります」(高添氏)
また、「セルフサービス化」という新たな取り組みも進めています。Azureには「Azure Resource Manager」という管理基盤があります。Azure Stack HCIはAzure連携でAzure Resource Managerの配下に置かれることになるので、オンプレミスHCIとしての権限コントロールとは違った制御をAzure側でかけられるようになり、自動化を進めやすくなります。たとえば、「ある特定のユーザーに対し、仮想マシンを作成する権限を割り当てる」といったロールを割り当てられるようにしていく方針です。そうすれば、オンプレミスの仮想化基盤に対して、仮想マシンの利用者が必要なときに自分で仮想マシンを準備するセルフサービスが実現できます。
さらに、Azure Stack HCIはSDNコンポーネントが含まれているので、SDNの設定を実施することで追加でコストをかける必要なくAzureのような仮想ネットワークを利用できます。先ほどのセルフサービス機能と組み合わせれば、複雑な設定やスクリプトを駆使しなくても、「仮想ネットワークを作成してその上に仮想マシンを配置する」といった作業をパブリッククラウドと同じように必要なタイミングで行えるようになり、さらに利便性が高まるでしょう。
Windows Admin Centerは引き続きオンプレミスからAzureとのシームレスな連携をサポート
このようにAzure Portalからの一元的な管理機能はどんどん進化していく予定ですが、Windows Serverの管理者にとってはおなじみのWindows Admin Centerも、引き続きAzureとシームレスな連携が出来るツールとして、オンプレ
ミス主体の管理者によるハイブリッド化をサポートしていきます。
なお、Windows Admin Centerとは、これまでイベントビューワーやタスクマネージャーといったさまざまなツールを多数起動し、それらを駆使して行う必要のあったWindowsの管理を、1つのWebベースツールでシンプルに、直感的に行えるようにする無償のツールで、Windows Server 2016以降の標準サーバー管理ツールとして多くの方にご利用いただいています。主にオンプレミス環境の管理に携わっている方々からすると「クラウドは遠い存在」という印象を持たれがちですが、「このWindows Admin Centerは、オンプレミスの管理者とAzure側が持っている管理機能の橋渡しをする役割を担ってくれます」(高添氏)
具体的には、オンプレミス環境の標準管理ツールとも言えるWindows Admin Centerの画面の中で、Azureのサービスとの接続や設定が行えるようになります。つまり「普段使いの管理ツールを使って管理をしていたら、気付いたらAzureも使っていた」という感覚でクラウドを利用できるようになるのです。
この仕組みを使えば、オンプレミスのサーバーのデータをAzureにバックアップしたり、災害対策(DR)のために仮想マシンをAzureに複製したり、あるいは「Azure Monitor」を使ってオンプレミスのHCIを監視したり、「Azure Update Management」を用いてオンプレミスのサーバーやHCIの更新管理を自動化するなど、さまざまなハイブリッドな管理が実現できます。セキュリティについても同様で、Azure側で提供される非常に高度なセキュリティ監視機能を利用して、オンプレミス環境をセキュアに保つことも可能です。
高添氏は一例として、Azure Stack HCI上で動作する仮想マシンの災害対策を、「Azure Site Recovery」を利用して実現するための設定を、デモ画面を織り交ぜながら紹介しました。
まずWindows Admin CenterのHCI管理画面の中で仮想マシンの管理画面を開くと、多くの仮想マシンが並んでいることが分かります。これらの仮想マシンで災害対策を実現するため、第4回で紹介した手順を踏んでAzureのサービスと接続すると、Azure Portalには一切触れなくても、AzureとAzure Stack HCIが連携します。ここで一覧の中から保護の対象となる仮想マシンを選択し、「Protect VM」をクリックするだけで、Azureと連動した形で災害対策が実現できます。
あとはバックエンドで、指定したAzure Stack HCI上の仮想マシンのデータがAzure側に複製され、必要なときにいつでもAzureの仮想マシンとして立ち上げられる状態になります。ストレージのアカウント設定やデータ容量に応じたネットワークパフォーマンスなど考慮すべき点があるのも確かです。しかし「災害対策と言えばとにかく非常に高価で複雑で難しいもの、大変なものだと思われている方がいるかもしれませんが、Azure Stack HCIとAzureが連携すると、これだけで災害対策が実現できます」と高添氏はそのシンプルさを強調しました。
もし実際に何らかの障害が発生し、Azure側でレプリカを起動する必要が生じた場合も、慌てる必要はありません。Azure Portalから複製された仮想マシンを確認でき、「Failover」などを指定すれば切り替えが行えます。
また、IT運用の現場では「災害対策の設定をしておいたはずなのに、いざという時に機能しなかった」という事態もまれに起こります。そのような悲劇を避けるため、Azure Site Recoveryが持つ「Test Failover」という仕組みを利用すれば、ネットワークを分離した状態でレプリカが本当に立ち上がるかどうかを確認できます。この機能を定期的に活用することで、災害対策時の予備演習ができ、有事の際の備えも万全です。
長らくオンプレミス前提だったファイルサーバーもハイブリッドの時代へ
