Azure Stack Hub を設置する(接続モデル)

azurestack
Published: 2018-12-08
  • 初版:2018年12月
  • 第二版:2022年3月

はじめに

本エントリーはMicrosoft Azure Stack Advent Calendar 2018の8日目です。

本日のエントリーでは、Azure Stack Hub を設置するうえで重要となる「接続モデル」についてまとめます。

2つの接続モデル

Azure Stack Hub には2つの接続モデルが存在します。それが Connected deployment と Disconnected deployment です。

参考:Azure Stack 統合システムの接続モデル

1. Connected deployment

Connected deployment とは、インターネットに接続できる環境に Azure Stack Hub をデプロイすることを指します。次の通り、Microsoft は Connected deployment をデフォルトとしています。

接続されたデプロイは、特に Azure と Azure Stack の両方を含むハイブリッド クラウドのシナリオの場合、顧客が Azure Stack を最大限に活用できるため、既定のオプションになります。

引用:Azure Stack 統合システムの Azure に接続されたデプロイ計画の決定

Connected deployment と対になる Disconnected deployment には様々の制限があります。ですので、「弊社はインターネット接続が厳しいので、とりあえず Disconnected にしよう」というスタンスではなく「是が非でも Connected にするんだ」というスタンスで検討することをお勧めします。

Connected deployment な Azure Stack Hub のアクセス先は次のURLの通りです。Azure Stack Hub がこれらのエンドポイントにアクセスできるようにオンプレミスのネットワークを設定する必要があります。

参考:ポートと URL (送信)

オンプレミスのネットワークの設計時に注意すべき事項がプロキシサーバです。Azure Stack Hub はインターネットへの通信制御の手法として一般的な明示プロキシをサポートしていません。現時点での Azure Stack Hub がサポートするプロキシは「プロキシサーバの証明書をインストールしなくても動作する透過型プロキシ」のみです。公式ドキュメントに検証済みの透過型プロキシのベンダが掲載されていますので、もし透過型プロキシを導入する場合は機器選定や設計の参考にしましょう。

参考:Azure Stack Hub の透過プロキシ

2. Disconnected deployment

Disconnected deployment とは、Azure Stack Hub をインターネットおよび Azure に接続できない環境にデプロイすることを指します。

参考:Azure Stack 統合システムの Azure から切断されたデプロイ計画の決定

Disconnected deployment による機能的な制限は次の URL に記載されています。

参考:切断されたデプロイで損なわれるか、または使用できない機能

上記以外にも、次のよう機能が不便になりそうな気がします。ただし、Disconnected deployment な Azure Stack Hub に触れたことがないので、想像を含みます。これら以外にも、ドキュメントに記載されておらず私が想像もしなかった制約があるかもしれません。覚悟した上で Disconnected deployment を選択しましょう。

  • Windows Defender の定義ファイル更新
  • 定期アップデート用パッケージの自動ダウンロード
    • Azure Stack Hub 自身による自動ダウンロードから、手動で端末にダウンロードして手動で Azure Stack Hub にアップロードする方式になってしまう

接続モデルと認証方式

Azure Stack Hub は、Azure Active Directory による認証と ADFS による認証の2つをサポートしています。Connected deployment は両方の方式をサポートしますが、Disconnected deployment は ADFS のみをサポートします。

Connected Disconnected
AAD認証 OK NG
ADFS認証 OK OK

どちらの認証方式にするか決めたら、Deployment Worksheet に記入しましょう。認証方式は、Deployment Worksheet における最初の項目です。

なお、OEM ベンダによりデプロイが始まってしまうと、認証方式を変えられません。したがって、Disconnected deployment で ADFS 認証を選択した場合、後からインターネット環境を整備できたとしても、認証は ADFS のままです。どうしても AAD 認証に切り替えたければ、Azure Stack Hub を OEM ベンダに再デプロイしてもらう必要があります。

接続モデルと課金方式

Azure Stack の料金て、お話したとおり、Azure Stack Hub 上で動作する Azure の利用料は、従量課金と年間定額のキャパシティ課金の2種類があります。Connected deployment の場合は、どちらもサポートしますが、Disconnected deployment の場合は、キャパシティ課金のみをサポートします。

Connected Disconnected
従量課金 OK NG
キャパシティ課金 OK OK

ただし、課金方式は、認証方式と違って後から変更できるようです。

参考:登録を更新または変更する

まとめ

本日のエントリでは、Azure Stack Hub を設置する際に最初に検討することになる接続モデルを説明しました。接続モデルに依存する認証方式は「後戻りするには再デプロイ」という重要な項目です。なんとなーく Disconnected deployment を選択するのではなく、Azure Stack Hub に期待することや Azure Stack Hub で実現したい世界を踏まえて接続モデルを選びましょう。