Azure Local バージョン 23H2 のプロキシ設定を構成する
適用対象: Azure Local 2311.2 以降
この記事では、ネットワークでインターネット アクセスにプロキシ サーバーを使用する場合に、Azure Local Version 23H2 クラウド デプロイのプロキシ設定を構成する方法について説明します。
送信エンドポイントのファイアウォール要件と Azure Local の内部規則とポートについては、「Azure Local のファイアウォール要件を参照してください。
開始する前に
プロキシ設定の構成を開始する前に、次の点を確認してください。
- プロキシ設定を構成する Azure Local にアクセスできます。 また、Azure Local 内のマシンにアクセスするためのローカル管理者の資格情報もあります。
- プロキシ サーバーの名前または IP アドレスとポートがわかっている (省略可能)。 この情報がない場合は、ネットワーク管理者に問い合わせてください。
プロキシ設定を構成する前に注意すべき重要な考慮事項を次に示します。
- プロキシ設定は、Azure Local (
WinInet
、WinHTTP
、Environment Variables
) のさまざまなコンポーネントと機能に分かれています。 必要なすべてのコンポーネントと、使用する予定のその他の機能に対してプロキシ設定を構成する必要があります。 - 各コンポーネントには特定のコマンド パラメーターとプロキシ バイパス リスト文字列の要件がありますが、異なるコンポーネントと機能で同じプロキシ構成を維持することをお勧めします。
- セキュリティ上の制約のため、ユーザー名とパスワードを使用して認証されたプロキシはサポートされていません。
- プロキシで SSL 検査を使用している場合は、必要な Azure Local とそのコンポーネント (Arc Resource Bridge、Azure Kubernetes Service (AKS) など) をバイパスする必要があります。 送信 URL。
- オペレーティング システム上の 3 つのプロキシ コンポーネントにはそれぞれ、特定のプロキシ バイパス リスト文字列要件があります。 3 つのコンポーネントすべてに同じ文字列を使用しないでください。
- プロキシ自動構成 (PAC) ファイルはサポートされていません。
WinInet のプロキシ設定を構成する
Azure Arc を使用してマシンを登録するする前に、WinInet
プロキシ設定を構成する必要があります。
WinInetProxy
モジュールをインストールして、このセクションのコマンドを実行します。 モジュールの詳細とインストール方法については、「PowerShell ギャラリー | WinInetProxy 0.1.0」を参照してください。 WinInetProxy
PowerShell スクリプトの詳細については、「WinInetProxy.psm1を参照してください。
インターネットにアクセスできないために WinInetProxy
モジュールをコンピューターにインストールできない場合は、モジュールを管理コンピューターにダウンロードしてから、モジュールを実行するコンピューターに手動で転送することをお勧めします。 Start-BitsTransfer PowerShell コマンドレットを使用して、管理システムとコンピューターの間で 1 つ以上のファイルを転送することもできます。
Azure Stack HCI オペレーティング システムのプロキシ設定を構成するには、システム内の各マシンで管理者として次の PowerShell コマンドを実行します。
リモート デスクトップ プロトコル (RDP) 経由で Azure Local に接続し、PowerShell セッションを開きます。
WinInetProxy
モジュールのインストール後にプロキシ設定を構成するには、次のコマンドレットを実行します。Set-WinInetProxy -ProxySettingsPerUser 0 -ProxyServer http://<Proxy_Server_Address:Proxy_Port> -ProxyBypass <URLs to bypass>
パラメーターについては次の表で説明します。
パラメーター 説明 ProxySettingsPerUser プロキシ設定がコンピューターごとかユーザーごとか指定します。
- 0 - プロキシ設定はマシンごとに行われます。
- 1 (既定値) - プロキシ設定はユーザーごとに行われます。
- 値が指定されていない場合は、ProxySettingsPerUser
環境変数が代わりに使用されます (存在する場合)。ProxyServer http://[Proxy_Server_Address]:[Proxy_Port]
形式でプロキシ サーバー エンドポイントを指定します。 たとえば、http://proxy.contoso.com:8080
のようにします。ProxyBypass -ProxyServer
パラメーターによって設定されたプロキシ サーバーをバイパスするホスト URL の一覧を指定します。 たとえば、ローカル イントラネット URL をバイパスするように-ProxyBypass “localhost”
を設定できます。 Azure Local の一覧には次のものが含まれている必要があります。
- 少なくとも各マシンの IP アドレス。
- 少なくともシステムの IP アドレス。
- インフラストラクチャ ネットワークに対して定義した IP アドレス以上。 これらの IP を使用する Arc Resource Bridge、AKS、および将来のインフラストラクチャ サービスには、送信接続が必要です。
- または、インフラストラクチャ サブネット全体をバイパスすることもできます。
- 各マシンの NetBIOS 名。
- システムの NetBIOS 名。
- 任意のホストまたはサブドメインのワイルドカード*
アスタリスクを持つドメイン名またはドメイン名。
コマンドの使用方法の例を次に示します。
