マルチクラウド 担当者コラム

マルチクラウド・Azure

Azure 第32回『Azure Arc でオンプレミスサーバーを管理・監視』

1. Azure Arc とは

Azure Arc とは、Microsoft Azure やオンプレミスの物理環境・仮想化環境、Azure 以外のクラウドなどさまざまな場所にあるサーバー・データベース・コンテナー実行環境(Kubernetes)を一元的に管理・監視するための Azure サービスです。
Azure は優れたクラウド環境ですが、ドメインコントローラー・ファイルサーバーのようにオンプレミスで運用したいサーバーもあります。また、セキュリティやコンプライアンス上クラウドに移行できないデータがある場合もあります。さらにリスク分散のために Azure 以外のクラウドも利用するマルチクラウドを採用することもあります。
Azure Arc はそうしたさまざまな場所で実行されているサーバー・データベース・コンテナー実行環境(Kubernetes)を Azure 上のコントロールプレーンから一元的に管理・監視を行うことができるサービスです。

Azure Arc では以下のような種類のリソースを管理・監視できます。
・Azure Arc 対応サーバー
   > Windows Server
   > Linux サーバー
・Azure Arc 対応 Kubernetes
・Azure Arc 対応データ サービス
   > SQL Managed Instance
   > PostgreSQL (プレビュー)
・Azure Arc によって有効化された SQL Server

Azure Arc では以下のような場所のリソースを管理・監視できます。
・Microsoft Azure(IaaS)
・オンプレミスの物理サーバー
・オンプレミスの仮想化環境(Hyper-V、VMWare など)
・マルチクラウド(AWS、GCP、ORACLE など)
・プライベートクラウド(VMware vSphere、System Center Virtual Machine Manager、Azure Stack HCI)

さらに Azure Arc 対応 Kubernetes では以下の Azure PaaS のサービスをさまざまな場所の Kubernetes クラスター上に構築して実行できます。
・Azure Machine Learning
・App Service、Functions、Logic Apps (プレビュー)
・Azure IoT Operations (プレビュー)

また以下のような Azure IaaS 仮想マシン向けの機能が、オンプレミスやマルチクラウド・プライベートクラウド上の Azure Arc で管理されているサーバーでも利用可能になります。
・Azure 仮想マシン拡張機能
   > Microsoft Defender for Servers 拡張機能
   > Microsoft Antimalware 拡張機能
   > Azure Automation Hybrid Runbook Worker 拡張機能 など
・Azure Update Management
・ESU(拡張セキュリティ更新プログラム)

この記事では、Azure Arcでの Windows サーバー管理・監視について、その構成方法、機能やメリット、構築方法を解説します。

2. Azure Arc 対応サーバー

Azure Arc に登録して Azure に接続しているサーバー(Windows Server / Linux)は「Azure Arc 対応サーバー」になります。オンプレミスや Azure 以外の仮想化環境にあるサーバーは、Azure Connected Machine Agent をインストールして Azure に接続するよう構成することで、Azure Arc 対応サーバーとして登録できます。

Azure Connected Machine Agent は以下の方法でインストールできます。

  • オペレーティングシステムに含まれる Azure Arc セットアップウィザードを利用する。(Windows Server 2022 以降のみ)
    ※Windows Server 2022 の場合は、2023年10月の累積的な更新 KB5031364 が適用されている必要があります。
  • ダウンロードセンターから MSI ファイルをダウンロードしてインストールする。(Windows の場合)
  • パッケージリポジトリでホストされているパッケージをシェルスクリプトでインストールする。(Linux の場合)
  • Azure ポータルでインストールスクリプトを生成し、ダウンロードしたスクリプトを実行してインストールする。(Windows / Linux 共に可)

Azure Connected Machine Agent は Windows Server 2012 以降の Windows や、多くのサポートされているバージョンの Linux にインストールできます。Azure Connected Machine Agent がサポートされているオペレーティングシステムの一覧は、以下を参照してください。

ここでは最新の Windows Server 2025 を、Azure Arc セットアップウィザードを利用して Azure Arc に接続する手順を紹介します。

  1. 事前の準備として、Azure 側で Azure Arc 対応サーバーを登録するためのリソースグループを用意しておきます。
    これは、Azure Arc 対応サーバーも1つの Azure リソースとして取り扱われるためです。
  2. Windows Server 2025 にサインインしてサーバーマネージャーが起動すると、以下のように「今すぐ Windows Admin Center と Azure Arc を試す」が表示されます。
    この中の [セットアップの起動] をクリックすると、Azure Arc セットアップウィザードが起動します。

