ハイブリッドクラウド研究会第67回勉強会_三井情報(ローカルIDを利用したAzure Localのデプロイと運用を確認してみる)

ハイブリッドクラウド研究会第67回勉強会 AD不要！？ローカルIDを利用したAzure Localのデプロイと運用を確認してみる三井情報株式会社インフラ第二技術部第一技術室松本秀太
2025/11/14

©2025 MITSUI KNOWLEDGE INDUSTRY CO., LTD. All rights reserved. 1.
会社概要 1 商号：三井情報株式会社 (英文名：MITSUI KNOWLEDGE INDUSTRY CO., LTD.) 設立： 1991年6月20日代表者：真野雄司（まのゆうじ）本社：〒105-6215 東京都港区愛宕2-5-1 愛宕グリーンヒルズMORIタワー TEL: 03-6376-1000(代) FAX: 03-3435-0520(代) 資本金： 41億13百万円（2025年3月末現在）売上高： 1,180億24百万円（2025年3月期実績連結）株主：三井物産株式会社（100%）従業員数： 2,682名（2025年3月末現在連結）主な事業内容：・ITマネジメントサービス及びコンサルティング・システムインテグレーション・ITインフラ構築及びサービス・クラウドソリューション・情報通信機器、エレクトロニクス関連製品及び産業装置の提供

2. 自己紹介 2 松本秀太 (Matsumoto Shuta) • 所属：三井情報株式会社 •
担当業務 Azure全般 (特にIaaS、NW)、Azure Local・Azure Arcを主とした製品技術担当提案～構築、CSPの運用に従事 • SNS ハイブリッド系のAzureネタをときどき発信しています。 ✓X (旧Twitter)：びりー @b1r1b1r1panda ✓Qiita：@biri / https://qiita.com/biri 今日話すネタもQiita に投稿しています

3. ADレスのAzure Localのパブリックプレビュー開始 3 ◼ADを利用しないAzure Localの構成がパブリックプレビューになりました • 10月にリリースされた2510バージョンからパブリックプレビューで新規デプロイ可能 • ホストノードをドメイン参加させず、ADも用意不要！
• Key Vaultで管理されたローカルIDを利用してクラスターを構成抜粋：Azure Localの新機能

4. デプロイの構成 4 ✓ Key Vaultは通常のデプロイでも利用されていたため、管理するAzureリソース自体は増えない ✓ ADが不要になり、ADが無い環境での導入ハードルが下がり、ADの管理コストも削減 ✓ 加えて、構築時にドメイン参加不要なため、構築場所を選ばない（構築ベンダーのメリット）
通常のデプロイで必要なものローカルIDによるデプロイで必要なものオンプレにADサーバ不要で管理コスト削減ドメイン参加不要 AD管理していたシークレットが追加でKey Vaultへ格納されるが、リソースとしてはこれまでと同じKey Vaultで管理 WACについては後述 Point

構築の観点 5

5. 構築手順 6 ◼基本的な流れは通常のデプロイと同様、異なる点は以下のみ！ ①DNSサーバへのDNSレコードの事前登録 ③ポータルからのデプロイ時にローカルIDによるデプロイを選択 ②ホストノードのローカル管理者アカウントの準備、名前解決設定

5-①. DNSレコードの事前登録 7 ◼DNSゾーンを用意して、ノードとクラスター名のAレコードを登録前提としてIPアドレスはStaticのみでDHCPはサポートされません。ここでは”shtadless.local”というDNSゾーンを作成ノード（2台）のIPとクラスター名に割り当てるIPを登録クラスターIPはデプロイ時に指定する開始IPで指定予定のものを登録補足
Azureポータルからのデプロイ画面 ✓ DNSサーバは今回はWindows Serverを利用したが、Windows以外でもOK ✓ hostsファイルのみでもイケるのか？ ⇒ Azure ArcリソースブリッジのVMからの名前解決もあるためおそらくNG Point

5-②. ホストノードの設定 8 ◼初期の管理者アカウント (administrator)とは別にアカウントを作成新しいローカルアカウントを作成作成したローカルアカウントをAdministratorsグループへ追加 ◼登録したDNSレコードで名前解決できるようにDNSサーバとDNSサフィックスを設定 DNSサフィックスにゾーン名を設定

