次の方法で共有

Azure Arc ゲートウェイ (パブリック プレビュー) を使用してネットワーク構成要件を簡略化する

  • [アーティクル]

エンタープライズ プロキシを使用して送信トラフィックを管理する場合、Azure Arc ゲートウェイを使用すると、7 つのエンドポイントを使用するだけで Azure Arc にインフラストラクチャをオンボードできます。 Azure Arc ゲートウェイを使用すると、次のことが可能になります。

  • 7 つの完全修飾ドメイン (FQDN) にのみ公衆ネットワーク アクセスを開放することで、Azure Arc に接続します。
  • Azure Connected Machine エージェントが Arc ゲートウェイ経由で Azure に送信するすべてのトラフィックを表示および監査します。

この記事では、Arc ゲートウェイ (パブリック プレビュー) を設定して使用する方法について説明します。

重要

現在 Azure Arc 対応サーバーの Arc ゲートウェイ機能は、Azure Arc 対応サーバーが存在するすべてのリージョンでパブリック プレビュー段階にあります。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用される法律条項については、「Microsoft Azure パブリック プレビューの追加使用条件」を参照してください

Azure Arc ゲートウェイのしくみ

Azure Arc ゲートウェイは、次の 2 つの主要なコンポーネントで構成されています。

  • Arc ゲートウェイ リソース: Azure トラフィックの共通フロントエンドとして機能する Azure リソース。 このゲートウェイ リソースは、特定のドメインで提供されます。 Arc ゲートウェイ リソースが作成されると、成功時の応答の中でドメインが返されます。

  • Arc プロキシ: Arc エージェントに追加された新しいコンポーネント。 このコンポーネントは、"Azure Arc プロキシ" と呼ばれるサービスとして実行され、Azure Arc エージェントと拡張機能によって使用される転送プロキシとして機能します。 ユーザー側で Arc プロキシのための構成は必要ありません。 このプロキシは Arc コア エージェントの役割の一部であり、Arc 対応リソースのコンテキスト内で実行されます。

ゲートウェイが配置されると、トラフィックは次のホップを経由して送信されます。Arc エージェント → Arc プロキシ → エンタープライズ プロキシ → Arc ゲートウェイ → ターゲット サービス

Azure Arc ゲートウェイのトラフィック フローのルートを示す図。

現在の制限

Arc ゲートウェイ オブジェクトには、セットアップを計画する際に考慮する必要がある制限があります。 これらの制限は、パブリック プレビューのみに適用されます。 Arc ゲートウェイ機能が一般公開されている場合、これらの制限は適用されない場合があります。

  • TLS 終端プロキシはサポートされていません (パブリック プレビュー)
  • Arc ゲートウェイ (パブリック プレビュー) で使用される ExpressRoute/サイト間 VPN またはプライベート エンドポイントはサポートされていません。
  • Azure サブスクリプションあたり 5 つの Arc ゲートウェイ (パブリック プレビュー) リソースの制限があります。

必要なアクセス許可

Arc ゲートウェイ リソースを作成し、Arc 対応サーバーとの関連付けを管理するには、次のアクセス許可が必要です。

  • Microsoft.HybridCompute/settings/write
  • Microsoft.hybridcompute/gateways/read
  • Microsoft.hybridcompute/gateways/write

Arc ゲートウェイ (パブリック プレビュー) の使用方法

Arc ゲートウェイを使用するには次の 4 つの手順があります。

  1. Arc ゲートウェイ リソースを作成します。
  2. ご利用の環境内で必要な URL が許可されていることを確認します。
  3. Arc ゲートウェイを使用するには、Arc ゲートウェイ リソースを使用して Azure Arc リソースをオンボードするか、既存の Azure Arc リソースを構成します。
  4. セットアップが成功したことを確認します。

