「2020年5月」までに確認しておきたいAzureサービスの重要な変更:Microsoft Azure最新機能フォローアップ(104)
Microsoftは「Azure Log Analyticsエージェント」について、2020年5月18日(米国時間)に「SHA-2署名」を強制することを発表しました。この影響により、関連するAzureサービスの一部としてエージェントを利用しているシステムで対応が必要になる場合があります。また、2020年5月には、Linuxコンテナに最適化された「CoreOS」のライフサイクル終了も控えています。
2020年5月18日からLog AnalyticsエージェントでSHA-2署名が強制される
Microsoftは3月18日(米国時間)、Microsoft Azureでログの収集と分析を行うサービス「Azure Log Analytics」のWindows用エージェント「Log Analyticsエージェント」(「OMS Windows Agent」や「Microsoft Monitoring Agent」として知られています)について、2020年5月18日から「SHA-2署名」の使用を強制することを発表しました。
- アクションが必要−Windows用Log Analyticsエージェントでは2020年5月18日にSHA-2署名が適用されます(Microsoft Azure)
この影響で、VM(仮想マシン)拡張機能「Microsoft Monitoring Agent」がインストールされているAzure仮想マシンや、Log Analyticsエージェントがインストールされているオンプレミスの物理/仮想マシンの一部で対応が必要になります。影響を受けるのは、レガシーOSである「Windows 7」「Windows Server 2008」「Windows Server 2008 R2」を実行しているシステムです。
これらのOSを実行するシステムにおいて、2020年3月にリリースされたエージェント(バージョン10.20.18029)以降にアップグレードが済んでいない場合、そのエージェントは「2020年5月18日(米国時間)」が過ぎると、Azure Log Analyticsワークスペースへのデータ送信を停止します。
データ送信の停止は、「Azure Monitor」「Azure Automation」「Azure Update Management」「Azure Change Tracking」「Azure Security Center」「Azure Sentinel」「Microsoft Defender Advanced Threat Protection(ATP)」といった、広範囲のAzureサービスに影響します。
エージェントのバージョンの更新履歴と、アップグレードの方法(アップグレードされていない場合は必須)やTLS 1.2の構成(オプションだが推奨)については、以下のドキュメントで確認できます。
- Log Analytics virtual machine extension for Windows[英語](Microsoft Docs)(画面1)
- Microsoft Monitoring Agentのセットアップ(Microsoft Docs)
なお、最新のエージェントにアップグレードするには、2019年に行われたWindowsおよび「Windows Server Update Services(WSUS)」におけるSHA-2への移行に対応したWindowsの更新プログラムが前提となっています。Windows UpdateによりOSが最新の状態に更新されていれば、その更新も含めて、エージェントも最新版になっているはずです(画面2)。
- WindowsおよびWSUSの2019 SHA-2コード署名サポートの要件(Windows サポート)
画面2 2020年3月の「拡張セキュリティ更新プログラム(ESU)」をインストールした「Windows 7 Enterprise」のエージェントは、他に追加の作業をしなくても最新のエージェントになっていた。なお、Azure上のWindows 7 Enterpriseは、Windows Virtual Desktopの仮想デスクトップのOSとして、およびVisual Studioサブスクリプションの開発/テスト用途の仮想マシンのゲストOSとして実行することが許可されている
影響を受けるレガシーOSは、2020年1月に延長サポートが終了した製品ですが、「拡張セキュリティ更新プログラム(Extended Security Updates、ESU)」を購入するか、Azureに移行することで、延長サポート終了後も最大3年間(2023年1月まで)セキュリティ更新を受け取ることができます。Azureに対象のレガシーOSを移行した場合、ESUを購入することなく、ESUのセキュリティ更新プログラムを受け取ることができるため、その特典を利用した企業は多いかもしれません。
Windows UpdateやWSUS、Microsoft Update CatalogからESUのセキュリティ更新プログラムを受け取れるとはいえ、OS以外のインストール済みのコンポーネントを変更することには消極的になっているかもしれません。しかし、Log Analyticsエージェントに依存するAzureサービスを利用している場合は、念のためエージェントが最新バージョンに更新済みになっているかどうか確認することをお勧めします。
