Azure Arc 対応サーバーのコスト ガバナンス

コスト ガバナンスは、Azure で使用するサービスのコストを管理するためのポリシーを実装する継続的なプロセスです。 このドキュメントでは、Azure Arc 対応サーバーを使用する場合のさまざまなコスト ガバナンスに関する考慮事項と推奨事項について説明します。

Azure Arc 対応サーバーのコスト

Azure Arc 対応サーバーには、次の 2 種類のサービスが用意されています。

  • Azure Arc コントロール プレーンの機能は、追加コストなしで提供され、以下のものが含まれます。

    • Azure 管理グループと Azure タグを使用したリソース組織。
    • Azure Resource Graph を使用した検索とインデックス作成。
    • サブスクリプションまたはリソース グループ レベルでの Azure ロールベースのアクセス制御 (RBAC) によるアクセス制御。
    • テンプレートと拡張機能を使用した環境と自動化。
  • Azure Arc 対応サーバーと組み合わせて使用される Azure サービス (ただし、これらに限定されません) では、次を含む使用量に応じてコストが発生します。

    • Azure Monitor
    • Microsoft Defender for servers
    • Microsoft Sentinel
    • Azure Update Manager
    • Azure Policy マシン構成
    • Azure Automation State Configuration、変更履歴、インベントリ
    • Azure Automation の Hybrid Runbook Worker
    • Azure Key Vault
    • Azure Private Link

設計上の考慮事項

  • ガバナンス: Azure のポリシー、タグ、命名規則、および最小限の特権コントロールに変換される、ハイブリッド サーバーのガバナンス モデルを定義します。

  • Azure Monitor:Azure Monitor には、Azure Arc 対応サーバーのログ データの収集と分析 (データのインジェスト、保持、エクスポートごとに課金される)、メトリックの収集、正常性の監視、アラート、通知に関する機能が含まれています。 標準メトリック、アクティビティ ログ、分析情報の収集など、自動的に有効になる Azure Monitor の機能は、無料で提供されます。

  • Microsoft Defender for Cloud (旧称 Azure Security Center): Microsoft Defender for Cloudは次の 2 つのモードで提供されます。

    強化されたセキュリティ機能なし (無料) - Defender for Cloud は、Azure portal 内のワークロード保護ダッシュボードに初めてアクセスしたとき、または API を介してプログラムで有効にした場合に、すべての Azure サブスクリプションで無料で有効になります。 この無料モードを使用すると、セキュリティ スコアとそれに関連する機能 (セキュリティ ポリシー、継続的なセキュリティ評価、Azure リソースの保護に役立つ実践的なセキュリティの推奨事項) が提供されます。

    強化されたすべてのセキュリティ機能を備えた Defender for Cloud (有料) - Microsoft Defender for Cloud の強化されたセキュリティを有効にすると、無料モードの機能が、プライベートおよび他のパブリック クラウドで実行されるワークロードまで拡張され、ハイブリッド クラウド ワークロード全体に統合されたセキュリティ管理と脅威防止機能が提供されます。

  • Microsoft Sentinel: Microsoft Sentinel は、インテリジェントなセキュリティ分析を企業に提供します。 この分析のデータは、Azure Monitor Log Analytics ワークスペースに格納されます。 Microsoft Sentinel の課金は、分析のために Microsoft Sentinel に取り込まれ、Azure Arc 対応サーバーの Azure Monitor Log Analytics ワークスペースに格納されたデータの量に基づいて行われます。

  • Azure Update Manager: Azure Update Manager は、すべてのお使いのマシンの更新を管理し、制御するのに役立つ統合サービスです。 Azure 内、オンプレミス、その他のクラウド プラットフォーム上のデプロイ全体で、Windows および Linux の更新プログラムの準拠状況を 1 つのダッシュボードから監視することができます。 Azure Update Manager は、サーバーごとに 1 日単位で課金されます。

