2022年10月22日土曜日

MS Ignite近辺でAzure Stack HCIのトピックを振り返る

Ignite 2022のセッションというより、

Microsoft Ignite BOOK OF NEWS

からたどった

What's new for Azure Stack HCI at Microsoft Ignite 2022

にまとめられています。内容はいろいろなところで聞いています。
が、自分で確認する意味も込めて、リストアップします/引用します/意訳します/文面を読んでざっくりまとめます。

  1. New benefit for Software Assurance customers
    Software Assuranceを締結されているEnterprise Agreementを締結済みの企業様は、Azure Stack HCIのライセンスコア費用を追加で支払う必要がなくなり、AKSとWindows Serverの仮想マシンを無制限に実行できるということです。
  2. Azure Arc-enabled VM management: Public Preview 2
    • Azure Marketplaceから仮想マシンイメージをダウンロードできるようになった。なので、AVD for Azure Stack HCI向けにWindows 11 Enterpriseマルチセッションをダウンロードできます。Azure Stack HCIへWindows Server 2022 Azure Editionも簡単にダウンロードできます。
      ※仮想マシンイメージを手動ダウンロードしなくてよくなるのでうれしい。
      ※これらの仮想マシンイメージは、Azure Arcエージェントが同梱されているということで、こちらももうれしいですね。
    • Azure ArcからVMをデプロイすると、ゲストOSは自動的にArcに対応します。その際、ADドメイン参加のようなVMエクステンションを使ってOSを設定したり、カスタムスクリプトを使ってアプリケーションを展開・設定したりできます。
      ※これもうれしいですね。
      これの一例として、AVDセッションホストプールを自動参加させるARMテンプレートが使える旨も記載があります。
  3. 22H2 feature update
    • 製品品質の改善が図られた。
    • Network ATCがクラスタ内ストレージネットワークにIPアドレスを自動的に割り当て、使用目的に応じてクラスタネットワークに自動的に命名できます。また、最適なネットワークの選択、最適なトランスポート、最適な帯域幅の割り当てなど、ライブマイグレーション設定を管理できます。
    • ストレージ管理はより柔軟で、既存のストレージボリュームを変更して耐障害性を高めたり(例:2ウェイミラーから3ウェイミラー)、固定プロビジョニングからシンプロビジョニングに変換できます。
      ※検証用途だからシンプロビジョニングにしたい場合に良いですかね。
    • ストレッチクラスタ内のサイト間のストレージレプリケーションは、新しいオプションの圧縮機能により、より高速化。
    • Hyper-Vライブマイグレーションは、スイッチレス2ノードおよび3ノードクラスタにおいて、より信頼性が高くなったとのこと。
    • 新しいタグベースのネットワークセグメンテーションにより、選択したカスタムタグに基づく横方向の脅威から仮想化ワークロードを保護できます。
    • 管理ツールによる22H2のサポート
      • 現状のWindows Admin Centerを使ってバージョン22H2を管理できるようです。
        ※2110.2 GAふくめ、急ぎ確認してみます。
      • 11月中旬に次のWindows Admin Centerのリリースされ、変更可能なボリューム設定、改良されたクラスタ設定のデザインなど、新機能をライトアップする機能拡張が行われる予定とのこと。
      • 11月中旬には、System Center 2022の最初のUpdate Rollup(UR1)により、Azure Stack HCI、バージョン22H2の正式サポートが追加されるとのこと。
        ※SCVMM 2022は、Hyper-VホストにVMMエージェントをプッシュインストールできない問題があるので、UR1が近日中にリリースされるのはうれしいです。
  4. Hybrid Azure Kubernetes Service
    • AKS on Azure Stack HCI上の2022年9月のアップデートは現在提供されており、いくつかの重要な機能強化があるそうです。
      • LinuxコンテナのベースイメージがMariner 2.0に更新され、Mariner 1.0の半分以下のサイズになったとのこと。より安全で、より高速にアップグレードされ、約3,000の追加・更新されたパッケージが含まれているとのこと。
      • Software-Defined Networking (SDN) の統合が一般的に利用可能になり、実稼働環境での利用可能。
      • GPUをコンテナにアタッチする手順が簡素化。
      • 皆様からのフィードバックに基づいて、システム管理者グループのどのアカウントでもAKSの管理に使用可能とのこと。
    • Azureから直接ハイブリッドAKSクラスタをプロビジョニングするパブリックプレビューも発表されているとのこと。
      • AADのIDを使用して、Arc Resource Bridgeを通じて、Arc対応のVM管理と非常によく似た、全く新しいKubernetesクラスタをオンプレミス環境にプロビジョニングできます。
        ※これは助かりますねー
      • ポータルGUIの一貫性に加え、ハイブリッドAKSは、GitOpsを通じてより一貫性のある構成管理機能を提供します。GitOpsは、GitやHelmリポジトリなどの一般的なファイルソースや、YAMLやKustomizeなどのテンプレートタイプをサポートする、人気のオープンソースツールセットであるFluxを使用しています。
        ※引き続き確認しなければいけないな。
  5. One more thing… hardware!
    また聞きですけど、Azure Stack Edgeの代替になるようです。
やっぱり自分でも理解するよう、ちゃんと読み込まないとダメと痛感。。。

