クラウド環境を監視する
ビジネス所有者、プラットフォーム所有者、アプリケーション所有者のいずれであっても、ワークロードがスムーズに実行されるようにするには、クラウド環境を監視する必要があります。 次の場合に知る必要があります。
- アプリケーションは、顧客の期待に応じて利用できます。
- 調査が必要なセキュリティ上の脅威がある。
- 消費コストは予想される範囲内です。
監視 は、プラットフォーム、リソース、アプリケーションの正常性を示すテレメトリを収集、分析、および操作するプロセスです。 効果的な監視環境には、クラウド資産全体が含まれます。これには、複数のクラウドとオンプレミス環境にまたがるリソースが含まれる場合があります。
可観測性 は、内部状態を外部出力から推論できる程度を測定するシステムのプロパティです。 クラウド環境を監視するには、サービスとプロセスをデプロイする必要があります。 また、クラウドで実行されるサービスの動作を観察して理解する機能が必要です。
監視の利点
監視環境に投資して、クラウドの複数の側面で次の利点を得ます。
可用性とパフォーマンス: リソースを監視して、クラウド サービスとアプリケーションが確実に使用可能であり、期待どおりに実行されるようにします。 ユーザーに影響を与える前に問題を特定して対応するには、主要なメトリックを追跡し、アラート ルールを構成します。
コストの最適化: 監視を使用してリソースの使用状況を追跡し、需要に応じてリソースをスケーリングします。 このアプローチは、過剰にプロビジョニングされたリソースや使用不足のリソースを防ぐのに役立ちます。これにより、コストが最適化されます。 監視では、コスト超過や予期しない使用量の急増を特定してアラートを生成することもできます。
コンプライアンス: 監視を使用して、アクティビティのログと記録を保持します。これは、クラウド サービスがポリシーと規制に準拠していることを確認するのに役立ちます。 このデータを使用するレポートは、定期的な監査とコンプライアンス チェックに役立ちます。
Security: 継続的な監視を実装して、セキュリティの脅威と脆弱性を検出し、データとリソースをすぐに保護できるようにします。 また、収集されたデータを分析して脅威の検出と対応を行うこともできます。
監視プラットフォーム
効果的な監視戦略には、コンピューティング環境のすべてのプラットフォームが含まれます。 Azure に加えて、オンプレミス、マルチクラウド、エッジ のリソースが存在する場合があります。 各リソースには、同じレベルの監視が必要です。 Azure のクラウド導入フレームワークガイダンスに従い、未確認の運用戦略に監視を含めます。 この戦略では、プライマリ クラウドが監視ツールとその他の管理ツールをホストします。 監視ツールは、すべてのプラットフォームのすべてのリソースを監視します。
監視の種類
監視は、ツール、プロセス、プラクティスの組み合わせを必要とする多面的な規範です。 次の表では、さまざまな種類の監視について説明します。 これらの監視の種類の組み合わせは、サービスや機能によって異なる場合があります。 ただし、包括的な監視環境には、コンピューティング環境の各プラットフォームでこれらの監視の種類がすべて含まれています。
| 型 | 説明 |
|---|---|
| インフラストラクチャ | インフラストラクチャの監視には、仮想マシン、ストレージ リソース、ネットワークなどのクラウド リソースのパフォーマンスと可用性が含まれます。 この種の監視は、基になるインフラストラクチャが最適に機能することを保証するのに役立ちます。これにより、それに依存するアプリケーションの可用性とパフォーマンスを維持するのに役立ちます。 |
| アプリケーション パフォーマンスの監視 (APM) | APM は、クラウドで実行されるアプリケーションのパフォーマンスと可用性を監視します。 応答時間、エラー率、トランザクション ボリュームなどのメトリックを追跡します。 APM は、パフォーマンスのボトルネックを特定し、アプリケーションがユーザーの期待に応えるのに役立ちます。 |
| データベース | データベース監視では、クラウド データベースのパフォーマンス、可用性、およびリソース使用量が追跡されます。 主要なメトリックには、クエリのパフォーマンス、インデックスの使用状況、およびロックの状態が含まれます。 |
| ネットワーク | ネットワーク監視は、クラウド環境でのネットワーク コンポーネントのパフォーマンスと可用性を追跡します。 メトリックには、帯域幅の使用状況、待機時間、パケット損失が含まれます。 |
| セキュリティ | セキュリティ監視は、未承認のアクセス、マルウェア、コンプライアンス違反など、クラウド環境内のセキュリティ イベントと脆弱性を追跡して分析します。 効果的なセキュリティ監視は、機密データの保護、規制要件への準拠、およびコストのかかるセキュリティ侵害の防止に役立ちます。 |
| コンプライアンス | コンプライアンスの監視は、クラウド環境が規制と業界標準に準拠していることを確認するのに役立ちます。 構成、アクセス制御、およびデータ処理プラクティスを追跡して、関連する規制への準拠を確保します。 |
