ハイブリッドクラウド研究会第67回勉強会_三井情報(ローカルIDを利用したAzure Localのデプロイと運用を確認してみる)

Transcript

1. ハイブリッドクラウド研究会 第67回勉強会 AD不要！？ ローカルIDを利用したAzure Localのデプロイと運用を確認してみる 三井情報株式会社 インフラ第二技術部 第一技術室 松本 秀太

   2025/11/14

2. ©2025 MITSUI KNOWLEDGE INDUSTRY CO., LTD. All rights reserved. 1.

   会社概要 1 商号： 三井情報株式会社 (英文名：MITSUI KNOWLEDGE INDUSTRY CO., LTD.) 設立： 1991年6月20日 代表者： 真野 雄司（まの ゆうじ） 本社： 〒105-6215 東京都港区愛宕2-5-1 愛宕グリーンヒルズMORIタワー TEL: 03-6376-1000(代) FAX: 03-3435-0520(代) 資本金： 41億13百万円（2025年3月末現在） 売上高： 1,180億24百万円（2025年3月期実績 連結） 株主： 三井物産株式会社（100%） 従業員数： 2,682名（2025年3月末現在 連結） 主な事業内容： ・ITマネジメントサービス及びコンサルティング ・システムインテグレーション ・ITインフラ構築及びサービス ・クラウドソリューション ・情報通信機器、エレクトロニクス関連製品及び産業装置の提供

3. 2. 自己紹介 2 松本 秀太 (Matsumoto Shuta) • 所属：三井情報株式会社 •

   担当業務 Azure全般 (特にIaaS、NW)、Azure Local・Azure Arcを主とした製品技術担当 提案～構築、CSPの運用に従事 • SNS ハイブリッド系のAzureネタをときどき発信しています。 ✓X (旧Twitter)：びりー @b1r1b1r1panda ✓Qiita：@biri / https://qiita.com/biri 今日話すネタもQiita に投稿しています

4. 3. ADレスのAzure Localのパブリックプレビュー開始 3 ◼ADを利用しないAzure Localの構成がパブリックプレビューになりました • 10月にリリースされた2510バージョンからパブリックプレビューで新規デプロイ可能 • ホストノードをドメイン参加させず、ADも用意不要！

   • Key Vaultで管理されたローカルIDを利用してクラスターを構成 抜粋：Azure Localの新機能

5. 4. デプロイの構成 4 ✓ Key Vaultは通常のデプロイでも利用されていたため、管理するAzureリソース自体は増えない ✓ ADが不要になり、ADが無い環境での導入ハードルが下がり、ADの管理コストも削減 ✓ 加えて、構築時にドメイン参加不要なため、構築場所を選ばない（構築ベンダーのメリット）

   通常のデプロイで必要なもの ローカルIDによるデプロイで必要なもの オンプレにADサーバ不要で 管理コスト削減 ドメイン参加不要 AD管理していたシークレットが追加でKey Vaultへ格納されるが、 リソースとしてはこれまでと同じKey Vaultで管理 WACについては後述 Point

6. 構築の観点 5

7. 5. 構築手順 6 ◼基本的な流れは通常のデプロイと同様、異なる点は以下のみ！ ①DNSサーバへのDNSレコードの事前登録 ③ポータルからのデプロイ時に ローカルIDによるデプロイを選択 ②ホストノードのローカル管理者アカウントの準備、 名前解決設定

8. 5-①. DNSレコードの事前登録 7 ◼DNSゾーンを用意して、ノードとクラスター名のAレコードを登録 前提としてIPアドレスはStaticのみでDHCPはサポートされません。 ここでは”shtadless.local”というDNSゾーンを作成 ノード（2台）のIPとクラスター名に割り当てるIPを登録 クラスターIPはデプロイ時に指定する開始IPで指定 予定のものを登録 補足

   Azureポータルからのデプロイ画面 ✓ DNSサーバは今回はWindows Serverを利用したが、Windows以外でもOK ✓ hostsファイルのみでもイケるのか？ ⇒ Azure ArcリソースブリッジのVMからの名前解決もあるためおそらくNG Point

9. 5-②. ホストノードの設定 8 ◼初期の管理者アカウント (administrator)とは別にアカウントを作成 新しいローカルアカウントを作成 作成したローカルアカウントをAdministratorsグループへ追加 ◼登録したDNSレコードで名前解決できるようにDNSサーバとDNSサフィックスを設定 DNSサフィックスにゾーン名を設定

10. 5-③. ポータルからのデプロイ時の指定箇所 9 ◼通常と異なるパラメータは2カ所のみ 新設されたローカルIDによるデプロイを選択 DNSゾーン名を指定

11. 6. 構築後の状態 10 ◼Azureリソース、クラスターリソースともに異なるリソースはなし

12. 6. 構築後の状態 11 ◼Key Vaultのシークレットに変化あり 補足 通常のデプロイ時のシークレット一覧 これまでADに保存されていたBitLockerの暗号化鍵 などが保存されている

13. 6. 構築後の状態 12 ◼ホストノードのAzureリソースで新しい拡張機能あり

14. 6. 構築後の状態～その他 13 ◼TrustedHostsは自動で全ノードとクラスター名が登録されている（事前登録不要でOK） ◼クラスターのイベントログでDNSの動的登録がNGなことがエラーで検出 ドキュメントの要件には記載がなかったが必要かもしれない （動的登録を許可すればエラーは消える） Windows ServerベースのWORKGROUPクラスター では手動で事前に登録が必須でした