さて、オンプレミス環境におけるWindows Serverの用途としてやはり多いのはファイルサーバーです。さまざまな文書を部署ごと、従業員ごとに格納し、共有もできるファイルサーバーは業務に必須の存在ですが、「ファイルサーバーもとうとうハイブリッドの時代がやってきています」と高添氏は述べました。
これだけクラウドサービスが普及したにもかかわらず、なぜファイルサーバーは根強くオンプレミス環境に残っているのでしょうか。「利用者から見たレイテンシーの低さや既存アプリケーションとの連携など、やはりメリットはあります。このため、やっぱりオンプレミスにWindows Serverでファイルサーバーを立てておきたいという要望は、まだまだ多くあります」(高添氏)
ただ、オンプレミスでの運用には課題も浮上しています。「通常、ファイルサーバーのデータはどんどん増えていきます。そのバックアップや災害対策をどうすべきか、という課題があります。また、誰がどのように使っているか分からない利用頻度の低いファイルが多数あり、その扱いにも悩んでいる担当者も多いはずです」(高添氏)
その解決策としてマイクロソフトでは、「Azure File Sync」という、ファイルサーバーをハイブリッド化する仕組みを作りました。オンプレミスのファイルサーバーとクラウド上のファイルストレージを連携させ、両方のメリットを生かす仕組みです。
Azure File Syncは、オンプレミスにあるファイルサーバーのデータを、Azure上のファイル共有サービス「Azure Files」に同期します。正確に言えば、Azure側には全データが置かれ、オンプレミスのファイルサーバー側が「キャッシュ」となり、ユーザーはそのどちらにもアクセスできるようになるイメージです。利用者にとってはこれまで通りのオンプレミスにあるファイルサーバー、管理者にとっては大容量を手に入れたハイブリッドファイルサーバーとなり、バックアップや復元などはクラウド側で一元管理できます。
「ファイルはもちろん、アクセス権の設定情報をはじめとするメタデータもすべて複製されます。また階層化の設定も可能で、オンプレミスのファイルサーバーの空き領域を30%に設定しておけば、常に30%空いている状態を確保し、それ以外のデータはすべてクラウドに置くことでオンプレミスのデータ量を自動的に制御する、といったこともできます」(高添氏)
マイクロソフトでは、この機能もWindows Admin Centerに包含することによって、シンプルな操作でハイブリッドなファイルサーバーを実現していきます。 HCIとファイルサーバーは別ものですが、両方ともWindows Serverのバージョンアップなど、同じタイミングで刷新が検討されることも多いため、Azure Stack HCI導入とセットでハイブリッド化を進めるとよいだろう。
Windows Admin CenterがAzure Portal内で動作する?
さて、すでにハイブリッドクラウドを今後のIT戦略の中核に据え、メールはMicrosoft 365に、認証基盤はAzure ADに、そして多数のアプリケーションもAzureに移行した、あるいは計画している企業もあります。そうした企業からは「Azure上に移行したWindows Serverを管理するために、Azure上でもWindows Admin Centerを利用したい」という声も出てきています。
そこでマイクロソフトが開発を進め、プレビュー(Webinar実施時点ではプライベートプレビュー)の形で動かしているのが「Windows Admin Center in Azure」です。
Windows Admin Center in Azureは、Windows Admin CenterをAzure Portalの管理メニューの1つとしてネイティブに動かすものです。Azure Portal上でWindows Admin Centerそのものの画面が表示され、これまでオンプレミスの環境で慣れてきた手順や方法そのままで、Azure上のWindows Server 仮想マシンを管理できます。
「わざわざWindowsの仮想マシンにリモートデスクトップでログインして操作するのではなく、外部からでもAzure Portalを経由してWindows Admin Centerで管理できます。オンプレミスかAzureかに関係なく、Windows Admin CenterはWindows Server の標準管理ツールとして利用できるようになります」(高添氏)
WACとクラウド管理を統合する「Azure Arc」で、コンテナ基盤の管理を簡素化
ここまでで、オンプレミスの管理ツールとして提供されてきたWindows Admin Centerの機能が強化され、オンプレミスのAzure Stack HCIはもちろん、Azure上のサービスも管理できることを紹介してきました。
そして逆に、Azure側のサービスとしてハイブリッドな環境の管理を実現する「Azure Arc」からも、Azure Stack HCIを管理できるようになっています。しかも、ガバナンスやセキュリティ、保護、監視、自動化、展開といった、Azureが提供するエンタープライズレベルのさまざまな管理機能を活用できることが特徴です。
こうした拡張の背景には、コンテナ対応の戦略があります。既にAzureでは「Azure Kubernetes Service」(AKS)という、コンテナ化されたアプリケーションを簡単に動かせるようにするマネージドサービスを提供していますが、Azure Stack HCIにも今後、このAKSと同じ仕組みが搭載され、仮想マシンだけでなくコンテナが動作するプラットフォームとしての役割も果たしていきます。
Kubernetesやコンテナー化されたアプリケーションの利用環境は、クラウドネイティブとも呼ばれる通り、DevOpsや運用の自動化などが当たり前となります。そうなると、Windows Admin Centerによる管理と、クラウド側からのより高度かつスピード感のある管理を組み合わせることが求められます。それを実現する鍵がAzure Arcというわけです。
