次の方法で共有


Azure Arc 対応サーバーのコスト ガバナンス

コスト ガバナンスは、Azure で使用しているサービスのコストを制御するためのポリシーを実装する継続的なプロセスです。 このドキュメントでは、Azure Arc 対応サーバーを使用する場合のさまざまなコスト ガバナンスに関する考慮事項と推奨事項について説明します。

Azure Arc 対応サーバーのコストはどのくらいですか?

Azure Arc 対応サーバーには、次の 2 種類のサービスが用意されています。

  • 追加コストなしで提供される Azure Arc コントロール プレーン機能には、次のものが含まれます。

    • Azure 管理グループとタグを使用したリソース編成。
    • Azure Resource Graph を使用した検索とインデックス作成。
    • サブスクリプションまたはリソース グループ レベルでの Azure ロールベースのアクセス制御 (RBAC) によるアクセス制御。
    • テンプレートと拡張機能を使用した環境と自動化。
  • Azure Arc 対応サーバーと組み合わせて使用される Azure サービス (ただし、これらに限定されません) では、その使用量に応じて次のコストが発生します。

    • Azure Monitor
    • Microsoft Defender for Servers
    • Microsoft Sentinel
    • Azure Update Manager
    • Azure Policy マシンの構成
    • Azure Automation のステート構成、変更の追跡、インベントリ
    • Azure Automation ハイブリッド Runbook ワーカー
    • Azure Key Vault
    • Azure Private Link

設計に関する考慮事項

  • 統治: Azure ポリシー、タグ、名前付け標準、および最小特権制御に変換するハイブリッド サーバーのガバナンス モデルを定義します。

  • Azure Monitor:Azure Monitor には、Azure Arc 対応サーバーのログ データの収集と分析 (データ インジェスト、リテンション期間、エクスポートによって課金される)、メトリックの収集、正常性の監視、アラート、通知の機能が含まれています。 自動的に有効になる Azure Monitor の機能は、標準メトリック、アクティビティ ログ、分析情報の収集など、コストなしで提供されます。

  • Microsoft Defender for Cloud (旧称 Azure Security Center): Microsoft Defender for Cloud は、 次の 2 つのモードで提供されます。

    強化されたセキュリティ機能なし (無料) - Defender for Cloud は、Azure portal のワークロード保護ダッシュボードに初めてアクセスしたとき、または API を使用してプログラムで有効にした場合に、すべての Azure サブスクリプションで無料で有効になります。 この無料モードを使用すると、セキュリティ スコアとそれに関連する機能 (セキュリティ ポリシー、継続的なセキュリティ評価、Azure リソースの保護に役立つ実用的なセキュリティに関する推奨事項) が提供されます。

    すべての強化されたセキュリティ機能 (有料) を備えた Defender for Cloud - Microsoft Defender for Cloud のセキュリティ強化を有効にすると、プライベートやその他のパブリック クラウドで実行されているワークロードに無料モードの機能が拡張され、ハイブリッド クラウド ワークロード全体で統合されたセキュリティ管理と脅威保護が提供されます。

  • Microsoft Sentinel: Microsoft Sentinel は、企業全体でインテリジェントなセキュリティ分析を提供します。 この分析のデータは、Azure Monitor Log Analytics ワークスペースに格納されます。 Microsoft Sentinel は、Microsoft Sentinel で分析のために取り込まれたデータの量に基づいて課金され、Azure Arc 対応サーバーの Azure Monitor Log Analytics ワークスペースに格納されます。

  • Azure Update Manager: Azure Update Manager は、すべてのマシンの更新プログラムを管理および管理するのに役立つ統合サービスです。 Azure 内、オンプレミス、その他のクラウド プラットフォーム上のデプロイ全体で、Windows および Linux の更新プログラムの準拠状況を 1 つのダッシュボードから監視することができます。 Azure Update Manager は、サーバーごとに 1 日あたり課金されます。

