Azure上のKMS認証について
はじめに
Windows Serverを利用する場合、かならず実施するのが「ライセンス認証」です。認証のやり方はKMSかMAKかどちらかですが、Azure上では「KMS認証を使う」というのがデフォルトかつスタンダードになっています。
ですが、オンプレミスからのVM移行案件などを通して、「こういった場合のライセンス認証ってどう考えるんだろう」というパターンにいくつか遭遇してきました。ところが、どういったWindows Serverが、どのKMSサーバーで認証を受けられるのか?というのが公式ドキュメント上はっきりしないところがあったので、念のためサポートに問い合わせた結果などの備忘録です。
この「気になった条件」、「その場合の考え方」を書き残します。
※ただし、ライセンスの正式な考え方については、最終的には皆さま自身でライセンスリセラーやMicrosoftにご確認ください。本記事の記載に従ってライセンス違反になっても責任を持てませんので…。
気になる条件
KMSサーバーの所在
考え得るのは、下記の2パターンのどちらかです。
- Azure公式のKMSサーバー
- 自前で構築したKMSサーバー
前者は下記の記事などで紹介したことがあります。AzureのVMから仮想グローバルIPでアクセスできる、KMSサーバーを特に意識することなく利用できます。
デフォルトでは、Azure上で作成したVMはこのKMSサーバーに認証に行くよう構成されていますので、特に意識しなければこのパターンです。後者は意図的に認証先を変更した場合に利用できます。オンプレミスなどの既存の環境でKMSサーバーを運用している場合などで、Azure上も含めてライセンスを管理したい場合などの利用が考えられます。
AzureでVMを動かすにあたっては「前者のKMSサーバーを利用する必要があるのでは」と勘違いしてしまいがちですが、後者のKMSサーバーの利用は特に制限されていないとのことです。
VMイメージの出どころ
Azureでは大きく分けて2種類のイメージを使うことができます。
- MarketPlaceで提供される公式イメージ
- Azure Migrateなどによる移行や、バックアップなどからデプロイする持ち込み/カスタマイズイメージなどから
前者の場合は、前述の通りデフォルトでAzureのKMSサーバーに認証に行くよう構成されています。
後者の場合は、出どころのイメージの設定次第です。
この場合も特に制限はなく、持ち込みイメージの認証先をAzureのKMSサーバーにしたり、公式イメージの認証先を自前のKMSサーバーにするなどしても良いようです。
ハイブリッド特典の利用有無
Azureには「ボリュームライセンスとSA権によりライセンスを持ち込んで、Azure利用料を安く済ませる」という機能(ハイブリッド特典…の一部)があります。
この機能の使用有無、すなわちVM利用料のうちのライセンス分を「Azure利用料と共に支払うか」「別の契約に基づいて支払うか」を使い分けることができます。
この場合、「Azure利用料と共にライセンス利用料を支払う場合は、KMS認証はAzureのKMSサーバーでやるべし」という制約があってもおかしくないのですが、これも特に制限されていないとのこと。
ライセンス料の支払い方法と、ライセンス認証の実施方法は独立して選べるようです。
MAK認証の利用
ちょっと話が変わって、何らかの事情で「KMS認証ではなくMAK認証にしたい」というパターンもあります。
しかし、Azure上では、意図せず稼働するHW環境の構成が変わる可能性があるため、不定期にライセンスの再認証を求められる可能性があります。そのため、KMS認証の利用を推奨する、というのがサポートの見解でした。
以上をまとめてみると、Azure上でKMS認証をしたいと思ったときは、構成等に影響されず、好きなKMSサーバーを使って認証すればOKですよ、ということになります。自由ですね。
おわりに
Azure上で稼働するWindows Serverのライセンス認証をどうやってやるの?問題について、サポートなどから聞いた内容をまとめてみました。きっとごく一部のニッチな層に役に立つ情報だと思いますが、正式には皆さま自身でサポート等に問い合わせいただくようお願いします。
Discussion