Azure Local バージョン 23H2 (プレビュー) 用 Azure Arc ゲートウェイについて
適用対象: Azure Local バージョン 23H2、リリース 2408、2408.1、2408.2、および 2411
重要
Azure Stack HCI が Azure Local の一部になりました。 製品ドキュメントの名前変更が進行中です。 テキストの変更が完了し、ビジュアルの更新が間もなく終了します。 詳細情報。
この記事では、Azure Local バージョン 23H2 用 Azure Arc ゲートウェイの概要について説明します。 Arc ゲートウェイは、Azure ローカル実行ソフトウェア バージョン 2408 以降の新しいデプロイで有効にすることができます。 この記事では、Azure で Arc ゲートウェイ リソースを作成および削除する方法についても説明します。
Arc ゲートウェイを使用すると、Azure ローカル インスタンスのデプロイと管理に必要なエンドポイントの数を大幅に減らすことができます。 Arc ゲートウェイを作成したら、Azure Local の新しいデプロイに接続して使用できます。
(Azure ローカル マシンではなく) スタンドアロン サーバーに Azure Arc ゲートウェイをデプロイする方法については、「 Azure Arc ゲートウェイを使用したネットワーク構成要件の簡略化を参照してください。
重要
現在、この機能はプレビュー段階にあります。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用される法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。
しくみ
Arc ゲートウェイは、次のコンポーネントを導入することで機能します。
Arc ゲートウェイ リソース – Azure トラフィックの共通のエントリ ポイントとして機能する Azure リソース。 このゲートウェイ リソースには、使用できる特定のドメインまたは URL があります。 Arc ゲートウェイ リソースを作成すると、このドメインまたは URL が成功応答の一部になります。
Arc プロキシ – Arc Agentry に追加される新しいコンポーネント。 このコンポーネントはサービスとして実行され ( Azure Arc プロキシと呼ばれます)、Azure Arc エージェントと拡張機能の転送プロキシとして機能します。 ゲートウェイ ルーターは、自分側からの構成を必要としません。 このルーターは Arc コア エージェントの一部であり、Arc 対応リソースのコンテキスト内で実行されます。
Arc ゲートウェイを Azure ローカル デプロイのリリース 2411 と統合すると、各マシンは他の Arc エージェントと共に Arc プロキシを取得します。
Arc ゲートウェイを使用すると、 http と https トラフィック フローが次のように変更されます。
Azure ローカル ホスト オペレーティング システム コンポーネントのトラフィック フロー
OS プロキシ設定は、すべての HTTPS ホスト トラフィックを Arc プロキシ経由でルーティングするために使用されます。
Arc プロキシから、トラフィックは Arc ゲートウェイに転送されます。
Arc ゲートウェイの構成に基づいて、許可されている場合、トラフィックはターゲット サービスに送信されます。 許可されていない場合、Arc プロキシはこのトラフィックをエンタープライズ プロキシにリダイレクトします (プロキシが設定されていない場合は直接送信されます)。 Arc プロキシは、エンドポイントの適切なパスを自動的に決定します。
Arc アプライアンス Arc Resource Bridge (ARB) と AKS コントロール プレーンのトラフィック フロー
ルーティング可能な IP (現時点ではフェールオーバー クラスター化された IP リソース) は、Azure ローカル ホスト マシンで実行されている Arc プロキシ経由でトラフィックを転送するために使用されます。
ARB および AKS 転送プロキシは、ルーティング可能な IP を使用するように構成されます。
プロキシ設定が設定された状態で、ARB および AKS 送信トラフィックは、ルーティング可能な IP 経由でいずれかの Azure ローカル マシンで実行されている Arc プロキシに転送されます。
トラフィックが Arc プロキシに到達すると、残りのフローは説明と同じパスを取得します。 ターゲット サービスへのトラフィックが許可されている場合は、Arc ゲートウェイに送信されます。 そうでない場合は、エンタープライズ プロキシ (プロキシが設定されていない場合は直接送信) に送信されます。 特に AKS の場合、このパスは Arc Agentry および Arc Extension Pod の Docker イメージをダウンロードするために使用されることに注意してください。
Arc VM のトラフィック フロー
Http および https トラフィックはエンタープライズ プロキシに転送されます。 このバージョンでは、Arc VM 内の Arc プロキシはまだサポートされていません。
トラフィック フローを次の図に示します。
サポートされているシナリオとサポートされていないシナリオ
Arc ゲートウェイは、Azure Local バージョン 2408 および 2411 の次のシナリオで使用できます。
- バージョン 2408 および 2411 を実行している新しい Azure Local インスタンスのデプロイ中に Arc ゲートウェイを有効にします。
Azure Local バージョン 2408 および 2411 でサポートされていないシナリオは次のとおりです。
バージョン 2402 または 2405 からバージョン 2408 または 2411 に更新された Azure Local インスタンスでは、この Arc ゲートウェイ プレビューでサポートされているすべての新しいエンドポイントを利用することはできません。 ホスト コンポーネント、Arc 拡張機能、ARB、AKS で必要なエンドポイントは、新しいバージョン 2408 デプロイの一部として Arc ゲートウェイを有効にする場合にのみサポートされます。
バージョン 2408 または 2411 のデプロイ後に Arc ゲートウェイを有効にしても、この Arc ゲートウェイ プレビューでサポートされているすべての新しいエンドポイントを利用することはできません。 ホスト、Arc 拡張機能、ARB、AKS で必要なエンドポイントは、新しいバージョン 2408 またはバージョン 2411 デプロイの一部として Arc ゲートウェイを有効にする場合にのみサポートされます。
Azure ローカル エンドポイントがリダイレクトされない
Azure Local バージョン 2408 プレビュー更新プログラムの一部として、テーブルのエンドポイントが必要であり、Azure Local インスタンスをデプロイするにはプロキシまたはファイアウォールで許可リストに登録する必要があります。 これらのバージョン 2408 および 2411 エンドポイントは、Arc ゲートウェイ経由でリダイレクトされません。
| エンドポイント# | 必要なエンドポイント | コンポーネント |
|---|---|---|
| 1 | http://go.microsoft.com:443 |
環境チェッカー |
