Azure Arc 対応サーバーのコスト ガバナンス

コスト ガバナンスは、Azure で使用しているサービスのコストを制御するためのポリシーを実装する継続的なプロセスです。 このドキュメントでは、Azure Arc 対応サーバーを使用する場合のさまざまなコスト ガバナンスに関する考慮事項と推奨事項について説明します。

Azure Arc 対応サーバーのコストはどのくらいですか?

Azure Arc 対応サーバーには、次の 2 種類のサービスが用意されています。

• 追加コストなしで提供される Azure Arc コントロール プレーン機能には、次のものが含まれます。

  • Azure 管理グループとタグを使用したリソース編成。
  • Azure Resource Graph を使用した検索とインデックス作成。
  • サブスクリプションまたはリソース グループ レベルでの Azure ロールベースのアクセス制御 (RBAC) によるアクセス制御。
  • テンプレートと拡張機能を使用した環境と自動化。

• Azure Arc 対応サーバーと組み合わせて使用される Azure サービス (ただし、これらに限定されません) では、その使用量に応じて次のコストが発生します。

  • Azure Monitor
  • Microsoft Defender for Servers
  • Microsoft Sentinel
  • Azure Update Manager
  • Azure Policy マシンの構成
  • Azure Automation のステート構成、変更の追跡、インベントリ
  • Azure Automation ハイブリッド Runbook ワーカー
  • Azure Key Vault
  • Azure Private Link

設計に関する考慮事項

• 統治： Azure ポリシー、タグ、名前付け標準、および最小特権制御に変換するハイブリッド サーバーのガバナンス モデルを定義します。

• Azure Monitor:Azure Monitor には、Azure Arc 対応サーバーのログ データの収集と分析 (データ インジェスト、リテンション期間、エクスポートによって課金される)、メトリックの収集、正常性の監視、アラート、通知の機能が含まれています。 自動的に有効になる Azure Monitor の機能は、標準メトリック、アクティビティ ログ、分析情報の収集など、コストなしで提供されます。

• Microsoft Defender for Cloud (旧称 Azure Security Center): Microsoft Defender for Cloud は、 次の 2 つのモードで提供されます。

  強化されたセキュリティ機能なし (無料) - Defender for Cloud は、Azure portal のワークロード保護ダッシュボードに初めてアクセスしたとき、または API を使用してプログラムで有効にした場合に、すべての Azure サブスクリプションで無料で有効になります。 この無料モードを使用すると、セキュリティ スコアとそれに関連する機能 (セキュリティ ポリシー、継続的なセキュリティ評価、Azure リソースの保護に役立つ実用的なセキュリティに関する推奨事項) が提供されます。

  すべての強化されたセキュリティ機能 (有料) を備えた Defender for Cloud - Microsoft Defender for Cloud のセキュリティ強化を有効にすると、プライベートやその他のパブリック クラウドで実行されているワークロードに無料モードの機能が拡張され、ハイブリッド クラウド ワークロード全体で統合されたセキュリティ管理と脅威保護が提供されます。

• Microsoft Sentinel: Microsoft Sentinel は、企業全体でインテリジェントなセキュリティ分析を提供します。 この分析のデータは、Azure Monitor Log Analytics ワークスペースに格納されます。 Microsoft Sentinel は、Microsoft Sentinel で分析のために取り込まれたデータの量に基づいて課金され、Azure Arc 対応サーバーの Azure Monitor Log Analytics ワークスペースに格納されます。

• Azure Update Manager: Azure Update Manager は、すべてのマシンの更新プログラムを管理および管理するのに役立つ統合サービスです。 Azure 内、オンプレミス、その他のクラウド プラットフォーム上のデプロイ全体で、Windows および Linux の更新プログラムの準拠状況を 1 つのダッシュボードから監視することができます。 Azure Update Manager は、サーバーごとに 1 日あたり課金されます。

• Azure Policy マシンの構成: Azure Policy マシンの構成では、サーバーのフリート全体でオペレーティング システムとアプリケーションの設定を監査および適用できます。 Azure Policy マシンの構成は、1 か月あたりのサーバーごとに課金され、Azure Automation State Configuration、変更追跡、インベントリの使用権限が含まれます。

• Azure Automation の構成管理: Azure Automation 構成管理には、サーバーのソフトウェア変更履歴とインベントリ、および PowerShell Desired State Configuration を使用してサーバーを大規模に構成するための状態構成が含まれます。 Azure Automation 構成管理は、1 か月あたりのサーバーごとに課金され、Azure Policy マシン構成の使用権限が含まれます。

• Azure Key Vault: Azure Key Vault VM 拡張機能を使用すると、 Windows および Linux の Azure Arc 対応サーバーで証明書のライフサイクルを管理できます。 Azure Key Vault は、証明書、キー、シークレットに対して実行された操作によって課金されます。

• Azure Private Link:Azure Private Link を使用すると、Azure Arc 対応サーバーからのデータに、承認されたプライベート ネットワーク経由でのみアクセスできます。 Azure Private Link は、エンドポイントによって課金され、受信/送信データが処理されます。

設計に関する推奨事項

Azure Arc 対応サーバーのコスト ガバナンスに関する一般的な設計上の推奨事項を次に示します。

注

このセクションでは、提供されているスクリーンショットで説明されている価格情報が例であり、Azure Calculator の使用方法を示すために提供されており、独自の Azure Arc デプロイに表示される可能性のある実際の価格情報は反映されません。