    「今すぐ Windows Admin Center と Azure Arc を試す」が表示されない場合は、[スタート] メニューから [Azure Arc Setup] を起動できます。また Azure Arc セットアップが利用可能な場合は通知領域にアイコンが表示されますので、それをクリックしてもセットアップウィザードを表示できます。

  3. Azure Arc セットアップウィザードが起動したら、[次へ] をクリックします。
  4. Azure Connected Machine Agent のダウンロードとインストールが自動的に行われます。
  5. インストールが完了したら、[構成] をクリックします。
  6. [Azure Arc の構成] が表示されますので、[次へ] をクリックします。
  7. [Azure にサインイン] で、表示されているいずれかの方法を使い、サーバーを登録するサブスクリプションの管理者アカウントでサインインします。
  8. 「正常にサインインしました」と表示されたら、[次へ] をクリックします。
  9. サーバーを登録するテナント・サブスクリプション・リソースグループ・リージョンを指定して、[次へ] をクリックします。
    リソースグループは「1.」で用意したものを指定してください。
  10. Windows Server 2025 の場合、ライセンス認証がまだ行われていないと以下の画面で [従量課金制] ライセンスを選択できます。ライセンスを選択して [次へ] をクリックします。

    Windows Server 2025 から、Azure Arc 対応サーバーでは従量課金ライセンスでの利用も可能になっています。サーバーの構築時にライセンスを購入するのではなく、Azure 上の仮想マシンと同様に従量課金のサブスクリプションとしてライセンスを購入する方式です。
    ライセンス費用が固定されませんので、Windows Server Standard エディション上の仮想化環境や Azure 以外のクラウドで Windows Server をスケールする場合に便利なライセンスです。

  11. Azure Arc への接続が開始されます。前の画面で [従量課金制] を選択した場合は、ライセンスのアクティブ化も行われます。
  12. しばらくすると完了するので、[終了] をクリックして画面を閉じます。
  13. Azure ポータルの [Azure Arc] - [すべての Azure Arc リソース] で、サーバーが登録されたことが確認できます。

このように、Azure Arc への接続は簡単に行えます。なお大規模な環境で多くのサーバーを接続させる場合は、グループポリシーなどでインストールスクリプトを配布したり、Configuration Manager や Ansible、VMware vCenter、System Center Virtual Machine Manager などの管理ツールを使って展開することもできます。
詳しくは以下を参照してください。

3. Azure Arc 対応サーバーでできること

Azure Arc 対応サーバーは、Azure IaaS 上の仮想マシンで利用可能なさまざまな Azure 管理・監視の機能が利用できるようになります。これらの機能は Azure Connected Machine Agent を通じて Azure Arc 対応サーバーと Azure Arc が通信することで利用可能になります。
そのため、Azure Arc 対応サーバーを管理・監視するためのサーバーへの直接の接続(VPN 接続など)は不要になります。管理・監視のために必要なのは Azure ポータルへのアクセスと適切な役割を持つアカウントだけです。

Azure ポータルから利用できる Azure Arc 対応サーバーの管理・監視機能の例をいくつか紹介します。

Windows Admin Center

Azure ポータルから Azure Arc 対応サーバーの Windows Admin Center に接続して、サーバーの管理を行うことができます。

機能的にはサーバーの Windows Admin Center に直接アクセスした場合と変わりません。

Admin Center から Power Shell を起動することが可能です。

イベントビューアーでのイベント確認やレジストリの表示・編集も行えます。

さらに Azure Arc 対応サーバーへのリモートデスクトップ接続も行えます。

これらの機能により、通常の Windows Server の管理はすべて Azure ポータル経由で行うことが可能になります。

インベントリ

Azure Arc 対応サーバーでは Azure IaaS 仮想マシンと同様に Azure Monitor エージェントが利用できます。
Azure Monitor エージェントを通じて Azure Arc 対応サーバーのインベントリを収集・確認することが可能です。

ログ

インベントリと同様に、Azure Monitor エージェントを通じたログの収集も可能です。収集された Azure Arc 対応サーバーのログは、Log Analytics ワークスペースに収集され、クエリを行って表示・確認することができます。

Azure Arc 用拡張機能

Azure 仮想マシンに拡張機能をインストールできるのと同様に、Azure Arc 対応サーバーに対して Azure ポータルから拡張機能をインストールすることができます。
前記の Windows Admin Center や Azure Monitor も対応する拡張機能を Azure Arc 対応サーバーにインストールすることで利用可能になりますが、それ以外にもいくつかの拡張機能が利用できます。サーバーのローカルでの作業無しに、Azure ポータルでの操作だけでインストールが完了するので便利です。

