Azure Arc 対応サーバー用の拡張機能の自動アップグレード

拡張機能の自動アップグレードは、サポート対象の VM 拡張機能がインストールされている Azure Arc 対応サーバーで利用できます。 拡張機能の自動アップグレードを使うと、拡張機能の新しいバージョンが利用可能になったときのインストールをスケジュールすることで、運用上のオーバーヘッドを軽減できます。 Azure Connected Machine エージェントによって、拡張機能がアップグレードされ (その過程で設定が保持されます)、アップグレード プロセス中に問題が発生した場合は以前のバージョンに自動的にロールバックされます。

拡張機能の自動アップグレードには、次の機能があります。

• 自動アップグレードは、いつでもオプトインとオプトアウトが可能です。 既定では、すべての拡張機能が拡張機能の自動アップグレードにオプトインされます。
• サポートされている各拡張機能は個別に登録され、どの拡張機能を自動的にアップグレードするかを選択できます。
• すべての Azure Arc リージョンでサポートされます。

拡張機能の自動アップグレードのしくみ

拡張機能のアップグレード プロセスにより、Azure Arc 対応サーバーによってサポートされている既存の Azure VM 拡張機能のバージョンが、拡張機能の発行元によって発行されたときと同じ拡張機能の新しいバージョンに置き換えられます。 この機能は、自動アップグレードを明示的にオプトアウトしない限り、Azure Arc 対応サーバーにデプロイするすべての拡張機能で既定で有効になります。

可用性優先の更新

プラットフォームの調整された更新の可用性優先モデルにより、Azure の可用性構成が複数の可用性レベルで尊重されます。

更新が進行中の Arc 対応サーバーのグループの場合、Automation での拡張機能のアップグレードに関するページで説明されているモデルに従って、Azure プラットフォームによって更新のオーケストレーションが行われます。 ただし、Arc 対応サーバーと Azure VM には重要な違いがいくつかあります。

複数のリージョン間:

• geo ペア リージョンは適用できません。

リージョン内:

• 可用性ゾーンは適用できません。
• サブスクリプション内の Arc 対応サーバーに登録されているすべてのマシンで同時に更新が行われないように、マシンはベスト エフォート方式でバッチ処理されます。

自動ロールバックと再試行

拡張機能のアップグレードに失敗した場合、Azure は次のアクションを実行して拡張機能の修復を試みます。

1. 問題がないことがわかっている最新のバージョンの拡張機能が Azure Connected Machine Agent によって自動的に再インストールされて機能の復元が試みられます。
2. ロールバックに成功した場合、拡張機能のステータスが "成功" と表示され、再度、自動アップグレード キューに拡張機能が追加されます。 次回アップグレードが試行可能となるのは 1 時間後で、アップグレードが成功するまで繰り返し試行されます。
3. ロールバックに失敗した場合、拡張機能のステータスは "失敗" と表示され、拡張機能は正常に動作しません。 拡張機能を削除してから再インストールして機能を復元する必要があります。

それでも拡張機能のアップグレードに問題が生じる場合は、拡張機能の自動アップグレードを無効にしてください。問題をトラブルシューティングしている間、システムによる再試行を回避できます。 準備が整った時点で再び拡張機能の自動アップグレードを有効にできます。

拡張機能の自動アップグレードのタイミング

VM 拡張機能の新しいバージョンが公開されると、Arc 対応サーバーへのインストールと手動アップグレードが可能になります。 拡張機能が既にインストールされ、拡張機能の自動アップグレードが有効になっているサーバーの場合、その拡張機能を持つすべてのサーバーが自動アップグレードを取得するまでに 5 - 8 週かかる場合があります。 アップグレードは Azure リージョンとサブスクリプション全体でバッチで発行されるため、一部のサーバーで他より先に拡張機能がアップグレードされる場合があります。 拡張機能をすぐにアップグレードする必要がある場合は、ガイダンスに従って、Azure portal、Azure PowerShell、または Azure CLI を使用して拡張機能を手動でアップグレードしてください。

重要なセキュリティ脆弱性を修正する拡張機能のバージョンは、はるかに高速にロールアウトされます。 これらの自動アップグレードは、特殊なロールアウト プロセスを使用して行われます。このプロセスでは、その拡張機能を使用してすべてのサーバーを自動的にアップグレードするのに 1 ~ 3 週間かかる場合があります。 Azure では、すべてのサーバーが確実に保護されるように、どの拡張機能バージョンを迅速にロールアウトする必要があるかの特定が処理されます。 拡張機能をすぐにアップグレードする必要がある場合は、ガイダンスに従って、Azure portal、Azure PowerShell、または Azure CLI を使用して拡張機能を手動でアップグレードしてください。

サポートされる拡張子

拡張機能の自動アップグレードでは、次の拡張機能がサポートされています。

• Azure Monitor エージェント - Linux と Windows
• Dependency エージェント – Linux と Windows
• Azure Security エージェント - Linux と Windows
• Key Vault 拡張機能 - Linux のみ
• Azure Update Manager - Linux and Windows
• Azure Automation Hybrid Runbook Worker - Linux と Windows
• SQL Server 用 Azure 拡張機能 - Linux と Windows

今後、さらに多くの拡張機能が追加される予定です。 現在、拡張機能の自動アップグレードをサポートしていない拡張機能も、既定で自動アップグレードを有効にするように構成されています。 この設定は、拡張機能の発行元が自動アップグレードのサポートを選択するまで、無効になっています。