「Azure Arcが加わることによって、Azure Policyやセキュリティ系のソリューション、監視計のソリューションなど、Azure側が持っているエンタープライズレベルの管理機能を、HCIや仮想マシンに加えてKubernetes環境に対しても提供できます」(高添氏)
具体的には、サーバーの管理を行う「Azure Arc enabled servers」、SQL Serverを管理できる「Azure Arc enabled SQL Server」、Kubernetesを管理できる「Azure Arc enabled Kubernetes」という3つのAzure Arc enabled infrastructureが用意されています。そしてこのうちAzure Arc enabled serversで、Windows ServerやLinuxサーバーだけでなく、Azure Stack HCI上の仮想マシンの管理・監視ができるようになります。
Azure Arcを活用することで「仮想化基盤としてのHCIを管理するだけでなく、アプリケーションやソフトウェアの重要性が増している中で、その上のレイヤーまでしっかり管理し、コントロールしていけると考えています」(高添氏)
高添氏は、Azure PortalからAzure Arcを介してAzure Arc enabled serversを管理する様子を、いくつかの画面とともに紹介しました。
Azure Arcを利用すれば、日本中・世界中に分散配置されたオンプレミス環境にあるサーバーに対し、Azure側からポリシーの管理や更新プログラムの管理、インベントリ管理、変更管理といったさまざまな管理作業が行えます。
管理対象となったサーバーは、インベントリ(構成情報)の可視化はもちろん、どのようなプロセスが動いており、どんなサービスと通信を行っているかまで可視化できるため、「ゼロトラストセキュリティと言われる時代、そのサーバーが不審な挙動をしていないかどうかを監視する上でも重要な役割を担います」と高添氏は説明しました。
またAzure ArcからAzure Policyを活用することで、「特定のエージェントをデプロイする」「パスワードのルールに合致していないサーバーを警告する」といった具合に、さまざまなポリシーも適用できます。もしポリシーやコンプライアンス基準に反するサーバーがあればポータル上で把握でき、必要に応じて、強制的に対処することも可能です。
このAzure Arcによる管理をAKS on Azure Stack HCIに適用すれば、Kubernetesのクラスターを接続し、構成管理を行い、リポジトリを参照しながらコンテナ化されたアプリケーションを自動的に展開する…といった一連の流れをシンプルに実現できます。もちろん、Azure Policyによるポリシー適用やAzure Monitorによる監視などが可能な上、Azure Resource Managerを介してさまざまなツールやAPIとも連携できます。この先、デジタルトランスフォーメーションを加速する上で重要な役割を果たすAI系のサービスの自動展開も容易になるでしょう。
今や業界のデファクトスタンダードとなっているKubernetes。それを実装したAKS on Azure Stack HCIをAzure Arcから管理できるようになれば、コンテナ化されたアプリケーションの配置が簡素化できます。
この2つの特性を理解し、それぞれうまく活用することで、互いに補完し合い、かつ一貫性のあるハイブリッド基盤管理を実現できるようにしていきます。これにより、クラウドとオンプレミスにまたがる新しい環境を築いていくことができるでしょう。
また、コンテナといえども運用していく中でデータが生まれ、そのデータによって動く場所が固定化するなど可搬性が失われがちです。そこでマイクロソフトでは、AKS on Azure Stack HCI上にAzureデータサービスも展開する、つまりアプリケーションと同じところにデータベースのサービスも展開することによって、より柔軟にコントロールする手段を提供できる考え、「Azure Arc enabled SQL Managed Instance」「Azure Arc enabled PostgreSQL Hyperscale」をプレビュー中です。「Azure Arc enabled Machine Learning」も新たにプレビューが開始されているので、興味ある方はぜひチェックしてみてください。
WACとAzure Portalで補完し合い、かつ一貫性のあるハイブリッド基盤の管理を
Azureとのネイティブな統合を図った新生Azure Stack HCIは、Windows Admin CenterとAzure Portal、2つの方法で管理できますが、今後、Windows Admin CenterはAzure Portalにも埋め込まれ、オンプレミスとクラウドの両方で利用できるようになっていきます。
「Windows Admin CenterではHCIの初期設定やインフラの管理に加え、ハードウェアベンダーが提供する拡張モジュールを活用することで、ソフトウェアとしてのAzure Stack HCIの管理だけでなく、物理サーバーの情報を可視化し、管理することができます。一方クラウドベースのAzure Portalには、高い拡張性とさまざまな機能との連携の良さがあります。グローバルな可視化や監視、セキュリティサービスはAzure Portal側の方が得意でしょう」(高添氏)
詳しい動画解説を見る
(Azure Stack HCI Bootcamp Japan 第5回)
文:高橋睦美