Azure Arc とは
Azure Arc は、マイクロソフトが提供するハイブリッドおよびマルチクラウド管理サービスです。
オンプレミスや他クラウドのリソースを Azure 管理環境に統合するための土台となり、また Azure のサービスや機能を Azure 外の環境に広げるための「ハブ」としての役割も果たします。
従来のクラウド管理ツールは、多くの場合、特定のクラウドプロバイダー(例: Azure のサービスのみ利用可能)のサービスや環境内でのみ利用可能でした。
しかし、Azure Arc を使うことで、オンプレミスや他のクラウドで稼働するリソースも、Azure Portal や Azure CLI を通じて Azure と同じように管理することや、セキュリティやガバナンスの一貫性を確保することが可能となります。
Azure Arc イメージ (参考:Microsoft )
Azure Arc の主要機能
以下は、Azure Arc で利用できる主な機能です。
Azure Arc-enabled Servers (Azure Arc 対応サーバー)
オンプレミスや他クラウドのサーバーを Azure ポータルで一元管理できる機能です。
Azure Arc-enabled Kubernetes (Azure Arc 対応 Kubernetes)
Kubernetes クラスターを Azure の管理ツールで統合管理できる機能です。
※Kubernetes クラスターは、複数のマシン(物理サーバーや仮想マシン)をまとめて 1 つの「リソース群」として管理し、コンテナ化されたアプリケーションを効率的にデプロイ・スケール・管理する仕組みです。
Azure Arc-enabled Data Services (Azure Arc 対応データ サービス)
オンプレミスや他のクラウドで Azure のデータベース機能(SQL Managed Instance、PostgreSQL など)を利用可能にする機能です。
Azure Arc 利用の流れ
Azure Arc の利用は以下のような流れになります。
1. Azure Arc を導入する
まず、Azure Arc プラットフォームを使って対象のリソース(サーバー、Kubernetes、SQL Server など)を Azure 管理環境に登録します。
この登録により、オンプレミスや他クラウドのリソースが「Azure リソース」として認識されます。
2. 機能を使う
登録したリソースに対して、必要な機能(Azure Arc-enabled SQL Server など)を適用します。
以下のような使い方が可能です。
- 例 1: Azure Arc-enabled SQL Server
既存のオンプレミス SQL Server に Azure のセキュリティ機能を適用したい場合は、Azure Arc-enabled SQL Server を使って SQL Server の状態を Azure Monitor で監視することができます。
- 例 2: Azure Arc-enabled Kubernetes
他クラウドの Kubernetes クラスターを Azure Policy で統制したい場合は、Azure Arc-enabled Kubernetes を使ってコンテナのセキュリティ設定を統一管理します。
Azure Arc の特徴
ここでは Azure Arc の特徴についてご説明します。
リソースの一元管理
Azure Arc は、Azure で使われているポリシー管理・監視・セキュリティ強化といった便利な機能を、自社データセンターや他のクラウドサービスでも使えるようにするサービスです。
たとえば、AWS や Google Cloud のリソース、または自社データセンターで動いているサーバーを、Azure ポータルや CLI を使ってまとめて管理することができます。
Azure サービスを外部リソースに適用
Azure Arc を通じて、Azure Policy や Azure Monitor、Microsoft Defender for Cloud といった Azure の便利な機能を、Azure 以外のリソースにも適用することができます。
たとえば、
- Azure Monitor でオンプレミスのサーバーの状態を監視する。
- Azure Policy で他のクラウド環境のリソースにセキュリティ基準を適用する。
といったことも可能です。
一貫したガバナンスとコンプライアンス管理
Azure Arc を利用すると、分散したそれぞれのリソースに対して、統一的なルールや管理基準を適用することができます。
