Azure VMware Solution ワークロードの監視に関する考慮事項

  • [アーティクル]

この記事では、Azure VMware Solution ワークロードの監視設計領域について説明します。 この領域では、監視のベスト プラクティスに焦点を当てています。 このガイダンスは、運用チームを対象としています。 Microsoft、VMware、サード パーティは、インフラストラクチャとアプリケーションを監視するために使用できるさまざまなツールを提供しています。 この記事では、これらのオプションの一覧を示します。

各オプションは、さまざまな程度のライセンス コスト、統合オプション、監視スコープ、サポートを備えた監視ソリューションを提供します。 ツールを使用する前に、該当する使用条件を慎重に確認してください。

インフラストラクチャ データを収集する

影響: オペレーショナル エクセレンス

ワークロードの監視には、Azure VMware Solutionインフラストラクチャとさまざまな VMware ソリューション コンポーネントからデータを収集する必要があります。 Azure VMware Solutionは VMware ソフトウェア定義データセンター (SDDC) と統合されており、VMware Aria などの複数の VMware ソリューション ネイティブ コンポーネントが実行されます。 この一連のツール (VMware Aria Operations など) を使用して、インフラストラクチャのさまざまな側面を管理できます。  

もう 1 つのツールは、Azure VMware Solutionの VMware vSphere Health Status です。 このツールは、Azure VMware Solution環境でプロアクティブな問題の検出と修復が継続的に実行されるようにするのに役立ちます。 特に、このツールは VMware vSphere インフラストラクチャの構成ミスを検出し、パフォーマンスのボトルネックを検出します。 また、リソースの使用率と全体的な環境正常性のパフォーマンスに関する分析情報も提供します。

VMware Aria Operations for Networks は、包括的なネットワーク可視性を実現し、トラブルシューティング プロセスを合理化し、ネットワーク パフォーマンスを最適化するのに役立ちます。

推奨事項
  • VMware vSphere Health Status を構成して、Azure VMware Solutionプライベート クラウドの正常性状態の概要を確認します。
  • VMware Aria Suite などのサードパーティ製ツールを使用して、プライベート クラウド ネットワーク インフラストラクチャの可視性と分析Azure VMware Solution強化します。
  • 次のような Azure ネイティブ監視ツールを使用します。
    • Azure Monitor。
    • 運用監視のための VMware Aria 操作。
    • コンプライアンス監視用のAzure Policyと関連するダッシュボード。
    • セキュリティ監視用の Cloud と Microsoft Sentinel のMicrosoft Defender。

ログとアーカイブを管理する

影響: オペレーショナル エクセレンス

VMware ソリューション コンポーネントから正常性データを取得するには、VMware syslog サービスが収集するログにアクセスする必要があります。 ソリューション コンポーネントの例としては、VMware ESXi、VMware vSAN、VMware NSX-T データ センター、VMware vCenter Server などがあります。 これらのコンポーネントのログは、Azure VMware Solution インフラストラクチャを通じて使用できます。 Log Analytics エージェントまたは拡張機能は、仮想マシン (VM) レベルでゲスト ログを Log Analytics に送信します。 Azure VMware Solution内で、Azure VMware Solution ログを Azure ネイティブ ストレージ BLOB に送信できます。 ストレージ BLOB にログを送信するには、一元化された Syslog サーバーからフォワーダーを設定するか、Azure Monitor で BLOB を宛先として構成できます。 Azure Logic Apps や Azure Functions などの Azure ネイティブ ツールを使用してログを転送することもできます。 これらのツールを使用して、Azure VMware Solutionからの受信ログのリスナーを作成し、ログをストレージ BLOB に送信できます。

ログのアーカイブは、ストレージ コストを抑える戦略です。 Azure Storage BLOB と Log Analytics は、長期アーカイブのためにログを転送できます。 ストレージ BLOB の使用は、コストの低いオプションです。 ただし、Log Analytics には、アラート、視覚化、クエリ、機械学習ベースの分析情報の取得のための高度な統合があります。 ソリューションを選択するときは、予算、機能的なユース ケース、長期的なユース ケースを考慮してください。

推奨事項
  • VMware syslog サービスからログを収集して、VMware ESXi、VMware vSAN、VMware NSX-T データ センター、VMware vCenter Server などの VMware ソリューション コンポーネントから正常性データを取得します。
  • VMware Aria Operations for Logging などのツールを構成して、クエリ、分析、レポート機能のさまざまなログを収集します。
  • ログを長期ストレージに送信するための保持期間を構成して、クエリ時間を短縮し、ストレージ コストを節約します。

ゲスト オペレーティング システムを監視する

影響: オペレーショナル エクセレンス

ゲスト オペレーティング システム内では、ディスク使用量、アプリケーション パフォーマンス、システム リソース使用率、およびユーザー アクティビティのメトリックを使用できます。 Azure Arc for Azure VMware Solution (プレビュー) を使用して、Azure で VMware インフラストラクチャ リソースを管理することを検討してください。 詳細については、「Azure Arc for Azure VMware Solutionのデプロイ」を参照してください。

