クラウドで、アジリティを手に入れよう。
column

コラム

Azure VMの拡張機能

  • TAG

    Azure
  • UPDATE

    2022/01/14

はじめに

こんにちは。BTCクラウドCoEの松波です。今回はAzure VM拡張機能について説明していきたいと思います。
 

VM拡張機能とは

まずAzureVM拡張機能とは何か、ということについてはMicrosoft公式サイトから引用します。
—以下引用
拡張機能は、Azure VM でのデプロイ後の構成と自動化を提供する小さなアプリケーションです。 Azure プラットフォームでは、VM の構成、監視、セキュリティ、およびユーティリティのアプリケーションを対象とする多くの拡張機能をホストします。
—引用ここまで
 
小さなアプリケーションという表現からもわかるとおり、拡張機能はAzure VMのOS上で動作するアプリケーションです。
インストール方法は機能によって異なりますが、Portalからインストール可能なものが多くあります(OS上でインストーラを実行するものもあります)。
Portalからの拡張機能インストールを実現するために、Azure VMではAzure VMエージェントと呼ばれる機能が利用されます。
これが拡張機能をダウンロードし、OSへのインストールを行います。なお、WindowsやLinuxのVMをローンチした段階でOS上にインストールされていますので、利用者側で特に認識することはありません。
 

代表的な拡張機能とそのインストール方法

本コラムでは、Azure Portal上での操作により容易にインストールできる拡張機能の概要とそのインストール方法について説明したいと思います。
 

Log Analytics拡張機能

これはLog AnalyticsワークスペースにWindowsイベントログやパフォーマンスカウンタなどを導入する際に利用する拡張機能です。この拡張機能を用いて、Azure Portal上でログメッセージをクエリによる検索を行ったり、Monitorを用いたログ監視やリソース監視を行うことができます。
ちなみに、類似機能のAzure Monitor Agentが昨年後半にGAされたため、現状どちらを導入するかは比較検討して決めていく必要があります。
 
本機能のインストールは、Log Analyticsワークスペースの管理画面から可能です。Log Analyticsワークスペースのメニュー「仮想マシン」から対象のVMを指定し、以下画面で「接続」をクリックすることで自動的に対象VMに本拡張機能がインストールされます。
 

 
なお、VMからLog Analyticsワークスペースに対してどのログを転送するかといった設定については、Log Analyticsのメニュー「エージェント構成」から行います。以下は例として、WindowsイベントログのApplicationとSystemを指定しています。
 
 

脆弱性評価ソリューション

これはVMの各種脆弱性について評価する Microsoft Defender for Cloud(旧称Azure CenterおよびAzure Defender)の機能の一部です。
この拡張機能を用いて、ハイパーバイザやクラウド上の設定だけでなく、OS上のセキュリティリスクなども含めて、評価することができるようになります。
インストールは、VMの「セキュリティ」メニューにて、「マシンには脆弱性評価ソリューションが必要」を選択、有効化することでVMに導入されます。
 
 
 
 
インストール時、評価ソリューションとして使うものを選択肢から選ぶ必要があります。以前はQualysを使うことが前提になっていましたが、現在はMDEビルトインのソリューションも選択できるようになっていました。MDE、Qualysのどちらも下図のとおりMicrosoft Defender for serversライセンスが必要となります。
 
 
なお、拡張機能画面に反映されるまで1日弱かかる場合があります。
インストールされると、VMに対して非常に多くの脆弱性評価が行われるようになり、評価結果についてはMicrosoft Defender for Cloud「推奨事項」もしくはポリシー「コンプライアンス」画面から確認することができます。
単純にVMを構築しただけだと準拠していない項目が複数表示されますが、よりセキュアな環境にするためのアドバイザとして活用していきましょう。
 

Microsoftマルウェア対策拡張機能

マルウェア対策のための拡張機能です。Windows Defenderが既定でインストールされているWindows Server 2016以降ではインストール不要ですが、それ以前のWindowsOSにも同等の機能が提供されます。
インストールはVMの「拡張機能とアプリケーション」から「Microsoft Antimalware」を追加します。

 
インストール時、以下のようにスケジュールスキャンの各種設定を行う必要があります。ちなみにこれら設定はWindows Defenderでも同様に行うものです。スキャンの曜日・時間や除外したいフォルダの設定をここで行いましょう。
 
 

Windows 用 Azure パフォーマンス診断 VM 拡張機能

Windows VM からパフォーマンス診断データを収集するために利用する拡張機能です。
インストールはVMの「拡張機能とアプリケーション」から「Azure Performance Diagnostics」を追加します。
 

 
インストール時には、ストレージアカウント名とストレージキーが必要となります。ストレージアカウントは事前に作成しておく必要があります。
 
 
インストールが完了すると、ストレージアカウントのコンテナ「azdiagextnresults」にzipファイルが出力されるようになります。
ここから直接ダウンロードすることもできますが、VMのメニュー「Performance Diagnostics」から参照する方が便利です。
このZipファイルをダウンロード・解凍すると、「Perfinsights Report.html」というファイルが出力され、以下のようなレポートにより対象VMのパフォーマンス情報を参照することができます。
 
 

最後に

今回、AzureVMに対して導入する機会の多い拡張機能について機能概要とインストール方法を説明しました。
AzureではVMの運用管理機能とAzure Portalとの統合が非常に進められていることを改めて確認できました。これはWindowsを長年開発してきたMicrosoftの強みが生かされた結果と言えるのではないでしょうか。
 
コンテナやサーバーレスのシステムへのリプレース・マイグレーションが増えてきている昨今ですが、ミドルウェア等の制約によりVMを廃止できないケースは多々あるかと存じます。そういうケースでも今回の拡張機能のように、クラウドの強みを生かしたシステム設計・構築を推進していきたいものですね。