5-③. ポータルからのデプロイ時の指定箇所 9 ◼通常と異なるパラメータは2カ所のみ新設されたローカルIDによるデプロイを選択 DNSゾーン名を指定

6. 構築後の状態 10 ◼Azureリソース、クラスターリソースともに異なるリソースはなし

6. 構築後の状態 11 ◼Key Vaultのシークレットに変化あり補足通常のデプロイ時のシークレット一覧これまでADに保存されていたBitLockerの暗号化鍵などが保存されている

6. 構築後の状態 12 ◼ホストノードのAzureリソースで新しい拡張機能あり

6. 構築後の状態～その他 13 ◼TrustedHostsは自動で全ノードとクラスター名が登録されている（事前登録不要でOK） ◼クラスターのイベントログでDNSの動的登録がNGなことがエラーで検出ドキュメントの要件には記載がなかったが必要かもしれない（動的登録を許可すればエラーは消える） Windows ServerベースのWORKGROUPクラスターでは手動で事前に登録が必須でした

運用の観点 14

7. ADレス構成の運用 15 ◼Key Vault利用における管理 ① Key Vault管理のための拡張機能の管理が必要 ⇒ 自動でアップグレードされるため更新作業は不要
抜粋：Azure Arc拡張機能の管理

7. ADレス構成の運用 16 ◼Key Vault利用における管理 ② Key Vaultにアクセスできない場合のアラートが新しく実装 ⇒ Azure
LocalがKey Vaultを参照できない場合に正常性アラートが上がる Key Vaultへのアクセスを制限してみると、数時間後にクラスターでアラートが発生し、拡張機能の状態が”失敗”にただし、運用操作は問題なく可能

8. 管理ツール 17 ◼これまでの管理ツールがサポートされない！？通常の構成とはサポートされる管理ツールが異なるとのドキュメントの記載あり、まとめると・・・抜粋：Azure Key Vault で構成された Azure
ローカル環境でのツールの互換性ツールサポート方針 PowerShell サポートされる Azureポータルサポートされる Windows Admin Center サポートされないフェールオーバークラスターマネージャーすべてのシナリオで機能するとは限らない Hyper-Vマネージャーすべてのシナリオで機能するとは限らない SCVMM "サポートが制限されているか、サポートされていないことが予想されます“ (ドキュメント文引用) ✓ クラスターホストの管理やオンプレで作成したHyper-V VMの主要管理ツールのWACがサポートされないと明記 ✓ それ以外のオンプレの管理ツールも動作確認が取られていないととれる記載 Point

8. 管理ツール 18 ◼オンプレツールでおこなっていた管理操作は何があったか？例えば以下の操作が、現状オンプレの管理ツール（PowerShell含む）でしか実行できない。 • ハードウェアメンテナンス等でのノードのメンテナンス、起動・停止操作、クラスターの停止 • クラスターグループ、クラスターリソースの手動マイグレーション（手動負荷分散） •
仮想マシンへのVMConnectによるコンソール接続 • その他トラブル時の対応もろもろ AzureからのVM作成・管理であればVMConnect を使わなくともRDP/SSH可能な状態で起動するので、トラブル・メンテナンスを除けば実はオンプレツールでの管理操作は不要・・・？

8. 管理ツールを実際に試す～WAC 19 ◼現状はこれまで通りに利用できたステータスの確認、ノードのメンテナンス、仮想マシンの作成、接続等、一通り操作OK。今後のローカルIDを利用したAzure Localの機能開発に追従されない、そもそもKey Vaultが WACからは管理できないのでサポートしないということかもしれない。ノードのメンテナンス
ちなみに、プレビューが続くAzureポータルのWAC機能もインストール、利用ともに確認ができました

8. 管理ツールを実際に試す～フェールオーバークラスターマネージャー 20 ◼こちらもこれまで通りに利用できた WAC同様にステータスの確認等、確認した限りの操作はできている。 ✓ クラスターに接続する際には、ドメイン環境ではないためAzure Localの管理者アカウントを指定してフェールオーバークラスターマネージャーを起動する必要がある点には注意。（ローカルID構成に依存する話ではないですが・・・） Point
# フェールオーバークラスターマネージャーのパスは環境に応じて確認を runas /netonly /user:localhost¥<Azure Localのローカル管理者アカウント名> "mmc.exe C:¥Windows¥System32¥CluAdmin.msc"