Linuxコンテナ向けのCoreOSのライフサイクルが5月末に終了
Azure Marketplaceには、Docker Engineが定義済みのLinuxおよびWindows Serverイメージが用意されています。Linuxコンテナ向けのイメージの一つである「CoreOS」は、Kubernetesやその他のコンテナプラットフォームで利用できる、最新で必要最小限の機能と簡単な更新機能を提供する、Linuxコンテナに最適化されたLinuxディストリビューションであり、Azure Marketplaceでかなり以前から利用可能でした(画面3)。
しかし、このCoreOSのライフサイクルは「2020年5月26日(米国時間)」に終了し、以降は更新されなくなることが発表されています(*1)。このCoreOSの移行先として、Azure MarketplaceにおいてCoreOSと互換性のあるKinvolk提供の「Flatcar Container Linux」が利用可能になりました(画面4)。
(*1)CoreOS Container Linuxは2018年1月にRed Hatに買収され、Red Hatは2020年1月にFedoraプロジェクトからコンテナに特化した「Fedora CoreOS(FCOS)」の一般提供を開始しましたが、CoreOSからFCOSへのインプレースアップグレードの方法は用意されていません。
- End-of-life announcement for CoreOS Container Linux[英語](Red Hat)
- Flatcar Container Linux available in Azure Marketplace[英語](Microsoft Azure)
画面4 Azure Marketplaceで新たに利用可能になったKinvolk提供の「Flatcar Container Linux」。既存のCoreOSの環境は、比較的簡単な方法で直接的に(インプレースで)Flatcar Container Linuxにアップグレードすることが可能
現在、CoreOSのDockerホスト環境を運用している場合は、以下のドキュメントに従って比較的簡単な方法でFlatcar Container Linuxに直接的に(インプレースで)アップグレードすることが可能です(画面5)。もちろん、Azure Marketplaceで以前から利用可能な、CentOSやUbuntu ServerベースのDockerホスト環境を新規作成し、Docker HubやAzure Container Registryなどのリポジトリを介してコンテナイメージを移行することも可能です。
筆者紹介
山市 良(やまいち りょう)
岩手県花巻市在住。Microsoft MVP:Cloud and Datacenter Management(2019-2020)SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『ITプロフェッショナル向けWindowsトラブル解決 コマンド&テクニック集』(日経BP社)。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- SQL Serverマイグレーションの歩き方[前編]――マイグレーションの作業ステップ
2019年7月のSQL Server 2008/2008 R2の延長サポート終了に伴い、EOS対応としてアップグレードやマイグレーションを準備/実施している方も多いでしょう。「前編」となる今回は、SQL Serverのマイグレーションに必要な作業ステップについて解説します。 - サポートが終了するサーバOSを使い続けるリスクを考える
Windows Server 2008/2008 R2のサポート終了日まで後2年を切った。今後、さまざまなところでサポート終了に関するトピックを目にする機会が増えるだろう。そもそも、サーバOSのサポートが終了する影響とは、どのようなものなのだろうか。本連載では、Windows Server 2008/2008 R2を新しいサーバOSへ切り替える必要性やメリットなどを解説する。 - どうするSQL Server 2008のサポート期限? そうだ、クラウドへいこう!
2019年7月9日のSQL Server 2008/2008 R2の製品サポートの終了まで、残すところあと1年と少し。2018年5月、オンプレミスまたはクラウドの最新SQL Server環境への移行を支援するツールの最新版と大規模データベース移行に適した移行サービスの正式版が利用可能になりました。 - Azureで利用可能なPaaSのSQL Serverの特徴を学ぼう[前編]
本稿では、Microsoft Azureで利用可能なPaaSとして提供されている「SQL Server」の特徴やメリットを紹介します。最新機能ではなく、これからAzureのSQL Serverを利用しようと考えている方に、全体的な特徴をつかんでもらえる内容です。前編では、Azureで提供されているPaaSのSQL Serverの種類と特徴を紹介します。