【セミナーレポート】Azure Arcで解決!サーバー運用管理の不満や不安~実務者のための理想のWindows Update&サーバーの運用管理~
2024年3月13日、「Azure Arc」の活用による
- ハイブリッド環境でも、サーバーOSの更新プログラム適用をスケジュールに基づいて自動的に行う方法
- サーバーのリソース管理、セキュリティ対策などサーバー運用管理のお悩み解決から効率的な運用管理術
をご紹介するセミナーを開催し、お蔭様でたくさん方にご参加いただきました。本記事はセミナーレポートです。本セミナーの動画配信はいたしませんので「Azure Arc」についてより詳しい情報をお知りになりたい方はフォームよりお気軽にお問い合わせください。
目次
【第1セッション】
40 分でわかる理想のアップデート&運用管理(Microsoft Azure Arcのご紹介)
株式会社ユニックシステムズ
代表取締役社長 中村邦久氏
皆さんは日本では毎月第2水曜日に必ずやってくる「Windows Update」をどのように管理していますか?更新プログラムに不具合があった場合に備えて、更新プログラムを検証後に適用したり、遅延適用を実施したりできるようにする「WSUS」や「MECM(旧SCCM)」を利用されている方もいらっしゃるのではないでしょうか?
しかし、それらの利用には
- 管理サーバーとローカルネットワークが必要
- 管理サーバーから更新プログラムを配布する場合、社外持ち出し端末とVPN接続などが必要
といった要件が運用上のネックになることがありました。
WSUS
マイクロソフト社が提供する、更新プログラム適用制御用のサーバーアプリケーションのこと。Windows Server Update Services の略。
MECM(旧SCCM)
マイクロソフト社が提供する、Windowsベースの多数のシステム群を管理するソフトウェア製品のこと。Microsoft Endpoint Configuration Manager(旧名System Center Configuration Manager)の略。MECM(旧SCCM)
「Microsoft Intune」で脱WSUS、脱ローカルネットワーク
「 Microsoft Intune」と「Windows Update for Business」を利用することによって、管理サーバーやローカルネットワークの制限を気にせず、さらに便利な運用ができます。
・インターネットから直接ダウンロード
・適用タイミングのスケジューリング
・事前検証や全体展開など適用する範囲のグループ分け
・インターネットにつながっている端末であれば、適用状況の確認やポリシー変更可能
元来「Microsoft Intune」はデバイス管理ソリューションですので、
デバイスの管理・安全性確認
クラウド経由でのアプリケーションの配布
「Windows Autopilot」によるキッティング簡略化(Microsoft Entra ID との組み合わせ)
などを実施できますので、まだご利用でない方は「Microsoft Intune」もご検討ください。
サーバーの管理は?
しかし、残念なことに「Microsoft Intune」はサーバーの管理はできません。 これでは「Microsoft Intune」でせっかくデバイスの管理ができるようになっても、サーバーの「Windows Update」管理は引き続き「WSUS」で実施することになってしまいます。それを解決するのが、「Azure Update Manager」と「Azure Arc」です。まずは、「Azure Update Manager」の活用により、Azure上でサーバーを管理することによる代表的な3つの便利な機能をご紹介いたします。
①Azure Update Manager
Azure 上の仮想マシンに対して、毎月のサーバー向け「Windows Update」の管理を実現します(WSUS/MECM不要)。しかも、コストは25円(1サーバー/1日)と非常に安価です(※)。つまり、「現行のWSUSを見直すということはサーバー管理業務自体を見直すチャンスである」と言えます。
※価格はご利用状況や為替によって変動します。
②Azure Monitor
さらに、「Azure Monitor」という機能を利用すれば、ログの可視化/分析/アラート通知、メトリックやパフォーマンスログの収集ができ、サーバーの健康状態の把握(死活監視)が可能です。
③Microsoft Defender for Cloud
また、「Microsoft Defender for Cloud」は健康状態だけでなく、セキュリティの管理も可能です。CSPM&CWPPと呼ばれるクラウド環境のセキュリティ体制管理と脅威保護ができる「Microsoft Defender for Cloud」という機能も利用できます。これにより、設定ミスや脆弱性をチェックし、内部ワークロードの保護もできます。
「Azure Arc」でサーバーがどこにあっても一元管理可能に
管理対象のサーバーがオンプレミス環境にあっても、これまでご紹介しました機能を利用して一元管理を実現するのが「Azure Arc」です。また、Linux や Red Hat などWindows 以外のOSやGCPやAWSなどマルチクラウドにも対応しています。しかもコストは約25円(1サーバー/1日)で実現できます(※)。
※価格は利用環境や為替により変動します。
「Azure Arc」で「Windows Server 2012/R2」EoS対応も可能
2023年10月10日にEOSを迎えた「Windows Server 2012/R2」ですが、日本マイクロソフト株式会社の調査によると、現在も20万台弱の「Windows Server 2012/R2」サーバーが稼働しているそうです。皆さんの会社にも移行中/移行作業中のサーバーがまだ何台か残っているのではないでしょうか?
