Azure Stack HCI バージョン 23H2 のプロキシ設定を構成する
適用対象: Azure Stack HCI バージョン 23H2
この記事では、ネットワークでインターネット アクセスにプロキシ サーバーを使用する場合に、Azure Stack HCI バージョン 23H2 クラウド デプロイのプロキシ設定を構成する方法について説明します。
送信エンドポイントのファイアウォール要件、および Azure Stack HCI の内部規則とポートについては、「Azure Stack HCI のファイアウォール要件」を参照してください。
開始する前に
プロキシ設定の構成を開始する前に、次の点を確認してください。
- プロキシ設定を構成する Azure Stack HCI クラスターにアクセスできます。 また、Azure Stack HCI クラスター内のサーバーにアクセスするためのローカル管理者の資格情報もあります。
- プロキシ サーバーの名前または IP アドレスとポートがわかっている (省略可能)。 この情報がない場合は、ネットワーク管理者に問い合わせてください。
プロキシ設定を構成する前に注意すべき重要な考慮事項を次に示します。
- プロキシ設定は、Azure Stack HCI (
WinInet、WinHTTPおよびEnvironment Variables) のさまざまなコンポーネントと機能に対して個別であることを理解します。 必要なすべてのコンポーネントと、使用する予定のその他の機能に対してプロキシ設定を構成する必要があります。 - 各コンポーネントには特定のコマンド パラメーターとプロキシ バイパス リスト文字列の要件がありますが、異なるコンポーネントと機能で同じプロキシ構成を維持することをお勧めします。
- セキュリティ上の制約により、ユーザー名とパスワードを使用した認証済みプロキシはサポートされていません。
- プロキシで SSL 検査を使用している場合は、必要な Azure Stack HCI とそのコンポーネント (Arc Resource Bridge、Azure Kubernetes Service (AKS) など) をバイパスする必要があります。 送信 URL。
- オペレーティング システム上の 3 つのプロキシ コンポーネントにはそれぞれ、特定のプロキシ バイパス リスト文字列要件があります。 3 つのコンポーネントすべてに同じ文字列を使用しないでください。
WinInet のプロキシ設定を構成する
サーバーを Azure Arc に登録するWinInet前に、プロキシ設定を構成する必要があります。
モジュールを WinInetProxy インストールして、このセクションのコマンドを実行します。 モジュールの詳細とインストール方法については、「PowerShell ギャラリー | WinInetProxy 0.1.0」を参照してください。 PowerShell スクリプトの詳細WinInetProxyについては、「WinInetProxy.psm1」を参照してください。
インターネットにアクセスできないためにモジュールを WinInetProxy クラスター ノードにインストールできない場合は、モジュールを管理コンピューターにダウンロードしてから、モジュールを実行するクラスター ノードに手動で転送することをお勧めします。 Start-BitsTransfer PowerShell コマンドレットを使用して、管理コンピューターとサーバーの間で 1 つ以上のファイルを転送することもできます。
Azure Stack HCI オペレーティング システムのプロキシ設定を構成するには、クラスター内の各サーバーで管理者として次の PowerShell コマンドを実行します。
リモート デスクトップ プロトコル (RDP) を使用して Azure Stack HCI クラスター内のサーバーに接続し、PowerShell セッションを開きます。
モジュールのインストール後にプロキシ設定を
WinInetProxy構成するには、次のコマンドレットを実行します。Set-WinInetProxy -ProxySettingsPerUser 0 -ProxyServer http://<Proxy_Server_Address:Proxy_Port> -ProxyBypass <URLs to bypass>パラメーターについては次の表で説明します。
パラメーター 説明 ProxySettingsPerUser プロキシ設定がコンピューターごとかユーザーごとか指定します。
- 0 - プロキシ設定はマシンごとに行われます。
- 1 (既定値) - プロキシ設定はユーザーごとに行われます。
- 値が指定されていない場合は、ProxySettingsPerUser環境変数が代わりに使用されます (存在する場合)。ProxyServer 形式 http://[Proxy_Server_Address]:[Proxy_Port]でプロキシ サーバー エンドポイントを指定します。 たとえば、http://proxy.contoso.com:8080のようにします。ProxyBypass パラメーターによって設定されたプロキシ サーバーをバイパスするホスト URL の一覧を -ProxyServer指定します。 たとえば、ローカル イントラネット URL をバイパスするように設定-ProxyBypass “localhost”できます。 リストには次のものが含まれている必要があります。
- 少なくとも各サーバーの IP アドレス。
- 少なくともクラスターの IP アドレス。
- インフラストラクチャ ネットワークに対して定義した IP アドレス以上。 これらの IP を使用する Arc Resource Bridge、AKS、および将来のインフラストラクチャ サービスには、送信接続が必要です。