Set-WinInetProxy -ProxySettingsPerUser 0 -ProxyServer http://192.168.1.250:8080 -ProxyBypass "localhost;127.0.0.1;*.contoso.com;node1;node2;192.168.1.*;s-cluster"
WinInet プロキシ バイパス リストの文字列に関する考慮事項
WinInet
プロキシ バイパス リストを構成するときは、次の点に注意してください。
- パラメーターは、コンマ
,
またはセミコロン;
で区切る必要があります。 - サブネットをバイパスする CIDR 表記はサポートされていません。
- アスタリスクは、サブネットまたはドメイン名をバイパスするワイルドカードとして使用できます。 たとえば、サブネットの
192.168.1.*
やドメイン名の*.contoso.com
などです。 - プロキシ名は、
http://
とポートで指定する必要があります。 たとえば、http://192.168.1.250:8080
のようにします。 WinInet
とWinHTTP
を構成するときは、同じバイパス文字列を使用することをお勧めします。<local>
文字列の使用は、プロキシ バイパス リストではサポートされていません。
WinInet プロキシ構成の表示と削除
現在の
WinInet
プロキシ構成を表示または確認するには、コマンド プロンプトで次のように入力します。PS C:\> Get-WinhttpProxy -Advanced Current WinHTTP proxy settings: Proxy Server(s) : http://192.168.1.250:8080 Bypass List : localhost;127.0.0.1;*. contoso.com;node1;node2;192.168.1.*;s-cluster PS C:\>
Azure ローカル更新とクラウド監視の
WinInet
プロキシ構成を削除するには、コマンド プロンプトで次のように入力します。PS C:\> Set-WinInetProxy Start proxy Configuration Proxy is Per User AutoDetect is 0 PACUrl is ProxyServer is ProxyBypass is Entered WriteProxySettingsHelper Entered WriteProxySettingsHelper Successfully set proxy PS C:\> Get-WinhttpProxy -Advanced
WinHTTP のプロキシ設定を構成する
Azure Arc を使用してマシンを登録するする前に、WinHTTP
プロキシ設定を構成する必要があります。
Azure ローカル更新とクラウド監視用に WinHTTP
プロキシを構成するには、システム内の各マシンで管理者として次の PowerShell コマンドを実行します。
Set-winhttpproxy -proxyserver http://<Proxy_Server_Address:Proxy_Port> -BypassList <URLs to bypass>
パラメーターについては次の表で説明します。
パラメーター | 説明 |
---|---|
ProxyServer | http://[Proxy_Server_Address]:[Proxy_Port] 形式でプロキシ サーバー エンドポイントを指定します。 たとえば、http://proxy.contoso.com:8080 のようにします。 |
BypassList | -ProxyServer パラメーターによって設定されたプロキシ サーバーをバイパスするホスト URL の一覧を指定します。 たとえば、ローカル イントラネット URL をバイパスするように -ProxyBypass "localhost" を設定できます。 Azure Local の一覧には次のものが含まれている必要があります。- 少なくとも各マシンの IP アドレス。 - 少なくともシステムの IP アドレス。 - インフラストラクチャ ネットワークに対して定義した IP アドレス以上。 これらの IP を使用する Arc Resource Bridge、AKS、および将来のインフラストラクチャ サービスには、送信接続が必要です。 - または、インフラストラクチャ サブネット全体をバイパスすることもできます。 - 各マシンの NetBIOS 名。 - システムの NetBIOS 名。 - 任意のホストまたはサブドメインのワイルドカード * アスタリスクを持つドメイン名またはドメイン名。 |
コマンドの使用方法の例を次に示します。
Set-winhttpproxy -proxyserver http://192.168.1.250:8080 -BypassList "localhost;127.0.0.1;*.contoso.com;node1;node2;192.168.1.*;s-cluster"
WinHTTP プロキシ バイパス リストの文字列に関する考慮事項
WinHTTP
プロキシ バイパス リスト文字列を構成する場合は、次の点に注意してください。
- パラメーターは、コンマ
,
またはセミコロン;
で区切る必要があります。 - サブネットをバイパスする CIDR 表記はサポートされていません。
- アスタリスクは、サブネットまたはドメイン名をバイパスするワイルドカードとして使用できます。 たとえば、サブネットの
192.168.1.*
やドメイン名の*.contoso.com
などです。 - プロキシ名は、
http://
とポートで指定する必要があります。 たとえば、http://192.168.1.250:8080
のようにします。 WinInet
とWinHTTP
を構成するときは、同じバイパス文字列を使用することをお勧めします。<local>
文字列の使用は、プロキシ バイパス リストではサポートされていません。
WinHTTP プロキシ構成の表示と削除
現在の
WinHTTP