15. 運用の観点 14

16. 7. ADレス構成の運用 15 ◼Key Vault利用における管理 ① Key Vault管理のための拡張機能の管理が必要 ⇒ 自動でアップグレードされるため更新作業は不要

    抜粋：Azure Arc拡張機能の管理

17. 7. ADレス構成の運用 16 ◼Key Vault利用における管理 ② Key Vaultにアクセスできない場合のアラートが新しく実装 ⇒ Azure

    LocalがKey Vaultを参照できない場合に正常性アラートが上がる Key Vaultへのアクセスを制限してみると、数時間後にクラスター でアラートが発生し、拡張機能の状態が”失敗”に ただし、運用操作は問題なく可能

18. 8. 管理ツール 17 ◼これまでの管理ツールがサポートされない！？ 通常の構成とはサポートされる管理ツールが異なるとのドキュメントの記載あり、まとめると・・・ 抜粋：Azure Key Vault で構成された Azure

    ローカル環境でのツールの互換性 ツール サポート方針 PowerShell サポートされる Azureポータル サポートされる Windows Admin Center サポートされない フェールオーバークラスターマネージャー すべてのシナリオで機能するとは限らない Hyper-Vマネージャー すべてのシナリオで機能するとは限らない SCVMM "サポートが制限されているか、サポートされていないことが予想されます“ (ドキュメント文引用) ✓ クラスターホストの管理やオンプレで作成したHyper-V VMの主要管理ツールのWACがサポートされないと明記 ✓ それ以外のオンプレの管理ツールも動作確認が取られていないととれる記載 Point

19. 8. 管理ツール 18 ◼オンプレツールでおこなっていた管理操作は何があったか？ 例えば以下の操作が、現状オンプレの管理ツール（PowerShell含む）でしか実行できない。 • ハードウェアメンテナンス等でのノードのメンテナンス、起動・停止操作、クラスターの停止 • クラスターグループ、クラスターリソースの手動マイグレーション（手動負荷分散） •

    仮想マシンへのVMConnectによるコンソール接続 • その他トラブル時の対応もろもろ AzureからのVM作成・管理であればVMConnect を使わなくともRDP/SSH可能な状態で起動するの で、トラブル・メンテナンスを除けば実はオンプレツール での管理操作は不要・・・？

20. 8. 管理ツールを実際に試す～WAC 19 ◼現状はこれまで通りに利用できた ステータスの確認、ノードのメンテナンス、仮想マシンの作成、接続等、一通り操作OK。 今後のローカルIDを利用したAzure Localの機能開発に追従されない、そもそもKey Vaultが WACからは管理できないのでサポートしないということかもしれない。 ノードのメンテナンス

    ちなみに、プレビューが続くAzureポータルのWAC機能 もインストール、利用ともに確認ができました

21. 8. 管理ツールを実際に試す～フェールオーバークラスターマネージャー 20 ◼こちらもこれまで通りに利用できた WAC同様にステータスの確認等、確認した限りの操作はできている。 ✓ クラスターに接続する際には、ドメイン環境ではないためAzure Localの管理者アカウントを指定してフェールオーバークラスター マネージャーを起動する必要がある点には注意。（ローカルID構成に依存する話ではないですが・・・） Point

    # フェールオーバークラスターマネージャーのパスは環境に応じて確認を runas /netonly /user:localhost¥<Azure Localのローカル管理者アカウント名> "mmc.exe C:¥Windows¥System32¥CluAdmin.msc"

22. 8. 管理ツールを実際に試す～Hyper-V マネージャー 21 ◼こちらもこれまで通りに利用できた WAC同様にステータスの確認等、確認した限りの操作はできている。 ✓ こちらもサーバに接続する際には、ドメイン環境ではないためAzure Localの管理者アカウントを指定して接続 ✓

    加えて、非ドメイン環境の接続時の注意点を接続元端末側でおこなっておくこと （私の環境ではNTLM認証を利用した資格情報の委任を明示的に有効化必須でした） Point 参考：ドメイン外またはドメインなしでリモートホストに接続する

23. 8. 管理ツール～まとめ 22 ◼現バージョン時点ではこれまで通りにオンプレ管理ツールも利用できる・・・はず 加えて先日Azure Architecture BlogにローカルID構成のAzure Localのプライベートプレビュー機能が掲載されていました。 以下の内容が入っているため、少なくともフェールオーバークラスターマネージャー、Hyper-V Managerは今後も利用できるように

    サポートされるのではないだろうか。 英原文 ブラウザ翻訳

24. おまけ. Internal DNSのプライベートプレビュー 23 ◼Internal DNSなる機能もプライベートプレビュー開始とのアナウンス 現パブリックプレビューでもAD不要でDNSサーバがあればデプロイ可能だが、外部のDNSサーバ自体を不要とするもの？ Azure LocalではDNSサーバの指定がデプロイ後に変更できない等、DNSの制約も大きく、もし外部DNSも不要にできるならさ らに導入のハードルが下がる！

    英原文 ブラウザ翻訳 参考：Introducing Local Identity with Azure Key Vault in Build 2510

25. まとめ 24 • 特別ハードルになる作業や前提もなく、シンプルな手順でADレスな構成がデプロイできました • Key Vaultを利用することによって管理対象や管理作業が増えることもありません • オンプレ管理ツールは現状は利用できていそうですが、WACはサポートされないとのことで PowerShell等の代替運用を考える必要がありそうです