3.4K Views
October 02, 23
スライド概要
Azure Arc対応サーバーの展開と管理
Azure Arc 対応サーバーの展開
前提条件
展開手法
グループ ポリシーを使用して大規模にAzure Arc 対応サーバーを接続する
Azure Arc 対応サーバーの接続/オンボード/登録について補足
Azure Arc 対応サーバーへAzure Monitor エージェントを展開:ポリシー
Azure Arc 対応サーバーへAzure Monitor エージェントを展開:イニシアティブ
Azure Arc 対応サーバーの Defender for Cloud
Azure Arc 対応サーバーの管理
Azure Monitor
Azure Arc 対応サーバーとDefender for Cloud
Azure Update ManagementもといAzure Update Manager
まとめ
参考情報
---
Deployment and Management of Azure Arc Enabled Servers
Deploying Azure Arc enabled servers
Prerequisites
Deployment Method
Connecting Azure Arc-enabled servers at scale using group policies
Connecting/Onboarding/Registering Azure Arc Enabled Servers Supplemental
Deploying Azure Monitor agent to Azure Arc-enabled servers: policies
Deploying Azure Monitor Agent to Azure Arc Enabled Servers: Initiative
Defender for Cloud on Azure Arc-enabled servers
Managing Azure Arc-enabled servers
Azure Monitor
Azure Arc-enabled servers and Defender for Cloud
Azure Update Management or Azure Update Manager
Summary
Reference Information
WindowsとSC 2019、Linuxも。いまは主にS2DとWindows Admin Center。趣味は、 風景、花、サーフィンの写真撮影、ガンプラ。Microsoft MVP CDM, MCSE Private Cloud, RHCSEです。
Azure Arc対応サーバーの展開と管理 Microsoft MVP Cloud and Datacenter Management 指崎 則夫 Norio Sashizaki 2023年09月30日
ご注意 本セッションの内容は、所属社の見解ではありません。 本セッションの内容で、正式リリース前の情報を扱っています。 本セッションの内容は、発表時点の情報に基づくこと、ご了承ください。 2023/09/30 2
自己紹介 指崎則夫(さしざきのりお) http://sashiz.seesaa.net → http://sashiz.wordpress.com → http:// sshzk.blogspot.com http://www.slideshare.net/noriosashizaki/ https://www.docswell.com/user/sshzk https://speakerdeck.com/sashizaki https://www.facebook.com/norio.sashizaki https://mstdn.jp/web/@sshzknr @sshzk https://www.linkedin.com/in/norio-sashizaki-a4208a89/ SCUGJ運営スタッフ Microsoft MVP Cloud and Datacenter Management 2014/01~2023/06 Windows Server 2016、Windows Server 2019、 Windows Server 2022、 System Center 2019、S2D/Azure Stack HCI、 Azure Stack Hub、Windows Admin Centerなど 写真撮影 ガンプラ… 2023/09/30 3
アジェンダ Azure Arc 対応サーバーの展開 前提条件 展開手法 グループ ポリシーを使用して大規模にAzure Arc 対応サーバーを接続する Azure Arc 対応サーバーの接続/オンボード/登録について補足 Azure Arc 対応サーバーへAzure Monitor エージェントを展開:ポリシー Azure Arc 対応サーバーへAzure Monitor エージェントを展開:イニシアティブ Azure Arc 対応サーバーの Defender for Cloud Azure Arc 対応サーバーの管理 Azure Monitor Azure Arc 対応サーバーとDefender for Cloud Azure Update ManagementもといAzure Update Manager まとめ 参考情報 2023/09/30 4
Azure Arc 対応サーバーの展開 前提条件 2023/09/30 5