手順 1: Arc ゲートウェイ リソースを作成する

Arc ゲートウェイ リソースは、Azure portal、Azure CLI、または Azure PowerShell を使用して作成できます。

  1. ブラウザーから Azure portal にサインインします。

  2. [Azure Arc | Azure Arc ゲートウェイ] ページに移動し、[作成] を選択します。

  3. Azure 内で Arc ゲートウェイ リソースを管理するサブスクリプションとリソース グループを選びます。 Arc ゲートウェイ リソースは、同じ Azure テナント内の Arc 対応リソースで使用できます。

  4. [名前] には、Arc ゲートウェイ リソースの名前を入力します。

  5. [場所] には、Arc ゲートウェイ リソースが存在するリージョンを入力します。 Arc ゲートウェイ リソースは、同じ Azure テナント内の Arc 対応リソースで使用できます。

  6. [次へ] を選択します。

  7. [タグ] ページで、標準をサポートするカスタム タグを 1 つ以上指定します。

  8. [確認と作成] を選択します。

  9. 入力した詳細を確認し、[作成] を選択します。

    ゲートウェイの作成プロセスが完了するまでに 9 分から 10 分かかります。

手順 2: 環境で必要な URL が許可されていることを確認する

リソースが作成されると、成功時の応答に Arc ゲートウェイ URL が含まれます。 Arc リソースが存在する環境で、Arc ゲートウェイの URL と次の表のすべての URL が許可されていることを確認します。 必要な URL は次のとおりです。

URL 目的
[URL プレフィックス].gw.arc.azure.com ゲートウェイ URL (この URL は、ゲートウェイ リソースの作成後に az arcgateway list を実行して取得できます)
management.azure.com Azure Resource Manager 制御チャネルに必要な Azure Resource Manager エンドポイント
login.microsoftonline.com ID アクセス トークンを取得するための Microsoft Entra ID のエンドポイント
gbl.his.arc.azure.com Azure Arc エージェントと通信するためのクラウド サービス エンドポイント
<リージョン>.his.arc.azure.com Arc のコア コントロール チャネルに使用されます
packages.microsoft.com Linux ベースの Arc エージェント ペイロードを取得するために必要です (Linux サーバーを Arc に接続するためにのみ必要)

手順 3a: Azure Arc リソースを Arc ゲートウェイ リソースにオンボードします。

  1. インストール スクリプトを生成します。

    クイック スタート: Azure Arc 対応サーバーにハイブリッド マシンを接続する」の手順に従って、Azure Connected Machine Agent のダウンロードとインストールを自動化し、Azure Arc との接続を確立するスクリプトを作成します。

    重要

    オンボーディング スクリプトを生成する場合は、[接続方法][プロキシ サーバー] を選択すると、[ゲートウェイ リソース] のドロップダウンが表示されます。

  2. インストール スクリプトを実行して、サーバーを Azure Arc にオンボードします。

    スクリプトでは、Arc ゲートウェイ リソースの ARM ID は --gateway-id と表示されます。

手順 3b: 既存の Azure Arc リソースを構成して Arc ゲートウェイを使用する

Azure portal、Azure CLI、Azure PowerShell を使用して、Arc ゲートウェイを使用するために既存の Azure Arc リソースを構成できます。

  1. Azure portal で、[Azure Arc - Azure Arc ゲートウェイ] ページに移動します。

  2. Arc 対応サーバーに関連付ける Arc ゲートウェイ リソースを選択します。

  3. ゲートウェイ リソースの [関連リソース] ページに移動します。

  4. [追加] を選択します。

  5. Arc ゲートウェイ リソースに関連付ける Arc 対応リソースを選択します。

  6. 適用を選択します。

  7. azcmagent config set connection.type gateway を実行して Arc ゲートウェイを使用するために Arc 対応サーバーを更新します。

手順 4: セットアップが成功したことを確認する

オンボードされたサーバーで、次のコマンドを実行します。azcmagent show この結果は次の値を示します。

  • [Agent Status][Connected] と表示されます。
  • [Using HTTPS Proxy]http://localhost:40343 のように表示されます。
  • [Upstream Proxy] は、エンタープライズ プロキシとして表示されます (設定した場合)。 ゲートウェイ URL にゲートウェイ リソースの URL が反映されるはずです。