ガバナンス

• すべての Azure Arc 対応サーバーが適切な 名前付け規則とタグ付け規則に従っていることを確認します。
• Azure Arc 対応サーバーをオンボードする管理者にのみ Azure Connected Machine Onboarding ロールを 割り当てて、不要なコストを回避することで、最小限の特権の Azure RBAC を使用します。
• Azure 接続済みマシンリソース管理者を Azure 接続済みマシンの読み取り、書き込み、削除、再オンボードを必要とする管理者にのみ割り当てることで、最小限の特権の Azure RBAC を使用します。

Azure Monitor

• 監視の推奨事項を確認して監視要件を決定し、Azure Monitor の価格を確認します。
• Log Analytics ワークスペースで収集する Azure Arc 対応 Windows および Linux サーバーに 必要なログとイベント を決定します。
• Azure 料金 計算ツール を使用して、Azure Log Analytics のインジェスト、アラート、通知の Azure Arc 対応サーバー監視コストを見積もります。

• Microsoft Cost Management を使用して、Azure Monitor のコストを可視化します。

• Log Analytics ワークスペースの分析情報ソリューションを使用して、Log Analytics ワークスペースで収集されたログとそのインジェスト率を理解し、監視します。

• 可能なデータ インジェスト量の削減を評価します。 データ インジェストを適切に構成するには、 データ 量を減らすためのヒント に関するドキュメントを参照してください。
• Log Analytics でデータを保持する期間を検討します。 Log Analytics ワークスペースに取り込まれたデータは、最初の 31 日間まで、追加料金なしで保持できます。 Log Analytics ワークスペース レベルの既定のリテンション期間を構成するための一般的な側面と、データの種類別にデータ保有期間を構成する特定のニーズを検討します。これは最短で 4 日間です。 例: パフォーマンス データは通常、長期間保持する必要はありませんが、セキュリティ ログを長期間保持する必要がある場合があります。
• 730 日を超えるデータを保持するには、 Log Analytics ワークスペースのデータ エクスポートの使用を検討してください。
• データ インジェストボリュームに基づいて 、コミットメントレベル の価格を使用することを検討してください。

Microsoft Defender for Cloud (旧称 Azure Security Center)

セキュリティとコンプライアンスとMicrosoft Defender for servers の価格に関する推奨事項を確認します。

Microsoft Sentinel

注

これらの画像は、価格の例のみを示しています。

• Microsoft Sentinel の価格を確認します。
• Azure 料金計算ツールを使用して 、Microsoft Sentinel のコストを見積もります。

• Cost Management を使用して、Microsoft Sentinel の分析コストを可視化します。

• Microsoft Sentinel によって使用される Log Analytics ワークスペースに取り込まれたデータのデータ 保持コスト を確認します。
• Log Analytics ワークスペースで収集する Azure Arc 対応 Windows および Linux サーバーの 適切なレベルのログとイベント をフィルター処理します。
• Log Analytics クエリとワークスペース使用状況レポート ブックを使用して、データ インジェストの傾向を把握します。
• Microsoft Sentinel ワークスペースが予算を超えた場合に通知を送信する コスト管理プレイブック を作成します。
• Microsoft Sentinel は、他の Azure サービスと統合して、強化された機能を提供します。 これらのサービスの 価格の詳細 を確認します。
• データ インジェストボリュームに基づいて 、コミットメントレベル の価格を使用することを検討してください。
• セキュリティ以外の運用データを別の Azure Log Analytics ワークスペースに分離することを検討してください。

Azure Update Manager

• 管理と監視と Azure Update Manager の価格に関する推奨事項を確認します。

Azure Policy マシンの構成

• ガバナンスとコンプライアンスと Azure Policy マシン構成の価格に関する推奨事項を確認します。
• Cost Management を使用して、 Microsoft.HybridCompute/machines リソースの種類をフィルター処理することで、Azure Policy のマシン構成コストを把握します。
• すべての組み込みマシン構成ポリシーには、ポリシーを Azure Arc 対応サーバー マシンに割り当てるかどうかを制御するパラメーターが含まれています。 ハイブリッド サーバーで評価する必要がないポリシーについては、ポリシーの割り当てを確認し、このパラメーターを "false" に設定します。

Azure Automation の構成管理

自動化の推奨事項とAzure Automation の価格を確認します。

Azure Key Vault

• Azure Key Vault の価格を確認します。
• Azure Key Vault の分析情報を使用して、Azure Arc 対応サーバーでの証明書の更新とシークレットの操作を監視します。

Azure Private Link

• 接続と Azure Private Link の価格に関する推奨事項を確認します。
• Cost Management を使用して、Azure Arc 対応サーバーで使用される Private Link の使用状況を監視します。

次のステップ

ハイブリッド クラウド導入体験の詳細なガイダンスについては、次のリソースを確認してください。

• Azure Arc Jumpstart シナリオ を確認します。
• Azure Arc 対応サーバーの 前提条件 を確認します。
• Azure Arc 対応サーバーの 大規模デプロイ を計画します。
• Azure Arc ラーニング パスを使用して Azure Arc の詳細を確認します。