- または、インフラストラクチャ サブネット全体をバイパスすることもできます。
- 各サーバーの NetBIOS 名。
- クラスターの NetBIOS 名。
- 任意のホストまたはサブドメインのドメイン名またはドメイン名とアスタリスク*ワイルドカード。
コマンドの使用方法の例を次に示します。
Set-WinInetProxy -ProxySettingsPerUser 0 -ProxyServer http://192.168.1.250:8080 -ProxyBypass "localhost;127.0.0.1;*.contoso.com;node1;node2;192.168.1.*;s-cluster"
WinInet プロキシ バイパス リストの文字列に関する考慮事項
プロキシ バイパス リストを WinInet 構成するときは、次の点に注意してください。
- パラメーターは、コンマ
,またはセミコロン;で区切る必要があります。 - サブネットをバイパスする CIDR 表記はサポートされていません。
- アスタリスクは、サブネットまたはドメイン名をバイパスするワイルドカードとして使用できます。 たとえば、
192.168.1.*サブネットや*.contoso.comドメイン名などです。 - プロキシ名とポートを指定
http://する必要があります。 たとえば、http://192.168.1.250:8080のようにします。 - 構成
WinInetWinHTTP時に同じバイパス文字列を使用することをお勧めします。 - 文字列の
<local>使用は、プロキシ バイパス リストではサポートされていません。
WinInet プロキシ構成の表示と削除
現在の
WinInetプロキシ構成を表示または確認するには、コマンド プロンプトで次のように入力します。PS C:\> Get-WinhttpProxy -Advanced Current WinHTTP proxy settings: Proxy Server(s) : http://192.168.1.250:8080 Bypass List : localhost;127.0.0.1;*. contoso.com;node1;node2;192.168.1.*;s-cluster PS C:\>Azure Stack HCI 更新プログラムとクラウド監視のプロキシ構成を削除
WinInetするには、コマンド プロンプトで次のように入力します。PS C:\> Set-WinInetProxy Start proxy Configuration Proxy is Per User AutoDetect is 0 PACUrl is ProxyServer is ProxyBypass is Entered WriteProxySettingsHelper Entered WriteProxySettingsHelper Successfully set proxy PS C:\> Get-WinhttpProxy -Advanced
WinHTTP のプロキシ設定を構成する
サーバーを Azure Arc に登録するWinHTTP前に、プロキシ設定を構成する必要があります。
Azure Stack HCI 更新プログラムとクラウド監視のプロキシを構成 WinHTTP するには、クラスター内の各サーバーで管理者として次の PowerShell コマンドを実行します。
Set-winhttpproxy -proxyserver http://<Proxy_Server_Address:Proxy_Port> -BypassList <URLs to bypass>
パラメーターについては次の表で説明します。
| パラメーター | 説明 |
|---|---|
| ProxyServer | 形式 http://[Proxy_Server_Address]:[Proxy_Port]でプロキシ サーバー エンドポイントを指定します。 たとえば、http://proxy.contoso.com:8080 のようにします。 |
| BypassList | パラメーターによって設定されたプロキシ サーバーをバイパスするホスト URL の一覧を -ProxyServer 指定します。 たとえば、ローカル イントラネット URL をバイパスするように設定 -ProxyBypass "localhost" できます。 リストには次のものが含まれている必要があります。- 少なくとも各サーバーの IP アドレス。 - 少なくともクラスターの IP アドレス。 - インフラストラクチャ ネットワークに対して定義した IP アドレス以上。 これらの IP を使用する Arc Resource Bridge、AKS、および将来のインフラストラクチャ サービスには、送信接続が必要です。 - または、インフラストラクチャ サブネット全体をバイパスすることもできます。 - 各サーバーの NetBIOS 名。 - クラスターの NetBIOS 名。 - 任意のホストまたはサブドメインのドメイン名またはドメイン名とアスタリスク * ワイルドカード。 |
コマンドの使用方法の例を次に示します。
Set-winhttpproxy -proxyserver http://192.168.1.250:8080 -BypassList "localhost;127.0.0.1;*.contoso.com;node1;node2;192.168.1.*;s-cluster"
WinHTTP プロキシ バイパス リストの文字列に関する考慮事項