  • Azure Policy マシン構成: Azure Policy マシン構成では、サーバーのフリート全体でオペレーティング システムとアプリケーションの設定を監査し、適用できます。 Azure Policy マシン構成は、サーバーごとに月単位で課金され、Azure Automation State Configuration、変更追跡、インベントリの使用権限が含まれます。

  • Azure Automation 構成管理: Azure Automation 構成管理には、サーバーのソフトウェア 変更履歴とインベントリとともに、PowerShell Desired State Configuration を使用してサーバーを大規模に構成するための状態の構成が含まれます。 Azure Automation 構成管理は、サーバーごとに月単位で課金され、Azure Policy マシン構成の使用権限が含まれます。

  • Azure Key Vault: Azure Key Vault VM 拡張機能を使用すると、Windows および Linux Azure Arc 対応サーバーで証明書のライフサイクルを管理できます。 Azure Key Vault は、証明書、キー、シークレットに対して実行された操作ごとに課金されます。

  • Azure Private Link:Azure Private Link を使用して、Azure Arc 対応サーバーからのデータに、承認されたプライベート ネットワーク経由でのみアクセスできるようにします。 Azure Private Link は、エンドポイントおよび処理済み受信/送信データごとに課金されます。

設計の推奨事項

Azure Arc 対応サーバーのコスト ガバナンスに関する一般的な設計上の推奨事項は次のとおりです。

Note

このセクションでは、表示されているスクリーンショットで説明されている料金情報は例であり、Azure Calculator の使用を示すために提供されています。独自の Azure Arc デプロイで表示される可能性のある実際の料金情報を反映するものではありません。

ガバナンス

  • すべての Azure Arc 対応サーバーが、適切な名前付けおよびタグ付け規則に従っていることを確認します。
  • Azure Arc 対応サーバーをオンボードする管理者のみに Azure Connected Machine のオンボード ロールを割り当てて不要なコストを回避することで、最小限の特権の Azure RBAC を使用します。
  • Azure Connected Machine リソース管理者を、Azure Connected Machine を読み取り、書き込み、削除、および再オンボードする必要がある管理者にのみ割り当てることで、最小限の特権の Azure RBAC を使用します。

Azure Monitor

Screenshot that shows the Azure pricing calculator.

Screenshot that shows Azure pricing calculator for Azure Monitor.

Screenshot that shows Azure Cost Management and Billing.

  • Log Analytics Workspace Insights ソリューションを使用して、Log Analytics ワークスペースで収集されたログとそのインジェスト率を把握し、監視します。

Screenshot that shows Log Analytics insights.

Microsoft Defender for Cloud (旧称 Azure Security Center)

セキュリティとコンプライアンスに関する推奨事項Microsoft Defender for Servers の価格を確認します。

Microsoft Sentinel (旧称 Azure Sentinel)

Note

これらの画像は、あくまでも価格の例として示されています。

Screenshot that shows and example Microsoft Sentinel costs.

Screenshot that shows Microsoft Sentinel cost analysis.

Azure Update Manager

Azure Policy マシン構成

  • ガバナンスとコンプライアンスに関する推奨事項Azure Policy マシン構成価格を見直します。
  • Azure Cost Management + Billing を使用して、Microsoft.HybridCompute/machines リソースの種類をフィルター処理することで、Azure Policy マシン構成コストを把握します。
  • すべての組み込みのマシン構成ポリシーには、ポリシーを Azure Arc 対応サーバー マシンに割り当てるかどうかを制御するパラメーターが含まれています。 ハイブリッド サーバーで評価する必要がないポリシーについては、ポリシーの割り当てを確認し、このパラメーターを "false" に設定します。

Screenshot that shows an example of Azure Policy costs.

Azure Automation 構成管理

自動化の推奨事項Azure Automation の価格を確認します。

Azure Key Vault

Screenshot that shows Azure Key Vault insights.

Screenshot that shows an example of Azure Private Link costs.

次のステップ

ハイブリッド クラウドの導入に関する詳細なガイダンスについては、次のリソースを参照してください。