フェーズ 1:Azure サーバー管理サービスの前提条件となる計画Phase 1: Prerequisite planning for Azure server management services

このフェーズでは、Azure サーバー管理スイートのサービスについて理解し、これらの管理ソリューションを実装するために必要なリソースをデプロイする方法を計画します。In this phase, you'll become familiar with the Azure server management suite of services, and plan how to deploy the resources needed to implement these management solutions.

ツールおよびサービスを理解するUnderstand the tools and services

以下の詳細な概要については、「Azure サーバー管理ツールおよびサービス」を参照してください。Review Azure server management tools and services for a detailed overview of:

  • 進行中の Azure 運用に関係する管理領域。The management areas that are involved in ongoing Azure operations.
  • これらの領域でのサポートに役立つ Azure のサービスとツール。The Azure services and tools that help support you in these areas.

これらのサービスの複数を組み合わせて使用して、管理要件を満たすことができます。You'll use several of these services together to meet your management requirements. これらのツールはこのガイダンス全体でしばしば参照されます。These tools are referenced often throughout this guidance.

以降の各セクションでは、これらのツールとサービスを使用するために必要な計画と準備について説明します。The following sections discuss the planning and preparation required to use these tools and services.

Log Analytics ワークスペースと Automation アカウントの計画Log Analytics workspace and Automation account planning

Azure 管理サービスをオンボードするために使用する多くのサービスでは、Log Analytics ワークスペースと、リンクされた Azure Automation アカウントが必要です。Many of the services you'll use to onboard Azure management services require a Log Analytics workspace and a linked Azure Automation account.

Log Analytics ワークスペースは、Azure Monitor ログ データの格納用の一意の環境です。A Log Analytics workspace is a unique environment for storing Azure Monitor log data. 各ワークスペースには、独自のデータ リポジトリと構成があります。Each workspace has its own data repository and configuration. データ ソースとソリューションは、特定のワークスペースにデータを格納するように構成されます。Data sources and solutions are configured to store their data in particular workspaces. Azure 監視ソリューションでは、すべてのサーバーをワークスペースに接続することで、それらのログ データを格納してアクセスできるようにする必要があります。Azure monitoring solutions require all servers to be connected to a workspace, so that their log data can be stored and accessed.

管理サービスの一部では Azure Automation アカウントが必要です。Some of the management services require an Azure Automation account. このアカウントと Azure Automation の機能を使用して、Azure サービスと他のパブリック システムを統合して、サーバー管理プロセスをデプロイ、構成、および管理することができます。You use this account, and the capabilities of Azure Automation, to integrate Azure services and other public systems to deploy, configure, and manage your server management processes.

以下の Azure サーバー管理サービスでは、リンクされた Log Analytics ワークスペースと Automation アカウントが必要です。The following Azure server management services require a linked Log Analytics workspace and Automation account:

このガイダンスの 2 番目のフェーズは、サービスおよび自動化スクリプトのデプロイに焦点を合わせて説明します。The second phase of this guidance focuses on deploying services and automation scripts. Log Analytics ワークスペースと Automation アカウントを作成する方法が紹介されています。It shows you how to create a Log Analytics workspace and an Automation account. このガイダンスでは、Azure Policy を使用して、新しい仮想マシンが必ず正しいワークスペースに接続されるようにする方法も紹介しています。This guidance also shows you how to use Azure Policy to ensure that new virtual machines are connected to the correct workspace.

このガイダンスの例では、サーバーがクラウドにまだデプロイされていないデプロイを想定しています。The examples in this guidance assume a deployment that doesn't already have servers deployed to the cloud. ワークスペースの計画に関連する原則および考慮事項の詳細については、Azure Monitor でログ データとワークスペースを管理するについての記事を参照してください。To learn more about the principles and considerations involved in planning your workspaces, see Manage log data and workspaces in Azure Monitor.

計画に関する考慮事項Planning considerations

管理サービスのオンボードに必要なワークスペースとアカウントを準備するときは、次の問題を考慮します。When preparing the workspaces and accounts that you need for onboarding management services, consider the following issues:

  • Azure の地域と規制遵守: Azure リージョンは "地域" に分かれています。Azure geographies and regulatory compliance: Azure regions are organized into geographies. Azure の地域では、データの保存場所、主権、コンプライアンス、回復性に関する要件が地域的な境界内で確実に遵守されます。An Azure geography ensures that data residency, sovereignty, compliance, and resiliency requirements are honored within geographical boundaries. ワークロードがデータ主権またはその他のコンプライアンス要件の対象となる場合、ワークスペースと Automation アカウントは、それらがサポートするワークロード リソースと同じ Azure の地域内のリージョンにデプロイされる必要があります。If your workloads are subject to data-sovereignty or other compliance requirements, workspace and Automation accounts must be deployed to regions within the same Azure geography as the workload resources they support.
  • ワークスペースの数: 原則として、Azure の地域ごとに必要な最も少ない数のワークスペースを作成します。Number of workspaces: As a guiding principle, create the minimum number of workspaces required per Azure geography. コンピューティング リソースやストレージ リソースが配置される Azure の地域ごとに少なくとも 1 つのワークスペースを作成することをお勧めします。We recommend at least one workspace for each Azure geography where your compute or storage resources are located. この初期の配置により、今後データを異なる地域に移行する場合に規制の問題を回避しやすくなります。This initial alignment helps avoid future regulatory issues when you migrate data to different geographies.
  • データ保持とキャッピング: ワークスペースや Automation アカウントを作成するとき、データ保持ポリシーまたはデータ キャッピングの要件も考慮に入れることが必要な場合もあります。Data retention and capping: You may also need to take Data retention policies or data capping requirements into consideration when creating workspaces or Automation accounts. ワークスペースを計画するときこれらの原則およびその他の考慮事項の詳細については、Azure Monitor でログ データとワークスペースを管理するについての記事を参照してください。For more information about these principles, and for additional considerations when planning your workspaces, see Manage log data and workspaces in Azure Monitor.
  • リージョン マッピング: Log Analytics ワークスペースと Azure Automation アカウントのリンクは特定の Azure リージョン間でのみサポートされます。Region mapping: Linking a Log Analytics workspace and an Azure Automation account is supported only between certain Azure regions. たとえば、Log Analytics ワークスペースが East US リージョンにホストされている場合、リンクされる Automation アカウントは、管理サービスと一緒に使用される East US 2 リージョン内に作成する必要があります。For example, if the Log Analytics workspace is hosted in the East US region, the linked Automation account must be created in the East US 2 region to be used with management services. 他のリージョン内に作成した Automation アカウントを East US 内のワークスペースにリンクすることはできません。If you have an Automation account that was created in another region, it can't link to a workspace in East US. デプロイ リージョンの選択は、Azure の地域要件に大きく影響する可能性があります。The choice of deployment region can significantly affect Azure geography requirements. ワークスペースと Automation アカウントをホストするリージョンを決定する際は、リージョン マッピング テーブルを参照してください。Consult the region mapping table to decide which region should host your workspaces and Automation accounts.
  • ワークスペース マルチホーム: Azure Log Analytics エージェントは一部のシナリオでマルチホームをサポートしますが、この構成で実行すると、エージェントはいくつかの制限事項や課題に直面します。Workspace multihoming: The Azure Log Analytics agent supports multihoming in some scenarios, but the agent faces several limitations and challenges when running in this configuration. 特定のシナリオに対してマイクロソフトが推奨する場合を除き、Log Analytics エージェント上にマルチホームを構成しないでください。Unless Microsoft has recommended it for your specific scenario, don't configure multihoming on the Log Analytics agent.

リソースの配置例Resource placement examples

Log Analytics ワークスペースと Automation アカウントの配置先となるサブスクリプションの選択には、複数の異なるモデルがあります。There are several different models for choosing the subscription in which you place the Log Analytics workspace and Automation account. つまり、ワークスペースと Automation アカウントは、Update Management サービスと Change Tracking および Inventory サービスの実装を担当するチームが所有するサブスクリプションに配置します。In short, place the workspace and Automation accounts in a subscription owned by the team that's responsible for implementing the Update Management service and the Change Tracking and Inventory service.

ワークスペースと Automation アカウントを配置するいくつかの方法の例を次に示します。The following are examples of some ways to deploy workspaces and Automation accounts.

地理別の配置Placement by geography

中小規模の環境には、単一のサブスクリプションと、複数の Azure の地域にまたがる数百のリソースがあります。Small and midsize environments have a single subscription and several hundred resources that span multiple Azure geographies. このような環境では、各地域に 1 つの Log Analytics ワークスペースと 1 つの Azure Automation アカウントを作成します。For these environments, create one Log Analytics workspace and one Azure Automation account in each geography.

各リソース グループには、ワークスペースと Azure Automation アカウントを 1 つのペアとして作成できます。You can create a workspace and an Azure Automation account, as one pair, in each resource group. 次に、対応する地域のペアを仮想マシンに配置します。Then, deploy the pair in the corresponding geography to the virtual machines.