Azure Arc 対応サーバーの展開:前提 下記の前提条件より引用します。 https://learn.microsoft.com/ja-jp/azure/azure-arc/servers/plan-at-scaledeployment#prerequisites Connected Machine Agent でサポートされているオペレーティング システムが、お使いのマシンで実行されて いる必要があります。 Connected Machine エージェントの前提条件 https://learn.microsoft.com/ja-jp/azure/azure-arc /servers/prerequisites お使いのマシンが、オンプレミスのネットワークまたはその他のクラウド環境から、直接またはプロキシ サーバーを介し て Azure 内のリソースに接続できる必要があります。 Azure Connected Machine Agent をインストールして構成するには、マシンに昇格された特権 (つまり、管 理者またはルート) を持つアカウントが必要です。 マシンをオンボードするには、Azure Connected Machine のオンボードの Azure 組み込みロールを持ってい る必要があります。 マシンの読み取り、変更、削除を行うには、Azure Connected Machine リソース管理者の Azure 組み込 みロールを持っている必要があります。 2023/09/30 6
Azure Arc 対応サーバーの展開 展開手法 2023/09/30 7
Azure Arc 対応サーバーの展開(1/2) フェーズ 1: 基盤を構築する https://learn.microsoft.com/ja-jp/azure/azure-arc/servers/plan-at-scaledeployment#phase-1-build-a-foundation より引用したのは、事前に用意しておくリソースなどです。 リソース グループの作成 マシンの整理に役立つタグを適用 Azure Monitor ログを設計してデプロイ Azure Policy ガバナンス計画を作成 イニシアティブも含む ロールベースのアクセス制御 (RBAC) を構成 2023/09/30 8
Azure Arc 対応サーバーの展開(2/2) フェーズ 2: Azure Arc 対応サーバーをデプロイする https://learn.microsoft.com/ja-jp/azure/azure-arc /servers/plan-at-scale-deployment#phase-2-deployazure-arc-enabled-servers Azure Connected Machine エージェントのデプロイ オプション https://learn.microsoft.com/ja-jp/azure/azure-arc /servers/deployment-options より下記の多数の方法を引用しました。本日は赤字の部分について振り返ります。 対話型 1. デプロイ スクリプトを使用してハイブリッド マシンを Azure に接続する 2. Windows Admin Center からハイブリッド マシンを Azure に接続する 3. PowerShell を使用してハイブリッド マシンを Azure に接続する 4. Windows PowerShell DSC を使用して Connected Machine エージェントをインストールする方法 大規模型 1. ハイブリッド マシンを大規模に Azure に接続する AADのサービスプリンシパルを使用します。 2. Configuration Manager で PowerShell スクリプトを実行して大規模にコンピューターを接続する 3. Configuration Manager カスタム タスク シーケンスを使用して大規模にマシンを接続する 4. グループ ポリシーを使用して大規模にマシンを接続する 上記1にも記載したAADのサービスプリンシパルを使用します。 5. Ansible プレイブックを使用してマシンを大規模に接続する 6. Automation Update Management から Azure にハイブリッド マシンを接続する 2023/09/30 9
Azure Arc 対応サーバーの展開 グループ ポリシーを使用して大規模にAzure Arc 対応サーバーを接続する 2023/09/30 10
グループ ポリシーを使用して大規模にAzure Arc 対応サーバーを接続する (1/7) グループ ポリシーを使用して大規模にマシンを接続する https://learn.microsoft.com/ja-jp/azure/azure-arc/servers/onboard-group-policypowershell に沿ってご説明します。 原文では、5つのステップとグループポリシーの展開です。 上記をあわせて大きく6つのステップと解釈してご説明します、あしからずご了承ください。 下記ブログ記事にも解説を載せていますので、あわせてご参照ください。 グループポリシーでAzure Arcエージェントを展開する https://sshzk.blogspot.com/2023/05/azure-arc.html 2023/09/30 11
グループ ポリシーを使用して大規模にAzure Arc 対応サーバーを接続する (2/7) グループ ポリシーを使用して大規模にマシンを接続する (1/6) Windows 用の Azure Connected Machine エージェント パッケージと構成ファイルを配置する ためファイル共有を作成します。ファイル共有のアクセス権としては、Domain Admins、 Domain Computers、Domain Controllersに対して変更を付与します。右記の画像は、Domain Adminに変更を付与した状態で、この後Domain Computers、Domain Controllers にも同様の 権限を割り当てました。 2023/09/30 12