サポート期間が終了したマイクロソフト製品のセキュリティ更新プログラムを受けるための最終手段として、「ESU(Extended Security Updates:拡張セキュリティ更新プログラム)」がありますが、提供形態が年契約という制約があるため、あと半年で移行が完了するのに・・・・・・という方には少々もったいないことになります。
この「ESU」を必要な期間だけ提供を受けることが「Azure Arc」なら可能です。詳細につきましてはお問い合わせください(※)。
※「ESU」の利用を推奨している意味ではございません。基本的には最新バージョンへの早めの移行をご検討ください。
【第2セッション】
Azure Arc 導入支援サービスのご紹介
ディーアイエスサービス&ソリューション株式会社 ソリューション本部 東京営業部 営業3課 係長 柴田英昭
【第1セッション】でもありました通り、Windows Server 2012/R2 を利用されている企業様も多くいらっしゃるかと思います。ディーアイエスサービス&ソリューションでは、「ESU」の期間利用も含めて、「Azure Arc」を活用したサーバー移行/構築メニューをご用意しています(※)。
※本サービスはディーアイエスサービス&ソリューションとMicrosoft CSPサービスの契約を締結しているお客様向けのサービスです。
Microsoft Azure構築メニュー
- IaaS系サービス(インフラ基盤構築)
- Azure インフラ構築スターターパック
- AVD PoC 環境構築メニュー
PaaS系サービス(開発関連)
- Azure App Service 構築メニュー
- SQL/Azure Database 構築メニュー
認証系サービス
- Azure AD アプリケーション プロキシ PoC構築パック
- Azure Active Directory B2C 構築パック
PaaS系サービス(オンプレハイブリッド)
- Azure Files / Azure File Sync 構築メニュー
- Azure Arc 対応サーバー セキュア構築パック
その他
- Azure / Microsoft 365 ログ長期保存設定メニュー
その中でも今回は、「Azure Arc 対応サーバー セキュア構築パック」についてご説明いたします。
Azure Arc 対応サーバー セキュア構築パック
オンプレミスサーバーをAzure にて管理する環境を構築するサービスです。下記のようなご要望/お悩みのある方はご検討ください。
- 社内のオンプレミスサーバーもクラウドサーバーも一元管理したい
- 社内に残ったWindows Server 2012/R2 のセキュリティが不安
- 専門家に相談しながらサーバー運用を行いたい
基本セット と オプションメニューの組み合わせでカスタマイズ可能
| 基本メニュー | 設定内容 | 標準単価 (税別) | 最大 購入数 |
|---|---|---|---|
| 基本セット(必須) | Azure Arc 対応サーバー登録スクリプト作成 | ¥250,000.-~ | 1式 |
| オンプレミスサーバー5台までにエージェントをインストール | |||
| ヒアリングシートに基づくお打ち合わせ(Web会議3回まで) | |||
| 構築した Azure 環境についてご説明(Web会議) | |||
| 2週間のメールサポート(平日9-17時、ベストエフォート対応) | |||
| 詳細設計書、試験計画書 兼 報告書、操作手順書 |
+
| オプションメニュー | 設定内容 | 標準単価 (税別) | 最大 購入数 |
|---|---|---|---|
| ①診断ログ収集オプション | Microsoft Defender for Cloud、変更管理、インベントリの構成管理などの設定 | お問い合わせください | 1式 |
| ②サーバー追加オプション | オンプレミスサーバー1台にエージェントをインストール | お問い合わせください | 5式 |
| ③追加ログ収集オプション | オンプレミスサーバー1台に追加設定(①および②の購入必須) | お問い合わせください | 5式 |
基本セットの中で、前述のサポート切れOSのESU(拡張セキュリティ更新プログラム)の適用作業も実施します(※)。
※別途ライセンス費用が必要です。詳しくは下記「ESU(拡張セキュリティ更新プログラム)の有効化」をご覧ください
- 「Azure Arc」接続状態で、かつSAが有効なサーバーは、OSのサポート終了後も最大3年間サポート延長
- ESUライセンスの料金は、Azure Plan を通して請求(従量課金)
ESU(拡張セキュリティ更新プログラム)の有効化
「Azure Arc」で Windows Server 2012/R2 のESUを適用するには、
①ESUの購入とサーバーへの適用
が必要ですが、①を適用するのサーバーの条件としてさらに
②SAもしくは同等のサーバーサブスクリプション(SPLA)を有していること
が条件です。そして、物理/仮想サーバーのコア数に応じて購入するライセンスが決まります(最低コア数あり)。
物理コアライセンス
最低16コア(Standard エディションは最大2つのVM、Datacenter エディションは無制限)
仮想コアライセンス
最低8コア(サードパーティの仮想基盤:AWS、GCP、OCIでの実行)
ライセンス料金の例(※)
| ESU(拡張セキュリティ更新プログラム) | Datacenter 月額料金 | Standard 月額料金 |
|---|---|---|
| Windows Server 2012 16Core | ¥64,389.- | ¥11,177.- |
| Windows Server 2012 8Core | ¥32,195.- | ¥5,589.- |
※為替により価格は変動します。
※延長サポート終了日:2023年10月10日を起点に遡及料金が発生します。
Azure Update Manager 導入オプション
Azure上の仮想サーバー、Azure Arc対応サーバーに「Azure Update Manager」の設定サービスを提供します。
本オプションメニュー単体での購入はできません。上記「Azure インフラ構築スターターパック」または「Azure Arc 対応サーバー セキュア構築パック(基本セット)」との同時購入が必須です。
| メニュー | 設定内容 | 標準単価 (税別) | 最大 購入数 |
|---|---|---|---|
| Azure Update Manager 導入オプション (設定対象サーバー:1台 | サーバーのバッチオーケストレーション変更・メンテナンス構成作成(2個) | お問い合わせください | 3式 |
| ヒアリングシートに基づくお打ち合わせ | |||
| 詳細設計書、試験計画書 兼 報告書、操作手順書 |
メンテナンス構成2個の例
- Windows Defender の定義ファイル更新:毎日(24:00実行)
- Windows Update の適用:月1回(第3水曜日実行)
「Azure Arc」の提案・構築につきましては、実績豊富なディーアイエスサービス&ソリューションまでお気軽にご相談ください。