例えば、リソースへのタグ付けやポリシー適用、アクセス制御を一括して設定できるため、複数の環境に分かれたリソースでも、一貫した運用が可能です。
そのため金融業界や医療業界など厳しい規制がある業界でも統一的なポリシーを敷くことができ、監査業務の効率化にも役立ちます。
DevOps や CI/CD との連携
Azure Arc は GitOps(Git リポジトリを使ってシステムを管理する方法)に対応しています。
そのため、設定を Git に記述するだけで自動的にその内容を環境に反映することができます。
また、CI/CD パイプライン(コードのビルド・テスト・反映を自動化する仕組み)とも簡単に連携できるので変更を迅速に反映することも可能です。
マルチクラウドやハイブリッドクラウドに最適
近年、多くの企業が複数のクラウド(マルチクラウド)や、自社データセンターとクラウドを組み合わせたハイブリッドクラウドを利用しています。
しかしこのような環境では管理が複雑になりがちです。
Azure Arc を使うと、どの環境でも Azure と同じように管理できる仕組みを利用できるので、複雑な IT 環境を持つ企業で特に注目されています。
Azure Arc の適用範囲
Azure Arc は、Azure の管理機能をオンプレミスや他クラウドのリソースに拡張するプラットフォームです。ただ、すべての Azure のサービスをすべての外部のリソースに適用できるわけではありません。
そこでここでは、Azure Arc で適用可能な Azure サービスと管理可能なリソースの範囲についてご説明します。
Azure Arc で適用可能な Azure サービス
次のような Azure サービスが、Azure Arc を通じた適用が可能です。
Azure Policy
リソースの構成や運用がガバナンスやコンプライアンス基準に従っているかを確認し、管理するサービスです。
- 適用先: オンプレミスのサーバー、Kubernetes クラスターなど。
Azure Monitor
システムのパフォーマンスや稼働状況を監視するサービスです。メトリクスやログの収集、アラートの設定が可能です。
- 適用先: オンプレミスのサーバー、Kubernetes クラスター、SQL Server など。
【関連記事】
Azure Monitor とは?機能概要や料金体系、活用事例について解説
Microsoft Defender for Cloud
セキュリティ脅威の検出、脆弱性評価、規制順守の監視を行うサービスです。
- 適用先:
オンプレミスのサーバー(Linux/Windows)。
Kubernetes クラスター。
SQL Server(Microsoft Defender for SQL を使用)。
Azure Update Manager
オンプレミスや他クラウドのサーバーに適用する更新管理のサービスです。
- 適用先: Windows/Linux サーバー。
※注意点
Azure Arc では、主に管理や監視、セキュリティ関連のサービスが適用可能です。すべての Azure サービスが適用できるわけではないことに注意してください。
Azure Arc で管理可能なリソース
Azure Arc で管理できる主要なリソースは次のとおりです。
サーバー
オンプレミスや他のクラウド(AWS や Google Cloud)で稼働する Windows サーバーや Linux サーバーを、Azure 上の仮想マシンのように管理できます。
Kubernetes クラスター
Kubernetes クラスターは、コンテナ化されたアプリケーションの運用を効率化するための基盤ですが、オンプレミスや他クラウドに分散していると管理が複雑になります。
Azure Arc を利用すれば、分散した Kubernetes クラスターを Azure ポータルから一元管理することができます。
SQL Server
Azure Arc は、オンプレミスや他クラウド環境で稼働する既存の SQL Server インスタンスも管理対象に含めることができます。
カスタムリソース(IoT デバイスなど)
IoT デバイスやエッジデバイスといった特殊なリソースも Azure Arc の管理対象に含めることができます。
Azure Arc 導入・セットアップ手順
Azure Arc を導入するには、以下のステップを踏む必要があります。
- ステップ 1: Azure CLI のインストール
- ステップ 2: リソースの接続と登録
- ステップ 3: ポリシー適用
※ 前提条件として以下が必要です。
- Azure アカウント、サブスクリプション、リソースグループ
- 適切な RBAC ロール (Owner、Contributor、Resource Policy Contributor)