グループ ポリシーを使用して大規模にAzure Arc 対応サーバーを接続する (3/7) グループ ポリシーを使用して大規模にマシンを接続する (2/6) ハイブリッド マシンを大規模に Azure に接続する → Connected Machine エージェントの前提条件 を確認します。 リソースグループに対して、Azure リ ソース プロバイダーの登録がすべてで きているかも大事です。 大規模なオンボーディング用のサービス プリンシパルを作成する に沿ってサー ビスプリンシパルを作成します。ちなみ に有効期限は、1か月にしてあります。 続いてサービスプリンシパルのシークレットをダウ ンロードします。 サービスプリンシパルが作成されたことを確認し ました。 2023/09/30 13
グループ ポリシーを使用して大規模にAzure Arc 対応サーバーを接続する (4/7) グループ ポリシーを使用して大規模にマシンを接続する (3/6) 最新バージョンの Azure Connected Machine エージェント Windows インストーラー パッケージをダウンロードし、 前述のファイル共有配下へ配置します。本稿執筆時点では、1.0.6です。 https://github.com/Azure/ArcEnabledServersGroupPolicy/releases/latest/ 2023/09/30 14
グループ ポリシーを使用して大規模にAzure Arc 対応サーバーを接続する (5/7) グループ ポリシーを使用して大規模にマシンを接続する (4/6) 最新バージョンの Azure Connected Machine エージェント Windows インストーラー パッケージをダウンロー ドし、前述のファイル共有配下へ配置します。 https://aka.ms/AzureConnectedMachineAgent 2023/09/30 15
グループ ポリシーを使用して大規模にAzure Arc 対応サーバーを接続する (6/7) グループ ポリシーを使用して大規模にマシンを接続する (5/6) ドメインコントローラーに項番3で展開したファイル群をコピーします。デプロイ スクリプト DeployGPO.ps1を実行 して、グループポリシーをデプロイします。 ReportServerFQDNパラメーターは、DeployGPO.ps1のコメントに下記の記述があったのでファイル共有をホストする サーバーのFQDNを指定します。 .PARAMETER ReportServerFQDN FQDN of the Server that will act as report Server (and source files) ドメインコントローラーで実行したせいなのかデプロイ完了後に 「グループポリシーの管理」が表示されました。「グループポリ シーオブジェクト」をドリルダウンすると、GPOが作成されてい ることを確認しました。 2023/09/30 16
グループ ポリシーを使用して大規模にAzure Arc 対応サーバーを接続する (7/7) グループ ポリシーを使用して大規模にマシンを接続する (6/6) 今回は、スタンドアロンのWindows ServerをAzure Arcにオンボードします。Windows Server OUに作成したGPOをリンクします。 グループポリシー適用後、サーバーを再起動させるのが良いかもしれません。 2023/09/30 17
Azure Arc 対応サーバーの展開 Azure Arc 対応サーバーの接続/オンボード/登録について補足 2023/09/30 18
Azure Arc 対応サーバーの接続/オンボード/登録について補 足(1/4) サーバーは起動しているのに、Arc Agent Statusがオフラインとなっている場合は、 Azure Connected Machine Agentが最新ではないからかもしれません。 下記赤枠のサーバーが該当しました。 2023/09/30 19
Azure Arc 対応サーバーの接続/オンボード/登録について補 足(2/4) サーバー名をクリック→「問題の診断と解決」→「構成とセットアップ」→「サーバーを Azure Arcに接続できない」を選択 Azure Connected Machine Agent最新版を入手できます。 最新化しなければならないサーバー一覧も確認できます。 2023/09/30 20
Azure Arc 対応サーバーの接続/オンボード/登録について補 足(3/4) Azure Connected Machine Agent最新版へアップグレード後 2023/09/30 21
Azure Arc 対応サーバーの接続/オンボード/登録について補 足(4/4) Windows UpdateによるAzure Connected Machine Agentの更新例 2023/09/30 22
Azure Arc 対応サーバーの展開 Azure Arc 対応サーバーへAzure Monitor エージェントを展開:ポリシー 結論を先に記載します。 ポリシーおよびイニシアティブのどちらも、当該環境において完全なる有効化ができておりません。 別途、仕様を確認する予定です。 2023/09/30 23
Azure Arc 対応サーバーへAzure Monitor エージェントを展 開:ポリシー (1/10) Azure Monitorを構成し終えていること。 Log Analytics ワークスペースを構成し終えていること。 データ収集ルールを構成し終えていること。 当該ポリシーでは使用しないのですが、後述のイニシアティブで使用します。 すでにAzure Arc エージェント(Connected Machine エージェント)がインストール済みの環境では、 Azure Monitorの エージェントではなく拡張機能を有効化します。 ただし、Azureポータルなどでの表記は、Monitor Agentです。 Azure Monitorエージェントを追加インストールしませんので、ご注意ください。 今回、拡張機能を有効化は、Azure Policyを使用します。 