Azure プラットフォーム ランディング ゾーン コンポーネントの監視
Azure プラットフォーム ランディング ゾーン コンポーネントを監視して、可用性、信頼性、セキュリティ、スケーラビリティを確保します。 コンポーネントを監視することで、組織は次のことが可能になります。
- 問題を迅速に検出して解決し、リソース使用率を最適化し、セキュリティの脅威に事前に対処します。
- パフォーマンスと正常性を継続的に監視することで、組織のダウンタイムを最小限に抑え、コストを最適化し、効率的な運用を確保できます。
- 容量計画を容易にし、組織がリソースのニーズを予測し、それに応じてプラットフォームをスケーリングできるようにします。
プラットフォーム ランディング ゾーン サービスを監視して、安定した安全な環境を維持し、パフォーマンスを最大化し、ビジネスの進化するニーズを効果的に満たします。
次のビデオでは、この記事で説明されているソリューションについて説明し、Azure Monitor をデプロイする方法を示します。
Azure ランディング ゾーンの監視ガイダンス
ランディング ゾーン プラットフォーム コンポーネントおよびその他の選択したランディング ゾーン コンポーネントに対して、ベースライン メトリック、アクティビティ ログ、およびログ クエリ アラートを使用できます。 これらのアラートにより、Azure ランディング ゾーンの一貫したアラートと監視が保証されます。 これらは、タイムリーな問題の検出と対応のためのアラート、しきい値、通知の設定など、事前に監視するための Microsoft が推奨するプラクティスに基づいています。 プラットフォーム ランディング ゾーンの実装のパフォーマンス、使用率、セキュリティをリアルタイムで把握するには、次のガイダンスを使用します。 問題に事前に対処し、リソースの割り当てを最適化し、信頼性とセキュリティで保護された環境を確保します。
このアーキテクチャの Visio ファイル をダウンロードします。
Azure コンポーネントの次のサブセットには、1 つ以上のアラートが定義されています。
- Azure ExpressRoute
- Azure Firewall
- Azure Virtual Network
- Azure Virtual WAN
- Azure Monitor Log Analytics ワークスペース
- Azure プライベート DNS ゾーン
- Azure Key Vault
- Azure 仮想マシン
- Azure Storage アカウント
詳細については、「アラートの詳細」を参照してください。
組織のリソースが適切に監視および保護されるようにするには、アラートを適切に構成し、アラートに対応するための適切なプロセスを実装する必要もあります。 適切な通知チャネルを使用してアクション グループを構成し、アラートをテストして、期待どおりに動作することを確認します。 サブスクリプションの民主化のクラウド導入フレームワークの原則に従って、関連するスタッフにアラートが通知されるように、サブスクリプションごとに少なくとも 1 つのアクション グループを構成します。 最小限の通知形式として、アクション グループには電子メール通知チャネルを含める必要があります。 Azure Monitor アラート処理ルールを使用してアラートを 1 つ以上のアクション グループにルーティングする場合、サービス正常性アラートはアラート処理ルールをサポートしていない点に注意してください。 アクション グループを使用してサービス正常性アラートを直接構成します。
ポリシー駆動型ガバナンス
Azure Policy には既定のベースライン構成が用意されていますが、ニーズに合わせてポリシーを構成できます。 リポジトリが提供するメトリックとは異なるメトリックに対するアラートが必要な場合、ソリューションにはアラート ルールをデプロイするための独自のポリシーを開発するためのフレームワークが用意されています。 詳細については、「Azure Monitor ベースライン アラート (AMBA) の 共同作成者ガイド」 および「Azure Monitor デプロイの概要」を参照してください。 このソリューションは Azure ランディング ゾーンのインストール エクスペリエンスに統合されているため、Azure ランディング ゾーンの新しい実装により、インストール時にベースライン アラートを設定できます。
ポリシーを使用してアラートをデプロイし、柔軟性とスケーラビリティを提供し、アラートが Azure ランディング ゾーンスコープの内外に確実にデプロイされるようにします。 アラートは、対応するリソースが作成されたときにのみデプロイされます。これにより、不要なコストが回避され、デプロイ時にアラート構成が更新されます。 この関数は、ポリシー駆動型ガバナンスの Azure ランディング ゾーンの原則と一致します。
ブラウンフィールドのガイダンス
ブラウンフィールド シナリオでは、組織には既存の Azure ランディング ゾーンの実装があります。または、Azure ランディング ゾーン アーキテクチャが使用可能になる前に、組織が Azure を実装していました。
このセクションでは、Azure ランディング ゾーンに合わせて配置されているかどうかに関係なく、既存の Azure フットプリントがある場合の Azure ランディング ゾーンベースライン監視の概要手順について説明します。
Azure ランディング ゾーンに合わせて配置されている場合
既存の Azure ランディング ゾーンの実装があり、ポリシー駆動型のアプローチを使用する場合は、このプロセスを使用します。
- AMBA リポジトリから関連するポリシーとイニシアティブをインポートします。
- 環境内で必要なポリシーを割り当てます。
- 準拠していないポリシーを修復します。
環境に関連するポリシーとその適用手順の詳細については、「管理グループ階層を決定する」を参照してください。
Azure ランディング ゾーンに整合されていない
Azure ランディング ゾーン以外の実装があり、ポリシー駆動型のアプローチを使用する場合は、このプロセスを使用します。
- 関連するポリシーとイニシアティブを AMBA リポジトリから、ポリシーを割り当てる最上位の管理グループにインポートします。
- 環境内で必要なポリシーを割り当てます。
- 準拠していないポリシーを修復します。
環境に関連するポリシーとその適用手順の詳細については、「管理グループ階層を決定する」を参照してください。
フレームワークをテストする
運用環境にデプロイする前にポリシーとアラートをテストして、次のことができます。
- 組織のリソースが適切に監視され、セキュリティで保護されていることを確認します。
- 問題を早期に特定して、適切な機能を確保し、リスクを軽減し、パフォーマンスを向上させます。
- 問題が大きくなる前に、問題を検出して修正します。 誤検知や陰性を避け、コストのかかるミスのリスクを軽減します。
- パフォーマンスを向上させるために構成を最適化し、運用環境でのパフォーマンス関連の問題を回避します。
テストは、アラートとポリシー構成が組織の要件を満たし、規制と標準に準拠していることを確認するのに役立ちます。 規制を実施することで、セキュリティ違反、コンプライアンス違反、組織に影響を与える可能性のあるその他のリスクを回避できます。
テストは、アラートとポリシー構成の開発と展開に不可欠な手順であり、組織のリソースのセキュリティ、信頼性、パフォーマンスを確保するのに役立ちます。
詳細については、「Azure ランディング ゾーンのテスト アプローチ」を参照してください。
手記
コードとしてのインフラストラクチャ (IaC) などの別のアプローチ (Azure Resource Manager、Bicep、Terraform など) を使用してアラートを実装する場合、またはポータルを使用してアラートを実装する場合、リポジトリ内のアラート、重大度、しきい値に関するガイダンスは、構成するアラート ルールと通知の決定に引き続き適用されます。
次の手順
Azure Monitor のデプロイの概要