2022年10月15日土曜日

Hyper-V VMの仮想TPM用証明書は、いつできるの?!

Hyper-V VMの仮想TPM用証明書をフェールオーバークラスターの全ノードに配置する

の続き。

別の3ノードS2Dクラスターへ、Hyper-V VMの仮想TPM用証明書(以降、仮想TPM用証明書と略す)を配置していました。

その際、1ノードだけHyper-V VMの仮想TPM用証明書がなかったのですね。。。

仮想TPM付きの仮想マシンを作って確認してみました。

仮想マシンを作成したタイミングでは、Hyper-V VMの仮想TPM用証明書は作成されず。

仮想マシンへのゲストOSインストールでも、Hyper-V VMの仮想TPM用証明書は作成されず。

ゲストOSのインストールが終わり、ゲストOS自体が起動したタイミングでHyper-V VMの仮想TPM用証明書は作成されてました。
※画面キャプチャは、他2ノードの仮想TPM用証明書が配置済みの状態です。


あと興味深い点があります。仮想TPM証明書名に含まれるホスト名は、証明書の作成時点のものなんだなと。
※下図赤枠のホスト名は、現在変更しています。


2022年10月10日月曜日

Hyper-V VMの仮想TPM用証明書をフェールオーバークラスターの全ノードに配置する

またひとつ、勉強になった件。

とある理由により、仮想マシンにWindows 11 Enterpriseを入れたわけです。Windows 11は、TPMが必要なので、仮想マシンハードウェアで仮想TPMを有効化しました。

で、これらの仮想マシンは、Azure Stack HCI OSによるAzure Stack HCIクラスターで動作しています。

この仮想マシン群が、うまくライブマイグレーションしないことに気づきました。
フェールオーバークラスターマネージャーでイベント出てます。

当該Hyper-Vノードのイベントログにもちらりほらりとイベントが出ています。

で、色々見ていく中で、下記のイベントを見つけました。

イベントID 24008, Microsoft-Windows-Hyper-V-VMMS

The version of the device 'Microsoft Virtual TPM Device' of the virtual machine 'g2w11e02' is not compatible with device on physical computer 'CONTOSOAX64001'. (Virtual machine ID 8A7E2A27-631D-4038-9993-40BCED805E48)

検索してみました。

  1. Windows 2016 Hyper V Cluster Live Migration Fails with TPM enabled
  2. Allowing an additional host to run a VM with virutal TPM
1番の内容にぴったりくるような。。。
たしかに、それぞれのHyper-Vノードには、それぞれのHyper-Vホスト名の証明書しかないですね。

ということで、別Hyper-Vノードの証明書二つを下記パスにインポートしなければならないようです。

LocalMachine\Shielded VM Local Certificates\

Windows Admin Center (WAC)からエクスポートします。が、pfx形式がないけど大丈夫かな。

うまくいかないぞ。。。

項番1の最後に書いてある通り、秘密キーも持って行かないと駄目です。WACからだとpfxを選べないので、秘密キーが含まれておらず、やはり失敗しました。。。
証明書ストアから、別ホストの証明書を削除しますが、その際、自ホストの証明書を消さないように気を付けましょう!