Azure Policyとして割り当てるのは、「Windows Arc 対応マシンには Azure Monitor エージェントがインストールされている 必要がある」ではなくて、「Azure Monitor エージェントを実行するように Windows Arc 対応マシンを構成する」です。 「Azure Monitor エージェントを実行するように Windows Arc 対応マシンを構成する」には、修復タスクが有り、拡張機能の割り当てを強制 (修復)できます。 後ほど説明するイニシアティブにはこちらが含まれます。 「Windows Arc 対応マシンには Azure Monitor エージェントがインストールされている必要がある」には、修復タスクが無いため、適用状況の 監査のみです。 Azure Arc対応サーバーをAzure Monitorに関連付ける その3 https://sshzk.blogspot.com/2023/09/azure-arcazure-monitor3.html もご参照ください。 2023/09/30 24
Azure Arc 対応サーバーへAzure Monitor エージェントを展 開:ポリシー (2/10) 「Azure Monitor エージェントを実行するように Windows Arc 対応マシンを構成する」を割り当てま す。 2023/09/30 25
Azure Arc 対応サーバーへAzure Monitor エージェントを展 開:ポリシー (3/10) 「Azure Monitor エージェントを実行するように Windows Arc 対応マシンを構成する」の「基本」で 「スコープ」にサブスクリプション、さらに絞り込みが必要であればリソースグループを指定します。 この例では、ポリシー名とおなじ割り当て名にしていました。ただこれだとわかり にくい気もします。 複数割り当てる場合は、識別子を入れたりなどの工夫が必要と考えます。 2023/09/30 26
Azure Arc 対応サーバーへAzure Monitor エージェントを展 開:ポリシー (4/10) 「Azure Monitor エージェントを実行するように Windows Arc 対応マシンを構成する」の「詳細」はそ のままとします。 2023/09/30 27
Azure Arc 対応サーバーへAzure Monitor エージェントを展 開:ポリシー (5/10) 「Azure Monitor エージェントを実行するように Windows Arc 対応マシンを構成する」の「パラメー ター」で「入力またはレビューが必要なパラメーターのみを表示する」のチェックを外し て”DeployIfNotExists」があるかを確認します。 2023/09/30 28
Azure Arc 対応サーバーへAzure Monitor エージェントを展 開:ポリシー (6/10) 「Azure Monitor エージェントを実行するように Windows Arc 対応マシンを構成する」の「修復」で 「修復タスクを作成する」をチェックします。マネージドIDに対するアクセス許可が表示されていることも要 チェックです。 2023/09/30 29
Azure Arc 対応サーバーへAzure Monitor エージェントを展 開:ポリシー (7/10) 「非準拠メッセージ」を入力します。 2023/09/30 30
Azure Arc 対応サーバーへAzure Monitor エージェントを展 開:ポリシー (8/10) 確認できたので「作成」をクリックします。 2023/09/30 31
Azure Arc 対応サーバーへAzure Monitor エージェントを展 開:ポリシー (9/10) Azure Policyを割り当できました。 うまく割り当たらない場合は、新しい修復タスクを作成して、修復を試みます。 2023/09/30 32
Azure Arc 対応サーバーへAzure Monitor エージェントを展 開:ポリシー (10/10) Azure Monitor拡張機能は割り当たったのですが、さらに有効化が必要でした。 赤枠について「有効にする」をクリックしました。 2023/09/30 33
Azure Arc 対応サーバーへAzure Monitor エージェントを展 開:ポリシー (10/10) 後述のイニシアティブについて試行錯誤する中で、下記に気づきました。 前ページの「有効化」を行うと、データ収集ルールのリソースへ当該サーバーが追加されてます。 2023/09/30 34
Azure Arc 対応サーバーの展開 Azure Arc 対応サーバーへAzure Monitor エージェントを展開:イニシアティブ 2023/09/30 35
Azure Arc 対応サーバーへAzure Monitor エージェントを展 開:イニシアティブ(1/14) というわけで、Azure Policy イニシアティブを使ったほうが簡単です。 VM insightsという名称ではなく、イニシアティブ「AMA で Azure Monitor for Hybrid VMs を有効 にする」もしくは「Enable Azure Monitor for Hybrid VMs with AMA」を割り当てます。 2023/09/30 36
Azure Arc 対応サーバーへAzure Monitor エージェントを展 開:イニシアティブ(2/14) 「基本」で「スコープ」にサブスクリプション、リソースグループを設定します。 この例では、イニシアティブ名とおなじ割り当て名にしていました。ただこれだと わかりにくい気もします。 複数割り当てる場合は、識別子を入れたりなどの工夫が必要と考えます。 2023/09/30 37
Azure Arc 対応サーバーへAzure Monitor エージェントを展 開:イニシアティブ(3/14) 「詳細」はそのままとします。 2023/09/30 38
