Azure Monitor で仮想マシンを監視するベスト プラクティス
この記事では、Azure Monitor を使用して仮想マシンとそのクライアント ワークロードを監視するためのアーキテクチャのベスト プラクティスについて説明します。 このガイダンスは、Azure Well-Architected Framework で説明されているアーキテクチャ エクセレンスの 5 つの柱に基づいています。
[信頼性]
クラウドでは、障害が発生することを認識しています。 目標は、障害がまったく発生しないように努力することではなく、障害が発生した単一コンポーネントの影響を最小限に抑えることです。 次の情報を使用して、仮想マシンとそのクライアント ワークロードの障害を監視します。
設計チェック リスト
- Azure VM 用の可用性アラート ルールを作成します。
- エージェントの正常性を確認するためのエージェント ハートビート アラート ルールを作成します。
- クライアント ワークフローの信頼性を監視するために、データ収集とアラートを構成します。
構成に関する推奨事項
| 推奨 | Description |
|---|---|
| Azure VM 用の可用性アラート ルールを作成します。 | 可用性メトリック (プレビュー) を使用して、Azure VM が実行されているタイミングを追跡します。 推奨されるアラートを使用して個々のマシンの可用性アラート ルールをすばやく有効にすることができますが、リソース グループまたはサブスクリプションを対象とする 1 つのアラート ルールを使用すると、特定のリージョンのそのスコープ内のすべての VM に対して可用性アラートを有効にすることができます。 これにより、VM ごとにアラート ルールを作成するよりも管理が簡単で、スコープ内に作成された新しい VM が自動的に監視されるようになります。 このアラート ルールでは、Azure Monitor エージェントを VM にインストールする必要はありませんが、Azure 以外の VM では使用できません。 |
| エージェントの正常性を確認するためのエージェント ハートビート アラート ルールを作成します。 | Azure Monitor エージェントは、毎分 Log Analytics ワークスペースにハートビートを送信します。 エージェントのハートビートを使用したログ検索アラート ルールを使って、エージェントがハートビートの送信を停止したときにアラートを受け取ります。これは、VM がダウンしているか、エージェントが異常であり、クライアント ワークロードが監視されていないことを示しています。 このアラート ルールでは、Azure Monitor エージェントが VM にインストールされ、Azure VM と Azure 以外の VM の両方に適用される必要があります。 |
| クライアント ワークフローの信頼性を監視するために、データ収集とアラートを構成します。 | 「Azure Monitor を使用して仮想マシンを監視する: データを収集する」の情報を使用して、クライアント ワークロードの潜在的な問題を示すクライアント イベント収集を構成します。 「Azure Monitor を使用した仮想マシンの監視: アラート」の情報を使用して、クライアント ワークロードの潜在的な運用上の問題を事前に通知するアラート ルールを作成します。 |
Security
セキュリティは、あらゆるアーキテクチャの最も重要な側面の 1 つです。 Azure Monitor は、最小限の特権の原則と多層防御の両方を採用する機能を提供します。 仮想マシンのセキュリティを監視するには、次の情報を使用します。
設計チェック リスト
- VM のセキュリティ監視には、他のサービスを使用します。
- プライベート エンドポイントを使用して Azure Monitor に接続するには、VM 用の Azure プライベート リンクを使用することを検討してください。
構成に関する推奨事項
| 推奨 | Description |
|---|---|
| VM のセキュリティ監視には、他のサービスを使用します。 | Azure Monitor は VM からセキュリティ イベントを収集できますが、セキュリティ監視に使用することを意図したものではありません。 Azure には、完全なセキュリティ監視ソリューションを提供する Microsoft Defender for Cloud や Microsoft Sentinel などの複数のサービスが含まれています。 これらのサービスの比較については、セキュリティの監視を参照してください。 |
| プライベート エンドポイントを使用して Azure Monitor に接続するには、VM 用の Azure プライベート リンクを使用することを検討してください。 | パブリック エンドポイントへの接続は、エンドツーエンドの暗号化で保護されます。 プライベート エンドポイントが必要な場合は、Azure プライベート リンクを使用して、承認されたプライベート ネットワークを通じて VM が Azure Monitor に接続できるようにします。 プライベート リンクを使用して、ExpressRoute または VPN 経由でワークスペース データを強制的に取り込むこともできます。 環境に最適なネットワークと DNS トポロジを決定するには、「Azure Private Link の設定を設計する」を参照してください。 |