プロキシ構成を表示または確認するには、コマンド プロンプトで次のように入力します。PS C:\> Get-WinhttpProxy -Default Current WinHTTP proxy settings: Proxy Server(s) : http://192.168.1.250:8080 Bypass List : localhost;127.0.0.1;*.contoso.com;node1;node2;192.168.1.*;s-cluster PS C:\>
Azure ローカル更新とクラウド監視の
WinHTTP
プロキシ構成を削除するには、コマンド プロンプトで次のように入力します。PS C:\> Reset-WinhttpProxy -Direct Current WinHTTP proxy settings: Direct access (no proxy server). PS C:\>
環境変数のプロキシ設定を構成する
Azure Arc を使用してマシンを登録する する前に、Azure Resource Bridge と AKS のプロキシを構成する必要があります。
プロキシ サーバー環境変数を設定するには、システム内の各マシンで管理者として次のコマンドを実行します。
# If a proxy server is needed, execute these commands with the proxy URL and port.
[Environment]::SetEnvironmentVariable("HTTPS_PROXY","http://ProxyServerFQDN:port", "Machine")
$env:HTTPS_PROXY = [System.Environment]::GetEnvironmentVariable("HTTPS_PROXY","Machine")
[Environment]::SetEnvironmentVariable("HTTP_PROXY","http://ProxyServerFQDN:port", "Machine")
$env:HTTP_PROXY = [System.Environment]::GetEnvironmentVariable("HTTP_PROXY","Machine")
$no_proxy = "<bypassliststring>"
[Environment]::SetEnvironmentVariable("NO_PROXY",$no_proxy,"Machine")
$env:NO_PROXY = [System.Environment]::GetEnvironmentVariable("NO_PROXY","Machine")
パラメーターについては次の表で説明します。
パラメーター | 説明 |
---|---|
HTTPS_PROXY変数 | http://[Proxy_Server_Address]:[Proxy_Port] 形式でプロキシ サーバー エンドポイントを指定します。 たとえば、http://proxy.contoso.com:8080 のようにします。 |
HTTP_PROXY変数 | http://[Proxy_Server_Address]:[Proxy_Port] 形式でプロキシ サーバー エンドポイントを指定します。 たとえば、http://proxy.contoso.com:8080 のようにします。 |
変数NO_PROXY | ローカル イントラネットの URL、ドメイン、サブネットをバイパスする文字列。 Azure Local の一覧には次のものが含まれている必要があります。 - 少なくとも各マシンの IP アドレス。 - 少なくともシステムの IP アドレス。 - インフラストラクチャ ネットワークに対して定義した IP アドレス以上。 これらの IP を使用する Arc Resource Bridge、AKS、および将来のインフラストラクチャ サービスには、送信接続が必要です。 - または、インフラストラクチャ サブネット全体をバイパスすることもできます。 - 各マシンの NetBIOS 名。 - システムの NetBIOS 名。 - 任意のホストまたはサブドメインのドット . ワイルドカードを持つドメイン名またはドメイン名。- .svc 内部 Kubernetes サービス トラフィック用。 |
コマンドの使用方法の例を次に示します。
[Environment]::SetEnvironmentVariable("HTTPS_PROXY", "http://192.168.1.250:8080", "Machine")
$env:HTTPS_PROXY = [System.Environment]::GetEnvironmentVariable("HTTPS_PROXY", "Machine")
[Environment]::SetEnvironmentVariable("HTTP_PROXY", "http://192.168.1.250:8080", "Machine")
$env:HTTP_PROXY = [System.Environment]::GetEnvironmentVariable("HTTP_PROXY", "Machine")
$no_proxy = "localhost,127.0.0.1,.svc,192.168.1.0/24,.contoso.com,node1,node2,s-cluster"
[Environment]::SetEnvironmentVariable("NO_PROXY", $no_proxy, "Machine")
$env:NO_PROXY = [System.Environment]::GetEnvironmentVariable("NO_PROXY", "Machine")
環境変数プロキシ バイパス リストの文字列に関する考慮事項
環境変数プロキシ バイパス リスト文字列を構成する場合は、次の点に注意してください。
- パラメーターはコンマ
,
で区切る必要があります。 - サブネットをバイパスする CIDR 表記を使用する必要があります。
- サブネットまたはドメイン名をバイパスするワイルドカードとしてアスタリスク
*
はサポートされていません。 - ドット
.