Azure Arc 対応サーバーへAzure Monitor エージェントを展 開:イニシアティブ(4/14) 「パラメーター」で「VMIのデータ収集ルールのリソースID」を入力します。 データ収集ルールのリソースIDをデータ収集ルール画面のJSONビューからコピー&ペーストします。 補足)データ収集ルールには、プロパティ画面が無いため、JSONビューを使ってください。 補足1)データ収集ルールのリソースIDを設定する類似の手順は、下記手順の項番4に該当しそうです。 非推奨の VM 分析情報ポリシーから置換ポリシーに移行する https://learn.microsoft.com/ja-jp/azure/azure-monitor/vm/vminsights-migrate-deprecated-policies#migrate-from-deprecated-vm-insightspolicies-to-replacement-policies 補足2) よってLog Analytics ワークスペースを選択している下記の手順は、使わないほうが良いですね。 VM insights ポリシー イニシアティブを割り当てる https://learn.microsoft.com/ja-jp/azure/azure-monitor/vm/vminsights-enable-policy#assign-a-vm-insights-policy-initiative 2023/09/30 39
Azure Arc 対応サーバーへAzure Monitor エージェントを展 開:イニシアティブ(5/14) 「修復タスクを作成する」をチェックします。マネージドIDに対するアクセス許可が表示されていることも要 チェックです。 2023/09/30 40
Azure Arc 対応サーバーへAzure Monitor エージェントを展 開:イニシアティブ(6/14) 「非準拠メッセージ」を入力します。 2023/09/30 41
Azure Arc 対応サーバーへAzure Monitor エージェントを展 開:イニシアティブ(7/14) 「作成」をクリックします。 2023/09/30 42
Azure Arc 対応サーバーへAzure Monitor エージェントを展 開:イニシアティブ(8/14) 作成後しばらく待つと、「コンプライアンスの状態」が変わります。 2023/09/30 43
Azure Arc 対応サーバーへAzure Monitor エージェントを展 開:イニシアティブ(9/14) 「コンプライアンスの状態」が一部芳しくないので、念のため修復タスクを作成します。 2023/09/30 44
Azure Arc 対応サーバーへAzure Monitor エージェントを展 開:イニシアティブ(10/14) アクティビティログから状況を確認できます。 2023/09/30 45
Azure Arc 対応サーバーへAzure Monitor エージェントを展 開:イニシアティブ(11/14) Azure Monitor拡張機能(画面上はMonitor Agent)は、Installedになりますが、 サーバーが起動しているのに、オフラインとなっている場合は、 エージェントが最新ではないからかもしれません。 2023/09/30 46
Azure Arc 対応サーバーへAzure Monitor エージェントを展 開:イニシアティブ(12/14) 数時間待っても監視範囲は「有効にする」のままでした。 イニシアティブでデータ収集ルールのリソースIDを 設定済みも、なぜか割り当たらない現象が発生中 2023/09/30 47
Azure Arc 対応サーバーへAzure Monitor エージェントを展 開:イニシアティブ(13/14) 数時間待っても監視範囲は「有効にする」のままでした。 「有効にする」をクリックしてデータ収集ルールの リソースIDを関連付けると監視が有効化されました。 2023/09/30 48
Azure Arc 対応サーバーへAzure Monitor エージェントを展 開:イニシアティブ(14/14) Azure PolicyによるAzure Monitor エージェントの展開による自動化は、当該環境では不完全です。 これが設定ミスなのか含め、別途確認を進めます。 自動化という観点では、下記手法もあります。 VM insights の有効化の概要/インストール オプションとサポートされているマシン https://learn.microsoft.com/ja-jp/azure/azure-monitor/vm/vminsights-enableoverview#installation-options-and-supported-machines Azure リソース マネージャーのテンプレート PowerShell 2023/09/30 49
Azure Arc 対応サーバーの展開 Azure Arc 対応サーバーの Defender for Cloud 2023/09/30 50
Azure Arc 対応サーバーの Defender for Cloud (1/2) サブスクリプションでDefender for Cloudを有効化しておきます。 Connected Machine エージェントのインストール(Azure Arcへの登録/オンボード)で、Defender for Cloudのインベントリに表示されます。 2023/09/30 51
Azure Arc 対応サーバーの Defender for Cloud (2/2) Azure Arc対応サーバーとして登録されると、Defender for Cloudのインベントリに表示されました。 2023/09/30 52
Azure Arc 対応サーバーの管理 Azure Monitor 2023/09/30 53
