みなさん、こんにちは。ネットワールドでSA（ソリューションアーキテクト）として活動している後藤です。

MicrosoftのAzure Local 2506でプレビューが始まった「SDN enabled by Azure Arc」ですが、みなさんテストされましたか？

前回は従来のSDNとSDN enabled by Azure Arcがどのような点で違いがあるのかなどを説明しました。

前回記事はこちらです。

blogs.networld.co.jp

今回は、2ノードのAzure Local 2506にSDN enabled by Azure Arcを展開し、その動きを確認してみたいと思います。

• 1：最初に注意事項と免責事項
• 2：SDN enabled by Azure Arcの有効化
• 3：SDN enabled by Azure Arcの環境確認
• 4：SDN enabled by Azure ArcによるNSGの登録
• 5：最後に

1：最初に注意事項と免責事項

本記事で取り扱っている新しいSDN「SDN enabled by Azure Arc」は、執筆時点（2025/07初旬）でパブリックプレビューの機能になります。

執筆時点の情報になりますので、もしかしたら明日には仕様が変更されているかもしれません。最新の情報はMicrosoftの公式ドキュメントをご参照ください。

また、本記事に従って作業を行って発生した問題について、弊社は責任を負いかねますので、自己責任でお願いします。

2：SDN enabled by Azure Arcの有効化

SDN enabled by Azure Arcを有効化するには、いくつかの前提条件をクリアする必要があります。

前提条件は以下のドキュメントに記述されてます。

learn.microsoft.com

簡単に言うと、以下の2点です。

• Build 26100系列のAzure Local 2506以降であること
• 動的更新DNSを使用していること。静的更新DNSの場合は事前にネットワークコントローラーのIPアドレスとホスト名を登録しておくこと

DNSについては、ActiveDirectory環境があると思うので、DNSの動的更新が有効であることを確認するだけです。

OS Buildに関してはドキュメントに確認方法が書いてありますが、再インストールやソリューションアップデートを実施して、条件を満たしてください。なお、Azure Local 2506のインストール用ISOイメージはAzureポータルからダウンロードできます。

条件を満たしていることを確認したら、クラスターを構成するいずれかのAzure Localノードのコンソールから以下コマンドレットを実行します。

 

Add-EceFeature -Name NC -SDNPrefix <SDNPrefix>

 

-Nameオプションは「NC」固定です。

-SDNPrefixオプションでは、ネットワークコントローラーのREST URIに含まれる文字列を指定します。指定は必須で8文字以下、大文字、小文字、数字で指定する必要があり、記号は-（ハイフン）のみ許容されます。しかしながらハイフンが2つ連続したり、ハイフンで文字列を終了するのはNGです。

今回は「AzS20」という文字列を指定して実行しました（図1）。

コマンドレットを実行すると、免責事項（ネットワークコントローラーをインストールする際にネットワークが中断されるので、メンテナンスウィンドウを確保する必要がある）が表示されますので、問題なければ「Yes」で応答します。

そうすると後続のステップが走り始めますので、20分ほど待機します。本環境ではインストール完了まで19分かかりました。

完了すると、図2のように「Enabling SDN for MOC completed.」が表示されます。

以上で、SDN enabled by Azure Arcを有効化は完了です。

かつてのネットワークコントローラーの展開を知っている身からすると、あっけないほど簡単になったな、という感想しかないです……。

3：SDN enabled by Azure Arcの環境確認

SDN enabled by Azure Arcを有効化した環境を確認してみます。

大きな違いは、前回も解説した通り、フェールオーバークラスターにSDN用の汎用サービスが追加されます（図3）。

「APIService」など8個ほど追加されます。

続いて動的更新DNSの要件があったので、ActiveDirectoryのDNSを確認してみます（図4）。

ネットワークコントローラーのAPIServiceが持つIPアドレスが「azs20-NC」というホスト名で登録されています。

こちらのホスト名は、Add-EceFeatureコマンドレットの-SDNPrefixオプションで指定した文字列に「-NC」が追加されたものになり、ネットワークコントローラーのREST URIのホスト名部分になります。