| コスト | コスト監視では、クラウドの支出とリソースの使用状況を追跡して、コスト削減の機会を特定し、予算超過を防ぎます。 リソースの使用状況を監視し、使用率の低いリソースを識別し、コストを削減するためにリソース構成を最適化します。 |
共同責任
オンプレミス環境では、すべてのコンピューティング リソースを所有および管理するため、監視のすべての側面を担当します。 クラウドでは、この責任をクラウド プロバイダーと共有します。 選択したデプロイ モデルの種類によっては、クラウド スタックのさまざまなレイヤーを監視する責任がクラウド プロバイダーに転送される場合があります。
サービスとしてのインフラストラクチャ (IaaS) のデプロイでは、クラウド プロバイダーは、物理インフラストラクチャや仮想化レイヤーなど、基になるクラウド プラットフォームを監視します。 また、クラウド プラットフォームにデプロイする仮想マシンで実行されるオペレーティング システム、アプリケーション、データを監視します。 デプロイ モデルがスタックを上に移動すると、クラウド プロバイダーは環境を監視する責任を負います。 この責任は、アプリケーションやデータを含むスタック全体の監視責任をクラウド プロバイダーに転送するため、サービスとしてのソフトウェア (SaaS) のデプロイで最大になります。
クラウド プロバイダーの監視ツールを使用してスタックのレイヤーを監視することもできますが、これらのツールを構成し、収集したデータを分析する必要があります。 組織のさまざまなメンバーにアクセス権を付与し、重要な情報を区別するためにダッシュボードとアラートを作成する必要があります。 また、これらのコンポーネントを、組織が使用する他のツールやチケット システムと統合する必要がある場合もあります。
クラウド プロバイダーは、内部顧客に提供するスタックのレイヤーに対して同じ種類のサービスを実行する必要があります。 ユーザーは、契約しているプラットフォームの正常性とパフォーマンスを継続的に監視する必要があります。 ダッシュボードとアラートを提供して、サービスの問題を事前に通知します。 社内のお客様と同様に、クラウド プロバイダーがプラットフォームを監視する方法の複雑さを把握する必要はありません。これは、顧客と契約するサービス レベルの契約を満たすだけです。
ロールと責任
ほとんどの企業組織には、クラウド環境の全体的な正常性とパフォーマンスを監視する一元化された運用チームがあります。
通常、このチームは次の操作を行います。
- 会社全体の戦略を設定します。
- 監視環境の一元的な構成を実行します。
- アプリケーションとサービスに関連する監視データへのアクセスを必要とする組織内の利害関係者にアクセス許可を委任します。
組織には、監視環境を維持し、ジョブ機能を実行するために監視データへのアクセスを必要とする複数のロールがあります。 各ロールには、特定の責任に基づいてデータを監視するための要件が異なります。 組織の規模によっては、各ロールを満たす複数の個人が存在する場合や、複数のロールを満たす 1 人の個人が存在する場合があります。
個々の組織が責任を分散する方法が異なる場合があります。 次の表は、一般的な組織の役割と責任の例を示しています。
| ロール | 説明 |
|---|---|
| クラウド アーキテクト | クラウド アーキテクトは、組織のビジネス目標を確実に満たすようにクラウド インフラストラクチャを設計し、監視します。 クラウド アーキテクトは、クラウド アーキテクチャの信頼性、セキュリティ、スケーラビリティに重点を置いています。 デジタル資産の全体像を把握するには、高レベルのテレメトリが必要です。 このテレメトリには、リソース使用状況メトリック、APM メトリック、コストと課金に関する分析情報、コンプライアンス レポートが含まれます。 |
| プラットフォーム エンジニア | プラットフォーム エンジニアは、開発者がアプリケーションのデプロイに使用するプラットフォームを構築および管理します。 プラットフォーム エンジニアは、継続的インテグレーションと継続的デリバリー (CI/CD) パイプラインを作成し、コードとしてのクラウド インフラストラクチャ (IaC) を管理し、プラットフォームのスケーラビリティと信頼性を確保する可能性があります。 プラットフォーム エンジニアは、プラットフォームの運用状態に関するテレメトリを必要とします。 このテレメトリには、コンテナーのパフォーマンス メトリック、オーケストレーション ログ、IaC 検証、サービスの可用性が含まれます。 |
| システム管理者 | システム管理者は、クラウド内のサーバー、オペレーティング システム、およびその他のインフラストラクチャ コンポーネントを管理および管理します。 バックアップを実行し、問題のトラブルシューティングを行い、システムが最新であることを確認します。 システム管理者には、CPU、メモリ、ディスク使用量、ネットワーク パフォーマンス、システム ログなど、サーバーレベルと OS レベルのテレメトリが必要です。 |
| セキュリティ エンジニア | セキュリティ エンジニアは、脅威からデータとアプリケーションを保護するために、セキュリティ対策を実装および管理します。 セキュリティ エンジニアは、ID 管理から脅威の検出と対応まで、あらゆる処理を行います。 アクセス ログ、脅威検出アラート、脆弱性評価、コンプライアンス メトリックなど、セキュリティ イベントに関するテレメトリを使用します。 |
