Azure プラットフォーム ランディング ゾーン コンポーネントを監視する
可用性、信頼性、セキュリティ、スケーラビリティを確保するには、Azure プラットフォーム ランディング ゾーン コンポーネントを監視します。 これらのコンポーネントを監視すると、組織は次のことが可能になります。
- 問題の迅速な検出と解決、リソース使用率の最適化、セキュリティ上の脅威への事前の対処。
- パフォーマンスと正常性の継続的な監視。これは、組織が、ダウンタイムを最小限に抑え、コストを最適化し、効率的な運用を確保するのに役立ちます。
- 容量計画の容易化。これにより、組織はリソースのニーズを予測し、それに応じてプラットフォームをスケーリングできるようになります。
プラットフォーム ランディング ゾーン サービスを監視すると、環境の安定性とセキュリティを維持し、パフォーマンスを最大化して、進化するビジネス ニーズを効果的に満たすことができます。
次のビデオでは、この記事で説明するソリューションについて説明し、Azure Monitor のデプロイ方法を示します。
Azure ランディング ゾーンの監視に関するガイダンス
ランディング ゾーン プラットフォーム コンポーネントおよび選択したその他のランディング ゾーン コンポーネントについては、ベースライン メトリック、アクティビティ ログ、ログ クエリアラートを使用できます。 これらのアラートにより、Azure ランディング ゾーンのアラートと監視の一貫性が確保されます。 これらは、プロアクティブな監視について Microsoft が推奨するプラクティス (タイムリーな問題の検出と対応のためのアラート、しきい値、通知の設定など) に基づいています。 プラットフォーム ランディング ゾーンの実装のパフォーマンス、使用率、セキュリティをリアルタイムで視覚化するには、次のガイダンスに従います。 問題に事前に対処し、リソース割り当てを最適化して、環境の信頼性とセキュリティを確保します。
このアーキテクチャの Visio ファイルをダウンロードします。
Azure コンポーネントの次のサブセットには、1 つ以上のアラートが定義されています。
- Azure ExpressRoute
- Azure Firewall
- Azure Virtual Network
- Azure Virtual WAN
- Azure Monitor Log Analytics ワークスペース
- Azure プライベート DNS ゾーン
- Azure Key Vault
- Azure Virtual Machine
- Azure ストレージ アカウント
詳細については、「アラートの詳細」を参照してください。
組織のリソースを適切に監視し、セキュリティで保護できるようにするには、アラートを適切に構成し、アラートに対応するための適切なプロセスを実装する必要もあります。 適切な通知チャネルを使用してアクション グループを構成し、アラートをテストして、期待どおりに動作することを確認します。 クラウド導入フレームワークのサブスクリプションの民主化原則に従って、関係するスタッフにアラートが通知されるように、サブスクリプションごとに少なくとも 1 つのアクション グループを構成します。 アクション グループには、最小限の通知形式として電子メール通知チャネルを含める必要があります。 Azure Monitor 警告処理ルールを使用してアラートを 1 つ以上のアクション グループにルーティングする場合、サービス正常性アラートでは、警告処理ルールがサポートされていないので注意してください。 サービス正常性アラートは、アクション グループで直接構成します。
ポリシー主導のガバナンスに関する Azure ランディング ゾーン原則に従って、Azure Policy を使用してアラートを簡単にスケーリングできるフレームワーク ソリューションを使用できます。 これらのポリシーでは、DeployIfNotExists 効果を使用して、Azure ランディング ゾーン環境でリソースを作成するときに、関連する警告ルール、警告処理ルール、アクション グループがプラットフォーム サービスとランディング ゾーンの両方にデプロイされます。
Azure Policy には既定のベースライン構成が用意されていますが、これらのベースラインは、ニーズに合わせて構成することができます。 リポジトリで提供されているメトリックとは異なるメトリックに対してアラートを生成する必要がある場合、このソリューションには、警告ルールをデプロイするための独自のポリシーを開発することができるフレームワークが用意されています。 詳細については、Azure Monitor ベースライン (AMBA) 共同作成者ガイドおよび「Azure Monitor のデプロイの概要」を参照してください。 このソリューションは、Azure ランディング ゾーン インストール エクスペリエンスと統合されているため、Azure ランディング ゾーンを新しく実装すると、インストール時にベースライン アラートを設定できます。
柔軟性とスケーラビリティを提供し、Azure ランディング ゾーンのスコープの内外にアラートを確実にデプロイするために、ポリシーを使用してデプロイします。 アラートは、対応するリソースが作成されるときにのみデプロイされます。これにより、不要なコストを回避でき、デプロイ時にアラート構成が確実に更新されます。 この機能は、ポリシー主導のガバナンスに関する Azure ランディング ゾーン原則と一致しています。
ブラウンフィールドに関するガイダンス
ブラウンフィールドのシナリオでは、組織に既存の Azure ランディング ゾーンがあるか、組織が Azure ランディング ゾーン アーキテクチャが使用可能になる前に Azure を実装しています。
このセクションでは、既存の Azure フットプリントがある場合、それが Azure ランディング ゾーンに合わせて配置されているかどうかに関係なく、Azure ランディング ゾーンのベースライン監視を行うための大まかな手順について説明します。
Azure ランディング ゾーンに合わせて配置されている場合
既存の Azure ランディング ゾーンの実装があり、ポリシー主導のアプローチを使用する場合は、このプロセスを使用します。
- 関連するポリシーとイニシアティブを AMBA リポジトリからインポートします。
- 環境内で必要なポリシーを割り当てます。
- 準拠していないポリシーを修復します。
環境に関連するポリシーとそれを適用する手順の詳細については、管理グループ階層の決定に関する記事を参照してください。
Azure ランディング ゾーンに合わせて配置されていない場合
Azure ランディング ゾーンの実装に合わせて配置されておらず、ポリシー手動のアプローチを使用する場合は、このプロセスを使用します。
- 関連するポリシーとイニシアティブを AMBA から、ポリシーを割り当てる最上位管理グループにインポートします。
- 環境内で必要なポリシーを割り当てます。
- 準拠していないポリシーを修復します。
環境に関連するポリシーとそれを適用する手順の詳細については、管理グループ階層の決定に関する記事を参照してください。
フレームワークをテストする
ポリシーとアラートを運用環境にデプロイする前に、次の目的でテストを行います。
- 組織のリソースが適切に監視され、セキュリティで保護されることを確認する。
- 問題を早期に特定して、適切な機能の確保、リスクの軽減、パフォーマンスの向上を図る。
- 問題が拡大する前に検出して修正する。 擬陽性や偽陰性を回避し、コストがかかるミスのリスクを軽減する。
- パフォーマンスを向上するために構成を最適化し、運用環境でのパフォーマンス関連の問題を回避する。
テストを行うと、アラートとポリシーが組織の要件を満たすように構成されており、規制や標準に準拠していることを確認するのに役立ちます。 規制を整備すると、セキュリティ侵害、コンプライアンス違反、組織に影響を与える可能性のあるその他のリスクを回避できます。
テストは、アラートとポリシーの構成の開発とデプロイで不可欠な手順であり、組織のリソースのセキュリティ、信頼性、パフォーマンスを確保するのに役立ちます。
詳細については、「Azure ランディング ゾーンのテスト アプローチ」を参照してください。
Note
コードとしてのインフラストラクチャ (IaC) などの別のアプローチ (Azure Resource Manager、Bicep、Terraform など)、またはポータルを使用してアラートを実装する場合でも、構成する警告ルールの決定と通知には、リポジトリ内のアラート、重大度、しきい値に関するガイダンスが適用されます。