コスト最適化
コストの最適化とは、不要な費用を削減し、運用効率を向上させる方法のことです。 さまざまな構成オプションと、収集するデータの量を減らす機会を理解することで、Azure Monitor のコストを大幅に削減できます。 「Azure Monitor のコストと使用量」を参照して、Azure Monitor が請求するさまざまな方法と、毎月の請求書を表示する方法を理解しておいてください。
注意
Azure Monitor のすべての機能にわたるコスト最適化の推奨事項については、「Azure Monitor でコストを最適化する」を参照してください。
設計チェック リスト
- 詳細なデータ フィルター処理のため、Log Analytics エージェントから Azure Monitor エージェントに移行します。
- エージェントから不要なデータをフィルター処理します。
- VM の分析情報を使用するかどうか、および収集するデータを決定します。
- パフォーマンス カウンターのポーリング頻度を減らします。
- VM が重複するデータを送信していないことを確認します。
- Log Analytics ワークスペースの分析情報を使用して、請求対象のコストを分析し、コスト削減の機会を特定します。
- SCOM 環境を Azure Monitor SCOM マネージド インスタンス に移行します。
構成に関する推奨事項
| 推奨 | Description |
|---|---|
| 詳細なデータ フィルター処理のため、Log Analytics エージェントから Azure Monitor エージェントに移行します。 | Log Analytics エージェントを備えた VM がまだある場合は、それらを Azure Monitor エージェントに移行すると、より優れたデータ フィルタリングを活用し、さまざまな VM セットで独自の構成を使用できるようになります。 Log Analytics エージェントによるデータ収集の構成はワークスペースで行われるため、すべてのエージェントが同じ構成を受け取ります。 Azure Monitor エージェントで使用されるデータ収集ルールは、さまざまな VM セットの特定の監視要件に合わせて調整できます。 Azure Monitor エージェントでは、 変換 を使用して収集されるデータをフィルター処理することもできます。 |
| エージェントから不要なデータをフィルター処理します。 | アラートや分析に使用しないデータをフィルター処理して、データ インジェスト コストを削減します。 さまざまな監視シナリオで収集するデータに関するガイダンスについては、「 Azure Monitor を使用した仮想マシンの監視: データの収集」および「コストを削減するためのデータのフィルター処理に関する具体的なガイダンスのコストの制御」を参照してください。 |
| VM の分析情報を使用して収集するデータを決定します。 | VM 分析情報は、VM の監視をすばやく開始するための優れた機能であり、 マップやパフォーマンスの傾向ビューなどの強力な機能を提供します。 マップ機能またはマップ機能が収集するデータを使用しない場合は、データ インジェスト コストを節約するために、VM インサイト構成でプロセスと依存関係データの収集を無効にする必要があります。 |
| パフォーマンス カウンターのポーリング頻度を減らします。 | データ収集ルールを使用してパフォーマンス データを Log Analytics ワークスペースに送信する場合、ポーリングの頻度を減らして収集されるデータの量を減らすことができます。 |
| VM が重複するデータを送信していないことを確認します。 | マルチホーム エージェントの場合、または同様のデータ収集ルールを作成する場合には、各ワークスペースに一意のデータを送信していることを確認してください。 重複したデータを収集しないように収集したデータを分析する方法については、「Log Analytics ワークスペースでの使用量を分析する」を参照してください。 エージェント間で移行する場合、それぞれが固有のデータを収集していることを確認できない限り、両方を併用するのではなく、Azure Monitor エージェントに移行するまで、Log Analytics エージェントを引き続き使用します。 |
| Log Analytics ワークスペースの分析情報を使用して、請求対象のコストを分析し、コスト削減の機会を特定します。 | Log Analytics ワークスペースの分析情報には、各テーブルと各 VM から収集された請求対象データが表示されます。 データをフィルター処理してコストを削減する最適な機会を表しているため、この情報を使用して、上位のマシンとテーブルを特定します。 Log Analytics ワークスペースでの使用状況の分析に関するページで、この分析情報とログ クエリを使用して、構成変更の影響をさらに分析します。 |
| SCOM 環境を Azure Monitor SCOM マネージド インスタンス に移行します。 | 既存の SCOM 環境を Azure Monitor SCOM マネージド インスタンス に移行して、Azure Monitor で置き換えることができない管理パックをサポートします。 SCOM マネージド インスタンスでは、ローカル管理サーバーとデータベース サーバーを維持する必要がなくなり、SCOM インフラストラクチャを維持するための全体的なコストが削減されます。 |
