次の方法で共有

Arc 対応 VMware vSphere for Azure VMware Solution プライベート クラウドをデプロイする

この記事では、Arc 対応 VMware vSphere for Azure VMware Solution プライベート クラウドをデプロイする方法について説明します。 必要なコンポーネントを設定したら、Azure portal から Azure VMware Solution vCenter Server で操作を実行する準備が整います。

Arc 対応の Azure VMware Solution を使用すると、次のアクションを実行できます。

  • VMware vSphere リソース (VM、テンプレート、ネットワーク、データストア、クラスター/ホスト/リソース プール) を特定し、大規模に Arc に登録します。
  • 次のように、Azure から直接異なる仮想マシン (VM) 操作を実行します。Azure と一貫して VMware VM の作成、サイズ変更、削除、電源サイクル操作 (開始/停止/再起動) を行います。
  • 開発者とアプリケーション チームがロールベースのアクセス制御でオンデマンドで VM 操作を使用できるようにします。
  • Arc に接続されたマシン エージェントをインストールして、それらを管理、保護、構成、監視します。
  • Azure で VMware vSphere リソース (VM、テンプレート、ネットワーク、ストレージ) を参照する

前提条件

Arc for Azure VMware Solution をデプロイするには、次の前提条件が満たされていることを確認する必要があります。

  • 次の登録機能は、Azure CLI を使用したプロバイダー登録用です。
  az provider register --namespace Microsoft.ConnectedVMwarevSphere   
  az provider register --namespace Microsoft.ExtendedLocation  
  az provider register --namespace Microsoft.KubernetesConfiguration   
  az provider register --namespace Microsoft.ResourceConnector    
  az provider register --namespace Microsoft.AVS
  • または、ご自分のサブスクリプションにサインインして、次の手順のようにしてもかまいません。
  1. [リソース プロバイダー] タブに移動します。
  2. 上で示したリソース プロバイダーを登録します。

重要

これらのリソースを個別のリソース グループに作成することはできません。 Azure VMware Solution プライベート クラウドが作成された場所と同じリソース グループを使用してリソースを作成してください。

Azure VMware Solution 用 の Arc Resource Bridge をデプロイするためのオンボード プロセスを開始するように設定するには、次のものが必要です。

  • オンボード プロセスを開始する前に、リージョンのサポートを検証します。 Arc for Azure VMware Solution は、オンプレミスの Arc for VMware vSphere がサポートされているすべてのリージョンでサポートされています。 詳細については、「Azure Arc 対応 VMware vSphere」をご覧ください。

  • vCenter Server へのサイトの Direct Line があるインターネット アクセスを持つ管理 VM

  • Azure Arc を使用して Azure VMware Solution VM を管理するためのサポート マトリックス

  • デプロイに進む前に、Azure Arc リソース ブリッジのシステム要件が満たされていることを確認します。

  • vCenter Server へのサイトの Direct Line があるインターネット アクセスを持つ管理 VM

  • 管理 VM から vCenter Server および NSX Manager ポータルにアクセスできることを確認します。

  • 所有者または共同作成者のロールがあるサブスクリプション内のリソース グループ。

  • Arc for Azure VMware Solution OVA のデプロイに使われる静的なネットワーク セグメントである、使われていない NSX ネットワーク セグメント。 未使用の NSX ネットワーク セグメントが存在しない場合は作成されます。

  • ファイアウォールとプロキシ URL は、管理マシンとアプライアンス VM から必要な Arc リソース ブリッジ URL への通信を有効にするために、許可リストに載せる必要があります。 詳細については、「 Azure Arc リソース ブリッジのシステム要件を確認 する」を参照してください。

  • さらに、Azure VMware Solution には次のものが必要です。

    サービス 港 / ポート URL Direction 注記
    aka.ms ショートリンク 443 https://aka.ms/* 管理仮想マシンからの送信 Azure CLI インストーラーとリダイレクトに使用されます
    GitHub (リポジトリ) 443 https://github.com/vmware/govmomi/* または https://github.com/* 管理仮想マシンからの送信 GitHub リリース ファイルとリポジトリ
    GitHub 未加工のコンテンツ 443 https://raw.githubusercontent.com/Azure/azure-cli/* または https://raw.githubusercontent.com/* 管理仮想マシンからの送信 GitHub からの生ファイル アクセス