で、上記項番1からだとった下記ページにあるcertutilでエクスポートしてみます。

certutil -store “Shielded VM Local Certificates”
を実行

Hyper-V 2016 Shielded Virtual Machines on Stand-Alone Hostsにあったエクスポート用のパスワードを流用させていただきつつ、シリアル番号を指定して、pfx形式でエクスポートします。

エクスポートを他方のHyper-Vノードでも繰り返します。

続いて、エクスポートしたpfx形式の証明書を他方のHyper-Vノードへインポートします。
certutil -importPFX "Shielded VM Local Certificates" 証明書ファイルへのパス\証明書ファイル名.pfx

別のHyper-Vノードでもインポートを行います。そうすると各Hyper-Vノードで同じ証明書が配置されることになります。これでライブマイグレーションの準備完了かな。

仮想TPMを使っている仮想マシンをライブマイグレーションしてみます。
問題無いですね。

以上

2022年10月9日日曜日

Windows Admin Center拡張であるDELL OpenManage Integration 2.3.0によるファームウェアやデバイスドライバーのアップデート

DELL OpenManage Integration 2.3.0によるファームウェアやデバイスドライバーのアップデートを見ていきます。
※この機能は、正規ライセンスがあればAzure Stack HCIで使用可能です。

DELL OpenManage Integrationのアップデートで、コンプライアンスレポートを生成します。
生成されたコンプライアンスレポートは、ノードごとに状況確認できます。

ファームウェアやデバイスドライバーのサポートマトリックスに基づいて、満足しているかそうでないかを表示していますね。この場合だと、BIOSなどが逆に新しくしすぎてしまいました。。。
概要画面、クラスター認識型アップデート画面に進んでサポートマトリックスに合わせた形でファームウェアやデバイスドライバーのバージョンを揃えます。
※クラスター認識型アップデートを使う場合、クラスター対応更新(CAU)をあらかじめ構成しておきます。

以下、ファームウェアやデバイスドライバーのアップデート中です。

実は、仮想マシンに対する設定がよろしくなくて、一度失敗してます。(この事象は、別稿でまとめました

再実行させて、片系ノードの再起動が走りました。
BIOSバージョンをサポートマトリックスにそろえるために処理が走ってました。
続いてもう片系のアップデートを行っています。
アップデート完了しました。
コンプライアンスレポートが再生成されました。すべて準拠になってますね。


Windows Admin Center拡張であるDELL OpenManage Integration 2.3.0

標記でできることが増えています。各画面を貼っておきます。画面キャプチャは、Azure Stack HCI認定ハードウェアで採取しました。

正常性

インベントリー

クラスターマネージャーから表示しているので、ノードをクリックすれば各ノードのインベントリーが表示されます。

iDRAC

クラスターマネージャーから表示しているので、ノードをクリックすれば各ノードのiDRAC接続リンクなどが表示されます。

セキュリティ

これは、2.2から追加された機能でした。セキュアコア(Secured-core server)とインフラストラクチャロック(Infrastructure lock)の二つで構成されています。

セキュアコア(Secured-core server)

インフラストラクチャロック(Infrastructure lock)

アップデート

ファームウェアやデバイスドライバーをアップデートします。詳しくは別稿で流れを解説します。

Azure

これは、2.3から追加された機能です。Azure Policyでハードウェア周りを統制するための機能です。具体的な構成方法は、調べないと。

HCPコンプライアンス

これは、2.3から追加された機能です。2.3のリリースノートから引用すると「HCP(HCI Configuration Profile)ポリシーを使用したHCIクラスタの検証および修復」ということです。具体的な構成方法は、調べないと。

設定

コンピューティングリソース、クラスターの拡張、ストレージ拡張のサブメニューがあります。

コンピューティングリソース


クラスターの拡張

こちらからノード追加できそうですね。

ストレージ拡張

ノードに接続されている物理ストレージを表示できます。ストレージの拡張もできそう。

設定

アップデートに対する設定である「アップデートツール」、「プロキシ設定」のサブメニューがあります。

アップデートツール

アップデート導入ツールと、ハードウェアインベントリー収集ツールについて設定できます。

プロキシ設定

OpenManage Integrationは、Windows Admin Centerのプロキシ設定と別にプロキシ設定が必要です。

情報

OpenManage Integrationのバージョン、ビルド番号などを確認できます。