8. 管理ツールを実際に試す～Hyper-V マネージャー 21 ◼こちらもこれまで通りに利用できた WAC同様にステータスの確認等、確認した限りの操作はできている。 ✓ こちらもサーバに接続する際には、ドメイン環境ではないためAzure Localの管理者アカウントを指定して接続 ✓
加えて、非ドメイン環境の接続時の注意点を接続元端末側でおこなっておくこと（私の環境ではNTLM認証を利用した資格情報の委任を明示的に有効化必須でした） Point 参考：ドメイン外またはドメインなしでリモートホストに接続する

8. 管理ツール～まとめ 22 ◼現バージョン時点ではこれまで通りにオンプレ管理ツールも利用できる・・・はず加えて先日Azure Architecture BlogにローカルID構成のAzure Localのプライベートプレビュー機能が掲載されていました。以下の内容が入っているため、少なくともフェールオーバークラスターマネージャー、Hyper-V Managerは今後も利用できるように
サポートされるのではないだろうか。英原文ブラウザ翻訳

おまけ. Internal DNSのプライベートプレビュー 23 ◼Internal DNSなる機能もプライベートプレビュー開始とのアナウンス現パブリックプレビューでもAD不要でDNSサーバがあればデプロイ可能だが、外部のDNSサーバ自体を不要とするもの？ Azure LocalではDNSサーバの指定がデプロイ後に変更できない等、DNSの制約も大きく、もし外部DNSも不要にできるならさらに導入のハードルが下がる！
英原文ブラウザ翻訳参考：Introducing Local Identity with Azure Key Vault in Build 2510

まとめ 24 • 特別ハードルになる作業や前提もなく、シンプルな手順でADレスな構成がデプロイできました • Key Vaultを利用することによって管理対象や管理作業が増えることもありません • オンプレ管理ツールは現状は利用できていそうですが、WACはサポートされないとのことで PowerShell等の代替運用を考える必要がありそうです

ハイブリッドクラウド研究会第67回勉強会_三井情報(ローカルIDを利用したAzure Loca...

ハイブリッドクラウド研究会第67回勉強会_三井情報(ローカルIDを利用したAzure Localのデプロイと運用を確認してみる)

MKI Hybrid

More Decks by MKI Hybrid

Featured

Transcript

ハイブリッドクラウド研究会第67回勉強会 AD不要！？ローカルIDを利用したAzure Localのデプロイと運用を確認してみる三井情報株式会社インフラ第二技術部第一技術室松本秀太

©2025 MITSUI KNOWLEDGE INDUSTRY CO., LTD. All rights reserved. 1.

2. 自己紹介 2 松本秀太 (Matsumoto Shuta) • 所属：三井情報株式会社 •

構築の観点 5

5-③. ポータルからのデプロイ時の指定箇所 9 ◼通常と異なるパラメータは2カ所のみ新設されたローカルIDによるデプロイを選択 DNSゾーン名を指定

6. 構築後の状態 10 ◼Azureリソース、クラスターリソースともに異なるリソースはなし

6. 構築後の状態 11 ◼Key Vaultのシークレットに変化あり補足通常のデプロイ時のシークレット一覧これまでADに保存されていたBitLockerの暗号化鍵などが保存されている

6. 構築後の状態 12 ◼ホストノードのAzureリソースで新しい拡張機能あり

運用の観点 14

7. ADレス構成の運用 15 ◼Key Vault利用における管理 ① Key Vault管理のための拡張機能の管理が必要 ⇒ 自動でアップグレードされるため更新作業は不要

7. ADレス構成の運用 16 ◼Key Vault利用における管理 ② Key Vaultにアクセスできない場合のアラートが新しく実装 ⇒ Azure

8. 管理ツール 17 ◼これまでの管理ツールがサポートされない！？通常の構成とはサポートされる管理ツールが異なるとのドキュメントの記載あり、まとめると・・・抜粋：Azure Key Vault で構成された Azure