  • vCenter Server の要件

    • vCenter Server バージョンが 7.0 以降であることを確認します。
    • 管理 VM から vCenter Server にアクセスできることを確認します。 管理 VM は、FQDN または IP アドレスを使用して vCenter Server にアクセスできる必要があります。
    • 16 GB の RAM と 4 つの vCPU の最小容量を持つリソース プールまたはクラスター。
    • リソース プールまたはクラスターを通じて利用できる、少なくとも 100 GB の空きディスク領域があるデータストア。

    • プライベート エンドポイントは現在サポートされていません。
    • お客様は静的 IP アドレスのみを使用できます。DHCP サポートは現在提供されていません。

カスタム DNS を使用する場合は、次の手順を使用します。

  1. Azure VMware Solution プライベート クラウドで、DNS ページの [ワークロード ネットワーク] で **[DNS] を選択し、[DNS ゾーン] タブで既定のフォワーダー ゾーンを特定します。
  2. フォワーダー ゾーンを編集して、カスタム DNS サーバー IP を追加します。 カスタム DNS を最初の IP として追加することで、要求を最初の IP に直接転送し、再試行回数を減らすことができます。

デプロイに関する考慮事項

Azure VMware Solution でソフトウェアを Azure のプライベート クラウドとして実行すると、Azure 外で環境を運用することでは実現できない利点がいくつかあります。 SQL Server や Windows Server などの仮想マシン (VM) で実行されているソフトウェアの場合、Azure VMware Solution で実行すると、無料の拡張セキュリティ更新プログラム (ESU) など、より多くの価値が提供されます。

Azure VMware Solution で実行する利点を活用するには、この記事のようにして Arc を有効にし、エクスペリエンスと Azure VMware Solution プライベート クラウドを完全に統合します。 または、次のメカニズムを使用した Arc 対応 VM では、AZURE VMware Solution の一部として VM とソフトウェアを登録するために必要な属性を作成できず、次の場合に SQL Server ESU の課金が行われます。

  • Arc 対応サーバー
  • Arc 対応 VMware vSphere
  • Azure Arc で有効になっている SQL Server

Azure ロールとアクセス許可

Arc 対応 VMware vSphere に関連する操作に必要な最小限の Azure ロールは次のとおりです。

オペレーション 最低限必要なロール Scope
Arc への vCenter Server のオンボード Azure Arc VMware プライベート クラウドのオンボード オンボード先のサブスクリプションまたはリソース グループ
Arc 対応 VMware vSphere の管理 Azure Arc VMware 管理者 vCenter サーバー リソースが作成されるサブスクリプションまたはリソース グループ
VM のプロビジョニング Azure Arc VMware プライベート クラウド ユーザー リソース プール、クラスター、ホスト、データストア、仮想ネットワーク リソースを含むサブスクリプションまたはリソース グループ、またはリソース自体
VM のプロビジョニング Azure Arc VMware VM 共同作成者 VM をプロビジョニングしたいサブスクリプションまたはリソース グループで
VM 操作 Azure Arc VMware VM 共同作成者 VM を含むサブスクリプションまたはリソース グループ、もしくはその VM 自体に対して

所有者や共同作成者など、同じスコープに対する高いアクセス許可を持つロールでも、上記の操作を実行できます。

オンボード プロセス

次の手順に従って、Azure Arc for Azure VMware Solution をオンボードするプロセスについて説明します。

  1. 管理 VM にサインインし、次の場所から圧縮ファイルの内容を抽出します。 抽出されたファイルには、ソフトウェアをインストールするためのスクリプトが含まれています。
  2. "config_avs.json" ファイルを開き、すべての変数を事前設定します。

