Azure Policy および Azure Monitor と Azure Arc の統合の説明

  • 5 分

Contoso のような組織では、Azure Arc を使って、オンプレミスのデータセンター内にある、または別のクラウド プロバイダーでホストされているコンピューター オペレーティング システムに Azure の機能を拡張できます。 たとえば、Azure Policy を使って、オペレーティング システム、アプリケーション、環境の設定のコンプライアンスを監査できます。 Contoso の IT スタッフは、Azure Policy を使用して、Azure Arc 対応 Kubernetes クラスターのコンプライアンスを管理および評価することもできます。

同様に、Contoso は Azure Monitor を使って、Azure Arc 経由で接続されている既存のオンプレミス サーバー リソースの監視と管理を支援できます。Azure Monitor のコンテナーの分析情報により、Contoso は Azure Arc 対応 Kubernetes クラスターの正常性とリソース使用率のデータを収集できます。

Azure 内の VM に関する [分析情報] ページ上の [マップ] タブを示すスクリーンショット。開いている TCP ポートの詳細と共に ContosoVM1 が表示されます。VM の概要も表示されます。

Azure Policy の使用方法

Azure Policy は、組織で Azure 環境の組織標準のコンプライアンスを管理および評価するために役立つサービスです。 Azure Policy では、ターゲットの Azure リソースの種類のプロパティに基づく宣言的ルールを使用します。 これらのルールによってポリシー定義が形成され、管理者はポリシーの割り当てを通じてこの定義をリソース グループまたはサブスクリプションに適用できます。

Arc 対応サーバーには次のような Azure Policy 機能があります。

  • 新しい Azure リソースをプロビジョニングするときのコンプライアンスの実施。
  • 既存の Azure リソースのコンプライアンスの監査。
  • Azure VM 内部の OS、アプリケーション構成、および環境設定のコンプライアンスの監査。

コンピューターの Azure Arc ポリシーの管理と割り当てを行うには、Azure portal で Azure Arc にアクセスします。 返されたマネージド サーバーの一覧で、適切なサーバーを選択してポリシーを割り当てます。 次の設定を構成する必要があります。

  • ポリシーのスコープ、ポリシーのスコープからの除外
  • ポリシー定義
  • 割り当て名
  • 説明
  • ポリシーの適用 (有効または無効)。

このスクリーンショットは Azure portal の [ポリシーの割り当て] ページを示しています。利用可能なポリシーの一覧から管理者が選択しています。

ポリシーを割り当てた後、Azure Arc から、選択したサーバーのポリシー設定を確認できます。

このスクリーンショットは ContosoVM1 で適用中のポリシーを示しています。2 つのポリシーが適用され、VM は一方には準拠していますが、もう一方には準拠していません。

Azure Monitor の使用方法

Monitor を使用して、既存のデプロイの管理を最適化し、将来のデプロイの容量要件を予測することができます。 Monitor では、以下を通じて、焦点を絞った詳細な監視機能を提供します。

  • 監視とメトリックの視覚化。
  • ログのクエリと分析。
  • アラートと修復。

Arc 対応サーバーのメトリック、アクティビティと診断のログ、イベントを収集および監視できます。 Azure Monitor を使って接続されているマシンから Log Analytics ワークスペースにデータを直接収集し、詳細な分析と関連付けを行うことができます。

Azure Monitor エージェントを Arc 対応サーバーにデプロイすると、次のことが可能になります。

  • VM の分析情報を使用して、マシンまたはサーバーで実行されているオペレーティング システムとワークロードを監視します
  • Azure Monitor を使用して分析とアラートを実行します
  • Microsoft Defender for Cloud と Microsoft Sentinel を使用して、Azure のセキュリティ監視を実行します
  • Azure Automation の変更履歴とインベントリを使用して、インベントリを収集し、変更を追跡します

Azure Arc 対応 Kubernetes の場合、コンテナー ワークロードのパフォーマンスと正常性を監視する Azure Monitor の機能であるコンテナーの分析情報を使用できます。 コンテナーの分析情報は、コンテナーのログの収集に加えて、コントローラー、ノード、コンテナーからメモリとプロセッサのメトリックを収集するのに役立ちます。 ビューと事前構築されたブックのコレクションを使って、Kubernetes クラスター内のさまざまなコンポーネントについて収集されたデータを分析できます。

長期的な分析やコンプライアンスを目的として、収集された監視データを Azure Storage にアーカイブできます。 さらに分析するために、このデータを Azure Stream Analytics や他のサービスにルーティングすることもできます。