はじめに
Azure Stack HCI Ver.21H2 アップデートに関するコラムの4回目です。
2回目(Azure Stack HCI ver.21H2の展開とAzure登録)、3回目(Azure Arc統合による監視/管理)ではAzure Stack HCI OS Ver.21H2のアップデートで強化された管理機能を取り上げました。今回は、Azure Stack HCI Ver.21H2の機能面での大きなアップデート(プレビューを含む)を取り上げます。
※本コラムの環境はWindows Server 2022 Datacenter Editionで構築したHyper-V環境上の仮想マシンにAzure Stack HCI OSをインストールしています。(Nested環境)H/W上に直接Azure Stack HCI OSをインストールした環境とは異なる場合があります。
Azure benefits
Azure上でWindows Serverを利用する場合、ほかのクラウド上でWindows Serverを利用する際と比較していくつかの特典(Azure benefits)を得ることができます。中でも大きい特典が「拡張セキュリティ更新プログラム(ESU:Extended Security Updates)」の無償提供でしょう。
Windows Server 2012 / 2012 R2は、2023年10月で延長サポートが終了し、セキュリティ更新プログラムやそれ以外の更新プログラムの提供が終了します。サポート終了以降にセキュリティホールが発見されても更新プログラムは提供されません。しかし、ESUを有償契約することで、拡張サポート終了日から最長3年間、緊急または重要なセキュリティ更新プログラムを含むサポートが提供されます。
延長サポート終了までにWindows Serverをアップグレードすることが理想ですが、様々な課題で間に合わない場合があります。その場合、暫定対策としてESUの有償契約が有効です。Azure上で稼働するWindows Serverに関しては、ESUが提供されている期間内は無償でセキュリティ更新プログラムが提供されます。そのため、アップグレードが間に合わない場合は、Windows ServerをAzure上に移行することで、ESUにかかるコストを削減することができます。
このAzure benefitsが、Azure Stack HCI上で稼働する仮想マシンでも得られるようになったことが、Azure Stack HCI OS Ver.21H2の大きなアップデートの一つです。
具体的には、以下の3つの特典が利用可能です。
| Extended Security Update(ESU) | Azure Stack HCI上で稼働する延長サポートが終了したWindows ServerとSQL Serverに対して、ESUが期限内に限り無償提供されます。 |
| Windows Server 2022 Datacenter Azure Editionの展開と稼働 | Azure上でのみ稼働するWindows Server 2022 Datacenter Azure EditionをAzure Stack HCI上に展開、稼働させることができます。 Azure Editionには、通常のWindows Server 2022 Datacenter には実装されていない3つの機能(ホットパッチ/SMB over QUIC/Extended Network for Azure)が実装されています。 |
| Azure Policy guest configuration | Azure Policyを利用して、Azure Stack HCIクラスター上で稼働する仮想マシンに対してポリシーを設定することができます。 |
Azure benefits on Azure Stack HCI
では、Azure Stack HCIクラスターでAzure benefitsを有効化してみましょう。
Azure benefitsの有効化は、Windows Admin Centerから行います。Azure benefitsを有効化したいAzure Stack HCIクラスターに接続し、左メニューから[設定]をクリックし、中央メニューの[Azure Stack HCI]→[Azure benefits]を開きます。
Azure benefitsが有効化されていない場合は、右ペインに[Turn on]ボタンが表示されますので、[Turn on]ボタンをクリックします。
有効化処理が各Azure Stack HCIホスト上で実行され、完了すると図3のように有効化されたホストの一覧表示に遷移します。これでAzure Stack HCIクラスターでのAzure benefitsの有効化作業は完了です。
右ペイン中央の[VMs]タブをクリックすると、このクラスターでAzure benefitsが適用されている仮想マシンの一覧が表示されます。この画面から、仮想マシン単位のAzure benefitsの有効/無効が設定できます。
また、Azure portalからAzure Stack HCIクラスターリソースの[設定]→[構成]を確認すると、[Azureの特典を有効にする]の項目の[ホスト構成証明]が「有効」になっていることが確認できます。こちらからも、Azure benefitsが有効化されているかを確認することが可能です。
Azure Benefits によるAzure Stack HCIホストと仮想マシンの変化
Azure benefitが有効化されたAzure Stack HCIホストと仮想マシンでどのような変化が起きたかを見てみましょう。
まずAzure Stack HCIホストでは、「AZSHCI_HOST-IMDS_DO_NOT_MODIFY」という名前の仮想スイッチが作成されます。これはAzure benefitsが有効化されたホストすべてに作成されます。
また、Azure Stack HCIホストに「AZSHCI_HOST-IMDS_DO_NOT_MODIFY」仮想スイッチに接続された仮想NICが追加され、IPアドレスは「169.254.169.253/16」が割り当てられます。
Azure Stack HCIホストが仮想マシンに対して「動作している環境はAzure Stack HCI上である」と証明することで、仮想マシンはAzure上で稼働している場合と同様の特典を得られる仕組みとなっています。この仮想マシンに対する証明を行っているのがIMDSアテステーションサービスであり、IMDSアテステーションサービスと通信を行うための仕組みとして、内部通信用の仮想スイッチが作成されます。
このスイッチを介してIMDSアテステーションサービスと仮想マシンが通信を行うことになりますが、仮想マシンにも専用のネットワークインターフェイス「AZSHCI_GUEST-IMDS_DO_NOT_MODIFY」が追加されます。
AzureにおけるIMDSアテステーションサービスの役割に関しては以下を参照してください。
Azure Instance Metadata Service (Windows)
作成された仮想スイッチ、仮想マシンのネットワークインターフェイスはAzure benefitsを利用するために必須のコンポーネントですので、IPアドレスの変更や仮想NIC、仮想スイッチの削除を行わないよう注意してください。
IMDSアテステーションサービスの簡単な動作確認ですが、Azure benefitsが有効化された仮想マシンから、以下のようなPowerShellを実行します。
Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET `
-Uri "http://169.254.169.253/metadata/attested/document?api-version=2018-10-01"
このPowerShellはIMDSアテステーションサービスに対して、REST API経由で構成証明済みデータを取得するものです。宛先となるRESTインターフェイスは、先述の通り「AZSHCI_HOST-IMDS_DO_NOT_MODIFY」仮想スイッチに接続されたAzure Stack HCIホストの仮想NICです。IMDSアテステーションサービスが正しく構成されている場合は、以下のように構成証明データが取得できます。
おわりに
以上で、Azure Stack HCIクラスターでAzure benefitsを利用する準備が整いました。
仮想マシンで実際にAzure benefitsを利用する方法については、現時点では、Windows Server 2022 Datacenter Azure Editionの展開方法や、Windows Server 2008/2008 R2へのESUの適用方法等が公開されていません。
利用方法等が公開され次第、検証の上、結果をお届けできればと思います。
※記載の内容はプレビュー機能も含み、本稿執筆時点のものです。正式リリースやバージョンアップ等により変更される場合があります。
関連サービスのご紹介