プロキシ バイパス リスト文字列を WinHTTP 構成する場合は、次の点に注意してください。
- パラメーターは、コンマ
,またはセミコロン;で区切る必要があります。 - サブネットをバイパスする CIDR 表記はサポートされていません。
- アスタリスクは、サブネットまたはドメイン名をバイパスするワイルドカードとして使用できます。 たとえば、
192.168.1.*サブネットや*.contoso.comドメイン名などです。 - プロキシ名とポートを指定
http://する必要があります。 たとえば、http://192.168.1.250:8080のようにします。 - 構成
WinInetWinHTTP時に同じバイパス文字列を使用することをお勧めします。 - 文字列の
<local>使用は、プロキシ バイパス リストではサポートされていません。
WinHTTP プロキシ構成の表示と削除
現在の
WinHTTPプロキシ構成を表示または確認するには、コマンド プロンプトで次のように入力します。PS C:\> Get-WinhttpProxy -Default Current WinHTTP proxy settings: Proxy Server(s) : http://192.168.1.250:8080 Bypass List : localhost;127.0.0.1;*.contoso.com;node1;node2;192.168.1.*;s-cluster PS C:\>Azure Stack HCI 更新プログラムとクラウド監視のプロキシ構成を削除
WinHTTPするには、コマンド プロンプトで次のように入力します。PS C:\> Reset-WinhttpProxy -Direct Current WinHTTP proxy settings: Direct access (no proxy server). PS C:\>
環境変数のプロキシ設定を構成する
サーバーを Azure Arc に登録する前に、Azure Resource Bridge と AKS のプロキシを構成する必要があります。
プロキシ サーバー環境変数を設定するには、クラスター内の各サーバーで管理者として次のコマンドを実行します。
# If a proxy server is needed, execute these commands with the proxy URL and port.
[Environment]::SetEnvironmentVariable("HTTPS_PROXY","http://ProxyServerFQDN:port", "Machine")
$env:HTTPS_PROXY = [System.Environment]::GetEnvironmentVariable("HTTPS_PROXY","Machine")
[Environment]::SetEnvironmentVariable("HTTP_PROXY","http://ProxyServerFQDN:port", "Machine")
$env:HTTP_PROXY = [System.Environment]::GetEnvironmentVariable("HTTP_PROXY","Machine")
$no_proxy = "<bypassliststring>"
[Environment]::SetEnvironmentVariable("NO_PROXY",$no_proxy,"Machine")
$env:NO_PROXY = [System.Environment]::GetEnvironmentVariable("NO_PROXY","Machine")
パラメーターについては次の表で説明します。
| パラメーター | 説明 |
|---|---|
| HTTPS_PROXY変数 | 形式 http://[Proxy_Server_Address]:[Proxy_Port]でプロキシ サーバー エンドポイントを指定します。 たとえば、http://proxy.contoso.com:8080 のようにします。 |
| HTTP_PROXY変数 | 形式 http://[Proxy_Server_Address]:[Proxy_Port]でプロキシ サーバー エンドポイントを指定します。 たとえば、http://proxy.contoso.com:8080 のようにします。 |
| 変数NO_PROXY | ローカル イントラネットの URL、ドメイン、サブネットをバイパスする文字列。 リストには次のものが含まれている必要があります。 - 少なくとも各サーバーの IP アドレス。 - 少なくともクラスターの IP アドレス。 - インフラストラクチャ ネットワークに対して定義した IP アドレス以上。 これらの IP を使用する Arc Resource Bridge、AKS、および将来のインフラストラクチャ サービスには、送信接続が必要です。 - または、インフラストラクチャ サブネット全体をバイパスすることもできます。 - 各サーバーの NetBIOS 名。 - クラスターの NetBIOS 名。 - 任意のホストまたはサブドメインのドット . ワイルドカードを含むドメイン名またはドメイン名。- .svc 内部 Kubernetes サービス トラフィック用。 |
コマンドの使用方法の例を次に示します。
[Environment]::SetEnvironmentVariable("HTTPS_PROXY", "http://192.168.1.250:8080", "Machine")
$env:HTTPS_PROXY = [System.Environment]::GetEnvironmentVariable("HTTPS_PROXY", "Machine")