推奨事項
  • プライベート クラウドが Azure Arc for servers または Azure Arc for Azure VMware Solution (プレビュー) によって有効になった後、ゲスト管理を有効にして Azure 拡張機能をインストールします。
  • 追加のエージェントをインストールしてデータを収集し、ゲスト VM のゲスト管理と監視Azure VMware Solution有効にします。  

セキュリティ監視を実装する

影響: セキュリティ、オペレーショナル エクセレンス

異常なアクティビティを検出して対応するには、セキュリティ監視が重要です。 Azure VMware Solutionプライベート クラウドで実行されるワークロードには、ネットワーク、Azure リソース、Azure VMware Solutionプライベート クラウド自体にまたがる包括的なセキュリティ監視が必要です。 Microsoft Sentinel ワークスペースをデプロイすることで、セキュリティ イベントを一元化できます。 この統合を使用することで、運用チームは、より広範な組織の脅威ランドスケープのコンテキストでセキュリティ インシデントを表示、分析、検出できます。

推奨事項
  • Azure VMware Solutionプライベート クラウドのデプロイに使用する Azure サブスクリプションで Defender for Cloud を有効にします。 Defender for Cloud プランで、 Cloud Workload Protection (CWP) 設定の値がサーバーの 場合は ON であることを確認します。
  • 特権ユーザーがAzure VMware Solutionプライベート クラウドで実行するアクションを監査します。 詳細については、「 特権 ID 管理でのグループ割り当ての監査アクティビティ履歴」を参照してください。
  • Microsoft Sentinel と Defender for Cloud を統合します。 セキュリティ イベントのデータ コレクターを有効にし、Defender for Cloud に接続します。
  • Azure VMware Solutionで検証済みのパートナーからのセキュリティ監視ソリューションを使用します。

ネットワークの監視と分析

影響: セキュリティ、オペレーショナル エクセレンス

ネットワーク監視のプロセスでは、Azure VMware Solutionプライベート クラウドに入って送信されるすべてのトラフィックが検査されます。 Azure VMware Solutionでは、ネットワーク セキュリティはネットワーク層とホスト 層で動作します。

推奨事項
  • Azure VMware Solutionプライベート クラウドにデプロイされているネットワーク ファイアウォール ログをキャプチャして監視します。 また、アプリケーションがAzure FirewallやAzure Application Gatewayなどの Azure ネイティブ デバイスに拡張されるときに、Azure にデプロイされたログも監視します。 詳細については、「Firewall integration in Azure VMware Solution」 (Azure VMware Solution でのファイアウォールの統合) を参照してください。
  • Azure Firewallブックまたは同様のツールを使用して、ファイアウォール デバイスに関連する一般的なメトリックとログを監視します。
  • ID、ネットワーク、インフラストラクチャ ベクトルなどの複数のセキュリティ ベクトルからのログを関連付けます。

アラートの構成と合理化

影響: オペレーショナル エクセレンス、コストの最適化

Azure VMware Solutionプライベート クラウドでワークロードを実行する場合は、ワークロードのパフォーマンスを効果的に監視する必要があります。 たとえば、アプリケーションレイヤーとインフラストラクチャレイヤーのログ、メトリック、トレース要求をキャプチャする必要があります。

アラートは、パフォーマンス ベースラインの変更に対応するのに役立ちます。 また、アラートを使用して、必要なメンテナンスまたは構成の変更に関する情報を提供することもできます。 たとえば、キーの有効期限が切れたり、接続が失われたり、リソースの容量を超えるリスクがある場合に通知を受け取ることができます。

アラートを有効にするには、特定の条件が満たされたときに責任あるチームに通知するように構成します。 また、アラートを統合して、送信される個々の通知の数を減らすことも検討してください。

  • 空き領域が少ないマシンごとにアラートを発行する代わりに、ホスト、リソース グループ、またはクラスター別にアラートを統合することを検討してください。
  • この方法は、ホストの問題、CPU、ストレージの急増にも使用します。
  • 時間枠に基づくアラート。 たとえば、ホストが短時間アラートを発行した場合、定義された時間しきい値に従ってアラートを抑制できます。 たとえば、アラートを送信できるのは、5 分が経過した後だけです。
推奨事項
  • パフォーマンス データに基づくベースラインについて話し合い、確立します。
  • しきい値、重大度レベル、特定の条件など、関連するアラート条件を定義します。
  • VMware vSphere イベントとアラーム サブシステムを使用して、VMware vSphere を監視し、トリガーを設定します。
  • リアルタイムでイベントに応答するように、Azure VMware Solutionで Azure アラートを構成します。
  • VMware vSAN データストアの余裕期間が、サービス レベル アグリーメント (SLA) で義務付けられているレベルで維持されるようにアラートが構成されていることを確認します。
  • リソース正常性アラートを構成して、Azure VMware Solutionプライベート クラウドのリアルタイムの正常性状態を取得します。
  • アプリケーション パフォーマンス監視 (APM) ツールを使用して、アプリケーション コード レベルでパフォーマンスに関する分析情報を取得します。
  • 代理トランザクション、ハートビート監視、エンドポイント監視などの監視手法を組み合わせて使用します。
  • 操作への影響または影響を受けるシステムの重要度に基づいてアラートに優先順位を付けます。 意味のあるイベントのみをトリガーするようにアラートを微調整します。
  • ノイズを減らし、アラートを効果的に管理するには、発行される個々の通知の数を減らす方法を使用します。
  • アラートの疲労を最小限に抑えるには、重要なイベントについてのみ主要な関係者に通知するメカニズムを採用します。
  • SMS、電子メール、プッシュ通知、Microsoft Teams などのコラボレーション プラットフォームなどの通知チャネルを使用して、アラートが効果的に配信されるようにします。

