Azure Arc 対応サーバーのコスト ガバナンス

コスト ガバナンスは、Azure で使用するサービスのコストを管理するためのポリシーを実装する継続的なプロセスです。 このドキュメントでは、Azure Arc 対応サーバーを使用する場合のさまざまなコスト ガバナンスに関する考慮事項と推奨事項について説明します。

Azure Arc 対応サーバーのコスト

Azure Arc 対応サーバーには、次の 2 種類のサービスが用意されています。

• Azure Arc コントロール プレーンの機能は、追加コストなしで提供され、以下のものが含まれます。

  • Azure 管理グループと Azure タグを使用したリソース組織。
  • Azure Resource Graph を使用した検索とインデックス作成。
  • サブスクリプションまたはリソース グループ レベルでの Azure ロールベースのアクセス制御 (RBAC) によるアクセス制御。
  • テンプレートと拡張機能を使用した環境と自動化。

• Azure Arc 対応サーバーと組み合わせて使用される Azure サービス (ただし、これらに限定されません) では、次を含む使用量に応じてコストが発生します。

  • Azure Monitor
  • Microsoft Defender for servers
  • Microsoft Sentinel
  • Azure Update Manager
  • Azure Policy マシン構成
  • Azure Automation State Configuration、変更履歴、インベントリ
  • Azure Automation の Hybrid Runbook Worker
  • Azure Key Vault
  • Azure Private Link

設計上の考慮事項

• ガバナンス： Azure のポリシー、タグ、命名規則、および最小限の特権コントロールに変換される、ハイブリッド サーバーのガバナンス モデルを定義します。

• Azure Monitor: Azure Monitor には、Azure Arc 対応サーバーのログ データの収集と分析 (データのインジェスト、保持、エクスポートごとに課金される)、メトリックの収集、正常性の監視、アラート、通知に関する機能が含まれています。 標準メトリック、アクティビティ ログ、分析情報の収集など、自動的に有効になる Azure Monitor の機能は、無料で提供されます。

• Microsoft Defender for Cloud (旧称 Azure Security Center): Microsoft Defender for Cloudは次の 2 つのモードで提供されます。

  強化されたセキュリティ機能なし (無料) - Defender for Cloud は、Azure portal 内のワークロード保護ダッシュボードに初めてアクセスしたとき、または API を介してプログラムで有効にした場合に、すべての Azure サブスクリプションで無料で有効になります。 この無料モードを使用すると、セキュリティ スコアとそれに関連する機能 (セキュリティ ポリシー、継続的なセキュリティ評価、Azure リソースの保護に役立つ実践的なセキュリティの推奨事項) が提供されます。

  強化されたすべてのセキュリティ機能を備えた Defender for Cloud (有料) - Microsoft Defender for Cloud の強化されたセキュリティを有効にすると、無料モードの機能が、プライベートおよび他のパブリック クラウドで実行されるワークロードまで拡張され、ハイブリッド クラウド ワークロード全体に統合されたセキュリティ管理と脅威防止機能が提供されます。

• Microsoft Sentinel: Microsoft Sentinel は、インテリジェントなセキュリティ分析を企業に提供します。 この分析のデータは、Azure Monitor Log Analytics ワークスペースに格納されます。 Microsoft Sentinel の課金は、分析のために Microsoft Sentinel に取り込まれ、Azure Arc 対応サーバーの Azure Monitor Log Analytics ワークスペースに格納されたデータの量に基づいて行われます。

• Azure Update Manager: Azure Update Manager は、すべてのお使いのマシンの更新を管理し、制御するのに役立つ統合サービスです。 Azure 内、オンプレミス、その他のクラウド プラットフォーム上のデプロイ全体で、Windows および Linux の更新プログラムの準拠状況を 1 つのダッシュボードから監視することができます。 Azure Update Manager は、サーバーごとに 1 日単位で課金されます。

• Azure Policy マシン構成: Azure Policy マシン構成では、サーバーのフリート全体でオペレーティング システムとアプリケーションの設定を監査し、適用できます。 Azure Policy マシン構成は、サーバーごとに月単位で課金され、Azure Automation State Configuration、変更追跡、インベントリの使用権限が含まれます。

• Azure Automation 構成管理: Azure Automation 構成管理には、サーバーのソフトウェア 変更履歴とインベントリとともに、PowerShell Desired State Configuration を使用してサーバーを大規模に構成するための状態の構成が含まれます。 Azure Automation 構成管理は、サーバーごとに月単位で課金され、Azure Policy マシン構成の使用権限が含まれます。

• Azure Key Vault: Azure Key Vault VM 拡張機能を使用すると、Windows および Linux Azure Arc 対応サーバーで証明書のライフサイクルを管理できます。 Azure Key Vault は、証明書、キー、シークレットに対して実行された操作ごとに課金されます。

• Azure Private Link:Azure Private Link を使用して、Azure Arc 対応サーバーからのデータに、承認されたプライベート ネットワーク経由でのみアクセスできるようにします。 Azure Private Link は、エンドポイントおよび処理済み受信/送信データごとに課金されます。

設計の推奨事項

Azure Arc 対応サーバーのコスト ガバナンスに関する一般的な設計上の推奨事項は次のとおりです。

Note

このセクションでは、表示されているスクリーンショットで説明されている料金情報は例であり、Azure Calculator の使用を示すために提供されています。独自の Azure Arc デプロイで表示される可能性のある実際の料金情報を反映するものではありません。