構成 JSON

{
  "subscriptionId": "",
  "resourceGroup": "",
  "privateCloud": "",
  "isStatic": true,
  "staticIpNetworkDetails": { 
  "networkForApplianceVM": "", 
  "networkCIDRForApplianceVM": ""
   },
   "applianceCredentials": { 
   "username": "", 
   "password": "" 
  }, 
  "applianceProxyDetails": { 
  "http": "", 
  "https": "", 
  "noProxy": "", 
  "certificateFilePath": "" 
  }, 
  "managementProxyDetails": { 
  "http": "", 
  "https": "", 
  "noProxy": "", 
  "certificateFilePath": "" 
  } 
   }
  • subscriptionIdresourceGroupprivateCloud の各名前を事前設定します。
  • isStatic は常に true とします。
  • networkForApplianceVM は、Arc アプライアンス VM に使用するセグメントの名前です。 まだ存在していない場合は作成されます。
  • networkCIDRForApplianceVM は、Arc アプライアンス VM に使用するセグメントの IP CIDR です。 これは一意である必要があり、Azure VMware Solution 管理 IP CIDR の他のネットワークには影響しません。
  • GatewayIPAddress は、Arc アプライアンス VM に使用するセグメントのゲートウェイです。
  • applianceControlPlaneIpAddress は、Kubernetes API サーバーの IP アドレスです。指定したセグメントの IP CIDR の範囲内にある必要があります。 K8s ノード プールの IP 範囲に含まれていてはいけません。
  • k8sNodeIPPoolStartk8sNodeIPPoolEnd は、アプライアンス VM に割り当てる IP プールの開始 IP と終了 IP です。 どちらも networkCIDRForApplianceVM 内に存在する必要があります。
  • k8sNodeIPPoolStartk8sNodeIPPoolEndgatewayIPAddressapplianceControlPlaneIpAddress は省略可能です。 すべての省略可能フィールドをスキップすることも、すべての省略可能フィールドに値を指定することもできます。 省略可能フィールドを指定しない場合、networkCIDRForApplianceVM に /28 アドレス空間を使用し、最初の IP をゲートウェイとして指定する必要があります。
  • すべてのパラメーターが指定されている場合、K8sNodeIPPoolStart と k8sNodeIPPoolEnd の間の IP について、ファイアウォールとプロキシの URL を許可リストに載せる必要があります。
  • 省略可能なフィールドをスキップする場合、セグメント内の次の IP について、ファイアウォールとプロキシ URL を許可リストに載せる必要があります。 networkCIDRForApplianceVM が x.y.z.1/28 の場合、許可リストに載せる IP は、x.y.z.11 から x.y.z.14 の間のものです。 「Azure Arc リソース ブリッジのネットワーク要件」を参照してください。 

JSON の例

{  
  "subscriptionId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
  "resourceGroup": "test-rg",
  "privateCloud": "test-pc",
  "isStatic": true,
  "staticIpNetworkDetails": { 
   "networkForApplianceVM": "arc-segment",  
   "networkCIDRForApplianceVM": "10.14.10.1/28" 
  },
  "applianceCredentials": {
  "username": "",
  "password": ""
  },
 "applianceProxyDetails": {
 "http": "http://contoso-proxy.com",
 "https": "https://contoso-proxysecured.com",
 "noProxy": "localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16,.5edef8ac24a6b4567785cd.australiaeast.avs.azure.com",
 "certificateFilePath": "C:\Users\sampleUser.sslProxy.crt"
 },
  "managementProxyDetails": { 
  "http": " http://contoso-proxy.com ", 
  "https": "https://contoso-proxysecured.com", 
  "noProxy": "localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16,.5edef8ac24a6b4567785cd.australiaeast.avs.azure.com", 
    "certificateFilePath": "C:\Users\sampleUser.sslProxy.crt"
  }
}

  1. インストール スクリプトを実行します。 必要に応じて、Windows または Linux ベースのジャンプ ボックス/VM からこのプレビューを設定できます。

    次のコマンドを実行して、インストール スクリプトを実行します。

    スクリプトは署名されていないため、PowerShell で実行ポリシーをバイパスする必要があります。 次のコマンドを実行します。

    Set-ExecutionPolicy -Scope Process -ExecutionPolicy ByPass; .\run.ps1 -Operation onboard -FilePath {config-json-path}

  2. その他の Azure リソースがリソース グループに作成されます。

    • リソース ブリッジ
    • カスタムの場所
    • VMware vCenter サーバー

  3. SSL プロキシの構成

プロキシを使用する場合は、Azure サービスに接続するために、プロキシを使用するように Arc リソース ブリッジを構成する必要があります。 この方法では、スクリプトを使用してオンボード プロセス中に他のパラメーターを指定する必要があります。

  • applianceProxyDetails- ネットワーク内の Arc アプライアンスのデプロイに使用するプロキシの詳細。
  • managementProxyDetails- スクリプトを実行するために管理 VM で使用されるプロキシの詳細。 これらの詳細は、管理 VM の既存のプロキシ設定を設定またはオーバーライドする場合にのみ指定します。
  • http - http 要求のプロキシ サーバー アドレス。
  • https - https 要求のプロキシ サーバー アドレス。
  • noProxy - プロキシから除外する必要があるアドレスの一覧。 アプライアンスと管理 VM の両方の Arc Deployment で除外する必要があるエンドポイントは、-localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16,<esxihost エンドポイントの共通サフィックスです。>
  • certificateFilePath - SSL プロキシの場合に認証に使用する必要がある証明書。 Arc デプロイのプロキシ構成の詳細については、 Azure Arc リソース ブリッジのネットワーク要件を確認してください。