Azure Monitor (1/2) Azure VMとオンプレミスのAzure Arc対応サーバーを同時表示させています。 なおパフォーマンスの隣にある、マップは無効化されているようです。 2023/09/30 54
Azure Monitor (2/2) 下記に収集ルールのとの関連性について画面を例示します。 2023/09/30 55
Azure Arc 対応サーバーの管理 Defender for Cloud 2023/09/30 56
Azure Arc 対応サーバーとDefender for Cloud (1/7) Microsoft Defender for Cloud とは https://learn.microsoft.com/ja-jp/azure/defender-for-cloud/defender-for-cloudintroduction より、下記を引用 Microsoft Defender for Cloud は、クラウドネイティブ アプリケーション保護プラットフォーム (CNAPP) であり、 さまざまなサイバー脅威や脆弱性からクラウドベースのアプリケーションを保護するように設計された一連のセキュリ ティ対策とプラクティスを備えています。 Defender for Cloud は、次の機能が組み合わされています。 マルチクラウド環境および複数パイプライン環境全体でコード レベルでセキュリティ管理を統合する開発セキュリティ運用 (DevSecOps) ソリューション 侵害を防ぐために実行できるアクションを提示するクラウド セキュリティ態勢管理 (CSPM) ソリューション サーバー、コンテナー、ストレージ、データベース、およびその他のワークロードに固有の保護を備えたクラウド ワークロード保護 プラットフォーム (CWPP) Azure Arc 対応サーバーは、Defender for Cloudのクラウド セキュリティ態勢管理、クラウド ワーク ロード保護プラットフォームに関連付けられる感じです。 2023/09/30 57
Azure Arc 対応サーバーとDefender for Cloud (2/7) インベントリとして、状況を確認できます。 2023/09/30 58
Azure Arc 対応サーバーとDefender for Cloud (3/7) Azure Arc対応サーバーに対する推奨事項を確認できます。 2023/09/30 59
Azure Arc 対応サーバーとDefender for Cloud (4/7) インベントリとして、インストール済みのOSやアプリケーションを確認できます。 2023/09/30 60
Azure Arc 対応サーバーとDefender for Cloud (5/7) セキュリティ態勢の推奨事項を確認できます。 2023/09/30 61
Azure Arc 対応サーバーとDefender for Cloud (6/7) 規制コンプライアンスの状況を確認できます。 2023/09/30 62
Azure Arc 対応サーバーとDefender for Cloud (7/7) ワークロード保護の状況を確認できます。 2023/09/30 63
Azure Arc 対応サーバーの管理 Azure Update Manager 2023/09/30 64
Azure Update Manager (1/11) 2023年9月22日にGAしました。 更新プログラムの適用状況、インストール、スケジュールベースの更新が行えます。 2023/09/30 65
Azure Update Manager (2/11) 更新プログラムの適用状況を表示 2023/09/30 66
Azure Update Manager (3/11) サーバー単位での更新プログラムを詳細表示 2023/09/30 67
Azure Update Manager (4/11) 突合せの観点から、Windows Admin Centerから見た更新プログラムを確認してみました。 2023/09/30 68
Azure Update Manager (5/11) 「1 回限りの更新をインストールする」を用いた手動更新(1/6) 2023/09/30 69
Azure Update Manager (6/11) 「1 回限りの更新をインストールする」を用いた手動更新(2/6) 2023/09/30 70
Azure Update Manager (7/11) 「1 回限りの更新をインストールする」を用いた手動更新(3/6) 二つのオプションを選択します。メンテナンス時間は、既定で235分となっているところを60分へ変更しました。 2023/09/30 71
Azure Update Manager (8/11) 「1 回限りの更新をインストールする」を用いた手動更新(4/6) 「インストール」をクリックします。 2023/09/30 72
Azure Update Manager (9/11) 「1 回限りの更新をインストールする」を用いた手動更新(5/6) 履歴で状況を確認できます。 2023/09/30 73
Azure Update Manager (10/11) 「1 回限りの更新をインストールする」を用いた手動更新(6/6) しばらく待つと状況が更新されます。 2023/09/30 74
Azure Update Manager (11/11) 「1 回限りの更新をインストールする」を用いた手動更新(6/6) いくつか完了した時点でFailedの内容を確認しました。 メンテナンス時間を超過が原因だったものがありました。 メンテナンス時間は、既定の235分以上で考えたほうが良さそうです。もちろん実測値で調整するのも有りです。 更新プログラムの インストール自体は完了 していました。 2023/09/30 75
まとめ 2023/09/30 76