ドメイン名またはローカル サービスをバイパスするワイルドカードとして使用する必要があります。.contoso.com
や.svc
などになります。 - プロキシ名は、
http://
と、HTTP_PROXY変数とHTTPS_PROXY変数の両方のポートで指定する必要があります。 たとえば、http://192.168.1.250:8080
のようにします。 .svc
バイパスは、Linux 表記の AKS 内部サービス通信用です。 これは、Arc Resource Bridge と AKS に必要です。- AKS では、次のサブネットをバイパスする必要があります。 10.0.0.0/8、172.16.0.0/12、192.168.0.0/16。 これらのサブネットが定義されていない場合、これらのサブネットは自動的に [環境変数バイパス] リストに追加されます。
<local>
文字列の使用は、プロキシ バイパス リストではサポートされていません。
環境変数プロキシ構成を確認して削除する
環境変数プロキシ構成が適用されていることを確認するには、次のコマンドを実行します。
echo "https :" $env:https_proxy "http :" $env:http_proxy "bypasslist " $env:no_proxy
プロキシ構成を削除するには、システム内の各マシンで管理者として次のコマンドを実行します。
[Environment]::SetEnvironmentVariable("HTTPS_PROXY", $null, "Machine") $env:HTTPS_PROXY = [System.Environment]::GetEnvironmentVariable("HTTPS_PROXY", "Machine") [Environment]::SetEnvironmentVariable("HTTP_PROXY", $null, "Machine") $env:HTTP_PROXY = [System.Environment]::GetEnvironmentVariable("HTTP_PROXY", "Machine")
Arc 対応サーバー エージェントのプロキシ設定を構成する
プロキシ サーバー経由で通信するように Azure Arc 対応サーバー エージェントを構成するには、次のコマンドを実行します。
azcmagent config set proxy.url "http://ProxyServerFQDN:port"
ネットワークで必要とされる場合は、FQDN の代わりに IP アドレスまたは単純なホスト名を使用できます。 プロキシ サーバーがポート 80 で実行されている場合は、末尾の ":80" を省略できます。
プロキシ サーバーの URL がエージェント設定で構成されているかどうかを確認するには、次のコマンドを実行します。
azcmagent config get proxy.url
エージェントがプロキシ サーバー経由で通信できないようにするには、次のコマンドを実行します。
azcmagent config clear proxy.url
azcmagent config
コマンドを使用してプロキシ設定を再構成するときに、サービスを再起動する必要はありません。
接続されたマシン エージェントの管理と管理の詳細については、「Arc 対応サーバー エージェント」ページ 確認してください。
Azure サービスのプロキシ設定を構成する
次のいずれかの Azure サービスを使用している場合、または使用する予定の場合は、各 Azure サービスのプロキシ サーバー設定を構成する方法について、次の記事を参照してください。
- Azure Kubernetes Service (AKS) ハイブリッド
- Azure Virtual Desktop
- Azure Monitor エージェント
- Microsoft Defender
- Microsoft Monitoring Agent (MMA エージェントは間もなく非推奨になります。Azure Monitor エージェントを使用することをお勧めします)。
次のステップ
詳細については、次を参照してください。
- Azure Local のファイアウォール要件。