重要

Arc リソース ブリッジは、認証されていないプロキシ、基本認証を使用したプロキシ、SSL 終端プロキシ、SSL パススルー プロキシなどの、直接 (明示的) プロキシのみをサポートします。

スクリプトが正常に実行されたら、状態を確認して、Azure Arc が構成されているかどうかを確認します。 プライベート クラウドが Arc 対応であるかどうかを確認するには、次の操作を実行します:

  • 左側のナビゲーションで [操作] を探します。
  • [Azure Arc] を選択します。
  • Azure Arc の状態が "構成済み" と表示されます。

失敗したデプロイから復旧するには:

Azure Arc リソース ブリッジのデプロイに失敗した場合は、「Azure Arc リソース ブリッジのトラブルシューティング」ガイドを参照してください。 Azure Arc リソース ブリッジのデプロイが失敗する理由は多数ありますが、その 1 つは KVA タイムアウト エラーです。 KVA タイムアウト エラーの詳細とトラブルシューティング方法について説明します。

重要

Azure Arc リソース ブリッジのインストールを正常に完了したら、リソース ブリッジの config.yaml ファイルのコピーを、簡単に取得できる場所に保管しておくことをお勧めします。 これらのファイルは、後でリソース ブリッジで管理操作 ( az arc appliance upgrade など) を実行するコマンドを実行するために必要になる場合があります。 3 つの .yaml ファイル (構成ファイル) は、スクリプトを実行したのと同じフォルダーにあります。

VMware vSphere インフラストラクチャ リソースを検出して Azure に投影する

プライベート クラウドに Arc アプライアンスを正しくデプロイしたら、次の操作を実行できます。

  • プライベート クラウド内から、左側のナビゲーションにある [操作] > [Azure Arc] で状態を確認します。
  • プライベート クラウドの左側のナビゲーションから、[プライベート クラウド][Azure Arc vCenter Server リソース] を選択し、VMware vSphere インフラストラクチャ リソースを確認します。
  • VMware vSphere インフラストラクチャ リソースを検出し、[プライベート クラウド] > [Arc vCenter Server リソース] > [Virtual Machines] の順に移動し、Azure に投影します。
  • VM と同様、ネットワーク、テンプレート、リソース プール、データストアは、顧客が Azure で有効にできます。

Azure で仮想マシン、リソース プール、クラスター、ホスト、データストア、ネットワーク、VM テンプレートを有効にする

Azure VMware Solution プライベート クラウドを Azure に接続したら、Azure portal から vCenter Server インベントリを参照できます。 このセクションでは、これらのリソースを Azure で有効にする方法について説明します。

VMware vSphere リソースでの Azure Arc の有効化は、vCenter Serverでの読み取り専用の操作です。 つまり、vCenter Server のリソースに変更は加えられません。

  1. Azure VMware Solution プライベート クラウドの左側のナビゲーションで、vCenter Server インベントリを見つけます。
  2. 有効にするリソースを選んで、[Azure で有効にする] を選択びます。
  3. お使いの Azure サブスクリプションリソース グループを選択し、[有効にする] を選択します。

有効化アクションによってデプロイが開始され、Azure にリソースが作成され、VMware vSphere リソースの代表的なオブジェクトが Azure に作成されます。 ロールベースのアクセス制御を使用して、これらのリソースにアクセスできるユーザーをより細かく管理できます。

1 つ以上の仮想マシン、ネットワーク、リソース プール、VM テンプレート リソースについて、前の手順を繰り返します。

さらに、仮想マシンの場合は、 VM 拡張機能を構成するための別のセクションがあります。 これにより、ゲスト管理を使って、さらに Azure 拡張機能を VM にインストールできるようになります。 これを有効にする手順は次のとおりです:

  1. [ゲスト管理を有効する] を選択します。
  2. Arc エージェントの [接続方法] を選択します。
  3. VM の管理者/ルート アクセス ユーザー名とパスワードを指定します。

ゲスト管理を別の手順として有効にするか、VM 拡張機能のインストール手順に問題がある場合は、「 ゲスト管理を有効にして Arc 対応 VM に拡張機能をインストールする」を参照してください。

次の手順