まとめ サーバーをAzure Arcに接続することで、監視、セキュリティ、更新管理がAzure上から行えます。 今回は、オンプレミス環境を例にとりましたが、Azure以外にも適用できるのは、ご存じの通り。 Azure Connected Machine Agentが最新版であると、以後の通信などなにかとスムーズです。 Azure Monitorエージェントの大量展開手法は、いくつかありますので要件に合わせて選択ください。 2023/09/30 77
参考情報 Azure Arc 対応サーバーを計画およびデプロイする https://learn.microsoft.com/ja-jp/azure/azure-arc/servers/plan-at-scaledeployment Connected Machine エージェントの前提条件 https://learn.microsoft.com/ja-jp/azure/azure-arc/servers/prerequisites グループ ポリシーを使用して大規模にマシンを接続する https://learn.microsoft.com/ja-jp/azure/azure-arc/servers/onboard-group-policypowershell グループ ポリシー オブジェクトを適用する https://learn.microsoft.com/ja-jp /azure/azure-arc /servers /onboard-group-policypowershell#apply-the-group-policy-object Connected Machine エージェントの前提条件 https://learn.microsoft.com/ja-jp/azure/azure-arc/servers/prerequisites 2023/09/30 78
参考情報 Azure Arc 対応サーバーの VM 拡張機能を使用して監視エージェントを簡単にデプロイおよび管理する https://learn.microsoft.com/ja-jp/training/modules/monitor-azure-arc-enabled-servers/2-deploy-manage-observability-agents-usingvm-extensions-azure-arc-enabled-servers Azure Arc 対応サーバーを VM Insights にオンボードする https://learn.microsoft.com/ja-jp/training/modules/monitor-azure-arc-enabled-servers/3-onboard-azure-arc-enabled-servers-to-vminsights Azure Policy を使用して VM insights を有効にする https://learn.microsoft.com/en-us/azure/azure-monitor/vm/vminsights-enable-policy https://learn.microsoft.com/en-us/azure/azure-monitor/vm/vminsights-enable-policy#assign-a-vm-insights-policy-initiative https://learn.microsoft.com/ja-jp/azure/azure-monitor/vm/vminsights-enable-policy Azure Arc 対応サーバー上の Azure Monitor エージェントのデプロイ オプション https://learn.microsoft.com/ja-jp/azure/azure-arc/servers/concept-log-analytics-extension-deployment Azure Arc 対応サーバーを使用した仮想マシン拡張機能の管理 https://learn.microsoft.com/ja-jp/azure/azure-arc/servers/manage-vm-extensions Azure Arc 対応サーバー用の拡張機能の自動アップグレード https://learn.microsoft.com/ja-jp/azure/azure-arc/servers/manage-automatic-vm-extension-upgrade?tabs=azure-portal Azure Policy を使って準拠していないリソースを修復する https://learn.microsoft.com/ja-jp/azure/governance/policy/how-to/remediate-resources?tabs=azure-portal 非推奨の VM 分析情報ポリシーから移行する https://learn.microsoft.com/ja-jp/azure/azure-monitor/vm/vminsights-migrate-deprecated-policies VM insights の有効化の概要/インストール オプションとサポートされているマシン https://learn.microsoft.com/ja-jp/azure/azure-monitor/vm/vminsights-enable-overview#installation-options-and-supported-machines 2023/09/30 79
参考情報 Microsoft Defender for Cloud とは https://learn.microsoft.com/ja-jp/azure/defender-for-cloud/defender-for-cloudintroduction Azure 以外のマシンを Microsoft Defender for Cloud に接続する https://learn.microsoft.com/ja-jp/azure/defender-for-cloud/quickstart-onboardmachines 2023/09/30 80