Azure Update Manager

Azure Arc 対応サーバーは Azure IaaS 仮想マシンと同様に、Azure Update Manager を使った更新の管理が行えます。
Azure Update Manager を利用するには、Azure Arc の Azure Arc 対応サーバーのページの [操作] - [更新] にアクセスし、[定期評価] の [今すぐ有効にする] をクリックします。

[更新プログラムの設定を変更する] が表示されますので、Azure Update Manager を利用するサーバーの [定期評価] 欄を [無効] から [有効化] に変更して、[保存] をクリックします。

これで、当該のサーバーが Azure Update Manager で管理されるようになります。

Azure Update Manager について詳しくは以下を参照してください。

ESU(拡張セキュリティ更新プログラム)

現在 Windows Server 2012 / 2012 R2 に対応した ESU(拡張セキュリティ更新プログラム)の提供が行われています。また 2027 年にサポートが終了する Windows Server 2016 についても ESU が提供されることが予想されます。 ESU の利用権利(*1) がある場合、ボリュームライセンスで ESU ライセンスを購入し、対象サーバーに ESU プロダクトキーを投入する以外に、Azure Arc を通じて ESU をサーバーに展開することができます。

*1:ESU は対象となる Windows Server に対して

  • ボリュームライセンス契約によるソフトウェアアシュアランス(SA)付きのライセンスを保有している場合
  • CSP を通じたサブスクリプションライセンスを保有している場合
  • サービス プロバイダー ライセンス契約(SPLA)で「ライセンス込み」サービスとして提供されている場合

に利用できます。

Azure Arc を利用して ESU を利用すると、以下のようなメリットがあります。

  • ESU を Azure ポータルで随時購入できる
  • ESU の料金を月払いにでき、任意のタイミングで終了できる(*2)
  • Azure ポータルから ESU の対象となるサポート終了サーバーを確認できる
  • 確認できたサポート終了サーバーに Azure ポータルから一括して ESU を適用できる

*2:ESU サポート終了日から連続して取得する必要があるため、サポート終了日から ESU 購入日までの料金は購入時に一括で支払う必要があります。それ以降の支払いは月払いとなります。

面倒な手続きなしにすぐに ESU を購入でき、またサーバーの廃止やアップグレードなどで ESU が不要になった場合、そのタイミングで ESU を終了できるので不要な支出を抑えられます。

Azure ポータルで ESU を購入するには、Azure Arc のページにアクセスし、[ライセンス] - [拡張セキュリティ更新(ESU)] を開きます。

[+作成] をクリックすると、ライセンスのリソースを作成する画面になります。通常の Azure リソースと同様に、サブスクリプションやリソースグループ、リソース名、リージョンを指定し、ライセンスの詳細(エディションやコア数など)を入力して、ライセンスを作成します。
月額の料金と一括払いが必要な料金はこの画面に表示されます。

作成したライセンスは、同じ [拡張セキュリティ更新(ESU)] 画面の [対象となるリソース] タブでリソース(Arc で管理しているサーバー)に割り当てます。

このように、サポートが終了した Windows Server が Azure Arc 対象サーバーとして登録されていれば、簡単な作業で不要な支出を抑えた形で ESU を適用できます。

なお、Azure Arc ではオンプレミスや仮想化環境上の SQL Server の ESU も同様に展開することができます。この場合も SQL Server を Arc に登録する必要があります。

まとめ

Azure Arc は Microsoft Azure やオンプレミスの物理環境・仮想化環境、Azure 以外のクラウドなどさまざまな場所にあるサーバー・データベース・コンテナー実行環境(Kubernetes)を一元的に管理・監視するための Azure サービスです。
オンプレミスのサーバーを Azure Arc に接続することで、サーバーに直接接続することなく、Azure ポータルから管理・監視の作業が行えます。構成が面倒でセキュリティ的にも注意が必要な VPN 接続なしに、Azure ポータルへブラウザーでアクセスするだけで管理・監視が行えるので、工数的にもセキュリティ的にも優れています。
※ Azure ポータルへのアクセスは、多要素認証や条件付きアクセスで保護できます
また Azure Update Manager による更新の管理や、ESU の購入・適用も行え、オンプレミスサーバーの管理の手間を減らすことができます。
オンプレミスのサーバーの管理の手間やセキュリティでお悩みの方、またより便利で安全な管理・監視を求めている方は、ぜひ Azure Arc の利用をご検討ください。

Azure の利用の開始や Azure への移行、サブスクリプションの購入、Azure でのシステム構築についてのご相談は、お気軽に当社担当営業までお声がけください。

マルチクラウドの記事