オペレーショナル エクセレンス
オペレーショナル エクセレンスとは、運用環境でサービスを確実に実行するために必要な運用プロセスを指します。 仮想マシンを監視するための運用要件を最小限に抑えるには、次の情報を使用します。
設計チェック リスト
- レガシ エージェントから Azure Monitor エージェントへ移行します。
- Azure Arc を使用して、Azure の外部にある VM をモニタリングします。
- Azure Policy を使用してエージェントを展開し、データ収集ルールを割り当てます。
- データ収集ルールの構造に関する戦略を確立します。
- SCOM クライアント管理パックを Azure Monitor に移行することを検討してください。
構成に関する推奨事項
| 推奨 | Description |
|---|---|
| レガシ エージェントから Azure Monitor エージェントへ移行します。 | Azure Monitor エージェントは、従来の Log Analytics エージェントよりも管理が簡単で、 Log Analytics ワークスペースの設計をより柔軟に行えます。 Windows エージェントと Linux エージェントの両方でマルチホームが可能であり、これは複数のワークスペースに接続できることを意味します。 データ収集ルールにより、大規模なデータ収集設定の管理が可能になるほか、マシンのサブセットの対する一意の範囲指定された構成を定義できます。 考慮事項と移行方法については、「Log Analytics エージェントから Azure Monitor エージェントへの移行」を参照してください。 |
| Azure Arc を使用して、Azure の外部にある VM をモニタリングします。 | Azure Arc for servers を使用すると、Azure の外部、企業ネットワーク、または他のクラウド プロバイダーでホストされている物理サーバーと仮想マシンを管理できます。 Azure Connected Machine エージェントを配置すると、Azure VM に対して行うのと同じ方法を使用して Azure Monitor エージェントをこれらの VM にデプロイし、同じ Azure Monitor ツールを使用して VM のコレクション全体を監視できます。 |
| Azure Policy を使用してエージェントを展開し、データ収集ルールを割り当てます。 | Azure Policy を使用すると、既存の VM のセットと、作成された新しい VM にエージェントを自動的にデプロイできます。 これにより、管理者による介入を最小限に抑えて、すべての VM が確実に監視されます。 VM insights を使用する場合には、「Azure Policy を使用して VM 分析情報を有効にする」を参照してください。 VM 分析情報を使用せず Azure Monitor エージェントを管理する場合は、「Azure Policy を使用して Azure Monitor エージェントを有効にする」を参照してください。 データ収集ルールの関連付けを作成するテンプレートについては、「DCR を手動で作成する」を参照してください。 |
| データ収集ルールの構造に関する戦略を確立します。 | データ収集ルールでは、Azure Monitor エージェントを使用して仮想マシンから収集するデータと、そのデータを送信する場所を定義します。 各 DCR には複数のコレクション シナリオを含め、任意の数の VM に関連付けることができます。 管理する必要がある DCR の数を最小限に抑えながら、異なる VM グループに必要なデータのみを収集するように DCR を構成する戦略を確立します。 |
| SCOM クライアント管理パックを Azure Monitor に移行することを検討してください。 | クライアント ワークロードを監視するための既存の SCOM 環境がある場合、十分な管理パック ロジックを Azure Monitor に移行して、SCOM 環境を廃止するか、少なくとも特定の管理パックを廃止できる場合があります。 「System Center Operations Manager (SCOM) から Azure Monitor に移行する」を参照してください。 |
パフォーマンス効率
パフォーマンス効率とは、ユーザーによって行われた要求に合わせて効率的な方法でワークロードをスケーリングできることです。 仮想マシンのパフォーマンスを監視するには、次の情報を使用します。
設計チェック リスト
- クライアント ワークフローのパフォーマンスを監視するために、データ収集とアラートを構成します。
構成に関する推奨事項
| 推奨 | Description |
|---|---|
| クライアント ワークフローのパフォーマンスを監視するために、データ収集とアラートを構成します。 | 「Azure Monitor を使用して仮想マシンを監視する: データを収集する」の情報を使用して、クライアント ワークロードのパフォーマンスを測定するクライアント データ収集を構成します。 「Azure Monitor を使用した仮想マシンの監視: アラート」の情報を使用して、クライアント ワークロードの潜在的なパフォーマンス上の問題を事前に通知するアラート ルールを作成します。 |