Azure Arc ゲートウェイを使用してネットワーク構成要件を簡素化する

エンタープライズ プロキシを使用して送信トラフィックを管理する場合、Azure Arc ゲートウェイを使用すると、7 つのエンドポイントのみを使用してインフラストラクチャを Azure Arc にオンボードできます。 Azure Arc ゲートウェイを使用すると、次のことが可能になります。

• 7 つの完全修飾ドメイン名 (FQDN) にのみ公衆ネットワーク アクセスを開いて、Azure Arc に接続します。
• Azure Connected Machine エージェントが Arc ゲートウェイ経由で Azure に送信するすべてのトラフィックを表示および監査します。

Azure Arc ゲートウェイのしくみ

Azure Arc ゲートウェイは、次の 2 つの主要なコンポーネントで構成されています。

• Arc ゲートウェイ リソース: Azure トラフィックの共通フロントエンドとして機能する Azure リソース。 このゲートウェイ リソースは、特定のドメインで提供されます。 Arc ゲートウェイ リソースが作成されると、成功時の応答の中でドメインが返されます。

• Arc プロキシ: Azure Arc エージェントに追加された新しいコンポーネント。 このコンポーネントは、"Azure Arc Proxy" というサービスとして Arc 対応リソースのコンテキスト内で実行されます。 これは、Azure Arc エージェントと拡張機能によって使用される前方プロキシとして機能します。 このプロキシの構成は必要ありません。

ゲートウェイが配置されると、トラフィックは次のホップを経由して流れます。 Arc エージェント→ Arc プロキシ→ Enterprise プロキシ→ Arc ゲートウェイ → Target サービス。 Arc ゲートウェイの転送プロトコルの詳細については、「 Arc ゲートウェイ転送プロトコルアーキテクチャ」を参照してください。

アーキテクチャ図を高解像度でダウンロードするには、 Jumpstart Gem にアクセスしてください。

現在の制限

Arc ゲートウェイには、現在次の制限があります。 構成を計画する際は、これらの要因を考慮してください。

• Arc ゲートウェイが使用中の場合、プロキシ バイパスはサポートされません。 azcmagent config set proxy.bypassを実行して機能を使用しようとしても、トラフィックはプロキシをバイパスしません。
• Azure サブスクリプションあたり 5 つの Arc ゲートウェイ リソースには制限があります。
• Arc ゲートウェイは、Azure パブリック クラウドでの接続にのみ使用できます。
• ARC ゲートウェイは、TLS 終了/検査が必要な環境での使用には推奨されません。 環境で TLS 終了/検査が必要な場合は、Arc ゲートウェイ エンドポイント (<Your URL prefix>.gw.arc.azure.com) の TLS 検査をスキップすることをお勧めします。 詳細については、「 Arc ゲートウェイと TLS 検査」を参照してください。

Arc ゲートウェイのセットアップの計画

• リージョンの選択: Arc ゲートウェイはグローバル サービスです。 ランタイム接続は、Microsoft の Azure Front Door グローバル エッジ ネットワークを介して配信されます。これにより、クライアントが最も近いプレゼンス ポイントに自動的にルーティングされ、待ち時間の短いアクセスとシームレスなフェールオーバーが実現されます。 ゲートウェイの作成時に選択するリージョンによって、コントロール プレーンのみが決定されます (ゲートウェイ リソースと管理メタデータが存在し、作成/更新/削除が行われる場所)。ゲートウェイのランタイム エンドポイントやパフォーマンスは制限されません。 たとえば、米国東部と西ヨーロッパを選択しても、クライアントが実行時に接続する場所は変わりません。管理プレーンの配置とポリシー/RBAC のローカリティにのみ影響します。
• Arc ゲートウェイ リソースあたりの Arc 対応リソース: Arc ゲートウェイを使用して Azure Arc デプロイを計画する場合は、環境に必要なゲートウェイ リソースの数を決定する必要があります。 これは、各 Azure リージョンで管理する予定のリソースの数によって異なります。 Arc 対応サーバーの場合のみ、一般的な経験則として、1 つの Arc ゲートウェイ リソースで Azure リージョンあたり 2,000 個のリソースを処理できます。 Arc 対応サーバー、Arc 対応 Kubernetes クラスター、Azure Local インスタンスの組み合わせで Arc ゲートウェイを使用する場合は、 提供されている数式 を使用して、必要な Arc ゲートウェイ リソースの数を計算します。

必要なアクセス許可

Arc ゲートウェイ リソースを作成し、Arc 対応サーバーとの関連付けを管理するには、ユーザーが Arc Gateway Manager ロールを持っている必要があります。

Arc ゲートウェイ リソースを作成する

Arc ゲートウェイ リソースは、Azure portal、Azure CLI、または Azure PowerShell を使用して作成できます。 通常、これらの手順を完了した後、Arc ゲートウェイ リソースの作成には約 10 分かかります。