- 適切なネットワーク要件 (HTTPS (443)許可)
ステップ 1: Azure CLI のインストール
このステップでは、Azure CLI(コマンドラインインターフェース)をインストールします。Azure CLI は、Azure リソースの管理や Azure Arc の設定をコマンドラインで行うために必要です。
- Azure CLI のダウンロードサイトにアクセスします。
- 「Windows へのインストール」をクリックします。
※本手順では WindowsServer へインストールを行います。
Windows へのインストール選択画面
- 「Azure CLI の最新バージョンの MSI(64 ビット)」をクリックします。
64bit 選択画面
- ダウンロードした msi ファイルを実行します。
msi 実行画面
- インストーラが起動したら「I accept the term in the License Agreement」にチェックを入れます。
「Install」をクリックします。
インストーラ画面
ステップ 2: リソースの接続と登録
このステップでは、Azure Arc を使ってオンプレミスや他のクラウド環境にあるサーバーを Azure に接続し、管理できるようにします。
- Azure ポータル画面の検索タブに"Azure Arc"と入力し、表示されたサービスの中から「Azure Arc」を選択します。
AzureArc 選択画面
- 「Azure Arc」画面で、「マシン」をクリックします。
マシン選択画面
- 「マシンの追加」をクリックします。
マシンの追加画面
- 「スクリプトの生成」をクリックします。
スクリプトの生成画面
- 「Azure Arc を使用してサーバを追加」画面の「基本」タブで適切な設定をします。
「スクリプトのダウンロードと実行」をクリックします。
基本タブ画面
- 生成したスクリプトをダウンロードし、対象のサーバーに実行します。この操作により、そのサーバーが Azure Arc によって管理されるようになります。
ステップ 3: ポリシー適用
最後に、Azure Arc で接続したリソースに対して Azure のポリシーを適用します。リソースが組織のポリシーに従って運用され、セキュリティやコンプライアンスが強化されます。
- Azure ポータルで ① 検索タブに"ポリシー"を入力し、②「ポリシー」をクリックします。
ポリシー検索画面
- ポリシー画面が開きます。
左メニューから ①「作成」→②「定義」をクリックし、③「ポリシー定義」をクリックするとポリシー定義を作成することができます
ポリシー定義作成画面
- 左メニューから ①「割り当て」をクリックし、②「ポリシーの割り当て」をクリックすると、ポリシーの割り当ての設定も行うことができます。
ポリシーの割当設定画面
Azure Arc 活用事例・ユースケース
Azure Arc は、オンプレミス・マルチクラウドなどの様々な環境を一元的に管理し、IT 環境を効率化するために利用されています。
ここでは Azure Arc を導入した具体的な活用場面を紹介します。
ハイブリッドクラウドの統合管理
オンプレミスのサーバーと Azure 上のリソースを組み合わせたハイブリッドクラウド環境を運用している場合、Azure Arc を導入することで以下を実現することができるでしょう。
- 一元管理: オンプレミスのサーバーを Azure ポータルに登録し、Azure Policy で統一管理することができます。
- 効率的な監視: Azure Monitor で、クラウドとオンプレミスの両方を監視し、異常時にアラートを設定することも可能です。
マルチクラウドの運用効率化
異なるクラウドプロバイダー(AWS、Google Cloud)を併用している企業の場合、以下のように管理に活用することができます。
- 運用の簡略化: 各クラウドのリソースを Azure Arc に登録し、Azure ポリシーやセキュリティ基準を統一することが可能です。
- コスト管理: リソースの利用状況を可視化してコスト管理に役立てることができます。
データベース管理の効率化
ある金融機関で、オンプレミスの SQL Server と AWS 上の PostgreSQL を使用しているとします。Azure Arc を導入することで次のような管理が可能となるでしょう。
- データベースの一元管理: 全てのデータベースを Azure 基準で管理することができます。
- セキュリティの強化: 自動パッチ適用やバックアップを設定することもできます。
- 規制対応: コンプライアンス要件を満たすポリシーを適用することも可能です。
