2023年5月20日土曜日

グループポリシーでAzure Arcエージェントを展開する

教えていただいてから、確認するまで時間がかかってしまいましたが、標記の件、確認します。参考にするドキュメントは、日本語化されていますので、そちらのリンクを貼っておきます。

グループ ポリシーを使用して大規模にマシンを接続する

大きく6つのステップから構成されています。
※原文では、5つとグループポリシーの展開ですが、これらをあわせて6つと解釈しております。あしからずご了承ください。

  1. Windows 用の Azure Connected Machine エージェント パッケージと構成ファイルを配置するためファイル共有を作成します。
    ファイル共有のアクセス権としては、Domain Admins、Domain Computers、Domain Controllersに対して変更を付与します。下記の画像は、Domain Adminに変更を付与したもの。
    Domain Computers、Domain Controllersに対しても、同様のアクセス権を付与します。
  2. ハイブリッド マシンを大規模に Azure に接続するConnected Machine エージェントの前提条件 を確認します。リソースグループに対して、Azure リソース プロバイダーの登録がすべてできているかも大事です。
    大規模なオンボーディング用のサービス プリンシパルを作成する に沿ってサービスプリンシパルを作成します。ちなみに有効期限は、1か月にしてあります。
    続いてサービスプリンシパルのシークレットをダウンロードしておきます。
    サービスプリンシパルが作成されたことを確認しました。
  3. https://github.com/Azure/ArcEnabledServersGroupPolicy/releases/latest/ より最新版をダウンロードします。今回は、1.0.4をダウンロード&解凍しました。
    必要なファイルをドメインコントローラーへコピーするため、いったんの解凍先は、前述のファイル共有配下としています。
  4. 最新バージョンの Azure Connected Machine エージェント Windows インストーラー パッケージをダウンロードし、前述のファイル共有配下へ配置します。
  5. ドメインコントローラーに項番3で展開したファイル群をコピーします。デプロイ スクリプト DeployGPO.ps1を実行して、グループポリシーをデプロイします。
    なおReportServerFQDNパラメーターは、DeployGPO.ps1のコメントに下記の記述があったのでファイル共有をホストするサーバーのFQDNを指定します。
    .PARAMETER ReportServerFQDN
       FQDN of the Server that will act as report Server (and source files)

    ※ ServicePrincipalClientIdとServicePrincipalSecretをテレコにしていました。リトライした画像を下記に貼っておきます。

    ドメインコントローラーで実行したせいなのかデプロイ完了後に、「グループポリシーの管理」が表示されました。「グループポリシーオブジェクト」をドリルダウンすると、GPOが作成されていることが確認できました。
  6. 今回は、スタンドアロンのWindows ServerをAzure Arcにオンボードします。Windows Server OUに作成したGPOをリンクします。

    GPO適用前の状態は、下記の通りでした。
    ※すでに登録済みのサーバーは、リソースグループを別途変更してきました

でレプリケーションし終わるまで待つのも何なので。。。
ドメインコントローラー間で手動レプリケーションを行い、とあるメンバーサーバーでgpupdate /forceを実行しました。で、グループ ポリシー オブジェクトを適用する の「重要」を読むと下記の記述がありました。。。

サーバーが Arc に正常にオンボードされたことを確認したら、グループ ポリシー オブジェクトを無効にします。 これにより、システムの再起動時やグループ ポリシーの更新時に、スケジュールされたタスク内の同じ Powershell コマンドが実行されなくなります。

再起動させたほうが良さそうなのかな。。。仮想マシン2台を再起動させてみました。

Azure Connected Machine Agentがインストールされていました。ということで、順次再起動が必要ですね!

施行した2台においてGPO適用し再起動後の状態は、下記の通りです。


2023年5月19日金曜日

Azure Monitor経由で、Azure Backupの通知が来ました

Azure Backup 用の Azure Monitor ベースのアラートに切り替える

の続き。

SCDPMから仮想マシンの保護を解除し、Azure Backupの保護も解除しました。結果、下記画像のような通知が届きました。(二つのメールアドレスを登録しておりましたので、各々に1通ずつ届きました)


Azure OpenAIのネットワーク制御というか、Azure Cognitive Servicesのネットワーク制御

Azure OpenAIにネットワーク制御があるとわかり、すべてのネットワークから受け付けないようAzure仮想ネットワークのみに絞り込んでみました。

これは、Azure OpenAIということではなく、Azure Cognitive Services 仮想ネットワークを構成する が使えると理解しました。ちなみにこのやり方を使うには、Azure Cognitive ServicesのサービスエンドポイントをAzure仮想ネットワークに作っておく必要がありますね。

では、インターネット経由でのアクセスは、拒否されるでしょうか。Azure Open AI Studioにアクセスできますが、ChatGPT プレイグラウンドでチャットをやり取りすると、下記のとおり拒否されました。

つづいて、Azure仮想ネットワークに接続している仮想マシンへBastion経由でサインインし、Azure Open AI Studio→ChatGPT プレイグラウンドでチャットを開始しました。結果として、Azure仮想ネットワークからは、チャットのやり取りができますね。