| ネットワーク管理者 | ネットワーク管理者は、サーバー、アプリケーション、ユーザー間のデータ フローを安全かつ効率的に行うために、クラウド ネットワークを管理および維持します。 ネットワーク管理者は、ネットワーク構成を処理し、パフォーマンスを監視し、セキュリティ対策を実装します。 ネットワーク トラフィック分析、待機時間の測定、パケット損失、ファイアウォール ログなど、ネットワーク中心のテレメトリが必要です。 |
| データベース管理者 (DBA) | DBA は、データの整合性、パフォーマンス、可用性を確保するために、データベースを管理および維持します。 DBA はデータベースのバックアップと復旧を処理し、クエリを最適化して効率を高めます。 クエリ パフォーマンス メトリック、データベース応答時間、トランザクション ログ、バックアップまたは復旧の状態など、データベースのパフォーマンスと整合性に関するテレメトリを使用します。 |
| 開発者 | 開発者は、クラウド プラットフォーム上で実行されるソフトウェアの設計、書き込み、テスト、保守を行います。 開発者は、機能を作成し、バグを修正して、アプリケーションのセキュリティを維持し、パフォーマンスを向上させるために役立ちます。 エラー率、待機時間、応答時間、ユーザー動作分析、機能の使用状況メトリックなど、アプリケーション固有のテレメトリが必要です。 |
Azure ファシリテーション
Azure には、クラウド環境で必要なさまざまな タイプの監視 をサポートする多くのサービスがあります。 各サービスは、1 つ以上の ロールを対象とします。 サービスを組み合わせて、包括的な監視環境に必要な機能を提供します。
| サービス | 説明 | Type | ロール |
|---|---|---|---|
| Azure Monitor | Azure Monitor は、Azure 監視エコシステムの中心にあります。 これは、クラウドおよびオンプレミス環境から監視データを収集、分析、対応するために使用できる包括的な監視ソリューションです。 Azure Monitor では、インフラストラクチャ、ネットワーク、アプリケーションを完全に監視できます。 また、他のサービスのデータ分析、視覚化、アラートなど、データ プラットフォームとコア機能も提供します。 | インフラ データベース compliance |
クラウド アーキテクト、 プラットフォームエンジニア、 システム管理者、 DBA |
| Application Insights | Application Insights は、クラウド アプリケーションの APM 監視を提供する Azure Monitor の機能です。 | APM | 開発者 |
| Azure Network Watcher | Network Watcher には、Azure のネットワーク リソースの監視と視覚化の機能が用意されています。 このサービスを使用して、メトリックの監視、診断、表示を行います。 Azure 仮想ネットワーク内のリソースのログを有効または無効にすることもできます。 | ネットワーク | ネットワーク管理者 |
| Microsoft Sentinel | Microsoft Sentinel は、クラウドネイティブのセキュリティ情報イベント管理 (SIEM) およびセキュリティ オーケストレーション自動応答 (SOAR) ソリューションです。 Azure リソースやその他のコンポーネントからセキュリティ テレメトリを取り込んで、サイバー脅威の検出、調査、対応、プロアクティブハンティングを提供します。 | セキュリティ | セキュリティ エンジニア |
| Microsoft Defender XDR | Defender XDR には、Azure プラットフォーム、クライアントとサーバーの Microsoft オペレーティング システム、および Microsoft 365 の Office 365、Exchange Online、SharePoint などのアプリケーションにネイティブな Microsoft セキュリティ ソリューションが含まれています。 各セキュリティ ソリューションでは、AI と機械学習を使用してテレメトリを関連付け、調査が必要かどうかを判断します。 許容できない動作を検出すると、中断を防ぐためのアクションが実行されます。 | セキュリティ | セキュリティ エンジニア |
| Microsoft Cost Management | Cost Management は、Microsoft Cloud のコストを分析、監視、最適化するために使用できる一連のツールです。 Cost Management は、課金アカウント、サブスクリプション、リソース グループ、または管理グループにアクセスできるすべてのユーザーが利用できます。 | コスト | クラウド アーキテクト |
| Azure Service Health | Service Health は、Azure リソースが依存しているサービスの正常性状態を提供します。 サービスの停止を通知し、Azure サービスとリージョンの正常性を個別に表示できます。 | インフラストラクチャ | クラウド プロバイダー |