Azure Arc 対応 System Center Virtual Machine Manager の継続的なメンテナンスと管理を実行する
この記事では、Azure Arc 対応 System Center Virtual Machine Manager (SCVMM) に関連した、次のようなさまざまなメンテナンスと管理の操作を実行する方法について説明します。
- ベスト プラクティスに従った Azure Arc リソース ブリッジの手動メンテナンス
- SCVMM アカウントの資格情報を更新する
- Azure Arc リソース ブリッジからログを収集する
Azure Arc 対応 SCVMM リソースのメンテナンスに関するベスト プラクティス
Azure Arc リソース ブリッジは、オンプレミスの SCVMM 管理サーバーと Azure の間に見通し線を確立します。 リソース ブリッジのコンポーネントを使用すると、Azure の優れた機能をオンプレミスの SCVMM マネージド仮想マシンに提供できます。 組織に適していると思われる場合に従うことができるベスト プラクティスをいくつか次に示します。
.yamlおよびkubeconfigファイルを安全に維持する: Azure Arc リソース ブリッジのデプロイが成功すると、3 つの構成ファイルが作成されます:\<resource-bridge-name\>-resource.yaml、\<resource-bridge-name\>-appliance.yaml、\<resource-bridge-name\>-infra.yaml。 リソース ブリッジ VM は、管理 Kubernetes クラスターをホストします。 既定では、リソース ブリッジ VM のメンテナンスに使用されるkubeconfigファイルは、リソース ブリッジのデプロイ プロセス中に現在の CLI ディレクトリに生成されます。 これらのファイルは、リソース ブリッジの管理とアップグレードに必要であるため、安全に保存および維持する必要があります。リソース ブリッジのロック: リソース ブリッジの重要な性質を考慮すると、管理者はリソース ブリッジの Azure リソースをロックして、誤って削除されないように保護できるため、Azure から SCVMM サーバーへの接続が失われるのを防ぐことができます。 リソース ブリッジにリソース ロックを設定するには、その Azure リソースに移動し、[設定] ブレードの下にある [ロック] を選択します。 ここから削除のロックを追加すると、セルフサービス ユーザーがリソース ブリッジを誤って削除することを防止できます。
重要
読み取り専用と削除の両方の種類のリソース ロックは、リソース ブリッジのアップグレードを無効にし、アップグレードをトリガーする前にロックを解除する必要があります。
リソース ブリッジ正常性アラート: Azure Arc 対応 SCVMM オファリングが継続的に機能するためには、Azure Arc リソース ブリッジをオンラインかつ "実行中" 状態で正常に維持する必要があります。 リソース ブリッジは、通常のセキュリティ プラクティスの一部としての資格情報のローテーションやネットワークの変更により、定期的に "オフライン" 状態になることがあります。 リソース ブリッジの意図しないダウンタイムの通知を受け取るために、次の手順に従って、リソース ブリッジの Azure リソースに正常性アラートを設定できます。
- Azure portal で [サービス正常性] を検索し、そこに移動します。
- 左側のペインで、[リソース正常性]>[リソース正常性] を選択します。
- [サブスクリプション] のドロップダウンで、リソース ブリッジが配置されているサブスクリプションを選択します。 [リソースの種類] のドロップダウンで、[Azure Arc リソース ブリッジ] を選択します。 リソース ブリッジの一覧が表示されたら、アラートを設定する対象のリソース ブリッジを選択し、[リソース正常性アラートの追加] を選択します。 サブスクリプション内のすべてのリソース ブリッジに対してアラートを設定する場合は、どのリソース ブリッジも選ばずに [リソース正常性アラートの追加] を選択できます。
- 正常性状態に関する継続的な通知を受け取るか、リソース ブリッジが異常になったときにのみ通知を受け取るかに応じて、アラート ルールの条件を構成します。
- 通知の種類とアラートの受信者を指定してアクション グループを構成します。
- アラート ルールの場所、識別子、オプションのタグの詳細を入力して、アラート ルールの作成を完了します。
SCVMM アカウントの資格情報の更新 (オンボード後に新しいパスワードまたは新しい SCVMM アカウントを使用)
Azure Arc 対応 SCVMM では、オンボード中に指定した SCVMM アカウント資格情報を使用して SCVMM 管理サーバーと通信します。 これらの資格情報は、Arc リソース ブリッジ VM 上にローカルでのみ保存されます。
セキュリティ プラクティスの一環として、SCVMM アカウントの資格情報をローテーションする必要がある場合があります。 資格情報がローテーションされる場合は、Azure Arc に提供する資格情報を更新して、Azure Arc 対応 SCVMM が確実に機能するよう確認します。 オンボード後に別の SCVMM アカウントを使用する必要がある場合にも、同じ手順を使用できます。 新しいアカウントにも、すべての必要な SCVMM アクセス許可があることを確認する必要があります。
Arc リソース ブリッジには、2 つの異なる資格情報セットが格納されています。 両方に同じアカウント資格情報を使用できます。
- Arc リソース ブリッジのアカウント。 このアカウントは、Arc リソース ブリッジ VM のデプロイに使用され、アップグレードに使用されます。
- SCVMM クラスター拡張機能のアカウント。 このアカウントは、Azure Arc 対応 SCVMM を介してインベントリを検出し、すべての VM 操作を実行するために使用されます。
Arc リソース ブリッジ用のアカウントの資格情報を更新するには、次の Azure CLI コマンドを実行します。 コマンドは、Arc リソース ブリッジのクラスター構成 IP アドレスにローカルでアクセスできるワークステーションから実行します。
az account set -s <subscription id>
az arcappliance get-credentials -n <name of the appliance> -g <resource group name>
az arcappliance update-infracredentials scvmm --kubeconfig kubeconfig
コマンドの詳細については、az arcappliance get-credentials および az arcappliance update-infracredentials scvmm のページをご覧ください。
リソース ブリッジ上の SCVMM クラスター拡張機能によって使用される資格情報を更新するには、次のコマンドを実行します。 このコマンドは、connectedscvmm CLI 拡張機能がインストールされている任意の場所から実行できます。
az connectedscvmm scvmm connect --custom-location <name of the custom location> --location <Azure region> --name <name of the SCVMM resource in Azure> --resource-group <resource group for the SCVMM resource> --username <username for the SCVMM account> --password <password to the SCVMM account>
Arc リソース ブリッジからログを収集する
また、Azure Arc リソース ブリッジに問題がある場合は、さらに調査するためにログを収集する必要があります。 ログを収集するには、次の Azure CLI Az arcappliance log コマンドを使用します。
ログを宛先フォルダーに保存するには、次のコマンドを実行します。 これらのコマンドには、クラスター構成 IP アドレスへの接続が必要です。
az account set -s <subscription id>
az arcappliance get-credentials -n <name of the appliance> -g <resource group name>
az arcappliance logs scvmm --kubeconfig kubeconfig --out-dir <path to specified output directory>
Azure Arc リソース ブリッジ上の Kubernetes クラスターが機能する状態ではない場合は、次のコマンドを使用できます。 これらのコマンドを実行するには、SSH 経由で Azure Arc リソース ブリッジ VM の IP アドレスに接続する必要があります。
az account set -s <subscription id>
az arcappliance get-credentials -n <name of the appliance> -g <resource group name>
az arcappliance logs scvmm --out-dir <path to specified output directory> --ip XXX.XXX.XXX.XXX