Edge 環境での活用
製造業の企業が、工場内のエッジデバイス(IoT デバイス)を以下のように管理することも可能となります。
- デバイス管理の効率化: Azure ポリシーを使い、すべてのデバイスに統一された設定を適用することができます。
- リアルタイム監視: Azure Monitor でデバイスの稼働状況を監視することも可能です。
Azure Arc のセキュリティ・ガバナンス
ここでは Azure Arc のセキュリティやガバナンスについてご紹介します。
Azure Arc は、分散したリソースにも一貫したセキュリティとガバナンスを適用できるので、運用の安全性と効率を向上させるのに役立ちます。
Microsoft Defender for Cloud との統合
Microsoft Defender for Cloud と連携することで、Arc 対応リソース(オンプレミスや他クラウドのサーバー、Kubernetes クラスターなど)にも脆弱性スキャンやセキュリティ警告を適用することができます。
従来は別管理であった環境も、一元的なセキュリティポリシーの下で保護することが可能です。
Microsoft Defender for Cloud イメージ (参考:Microsoft )
アクセス制御と RBAC
Azure Arc を使えば、Azure と同じアクセス管理ポリシー(RBAC: ロールベースアクセス制御)を外部リソースにも適用することができます。
そのためユーザーごとに業務に必要な範囲だけのアクセスを許可し、不正アクセスやミス操作を防止することや、オンプレミスや他クラウドのリソースにも Azure と同じ管理モデルを導入することが可能となります。
コンプライアンス監査
Azure Arc を通じて、次のようにコンプライアンス監査を効率化することも可能です
- ポリシー適用: Azure Policy を使用して、クラウド環境やオンプレミス環境のリソースが規制や社内基準に従っているかを確認することができます。
- レポート作成: Microsoft Defender for Cloud により規制順守状況を可視化する詳細なレポートを自動生成することも可能です。
Azure Monitor との連携
Azure Monitor を利用すると、リソースのパフォーマンスや稼働状況をリアルタイムで監視することができます。
サーバーやクラスターのメトリクスやログを収集して問題箇所を特定することが可能です。また、異常が検知された際にはリアルタイムで通知を受け取り、迅速な対応をすることもできます。
Azure Monitor イメージ (参考:Microsoft )
Azure Arc の料金体系
Azure Arc の基本機能については追加の料金はかかりません。たとえば、リソースタグ付けや組織化は無料で実行することができます。
しかし、Azure Monitor、Microsoft Defender for Cloud、Azure Update Manager のような有料サービスを利用する場合は、別途料金が発生します。
また、他のクラウド(AWS や Google Cloud)のリソースやオンプレミス環境についても、それぞれの維持費(クラウド利用料や保守費用など)がかかります。
※本記事に記載されている情報は、2024 年 12 月時点の情報です。変更される可能性があるため、最新の情報については、公式ページで確認してください。
まとめ
本記事では、Azure Arc の概要、導入手順、ユースケース、セキュリティ、料金体系までを幅広く取り上げました。
Azure Arc は、Microsoft Azure の管理機能をオンプレミス環境や他のクラウドサービスにも拡張できるプラットフォームです。異なる場所に点在するサーバーや Kubernetes クラスター、データベースなどのリソースを、まるで Azure 内部にあるかのように一元的に管理することが可能です。ハイブリッドやマルチクラウド構成が一般化する中、Azure Arc は複雑さを軽減し、ガバナンスやセキュリティ、コスト管理を統一的な基準で行うための有力な選択肢として注目されています。
ぜひ現行環境に Azure 標準の運用モデルを適用することで、分散するインフラやアプリの管理負荷を軽減し、クラウド活用を進めてみてください。Azure Arc は、現代の多様化する IT インフラ環境に対応し、管理の負担を軽減するのに役立つでしょう。
東京エレクトロンデバイスは Azure の相談窓口を開設しています。
Azure 活用にお悩みの企業、Azure Arc の導入をお考えの企業担当者様はお気軽にご相談ください。
この記事が皆様にとって有益であれば幸いです。