拡張機能の自動アップグレードを管理する

Azure Arc 対応サーバーに拡張機能をインストールすると、拡張機能の自動アップグレードが既定で有効になります。 既存の拡張機能で自動アップグレードを有効にするには、Azure CLI または Azure PowerShell を使って、拡張機能の enableAutomaticUpgrade プロパティを true に設定できます。 自動アップグレードを有効または無効にする拡張機能ごとに、このプロセスを繰り返す必要があります。

Azure Portal

Azure portal を使って拡張機能の自動アップグレードを構成するには、次の手順のようにします。

1. Azure portal にアクセスし、[マシン - Azure Arc] に移動します。
2. 該当するサーバーを選択します。
3. 左側のペインで [拡張機能] タブを選択し、サーバーにインストールされているすべての拡張機能の一覧を表示します。
4. 表の [自動アップグレード] 列には、各拡張機能でアップグレードが有効、無効、非サポートのいずれであるかが示されます。 自動アップグレードを有効にする拡張機能の横にあるチェックボックスをオンにしてから、機能を有効にするには [自動アップグレードを有効にする] を選びます。 機能を無効にするには [自動アップグレードを無効にする] を選びます。

Azure CLI

拡張機能の自動アップグレードの状態を、Arc 対応サーバー上のすべての拡張機能について確認するには、次のコマンドを実行します。

az connectedmachine extension list --resource-group resourceGroupName --machine-name machineName --query "[].{Name:name, AutoUpgrade:properties.enableAutoUpgrade}" --output table

拡張機能の自動アップグレードを有効にするには、az connectedmachine extension update コマンドを使います。

az connectedmachine extension update \
    --resource-group resourceGroupName \
    --machine-name machineName \
    --name extensionName \
    --enable-auto-upgrade true

自動アップグレードを無効にするには、次に示すように、--enable-auto-upgrade パラメーターを false に設定します。

az connectedmachine extension update \
    --resource-group resourceGroupName \
    --machine-name machineName \
    --name extensionName \
    --enable-auto-upgrade false

Azure PowerShell

拡張機能の自動アップグレードの状態を、Arc 対応サーバー上のすべての拡張機能について確認するには、次のコマンドを実行します。

Get-AzConnectedMachineExtension -ResourceGroup resourceGroupName -MachineName machineName | Format-Table Name, EnableAutomaticUpgrade

Azure PowerShell を使って拡張機能の自動アップグレードを有効にするには、Update-AzConnectedMachineExtension コマンドレットを使います。

Update-AzConnectedMachineExtension -ResourceGroup resourceGroupName -MachineName machineName -Name extensionName -EnableAutomaticUpgrade

自動アップグレードを無効にするには、次の例に示すように、-EnableAutomaticUpgrade:$false を設定します。

Update-AzConnectedMachineExtension -ResourceGroup resourceGroupName -MachineName machineName -Name extensionName -EnableAutomaticUpgrade:$false

ヒント

上記のコマンドレットは、Az.ConnectedMachine PowerShell モジュールのものです。 この PowerShell モジュールは、Install-Module Az.ConnectedMachine を使ってコンピューターまたは Azure Cloud Shell にインストールできます。

複数の拡張機能での拡張機能のアップグレード

Arc 対応サーバーによって管理されるマシンでは、拡張機能の自動アップグレードを有効にして複数の拡張機能を使用できます。 同じマシンに、拡張機能の自動アップグレードを有効にしないで他の拡張機能を追加することもできます。

1 つのマシンで拡張機能のアップグレードを複数使用できる場合、アップグレードをバッチにまとめられる場合がありますが、マシンでは各拡張機能のアップグレードが個々に適用されます。 1 つの拡張機能でエラーが発生しても、アップグレードされる他の拡張機能に影響は及びません。 たとえば、2 つの拡張機能のアップグレードがスケジュールされていて、最初の拡張機能のアップグレードが失敗した場合でも、2 つ目の拡張機能はアップグレードされます。

拡張機能の自動アップグレード履歴を確認する

自動的にアップグレードされた拡張機能は、Azure のアクティビティ ログを使用して確認できます。 [アクティビティ ログ] タブは、個々の Azure Arc 対応サーバー リソース、リソース グループ、サブスクリプションにあります。 拡張機能のアップグレードは、Upgrade Extensions on Azure Arc machines (Microsoft.HybridCompute/machines/upgradeExtensions/action) という操作で見分けることができます。

拡張機能の自動アップグレードの履歴を表示するには、Azure portal で「Azure のアクティビティ ログ」を検索します。 [フィルターの追加] を選択して [操作] フィルターを選択します。 フィルター条件で「Upgrade Extensions on Azure Arc machines」を検索してそのオプションを選択します。 必要に応じて [イベント開始者] のフィルターを別途追加し、フィルター条件として「Azure Regional Service Manager」を設定すると、自動で試行されたアップグレードのみを表示し、ユーザーによって手動で開始されたアップグレードを除外することができます。

次のステップ

• Azure CLI、PowerShell、または Azure Resource Manager テンプレートを使用して、VM 拡張機能をデプロイ、管理、および削除できます。

• トラブルシューティングに関する情報は、VM 拡張機能のトラブルシューティング ガイドに記載されています。