  • Azure Policy マシンの構成: Azure Policy マシンの構成では、サーバーのフリート全体でオペレーティング システムとアプリケーションの設定を監査および適用できます。 Azure Policy マシンの構成は、1 か月あたりのサーバーごとに課金され、Azure Automation State Configuration、変更追跡、インベントリの使用権限が含まれます。

  • Azure Automation の構成管理: Azure Automation 構成管理には、サーバーのソフトウェア変更履歴とインベントリ、および PowerShell Desired State Configuration を使用してサーバーを大規模に構成するための状態構成が含まれます。 Azure Automation 構成管理は、1 か月あたりのサーバーごとに課金され、Azure Policy マシン構成の使用権限が含まれます。

  • Azure Key Vault: Azure Key Vault VM 拡張機能を使用すると、 Windows および Linux の Azure Arc 対応サーバーで証明書のライフサイクルを管理できます。 Azure Key Vault は、証明書、キー、シークレットに対して実行された操作によって課金されます。

  • Azure Private Link:Azure Private Link を使用すると、Azure Arc 対応サーバーからのデータに、承認されたプライベート ネットワーク経由でのみアクセスできます。 Azure Private Link は、エンドポイントによって課金され、受信/送信データが処理されます。

設計に関する推奨事項

Azure Arc 対応サーバーのコスト ガバナンスに関する一般的な設計上の推奨事項を次に示します。

このセクションでは、提供されているスクリーンショットで説明されている価格情報が例であり、Azure Calculator の使用方法を示すために提供されており、独自の Azure Arc デプロイに表示される可能性のある実際の価格情報は反映されません。

ガバナンス

  • すべての Azure Arc 対応サーバーが適切な 名前付け規則とタグ付け規則に従っていることを確認します。
  • Azure Arc 対応サーバーをオンボードする管理者にのみ Azure Connected Machine Onboarding ロールを 割り当てて、不要なコストを回避することで、最小限の特権の Azure RBAC を使用します。
  • Azure 接続済みマシンリソース管理者を Azure 接続済みマシンの読み取り、書き込み、削除、再オンボードを必要とする管理者にのみ割り当てることで、最小限の特権の Azure RBAC を使用します。

Azure Monitor

Azure 料金計算ツールを示すスクリーンショット。

Azure Monitor の Azure 料金計算ツールを示すスクリーンショット。

Microsoft Cost Management を示すスクリーンショット。

Log Analytics の分析情報を示すスクリーンショット。

Microsoft Defender for Cloud (旧称 Azure Security Center)

セキュリティとコンプライアンスとMicrosoft Defender for servers の価格に関する推奨事項を確認します。

Microsoft Sentinel

これらの画像は、価格の例のみを示しています。

Microsoft Sentinel のコストの例を示すスクリーンショット。

  • Cost Management を使用して、Microsoft Sentinel の分析コストを可視化します。

Microsoft Sentinel のコスト分析を示すスクリーンショット。

Azure Update Manager

Azure Policy マシンの構成

  • ガバナンスとコンプライアンスと Azure Policy マシン構成の価格に関する推奨事項を確認します。
  • Cost Management を使用して、 Microsoft.HybridCompute/machines リソースの種類をフィルター処理することで、Azure Policy のマシン構成コストを把握します。
  • すべての組み込みマシン構成ポリシーには、ポリシーを Azure Arc 対応サーバー マシンに割り当てるかどうかを制御するパラメーターが含まれています。 ハイブリッド サーバーで評価する必要がないポリシーについては、ポリシーの割り当てを確認し、このパラメーターを "false" に設定します。

Azure Policy のコストの例を示すスクリーンショット。

Azure Automation の構成管理

自動化の推奨事項Azure Automation の価格を確認します。

Azure Key Vault

Azure Key Vault の分析情報を示すスクリーンショット。

Azure Private Link のコストの例を示すスクリーンショット。

次のステップ

ハイブリッド クラウド導入体験の詳細なガイダンスについては、次のリソースを確認してください。