さらに、セットアップが正常に完了したことを確認するには、次のコマンドを実行します。azcmagent check 結果は connection.type がゲートウェイに設定されていることを示し、[Reachable] 列はすべての URL に対して [true] を示すはずです。

マシンと新しい Arc ゲートウェイを関連付ける

マシンを新しい Arc ゲートウェイに関連付けるには、次の操作を行います。

  1. Azure portal で、[Azure Arc - Azure Arc ゲートウェイ] ページに移動します。

  2. マシンに関連付ける新しい Arc ゲートウェイ リソースを選択します。

  3. ゲートウェイ リソースの [関連リソース] ページに移動します。

  4. [追加] を選択します。

  5. 新しい Arc ゲートウェイ リソースに関連付ける Arc 対応マシンを選択します。

  6. 適用を選択します。

  7. azcmagent config set connection.type gateway を実行して Arc ゲートウェイを使用するために Arc 対応サーバーを更新します。

Arc ゲートウェイの関連付けの削除 (代わりに直接ルーティングを使用するため)

  1. 次のコマンドを実行して、Azure Arc 対応サーバーの接続の種類を "ゲートウェイ" でなく "ダイレクト" に設定します。

    azcmagent config set connection.type direct

    Note

    この手順を採用する場合、Azure Arc の活用を継続するには、環境内のすべての Azure Arc ネットワーク要件を満たす必要があります。

  2. Arc ゲートウェイ リソースをマシンからデタッチする:

    1. Azure portal で、[Azure Arc - Azure Arc ゲートウェイ] ページに移動します。

    2. Arc ゲートウェイ リソースを選択します。

    3. ゲートウェイ リソースの [関連リソース] ページに移動し、サーバーを選択します。

    4. [削除] を選択します。

Arc ゲートウェイ リソースを削除する

Note

この操作は、完了するまで 4 分から 5 分かかることがあります。

  1. Azure portal で、[Azure Arc - Azure Arc ゲートウェイ] ページに移動します。

  2. Arc ゲートウェイ リソースを選択します。

  3. [削除] を選択します。

トラブルシューティング

Azure Arc プロキシのログを表示することで、Arc ゲートウェイのトラフィックを監査できます。

Windows で Arc プロキシのログを表示するには、次の操作を行います。

  1. PowerShell で azcmagent logs を実行します。
  2. 結果の .zip ファイル内で、ログは C:\ProgramData\Microsoft\ArcProxy フォルダーにあります。

Linux で Arc プロキシのログを表示するには、次の操作を行います。

  1. sudo azcmagent logs を実行し、生成されるファイルを共有します。
  2. 結果のログ ファイル内で、ログは /usr/local/arcproxy/logs/ フォルダーにあります。

その他のシナリオ

パブリック プレビュー期間中、Arc ゲートウェイは、サーバーのオンボーディングに必要なエンドポイントに加え、Arc 対応の追加シナリオに必要なエンドポイントの一部をカバーします。 導入するシナリオに基づいて、追加のエンドポイントをプロキシで許可する必要があります。

追加のエンドポイントが必要ないシナリオ

  • Windows Admin Center
  • SSH
  • Extended Security Updates
  • Microsoft Defender
  • Azure Extension for SQL Server

追加のエンドポイントが必要なシナリオ

Arc ゲートウェイを使用する場合は、次のシナリオに一覧表示されているエンドポイントをエンタープライズ プロキシで許可する必要があります。

  • Azure Arc 対応 Data Services

    • *.ods.opinsights.azure.com

    • *.oms.opinsights.azure.com

    • *.monitoring.azure.com

  • Azure Monitor エージェント

    • <log-analytics-workspace-id>.ods.opinsights.azure.com

    • <data-collection-endpoint>.<virtual-machine-region-name>.ingest.monitor.azure.com

