Azure Local 向けディスコネクテッド オペレーション (プレビュー)
適用対象: Azure Local バージョン 23H2 リリース 2411 以降
この記事では、ディスコネクテッド オペレーションの概要を説明し、それを Azure Local のデプロイおよび管理でどのように使用できるかを紹介します。
重要
現在、この機能はプレビュー段階にあります。 「Microsoft Azure プレビューの追加使用条件」を参照してください。
概要
Azure Local のディスコネクテッド オペレーションを使用すると、Azure パブリック クラウドに接続せずに Azure Local インスタンスをデプロイし、管理できます。 この機能により、ローカル コントロール プレーンから選択した Azure Arc 対応サービスを使用することで、使い慣れた Azure portal と CLI エクスペリエンスでの、仮想マシン (VM) およびコンテナ化されたアプリケーションの構築、デプロイ、管理が可能になります。
ディスコネクテッド オペレーションを使用する理由
ディスコネクテッド オペレーションで Azure Local を使用するシナリオには、次のようなものがあります。
データ主権とコンプライアンス: 政府、医療、金融などの分野では、データ所在地またはコンプライアンスの要件を満たす必要があります。 ディスコネクテッド状態で運用すると、データと制御は指定された組織の境界内にとどまります。
辺境または孤立した場所: 辺境や保護区域など、ネットワーク インフラストラクチャが限られている地域では、ディスコネクテッド オペレーションを使用すると、インターネット接続に依存せずに Azure Arc サービスを使用し、ワークロードを実行できます。 たとえば、油田や製造現場などがこれに該当します。
セキュリティ: セキュリティ要件が厳しい業界では、ディスコネクテッド オペレーションにより、システムを外部ネットワークに公開しないことで攻撃対象領域を減らすことができます。
サポートされているサービス
Azure Local のディスコネクテッド オペレーションでは、以下のサービスがサポートされます。
| Service | 説明 |
|---|---|
| Azure portal | Azure Public に似た Azure portal エクスペリエンスを提供します。 |
| Azure Resource Manager (ARM) | サブスクリプション、リソース グループ、ARM テンプレート、Azure コマンド ライン インターフェイス (CLI) を管理および利用できます。 |
| ロールベースの Access Control (RBAC) | RBAC はサブスクリプションとリソース グループ用に実装します。 |
| マネージド ID | マネージド ID をサポートするリソースの種類には、システム割り当てのマネージド ID を使用します。 |
| Arc 対応サーバー | Azure Local 上の Arc VM の VM ゲストを管理します。 |
| Azure Local 向け Arc VM | Azure Local のディスコネクテッド オペレーション機能を使用して、Windows または Linux の仮想マシンをセットアップおよび管理します。 |
| Arc 対応 Kubernetes (K8s) | Azure Local 仮想マシンにデプロイされた Cloud Native Computing Foundation (CNCF) Kubernetes クラスターを接続および管理し、統合された構成と管理を実現します。 |
| Arc for Azure Local で有効になっている Azure Kubernetes Service | Azure Local で Azure Kubernetes (AKS) を設定および管理します。 |
| Azure Local デバイス管理 | Azure Local インスタンスを作成および管理します。ノードの追加や削除の機能が含まれます。 |
| Container Registry | コンテナー レジストリを作成および管理して、コンテナー イメージと成果物を保存および取得します。 |
| キー保管庫 | シークレットを格納およびアクセスするための Key Vault を作成および管理します。 |
| ポリシー | 新しいリソースを作成するときにポリシーを使用して標準を適用します。 |
前提 条件
開始する前に、Azure Local の適切なハードウェアと要件を確認して適用してください。
- Azure Localのシステム要件です。
- 検証済みノード以上の場合は、Azure ローカル カタログ 参照してください。
次のセクションでは、切断された状態で動作するためのハードウェア、統合、アクセスの要件について詳しく説明します。
ハードウェア要件
切断された操作の仮想アプライアンスは、Azure ローカル インスタンスで実行されます。 切断された操作で Azure Local を操作するには、仮想アプライアンスの追加容量を計画する必要があります。 さらに、ローカル コントロール プレーンをホストするため、切断された操作で Azure Local をデプロイして運用するには、より高い最小ハードウェア要件を満たす必要があります。
このチェックリストでは、各ノードが切断された操作仮想アプライアンスをサポートするために必要な最小ハードウェア要件を示します。 容量計画では、VM または AKS ワークロードの追加容量を考慮する必要があります。
| 仕様 | 最小構成 |
|---|---|
| ノードの最小数 | 3 ノード |
| ノードあたりの最小メモリ数 | 64 GB |
| ノードあたりの最小コア数 | 24 物理コア |
| ノードあたりの最小ストレージ数 | 2 TB SSD/NVME |