採番されているIPアドレスは、Azure Localをデプロイする際に指定する、リソースブリッジなどで利用される最低6つのIPアドレス帯から、5番目のアドレスがアサインされます。静的更新DNSの場合は5番目のアドレスを手動でDNSに登録する必要があるのでめんどくさいですね。動的更新DNSの利用をお勧めしたいです。

4：SDN enabled by Azure ArcによるNSGの登録

実際にAzureポータルからネットワークセキュリティグループ（NSG）を登録してみましょう。

AzureポータルからAzure Localのクラスターを選択、「リソース」配下の「ネットワークセキュリティグループ」を選択します（図5）。

何も作っていないので空の状態になります。ここから「ネットワークセキュリティグループの作成」をクリックします。

NSGの作成はAzureのNSG同様「ポリシーを設定する器」の作成からになります。AzureのNSGとの違いはカスタムの場所を指定する箇所が増えているところですね。

出来上がったNSGを開くと、いつものNSGの設定画面になります（画面7）。ただし、デフォルトでセキュリティ規則は作成されていないので、空の状態（すべて許可）です。

ここからセキュリティ規則を作りますが、セキュリティ規則作成画面はAzureのNSGとは若干異なります（図8）。サービスがなかったりICMPにv4とv6の区別がなかったりと、表示上の違いはそのあたりです。

あとは、AzureのNSGではソースと宛先でタグであったりアプリケーションセキュリティグループであったりが選択できますが、Azure LocalのNSGでは「Any」か「IP Address」かの2択になります。

この辺りはネットワーク機能に依存するところなので仕方ないですね。

ぱぱっと作成するとこんな感じになります。今回は送信セキュリティ規則を作成しました（図9）。

192.168.115.0/24のネットワークに対する通信を拒否し、192.168.120.0/24のネットワークを許可してから、全ネットワークへの通信を拒否する規則ですね。

これは192.168.110.0/24のネットワーク（論理ネットワーク名ではVMNetwork110）に適用することを想定した規則になりますので、論理ネットワークに適用します。

適用箇所は論理ネットワークの設定画面になります（図10）。

関連付け可能なNSGは1つになりますので、プルダウンメニューから適用するNSGを1つだけ選択するインターフェースになっています。

関連付けを適用すると、図11のように追加設定不可の状態になります。

適用するNSGを変更する場合は、一度関連付けを削除して、再度関連付けを行う必要があります。このあたりの適用方法もAzureのNSGとは違いますね。

では、この状態でVMNetwork110の仮想マシンから疎通試験をしてみます。

まずは192.168.115.0/24と192.168.120.0/24の仮想マシンに対してPingによる疎通テストを行ってみます（図12）。

当然といえば当然ですが、192.168.115.157の仮想マシンにはPingは到達できません。

この状態で追加でInternet上のホストにPingをしてみましょう（図13）。

DNSが192.168.100.4のため、NSGで許可されていないネットワーク上にDNSがあるので、名前解決がそもそもできません。これは送信セキュリティ規則の優先度999の全通信不許可の規則が効いている証拠です。

優先度999の規則を削除することでインターネット上への通信はOKになりました。

5：最後に

SDN enabled by Azure Arcを利用することで、AzureポータルからAzure Local上でNSGを設定できるので、まさにAzureと同じような感覚で設定できることがお分かりいただけたかと思います。

現在の実装はNSGだけになっていますが、今後機能が拡張されていけば、従来までのSDNと同じような機能がAzureポータルから設定できるようになるかもしれません。

そうなれば、マルチテナントで使用できるクラウド基盤として、まさにAzureと同じようにAzure Localも使用可能になる可能性を秘めていると考えています。

今回はスピード重視で新しいSDNをお知らせさせていただきました。

プレビューが進んで、新たな機能が追加された際は、詳細を確認して記事を書きたいと思っています。