5.3.1 Azure CLIのインストール・設定
HAモニタは,Azure CLIを実行して,業務通信の切り替えやインスタンスの強制停止を実施します。Azure CLIのインストールおよび設定について,次に説明します。
-
Azure CLIのインストール
Linux OS上にAzure CLIをインストールします。Azure CLIのインストール方法に関する詳細は,Azureのドキュメントを参照してください。
-
Azure CLIの設定
Azure CLIの設定に関する詳細は,Azureのドキュメントを参照してください。
HAモニタでは,HAモニタ専用のサービスプリンシパルを使用して,Azureリソースにアクセスします。そのため,サービスプリンシパルを作成する必要があります。
次の手順でサービスプリンシパルを作成してください。
-
サービスプリンシパルに割り当てるカスタムロールの作成
Azureは,Azureリソースに対してロールベースのアクセス制御を実施します。ロールは,Azureリソースへのアクセス許可の集合体を指し,ユーザに割り当てられます。
Azureリソースにアクセスするために,次のパスのアクセスを許可してください。
・Microsoft.Compute/virtualMachines/read
・Microsoft.Compute/virtualMachines/start/action
・Microsoft.Compute/virtualMachines/stop/action
また,DNS名制御によって業務通信を切り替える場合,次のパスもアクセスを許可してください。
・Microsoft.Network/dnsZones/A/write
・Microsoft.Network/dnsZones/A/delete
・Microsoft.Network/dnsZones/CNAME/write
・Microsoft.Network/dnsZones/CNAME/delete
・Microsoft.Network/dnsZones/NS/read
上記のアクセス許可を持つ既定のロールを割り当てても問題ありませんが,HAモニタに上記以外のアクセス許可を与えないように,HAモニタ専用のロールを作成してサービスプリンシパルに割り当てることを推奨します。上記のアクセス許可がない場合は,仮想マシンの強制停止および業務通信の切り替えがエラーとなり,失敗します。
ロールやアクセス許可などの設定に関する詳細は,Azureのドキュメントを参照してください。
-
サービスプリンシパルの作成
HAモニタ専用のサービスプリンシパルを作成し,ロールとして「1.」で作成したカスタムロールを割り当ててください。
サービスプリンシパルのログイン認証方法として,証明書を設定してください。業務の稼働中に有効期限が切れないようにするため,証明書の有効期限には,業務の稼働期間より十分に長い期間を設定してください。有効期限が切れた場合は,サーバの起動や系切り替えなどに失敗するおそれがあります。
サービスプリンシパルの作成に関する詳細は,Azureのドキュメントを参照してください。
なお,サービスプリンシパルのアプリケーションID,認証に使用する証明書の格納パス,およびテナントIDは,HAモニタの設定で使用します。HAモニタの設定については,「5.12.2 【Azure】サービスプリンシパル情報設定ファイルの設定」を参照してください。
-