あるいは、データ コンプライアンス ポリシーでリソースを特定のリージョンに置くことが規定されていない場合、1 つのペアを作成してすべての仮想マシンを管理できます。Alternatively, if your data-compliance policies don't dictate that resources reside in specific regions, you can create one pair to manage all the virtual machines. また、より細かいロールベースのアクセス制御 (RBAC) を行うために、ワークスペースと Automation アカウントのペアを別々のリソース グループに配置することも推奨されます。We also recommend that you place the workspace and Automation account pairs in separate resource groups to provide more granular role-based access control (RBAC).

次の図に示した例では、それぞれ異なる地域に配置される 2 つのリソース グループを持つ 1 つのサブスクリプションを使用します。The example in the following diagram has one subscription with two resource groups, each located in a different geography:

小規模から中規模の環境のワークスペース モデル

管理サブスクリプション内への配置Placement in a management subscription

大規模な環境は複数のサブスクリプションにまたがり、監視とコンプライアンスを所有する中央 IT チームがあります。Larger environments span multiple subscriptions and have a central IT team that owns monitoring and compliance. このような環境では、ワークスペースと Automation アカウントのペアを IT 管理サブスクリプションに作成します。For these environments, create pairs of workspaces and Automation accounts in an IT management subscription. このモデルでは、ある地域内の仮想マシン リソースは、そのデータを IT 管理サブスクリプション内の対応する地域ワークスペース内に格納します。In this model, virtual-machine resources in a geography store their data in the corresponding geography workspace in the IT management subscription. オートメーション タスクを実行する必要はあっても、リンクされたワークスペースおよび Automation アカウントが不要なアプリケーション チームは、独自のアプリケーション サブスクリプション内に別の Automation アカウントを作成することができます。If application teams need to run automation tasks but don't require linked workspace and Automation accounts, they can create separate Automation accounts in their own application subscriptions.

大規模な環境のワークスペース モデル

分散型の配置Decentralized placement

大規模な環境の代替モデルでは、アプリケーション開発チームは、修正プログラムの適用と管理を行うことができます。In an alternative model for large environments, the application development team can be responsible for patching and management. この場合、ワークスペースと Automation アカウントのペアを、他のリソースと一緒にアプリケーション チーム サブスクリプションに配置します。In this case, place the workspace and Automation account pairs in the application team subscriptions alongside their other resources.

分散型環境のワークスペース アカウント モデル

ワークスペースと Automation アカウントを作成するCreate a workspace and Automation account

ワークスペースとアカウントのペアを配置し、整理する最適な方法を選択したら、オンボード プロセスを開始する前に、これらのリソースを作成したことを確認します。After you've chosen the best way to place and organize workspace and account pairs, make sure that you've created these resources before starting the onboarding process. このガイダンスで後述するオートメーションの例では、ワークスペースと Automation アカウントのペアが自動的に作成されます。The automation examples later in this guidance create a workspace and Automation account pair for you. ただし、既存のワークスペースと Automation アカウントのペアがない場合、Azure portal を使用してオンボードする場合はペアを作成する必要があります。However, if you want to onboard by using the Azure portal and you don't have an existing workspace and Automation account pair, you'll need to create one.

Azure portal を使用して Log Analytics ワークスペースを作成するには、「ワークスペースを作成する」を参照してください。To create a Log Analytics workspace by using the Azure portal, see Create a workspace. 次に、「Azure Automation アカウントを作成する」の手順に従って、各ワークスペースに対応する Automation アカウントを作成します。Next, create a matching Automation account for each workspace by following the steps in Create an Azure Automation account.

注意

Azure portal を使用して Automation アカウントを作成すると、ポータルの既定では、Azure Resource Manager とクラシック デプロイ モデル リソースの両方の実行アカウントの作成が試行されます。When you create an Automation account by using the Azure portal, the portal attempts by default to create Run As accounts for both Azure Resource Manager and the classic deployment model resources. 環境内にクラシック仮想マシンが備わっておらず、サブスクリプションの共同管理者でない場合、ポータルでは Resource Manager の実行アカウントが作成されますが、クラシック実行アカウントをデプロイするときにエラーが生成されます。If you don't have classic virtual machines in your environment and you're not the co-administrator on the subscription, the portal creates a Run As account for Resource Manager, but it generates an error when deploying the classic Run As account. クラシック リソースをサポートする予定がない場合は、このエラーを無視することができます。If you don't intend to support classic resources, you can ignore this error.

PowerShell を使用して実行アカウントを作成することもできます。You can also create Run As accounts by using PowerShell.

次のステップNext steps

Azure サーバー管理サービスに対してサーバーをオンボードする方法を参照してください。Learn how to onboard your servers to Azure server management services.