    New-AzArcgateway `
        -name <gateway’s name> `
        -resource-group <resource group> `
        -___location <region> `
        -subscription <subscription name or id> `
        -gateway-type public

必要な URL へのアクセスを確認する

リソースが正常に作成されると、成功時の応答に Arc ゲートウェイ URL が含まれます。 Arc リソースが存在する環境で、Arc ゲートウェイの URL とこれらの URL がすべて許可されていることを確認します。

Arc ゲートウェイ リソースを使用して新しい Azure Arc リソースをオンボードする

1. インストール スクリプトを生成します。

   「クイック スタート: Azure Arc 対応サーバーにハイブリッド マシンを接続する」の手順に従って、Azure Connected Machine Agent のダウンロードとインストールを自動化し、Azure Arc との接続を確立するスクリプトを作成します。

   Important

   オンボード スクリプトを生成するときは、[接続方法] セクションで [パブリック エンドポイント] が選択されていることを確認し、[ゲートウェイ リソース] ドロップダウンで Arc ゲートウェイ リソースが選択されていることを確認します。

2. インストール スクリプトを実行して、サーバーを Azure Arc にオンボードします。

   スクリプトでは、Arc ゲートウェイ リソースの ARM ID は --gateway-id と表示されます。

Arc ゲートウェイを使用するように既存の Azure Arc リソースを構成する

Azure portal、Azure CLI、または Azure PowerShell を使用して、既存の Azure Arc リソースを Arc ゲートウェイ リソースに関連付けることができます。

1.50 以前の Connected Machine エージェントでは、 azcmagent config set connection.type gateway を実行して Arc ゲートウェイを使用するように Arc 対応サーバーを更新する必要もあります。 エージェント バージョン 1.51 以降では、操作が自動的に実行されるため、この手順は必要ありません。 最新バージョンの Connected Machine エージェントを使用することをお勧めします。

Arc ゲートウェイのセットアップが成功したことを確認する

オンボードされたサーバーで、次のコマンドを実行します。 azcmagent show

結果は、次の値を示す必要があります。

• [Agent Status] は [Connected] と表示されます。
• [Using HTTPS Proxy] は http://localhost:40343 のように表示されます。
• [Upstream Proxy] は、エンタープライズ プロキシとして表示されます (設定した場合)。 ゲートウェイ URL にゲートウェイ リソースの URL が反映されるはずです。

さらに、セットアップが成功したことを確認するには、次のコマンドを実行します。 azcmagent check

この結果では、connection.type がゲートウェイに設定されていることが示され、[到達可能] 列では、すべての URL に対して true が表示されています。

Arc ゲートウェイの関連付けを削除する

Arc ゲートウェイを無効にし、Arc ゲートウェイ リソースと Arc 対応クラスターの間の関連付けを削除できます。 これにより、代わりに直接トラフィックが使用される Arc 対応クラスターが作成されます。

1. 次のコマンドを実行して、Arc 対応サーバーの接続の種類を "ゲートウェイ" ではなく "direct" に設定します。

   azcmagent config set connection.type direct

   Note

   この手順を実行する場合、Azure Arc を引き続き使用するには、環境内のすべての Azure Arc ネットワーク要件 が満たされている必要があります。

2. Arc ゲートウェイ リソースをマシンからデタッチする:

   • Portal
   • CLI
   • PowerShell

   1. Azure portal で、 Azure Arc - Azure Arc ゲートウェイに移動します。

   2. Arc ゲートウェイ リソースを選択します。

   3. ゲートウェイ リソースのサービス メニューで、[関連付けられているリソース] を選択します。

   4. サーバーを選びます。

   5. [削除] を選択します。

Arc ゲートウェイ リソースを削除する

Arc ゲートウェイ リソースは、Azure portal、Azure CLI、または Azure PowerShell を使用して削除できます。 この操作は、完了するまでに最大 5 分かかる場合があります。

az arcgateway delete `
    --resource-group <resource_group> `
    --subscription <subscription_name> `
    --gateway-name <gateway_resource_name>

Remove-AzArcGateway  
    -ResourceGroup <Resource Group> `
    -SubscriptionId <Subscription ID> `
    -GatewayName <Gateway Resource Name>

Arc ゲートウェイ トラフィックを監視する

Azure Arc プロキシのログを表示することで、Arc ゲートウェイのトラフィックを監査できます。

Windows で Arc プロキシ ログを表示するには:

1. PowerShell で azcmagent logs を実行します。
2. 結果の .zip ファイルでは、 arcproxy.log ファイルは ProgramData\AzureConnectedMachineAgent\Log フォルダーにあります。

Linux で Arc プロキシ ログを表示するには:

1. sudo azcmagent logs を実行します。
2. 結果の .zip ファイルでは、 arcproxy.log ファイルは /var/opt/azcmagent/log/ フォルダーにあります。

複数のリソースの種類に対する Arc ゲートウェイ リソース計画

複数のリソースの種類に対して Azure リージョンごとに必要なゲートウェイ リソースの数を確認するには、次の式を使用します。

Score = (サーバー ÷ 20) + (K8s クラスター ÷ 10) + (Azure ローカル インスタンス ÷ 10)

Where:

• サーバー = スタンドアロン サーバーの合計数 + プロビジョニングされた VM (Azure ローカル)
• K8s クラスター = スタンドアロン Kubernetes クラスターの合計 + AKS Arc クラスター (Azure ローカル)
• Azure ローカル インスタンス = Azure ローカル デプロイの合計数

リソースを管理する予定のリージョンごとに スコア が 100 < 場合は、1 つの Arc ゲートウェイ リソースで十分です。

リソースを管理するリージョンの スコア が 100 ≥場合、そのリージョンには複数の Arc ゲートウェイ リソースが必要です。

次の例は、より多くのコンテキストを提供します。

例 1:

• 各リージョンのスコア < 100 です。 1 つの Arc ゲートウェイ リソースで十分です。

例 2:

• 東アメリカスコア > 100。 このリージョンの負荷をサポートするには、3 つの Arc ゲートウェイ リソースが必要です。
• 西ヨーロッパのスコア > 100。 このリージョンの負荷をサポートするには、2 つの Arc ゲートウェイ リソースが必要です。
• 東南アジアのスコア < 100。 このリージョンの負荷をサポートするには、1 つの Arc ゲートウェイ リソースが必要です。

このシナリオでは、合計で必要なゲートウェイ リソースは 3 つだけです。これは、計算はすべてのリージョン全体の合計負荷ではなく、リージョンあたりの最大負荷に基づいているためです。

その他のシナリオ

Arc ゲートウェイには、サーバーのオンボードに必要なエンドポイントと、Arc 対応の追加シナリオをサポートするためのエンドポイントが含まれています。 採用するシナリオに基づいて、環境内で追加のエンドポイントを許可することが必要になる場合があります。

追加のエンドポイントが必要ないシナリオ

• Windows Admin Center
• SSH
• 拡張セキュリティ更新プログラム
• SQL Server 用 Azure 拡張機能

追加のエンドポイントが必要なシナリオ

Arc ゲートウェイを使用する場合は、次のシナリオに一覧表示されているエンドポイントをエンタープライズ プロキシで許可する必要があります。

• Azure Arc 対応データ サービス

  • *.ods.opinsights.azure.com
  • *.oms.opinsights.azure.com
  • *.monitoring.azure.com

• Azure Monitor エージェント

  • <log-analytics-workspace-id>.ods.opinsights.azure.com
  • <data-collection-endpoint>.<virtual-machine-region>.ingest.monitor.azure.com

• Azure Key Vault 証明書の同期

  • <vault-name>.vault.azure.net

• Azure Automation Hybrid Runbook Worker 拡張機能

  • *.azure-automation.net

• Windows OS 更新拡張機能 / Azure Update Manager

  • お使いの環境が Windows Update の前提条件をすべて満たしている必要があります

• Microsoft Defender

  • お使いの環境が Microsoft Defender の前提条件をすべて満たしている必要があります

Arc ゲートウェイのアーキテクチャ

Arc ゲートウェイのアーキテクチャの詳細については、次の情報を参照してください。

Arc ゲートウェイ転送プロトコル

Arc ゲートウェイと TLS 検査

Arc ゲートウェイは、Azure の Arc プロキシと Arc ゲートウェイの間に TLS セッションを確立することによって機能します。 この TLS セッション内で、Arc プロキシは入れ子になった HTTP 接続要求を Arc ゲートウェイ リソースに送信し、目的のターゲット宛先に接続を転送するように要求します。 その後、ターゲットの宛先自体が TLS 上にある場合は、Arc エージェントとターゲット宛先の間に内部エンド ツー エンドの TLS セッションが確立されます。

Arc ゲートウェイで終端プロキシを使用すると、入れ子になった HTTP 接続要求がプロキシに表示されます。 このような要求が許可される可能性がありますが、入れ子になった TLS 終了を行わない限り、ターゲット宛先への TLS 暗号化トラフィックをインターセプトすることはできません。 これは、標準の TLS 終端プロキシの機能の範囲外です。 そのため、終端プロキシを使用する場合は、Arc ゲートウェイ エンドポイントの TLS 検査をスキップすることをお勧めします。

Arc ゲートウェイ エンドポイントの一覧

環境内で手動で許可する必要がなくなったエンドポイントの完全な一覧については、「 Arc ゲートウェイ エンドポイント」を参照してください。