| 2 | http://www.powershellgallery.com:443 |
環境チェッカー |
| 3 | http://psg-prod-eastus.azureedge.net:443 |
環境チェッカー |
| 4 | http://onegetcdn.azureedge.net:443 |
環境チェッカー |
| 5 | http://login.microsoftonline.com:443 |
環境チェッカー |
| 6 | http://aka.ms:443 |
環境チェッカー |
| 7 | http://azurestackreleases.download.prss.microsoft.com:443 |
環境チェッカー |
| 8 | http://download.microsoft.com:443 |
環境チェッカー |
| 9 | http://portal.azure.com:443 |
環境チェッカー |
| 10 | http://management.azure.com:443 |
環境チェッカー |
| 11 | http://www.office.com:443 |
環境チェッカー |
| 12 | http://gbl.his.arc.azure.com:443 |
Arc エージェント |
| 13 | http://<region>.his.arc.azure.com:443 |
Arc エージェント |
| 14 | http://dc.services.visualstudio.com:443 |
Arc エージェント |
| 15 | http://<yourarcgatewayId>.gw.arc.azure.com:443 |
Arc ゲートウェイ |
| 16 | http://<yourkeyvaultname>.vault.azure.net:443 |
Azure Key Vault |
| 17 | http://<yourblobstorageforcloudwitnessname>.blob.core.windows.net:443 |
クラウド監視ストレージ アカウント |
| 18 | http://files.pythonhosted.org:443 |
Microsoft オンプレミス クラウド/ARB/AKS |
| 19 | http://pypi.org:443 |
Microsoft オンプレミス クラウド/ARB/AKS |
| 20 | http://raw.githubusercontent.com:443 |
Microsoft オンプレミス クラウド/ARB/AKS |
| 21 | http://pythonhosted.org:443 |
Microsoft オンプレミス クラウド/ARB/AKS |
| 22 | http://hciarcvmsstorage.z13.web.core.windows.net:443 |
Microsoft オンプレミス クラウド/ARB/AKS |
| 23 | http://ocsp.digicert.com |
Arc 拡張機能の証明書失効リスト |
| 24 | http://s.symcd.com |
Arc 拡張機能の証明書失効リスト |
| 25 | http://ts-ocsp.ws.symantec.com |
Arc 拡張機能の証明書失効リスト |
| 26 | http://ocsp.globalsign.com |
Arc 拡張機能の証明書失効リスト |
| 27 | http://ocsp2.globalsign.com |
Arc 拡張機能の証明書失効リスト |
| 28 | http://oneocsp.microsoft.com |
Arc 拡張機能の証明書失効リスト |
| 29 | http://dl.delivery.mp.microsoft.com |
LCM バイナリ |
| 30 | http://*.tlu.dl.delivery.mp.microsoft.com |
LCM バイナリ |
| 31 | http://*.windowsupdate.com |
Windows Update |
| 32 | http://*.windowsupdate.microsoft.com |
Windows Update |
| 33 | http://*.update.microsoft.com |
Windows Update |
制限事項と制約事項
このリリースでは、Arc ゲートウェイの次の制限事項を考慮してください。
- TLS 終端プロキシは、Arc ゲートウェイ プレビューではサポートされていません。
- Arc ゲートウェイ (プレビュー) に加えて、ExpressRoute、サイト間 VPN、またはプライベート エンドポイントの使用はサポートされていません。
Azure で Arc ゲートウェイ リソースを作成する
Arc ゲートウェイ リソースは、Azure portal、Azure CLI、または Azure PowerShell を使用して作成できます。
- Azure ポータルにサインインします。
- Azure Arc > Azure Arc ゲートウェイページに移動し、Create を選択します。
- Azure 内で Arc ゲートウェイ リソースを管理するサブスクリプションとリソース グループを選びます。 Arc ゲートウェイ リソースは、同じ Azure テナント内の Arc 対応リソースで使用できます。
- Nameに、Arc ゲートウェイ リソースの名前を入力します。
- Locationで、Arc ゲートウェイ リソースが存在するリージョンを入力します。 Arc ゲートウェイ リソースは、同じ Azure テナント内の Arc 対応リソースで使用できます。
- [次へ] を選択します。
- [タグ] ページで、標準をサポートするカスタム タグを 1 つ以上指定します。
- [確認と作成] を選択します。
- 詳細を確認し、 Create を選択します。
ゲートウェイの作成プロセスが完了するまでに 9 ~ 10 分かかります。
Arc ゲートウェイの関連付けをマシンからデタッチまたは変更する
Arc 対応サーバーからゲートウェイ リソースをデタッチするには、ゲートウェイ リソース ID を null に設定します。 Arc 対応サーバーを別の Arc ゲートウェイ リソースにアタッチする場合は、新しい Arc ゲートウェイ情報で名前とリソース ID を更新するだけです。
az arcgateway settings update --resource-group <Resource Group> --subscription <subscription name> --base-provider Microsoft.HybridCompute --base-resource-type machines --base-resource-name <Arc-Server’s name> --gateway-resource-id "
Arc ゲートウェイ リソースを削除する
Arc ゲートウェイ リソースを削除する前に、マシンが接続されていないことを確認します。 ゲートウェイ リソースを削除するには、次のコマンドを実行します。
az arcgateway delete --resource group <resource group name> --gateway-name <gateway resource name>
この操作には数分かかることがあります。