この記事では、Azure Arc 対応 VMware vSphere に関連する次のようなさまざまな管理操作を実行する方法について説明します。
- ベスト プラクティスに従って、Azure Arc リソース ブリッジを手動で管理します。
- vSphere アカウントの資格情報の更新
- Arc リソース ブリッジからのログの収集
これらの各操作には、リソース ブリッジ VM への SSH キー、またはリソース ブリッジ VM 上の Kubernetes クラスターへのアクセスを提供する kubeconfig が必要です。
Azure Arc 対応 VMware vSphere リソースを維持するためのベスト プラクティス
Azure Arc リソース ブリッジは、オンプレミスの vCenter サーバーと Azure の間に見通し線を確立します。 リソース ブリッジのコンポーネントにより、Azure の優れた機能をオンプレミスの vCenter マネージド仮想マシンに提供できます。
組織に適していると思われる場合に従うことができるベスト プラクティスをいくつか次に示します。
.yaml ファイルと kubeconfig ファイルを安全に維持します。Azure Arc リソース ブリッジのデプロイが成功すると、 <resource-bridge-name>-resource.yaml、 <resource-bridge-name、>-appliance.yaml、 <resource-bridge-name>-infra.yaml という 3 つの構成ファイルが作成されます。 リソース ブリッジ VM は、管理 Kubernetes クラスターをホストします。 既定では、リソース ブリッジ VM の保守に使用される kubeconfig ファイルは、リソース ブリッジのデプロイ プロセス中に現在の CLI ディレクトリに生成されます。 これらのファイルは、リソース ブリッジの管理とアップグレードに必要であるため、安全に保存および維持する必要があります。
リソース ブリッジ ロック: リソース ブリッジの重要な性質を考慮すると、管理者はリソース ブリッジの Azure リソースをロックして、誤って削除されないように保護できるため、Azure から vCenter サーバーへの接続が失われるのを防ぐことができます。 リソース ブリッジにリソース ロックを設定するには、その Azure リソースに移動し、[設定] ブレードで [ ロック ] を選択します。 ここから削除のロックを追加すると、セルフサービス ユーザーがリソース ブリッジを誤って削除することを防止できます。
リソース ブリッジ正常性アラート: Azure Arc 対応 VMware vSphere オファリングが継続的に機能するためには、Azure Arc リソース ブリッジをオンラインで維持し、 実行中 の状態で正常に維持する必要があります。 リソース ブリッジは、通常のセキュリティ プラクティスの一部としての資格情報のローテーションやネットワークの変更により、定期的に "オフライン" 状態になることがあります。 リソース ブリッジの意図しないダウンタイムの通知を受け取るために、次の手順に従って、リソース ブリッジの Azure リソースに正常性アラートを設定できます。
Azure portal にサインインし、 Service Health を検索して移動します。
左側のペインで、[リソース正常性]>[リソース正常性] を選択します。
[サブスクリプション] のドロップダウンで、リソース ブリッジが配置されているサブスクリプションを選択します。 [リソースの種類] のドロップダウンで、[Azure Arc リソース ブリッジ] を選択します。 リソース ブリッジの一覧が表示されたら、アラートを設定する対象のリソース ブリッジを選択し、[リソース正常性アラートの追加] を選択します。 サブスクリプション内のすべてのリソース ブリッジに対してアラートを設定する場合は、どのリソース ブリッジも選ばずに [リソース正常性アラートの追加] を選択できます。 これにより、今後デプロイする可能性のあるリソース ブリッジの正常性アラートが追加されます。
正常性状態に関する継続的な通知を受け取るか、リソース ブリッジが異常になったときにのみ通知を受け取るかに応じて、アラート ルールの条件を構成します。 リソース ブリッジが異常になったときにのみ通知を受信するには、[ 条件 ] タブで次の条件を設定します。
- [イベントの状態]: [アクティブ]
- [現在のリソースの状態]: [使用不可]
- [以前のリソースの状態]: [使用可能]
[アクション] タブで、通知の種類とアラートの受信者を指定してアクション グループを構成します。
アラート ルールの場所、識別子、オプションのタグの詳細を入力して、アラート ルールの作成を完了します。
または、リソース ブリッジの Azure リソースから正常性アラートを作成することもできます。
Azure Arc リソース ブリッジ VM でサポートされていない VM 操作を回避する: リソース ブリッジのバックアップと復元はサポートされておらず、試行された場合、vCenter と Azure の間の接続に影響します。 リソース ブリッジのネットワーク移行はサポートされていません。リソース ブリッジ VM の仮想ネットワークまたはサブネットを変更し、VM の IP アドレスまたはネットワーク インターフェイスを再割り当てする必要があるためです。