| 最小ブート ドライブストレージ | 480 GB SSD/NVME |
| ネットワーク | スイッチレスとスイッチドがサポートされています。Azure Local バージョン 23H2 のクラウド デプロイに関するネットワークに関する考慮事項 注: スイッチレス構成は、3 つのノードのクラスター サイズでのみ機能します。 |
統合要件
切断された運用展開プロセスを開始する前に、事前にデプロイして構成する必要がある既存のデータセンター資産と統合する必要があります。
次の表に、Azure Local インスタンスに対して切断操作を正常にデプロイして実行するための要件を示します。
| 面積 | サポートされているシステム | 使用 |
|---|---|---|
| 同一性 | Windows Server 2022 の Active Directory フェデレーション サービス (ADFS)。 | ライトウェイト ディレクトリ アクセス プロトコル (LDAP) は、グループ メンバーシップと同期を提供します。 ADFS は、Open-ID Connect (OIDC) を使用して切断された操作を管理するために、Azure ローカル ポータルに対してユーザーを認証します。 オフライン操作には Active Directory (AD) が必要です。 |
| 公開キー 基盤 (PKI) | プライベートとパブリックの PKI がサポートされています。 パブリック PKI を使用する場合は、インフラストラクチャから証明書失効リスト (CRL) エンドポイントに到達できる必要があります。 プライベート PKI ソリューションとして検証された Active Directory 証明書サービス (ADCS)。 |
Azure ローカル切断操作エンドポイント (TLS) をセキュリティで保護するために証明書を発行します。 |
| ネットワーク タイム プロトコル (NTP) オプション | ローカル タイム サーバーまたはパブリック タイム サーバー。 | タイム サーバーはシステム クロックを同期します。 |
| ドメイン ネーム システム (DNS) | Windows Server 上の DNS ロールなど、任意の DNS サーバー。 | Azure ローカル切断操作エンドポイントを解決し、イングレス IP を構成するには、ローカル ネットワークで DNS サービスが必要です。 接続モードで切断された操作のためにアプライアンスを実行する場合、ログとテレメトリの Microsoft ドメイン名を解決するには DNS サーバーが必要です。 |
統合コンポーネントのデプロイと構成の詳細については、以下を参照してください。
- Windows Server に DNS サーバーをインストールして構成する
- Windows タイム サービス
- Active Directory Domain Services の概要
- Active Directory 証明書サービスとは
- Active Directory 証明書サービス の実装と管理
- ADFS 2016 のデプロイ
- Windows Server 用 ADFS のデザイン オプション
アクセス要件
切断された操作を正常に構成し、必要なリソースを作成するには、次のリソースを作成および変更するための適切なアクセスとアクセス許可が必要です。
| コンポーネント | アクセスが必要 |
|---|---|
| AD + ADFS | LDAP 統合を容易にするために、組織単位の読み取りアクセス権を持つサービス アカウントを作成します。 ADFS (OIDC) の構成をエクスポートします。 |
| DNS | 切断された操作エンドポイントの検索を提供する DNS レコードまたはゾーンを作成するためのアクセス。 |
| PKI | 切断された操作エンドポイント (TLS) をセキュリティで保護するために証明書を作成およびエクスポートする機能。 |
| ネットワーク | 必要な変更を確実に行うことができるように、ファイアウォールへのアクセス (ローカル ファイアウォールが実装されている場合)。 |
プレビュー参加条件
プレビューに参加するには、次の条件を満たす必要があります。
エンタープライズ契約: 通常、3 年以上の期間を対象とする、Microsoft との有効なエンタープライズ契約。
ディスコネクテッド状態で運用するビジネス ニーズ: ディスコネクテッド オペレーション機能は、接続の問題や規制上の制限により Azure に接続できないお客様向けです。 プレビューに参加するには、ディスコネクテッド状態で運用する正当なビジネス ニーズを明示する必要があります。 詳細については、「切断操作を使用する理由」を参照してください。.
技術的な前提条件: Azure Local をディスコネクテッド状態で運用する際の安全性と信頼性を確保するために、組織で技術要件を満たしている必要があります。 詳細については、「前提条件の」を参照してください。
ハードウェア: プレビュー期間中、ディスコネクテッド オペレーション機能は、検証済みの Azure Local ハードウェアでサポートされます。 検証済みの Azure Local ハードウェアをご用意いただく必要があります。 サポートされている構成の一覧については、Azure Local ソリューション カタログを参照してください。
作業開始
プレビューにアクセスするには、このフォームに記入して承認をお待ちいただく必要があります。 フォームを送信してから 10 営業日以内に、"承認"、"拒否"、"待機中"、"追加情報要" などの状態が通知されます。
承認されると、Azure Local の入手、ダウンロード、ディスコネクテッド オペレーションの開始に関する詳細な手順が届きます。
この機能は、Azure Local 2411.2 でのみ使用できます。