[Environment]::SetEnvironmentVariable("HTTP_PROXY", "http://192.168.1.250:8080", "Machine")
$env:HTTP_PROXY = [System.Environment]::GetEnvironmentVariable("HTTP_PROXY", "Machine")
$no_proxy = "localhost,127.0.0.1,.svc,192.168.1.0/24,.contoso.com,node1,node2,s-cluster"
[Environment]::SetEnvironmentVariable("NO_PROXY", $no_proxy, "Machine")
$env:NO_PROXY = [System.Environment]::GetEnvironmentVariable("NO_PROXY", "Machine")
環境変数プロキシ バイパス リストの文字列に関する考慮事項
環境変数プロキシ バイパス リスト文字列を構成する場合は、次の点に注意してください。
- パラメーターはコンマ
,で区切る必要があります。 - サブネットをバイパスする CIDR 表記を使用する必要があります。
- サブネットまたはドメイン名をバイパスするワイルドカードとしてのアスタリスク
*はサポートされていません。 .ドットドメイン名またはローカル サービスをバイパスするワイルドカードとして使用する必要があります。.contoso.comや.svcなどになります。- プロキシ名は、HTTP_PROXY変数とHTTPS_PROXY変数の両方に対してポートと共
http://に指定する必要があります。 たとえば、http://192.168.1.250:8080のようにします。 .svcバイパスは、Linux 表記の AKS 内部サービス通信用です。 これは、Arc Resource Bridge と AKS に必要です。- AKS では、次のサブネットをバイパスする必要があります。 10.0.0.0/8、172.16.0.0/12、192.168.0.0/16。 これらのサブネットが定義されていない場合、これらのサブネットは自動的に [環境変数バイパス] リストに追加されます。
- 文字列の
<local>使用は、プロキシ バイパス リストではサポートされていません。
環境変数プロキシ構成を確認して削除する
環境変数プロキシ構成が適用されていることを確認するには、次のコマンドを実行します。
echo "https :" $env:https_proxy "http :" $env:http_proxy "bypasslist " $env:no_proxyプロキシ構成を削除するには、クラスター内の各サーバーで管理者として次のコマンドを実行します。
[Environment]::SetEnvironmentVariable("HTTPS_PROXY", $null, "Machine") $env:HTTPS_PROXY = [System.Environment]::GetEnvironmentVariable("HTTPS_PROXY", "Machine") [Environment]::SetEnvironmentVariable("HTTP_PROXY", $null, "Machine") $env:HTTP_PROXY = [System.Environment]::GetEnvironmentVariable("HTTP_PROXY", "Machine")
Arc 対応サーバー エージェントのプロキシ設定を構成する
プロキシ サーバー経由で通信するように Azure Arc 対応サーバー エージェントを構成するには、次のコマンドを実行します。
azcmagent config set proxy.url "http://ProxyServerFQDN:port"
ネットワークで必要とされる場合は、FQDN の代わりに IP アドレスまたは単純なホスト名を使用できます。 プロキシ サーバーがポート 80 で実行されている場合は、末尾の ":80" を省略できます。
プロキシ サーバーの URL がエージェント設定で構成されているかどうかを確認するには、次のコマンドを実行します。
azcmagent config get proxy.url
エージェントがプロキシ サーバー経由で通信できないようにするには、次のコマンドを実行します。
azcmagent config clear proxy.url
azcmagent config コマンドを使用してプロキシ設定を再構成するときに、サービスを再起動する必要はありません。
接続されたマシン エージェントの管理と保守の詳細については 、Arc 対応サーバー エージェントのページを参照してください。
Azure サービスのプロキシ設定を構成する
次のいずれかの Azure サービスを使用している場合、または使用する予定の場合は、各 Azure サービスのプロキシ サーバー設定を構成する方法について、次の記事を参照してください。
- Azure Kubernetes Service (AKS) ハイブリッド
- Azure Virtual Desktop
- Azure Monitor エージェント
- Microsoft Defender
- Microsoft Monitoring Agent (MMA エージェントは間もなく非推奨になります。Azure Monitor エージェントを使用することをお勧めします)。
次のステップ
詳細については、次を参照してください。
- Azure Stack HCI のファイアウォール要件。