vSphere アカウントの資格情報を更新する (オンボード後に新しいパスワードまたは新しい vSphere アカウントを使用)
Azure Arc 対応 VMware vSphere では、オンボード中に指定した vSphere アカウント資格情報を使用して vCenter サーバーと通信します。 これらの資格情報は、Arc リソース ブリッジ VM 上でローカルでのみ保持されます。
セキュリティ プラクティスの一環として、vCenter アカウントの資格情報をローテーションする必要がある場合があります。 資格情報がローテーションされたら、Azure Arc に提供される資格情報を更新して、Azure Arc 対応 VMware vSphere が確実に機能するようにする必要もあります。 オンボード後に別の vSphere アカウントを使用する必要がある場合にも、同じ手順を使用できます。 新しいアカウントにも、すべての必要な vSphere アクセス許可があることを確認する必要があります。
Arc リソース ブリッジには、2 つの異なる資格情報セットが格納されています。 両方に同じアカウント資格情報を使用できます。
- Arc リソース ブリッジのアカウント。 このアカウントは、Arc リソース ブリッジ VM のデプロイに使用され、アップグレードに使用されます。
- VMware クラスター拡張機能のアカウント。 このアカウントは、インベントリを検出し、Azure Arc 対応 VMware vSphere を介してすべての VM 操作を実行するために使用されます。
Arc リソース ブリッジ用のアカウントの資格情報を更新するには、次の Azure CLI コマンドを実行します。 コマンドは、Arc リソース ブリッジのクラスター構成 IP アドレスにローカルでアクセスできるワークステーションから実行します。
az account set -s <subscription id>
az arcappliance get-credentials -n <name of the appliance> -g <resource group name>
az arcappliance update-infracredentials vmware --kubeconfig kubeconfig
コマンドの詳細については、az arcappliance get-credentials および az arcappliance update-infracredentials vmware のページをご覧ください。
リソース ブリッジ上の VMware クラスター拡張機能によって使用される資格情報を更新する場合。 このコマンドは、connectedvmware CLI 拡張機能がインストールされている任意の場所から実行できます。
az connectedvmware vcenter connect --custom-___location <name of the custom ___location> --___location <Azure region> --name <name of the vCenter resource in Azure> --resource-group <resource group for the vCenter resource> --username <username for the vSphere account> --password <password to the vSphere account>
Arc リソース ブリッジからのログの収集
また、Azure Arc リソース ブリッジに問題がある場合は、さらに調査するためにログを収集する必要があります。 ログを収集するには、次の Azure CLI Az arcappliance log コマンドを使用します。
ログを宛先フォルダーに保存するには、次のコマンドを実行します。 これらのコマンドには、クラスター構成 IP アドレスへの接続が必要です。
az account set -s <subscription id>
az arcappliance get-credentials -n <name of the appliance> -g <resource group name>
az arcappliance logs vmware --kubeconfig kubeconfig --out-dir <path to specified output directory>
リソース ブリッジ上の Kubernetes クラスターが機能する状態ではない場合は、次のコマンドを使用できます。 これらのコマンドを実行するには、SSH 経由で Azure Arc リソース ブリッジ VM の IP アドレスに接続する必要があります
az account set -s <subscription id>
az arcappliance get-credentials -n <name of the appliance> -g <resource group name>
az arcappliance logs vmware --out-dir <path to specified output directory> --ip XXX.XXX.XXX.XXX