  • Azure Key Vault 証明書の同期

    • <vault-name>.vault.azure.net

  • Azure Automation Hybrid Runbook Worker 拡張機能

    • *.azure-automation.net

  • Windows OS 更新拡張機能 / Azure Update Manager

    • お使いの環境が Windows Update の前提条件をすべて満たしている必要があります

既知の問題

Arc ゲートウェイに関する現在の既知の問題の説明は次のとおりです。

Azure Connected Machine Agent のオンボーディング後に必要な更新

オンボーディング スクリプト (または azcmagent connect コマンド) を使用して、ゲートウェイ リソース ID で指定されたサーバーをオンボードすると、リソースで正常に Arc ゲートウェイが使用されます。 ただし、既知のバグ (現在修正中) が発生しているため、リソースの設定が更新されない限り、Arc 対応サーバーは Azure portal の [関連リソース] として表示されなくなります。 これを更新するには、次の手順を使用します。

  1. Azure portal で、[Azure Arc | Arc ゲートウェイ] ページに移動します。

  2. Arc 対応サーバーに関連付ける Arc ゲートウェイ リソースを選択します。

  3. ゲートウェイ リソースの [関連リソース] ページに移動します。

  4. [追加] を選択します。

  5. Arc ゲートウェイ リソースに関連付ける Arc 対応リソースを選択し、[適用] を選択します。

マシンからゲートウェイ リソースをデタッチした後に必要な Arc プロキシの更新

マシンから Arc ゲートウェイ リソースをデタッチする場合は、Arc プロキシを更新して Arc ゲートウェイ構成をクリアする必要があります。 そのためには、次の手順を実行します。

  1. Arc プロキシを停止します。

    • Windows: Stop-Service arcproxy
    • Linux: sudo systemctl stop arcproxyd

  2. cloudconfig.json ファイルを削除します。

    • Windows: "C:\ProgramData\AzureConnectedMachineAgent\Config\cloudconfig.json"
    • Linux: "/var/opt/azcmagent/cloudconfig.json"

  3. Arc プロキシを開始します。

    • Windows: Start-Service arcproxy
    • Linux: sudo systemctl start arcproxyd

  4. himds を再起動します (省略可能ですが、実施することをお勧めします)。

    • Windows: Restart-Service himds
    • Linux: sudo systemctl restart himdsd

ゲートウェイなしで再有効化されたマシンに必要な更新

Arc ゲートウェイを使用した Arc 対応マシンが Azure Arc から削除され、Arc ゲートウェイなしで再び Arc 対応になった場合、Azure portal の状態を更新するには更新が必要です。

重要

この問題は、リソースが最初の有効化と同じ ARM ID で再び Arc 対応になった場合にのみ発生します。

このシナリオでは、Arc ゲートウェイに関連付けられたリソースとして Azure portal にマシンが正しく表示されません。 これを防ぐには、Arc ゲートウェイで Arc 対応になっていたマシンを Arc ゲートウェイなしで Arc に対応させる場合、オンボーディング後に Arc ゲートウェイの関連付けを更新する必要があります。 この場合、次の手順を実行します。

  1. Azure portal で、[Azure Arc | Arc ゲートウェイ] ページに移動します。

  2. Arc ゲートウェイ リソースを選択します。

  3. ゲートウェイ リソースの [関連リソース] ページに移動します。

  4. サーバーを選択し、次に [削除] を選択します。

削除後に必要なゲートウェイの手動での関連付け

マシンを接続した状態で Arc ゲートウェイが削除された場合、Azure portal を使用してマシンと他の Arc ゲートウェイ リソースを関連付ける必要があります。

この問題を回避するには、ゲートウェイ リソースを削除する前に、Arc ゲートウェイからすべての Arc 対応リソースをデタッチします。 このエラーが発生した場合は、Azure portal を使用してマシンを新しい Arc ゲートウェイ リソースに関連付けます。