コストを管理する

影響: コストの最適化、オペレーショナル エクセレンス

コスト監視とは、Azure VMware Solutionプライベート クラウドに関連付けられているコストを追跡する機能のことです。

推奨事項
  • VMware vSphere のイベントとアラーム サブシステムを使用して、VMware vSphere を監視し、トリガーを設定します。
  • Azure VMware Solutionの Log Analytics クエリに基づく Azure アラートを構成します。 これらのアラートは、運用チームが予想されるイベントと予期しないイベントにリアルタイムで対応するのに役立ちます。

トラブルシューティングツールとデバッグツールを使用する

影響: コストの最適化、オペレーショナル エクセレンス

アプリケーションを効率的にデバッグおよびトラブルシューティングするには、ログ、メトリック、および関連情報が必要です。 この情報には、イベント間の接続を識別、分析、確立できるように、イベント アクティビティが含まれます。

推奨事項
  • Azure VMware Solution syslog サービスから Log Analytics にログを転送するようにシステムを構成します。 関連するすべてのログ、メトリック、診断情報を転送します。
  • Azure VMware Solutionプライベート クラウド内で実行されるゲスト VM で Azure Arc によって有効になっているサーバー エージェントを構成します。

ダッシュボードの使用

影響: オペレーショナル エクセレンス

アプリケーション ダッシュボードは、アプリケーションのパフォーマンス、正常性、およびその他のメトリックを視覚化および監視するのに役立ちます。

  • ダッシュボードの監視レポートは、根本原因の分析とトラブルシューティングをすばやく行うのに役立ちます。 運用チームはこれらのダッシュボードを使用して、Azure VMware Solutionを構成するすべての主要なリソースを 1 つのウィンドウに表示できます。
  • ダッシュボード メトリックは、コードとインフラストラクチャの変更がアプリケーションの動作に与える影響に関する分析情報を提供します。
  • ビジュアルは、カスタマー サポート チームがアプリケーションに対する変更、パフォーマンス、可用性の問題の影響を理解するのに役立ちます。
  • 業績評価指標は、経営幹部とビジネスの利害関係者に利益をもたらします。 これらのツールは、アプリケーションのパフォーマンスとビジネス目標を整合させる意思決定を通知します。 たとえば、エグゼクティブは、サービスの可用性、インシデント解決時間、平均応答時間などのメトリックを確認することで、顧客へのコミットメントを監視できます。 これらのメトリックは、organizationが SLA に従ってサービスを確実に提供するのに役立ちます。

ダッシュボードは、分析情報を提供するだけでなく、透明性を高め、コラボレーションを促進することもできます。たとえば、適切な利害関係者にアプリケーション ダッシュボードへのアクセス権を付与する場合などです。 この行為は、アプリケーションのパフォーマンスの共有理解を育みます。 この方法により、organizationで情報に基づいた意思決定を行うこともできます。 その結果、利害関係者は、ビジネスを推進する重要なイニシアチブの追求に集中できます。

推奨事項
  • Application Insights または Grafana を使用してアプリケーション ダッシュボードを構築します。 ダッシュボードを、Azure VMware Solution環境からのメトリックを格納する関連するデータ ソースに接続します。
  • 一般的に実行されるクエリ、メトリック、対話型レポートの中央リポジトリとして Azure ブックを作成します。
  • データ ソースがセキュリティとコンプライアンスの要件と一致していることを確認します。
  • ユーザー認証やロールベースのアクセス制御などのアクセス制御とアクセス許可を定義します。 各関係者が、ロールに基づく適切なアクセス権を持っていることを確認します。
  • ユーザー アクセスが最新の状態であり、現在のロールと責任と一致していることをチェックするために、定期的なアクセス レビューを実施します。

次のステップ

Azure VMware Solutionの可観測性のベスト プラクティスを確認したので、SDDC でワークロードをさらにセキュリティで保護するために使用できるメカニズム、ツール、および境界について説明します。

Security

評価ツールを使用して、設計の選択を評価します。

評価