ガバナンス

• すべての Azure Arc 対応サーバーが、適切な名前付けおよびタグ付け規則に従っていることを確認します。
• Azure Arc 対応サーバーをオンボードする管理者のみに Azure Connected Machine のオンボード ロールを割り当てて不要なコストを回避することで、最小限の特権の Azure RBAC を使用します。
• Azure Connected Machine リソース管理者を、Azure Connected Machine を読み取り、書き込み、削除、および再オンボードする必要がある管理者にのみ割り当てることで、最小限の特権の Azure RBAC を使用します。

Azure Monitor

• 監視に関する推奨事項を検討して、監視要件を決定し、Azure Monitor の価格を確認します。
• Log Analytics ワークスペースで収集する、Azure Arc 対応 Windows および Linux サーバーの必要なログとイベントを決定します。
• Azure Log Analytics インジェスト、アラート、通知に対する Azure Arc 対応サーバー監視コストを見積もる場合は、Azure 料金計算ツールを使用します。

• Microsoft Cost Management を使用して、Azure Monitor のコストを確認します。

• Log Analytics Workspace Insights ソリューションを使用して、Log Analytics ワークスペースで収集されたログとそのインジェスト率を把握し、監視します。

• データ インジェスト ボリュームの削減の可能性を評価します。 データ インジェストを適切に構成するには、データ量の削減のためのヒントを参照してください。
• Log Analytics でデータを保持する期間を検討します。 Log Analytics ワークスペースに取り込まれたデータは、最初の 31 日間まで無料で保持できます。 Log Analytics ワークスペース レベルの既定の保持期間を構成するための一般的な側面を検討し、データの種類別のデータ保持期間を構成するための具体的なニーズを検討します。この期間は最短 4 日にすることができます。 例: パフォーマンス データは通常、長期間保持する必要はありませんが、セキュリティ ログは長期間の保持が必要になる場合があります。
• 730 日を超えてデータを保持するには、Log Analytics ワークスペースのデータのエクスポートを使用することを検討してください。
• データ インジェストの量に基づくコミットメント レベルの価格の使用を検討します。

Microsoft Defender for Cloud (旧称 Azure Security Center)

セキュリティとコンプライアンスに関する推奨事項と Microsoft Defender for Servers の価格を確認します。

Microsoft Sentinel

Note

これらの画像は、あくまでも価格の例として示されています。

• Microsoft Sentinel の価格を確認します。
• Microsoft Sentinel のコストを見積もるには、Azure 料金計算ツールを使用します。

• Cost Management を使用して、Microsoft Sentinel の分析コストを確認します。

• Microsoft Sentinel で使用される Log Analytics ワークスペースに取り込まれたデータのデータ保持コストを確認します。
• Log Analytics ワークスペースで収集される、Azure Arc 対応 Windows および Linux サーバーの適切なレベルのログとイベントをフィルター処理します。
• Log Analytics クエリとワークスペース使用状況レポート ブックを使用して、データ インジェストの傾向を把握します。
• Microsoft Sentinel ワークスペースが予算を超えている場合は、通知を送信するためのコスト管理プレイブックを作成します。
• Microsoft Sentinel は、強化された機能を提供するため、他の Azure サービスと統合されます。 これらのサービスの価格の詳細を確認します。
• データ インジェストの量に基づくコミットメント レベルの価格の使用を検討します。
• 別の Azure Log Analytics ワークスペースにセキュリティ以外の運用データを分離することを検討します。

Azure Update Manager

• 管理と監視の推奨事項およびAzure Update Manager の価格を見直します。

Azure Policy マシン構成

• ガバナンスとコンプライアンスに関する推奨事項と Azure Policy マシン構成価格を見直します。
• Cost Management を使用して、Microsoft.HybridCompute/machines リソースの種類をフィルター処理することで、Azure Policy マシン構成コストを把握します。
• すべての組み込みのマシン構成ポリシーには、ポリシーを Azure Arc 対応サーバー マシンに割り当てるかどうかを制御するパラメーターが含まれています。 ハイブリッド サーバーで評価する必要がないポリシーについては、ポリシーの割り当てを確認し、このパラメーターを "false" に設定します。

Azure Automation 構成管理

自動化の推奨事項と Azure Automation の価格を確認します。

Azure Key Vault

• Azure Key Vault の価格を確認します。
• Azure Key Vault 分析情報を使用して、Azure Arc 対応サーバーでの証明書の更新とシークレットの操作を監視します。

Azure Private Link

• 接続の推奨事項と Azure Private Link の価格を検討します。
• Cost Management を使用して、Azure Arc 対応サーバーで使用される Private Link の使用状況を監視します。

次の手順

ハイブリッド クラウドの導入に関する詳細なガイダンスについては、次のリソースを参照してください。

• Azure Arc Jumpstart のシナリオを検討します。
• Azure Arc 対応サーバーの前提条件を検討します。
• Azure Arc 対応サーバーの大規模デプロイを計画します。
• クラウド導入フレームワークのベスト プラクティスと推奨事項を確認して、クラウド コストを効率よく管理します。
• Azure Arc ラーニング パスを使用して Azure Arc の詳細を確認します。