ポリシーベースのガバナンス

ポリシーベースのガバナンス (PoBG) はパブリッククラウド環境におけるガバナンスを提供します。

「PoBGの設定」では以下のことが可能です。

  • 以下の設定
    • デフォルトのセキュリティー設定
    • デフォルトのコスト削減設定
    • デフォルトの最適化コンフィギュレーション
    • デフォルトのコンプライアンス設定
    • デフォルトのバックアップ設定
  • AWS Trusted AdvisorやAzure Insightなどのハイパースケーラーのネイティブアドバイザの有効化。

「スケジュールの作成」を使うと以下のことが可能です。:
  • 特定のリソースに対してPoBG設定を定期実行できる。
  • 設定された時刻に特定のサーバーを起動または停止ができる。

「ポリシーステータス」は各スケジュールの実行状況と結果を確認し対象のリソースに対して推奨されるアクションを実行するのに役立ちます。

「スケジュール一覧」でスケジュールを管理できます。

「レビュー活動」でPoBGが自動的に実行したアクションやユーザーがPoBGインターフェイスを使って実行したアクションを確認することができます。

ポリシー

ポリシーは以下の項目を定義します。

  • ポリシーの実行時期 (使用可能なオプション - 毎日、毎週、毎月、毎年)

  • ポリシーのスケジュールの名前

  • 要件に関連付けることができる覚えやすい名前

  • リソースセット
    • 要件ごとにプロバイダーを選択するための基準を定義。
    • アカウント、部門、アプリケーション、データセンターに基づいてポリシーを定義。
  • アカウントレベルとリソースタイプレベルに基づくポリシー定義
    • アカウントレベル:選択されたアカウント/部門/データセンター/アプリケーションに基づいて利用可能な全てのリソースに適用するポリシーの定義。
    • リソースタイプレベル:リソースの種類によって単一リソースまたは複数リソースに対して適用するポリシーの定義。
注意: コスト、セキュリティー、最適化、ネイティブ、コンプライアンス、バックアップのカテゴリーごとに異なるポリシーが定義されています。
CMPにアカウントを追加するとそのアカウントに対応したポリシーが有効になります。

サポート対象プロバイダー

  1. Amazon Web Services
  2. Microsoft Azure
  3. SDPFクラウド/サーバー
  4. Google Cloud Provider

ユーザーインターフェース

直感的に使いやすいPoBGのユーザーインターフェース(UI)によりポリシーの追加、レビュー、編集を迅速に行うことができます。下記のフロー図を参照してください。

PoBG User Interface

PoBGの設定

サイドメニューの「PoBGの設定」を選択すると設定ページが表示されます。 ユーザーは定義済みのチェックを有効/無効にすることでカテゴリ(コスト、セキュリティー、最適化、ネイティブ、コンプライアンス、バックアップ)ごとに異なる設定を保存することができます。

注意: デフォルトではすべてのポリシー設定は無効になっています。ポリシーを作成するためにはユーザーはポリシー設定を有効にする必要があります。 1つのポリシー設定カテゴリ(コスト、最適化...)には複数のポリシー定義が含まれており、ユーザーは要件に応じて有効化/無効化することができます。

6つのカテゴリーのポリシーが表示されます。

1. コスト削減ポリシー

  • パブリッククラウドでは使用量に応じて料金を支払います。未使用のリソースを削除するのを忘れてしまい料金を支払うことになるケースがよくあります。
  • 未使用のサーバー、IP、ボリューム、および冗長スナップショットのポリシーを有効にすると、未使用のアイテムのリストが表示され削除するか無視するかを選択できます。

コストポリシーには、次のような推奨ポリシーが含まれています。

AWSのコストポリシー

未使用のEC2インスタンス
未使用のEBSボリューム
関連付けられていないIPアドレス
冗長化された複数のスナップショット
未使用のRDSインスタンス

Azureのコストポリシー

未使用の停止した仮想マシン
未使用のボリューム
未関連付けのIPアドレス
冗長化された複数のスナップショット

Google Cloudのコストポリシー

GCP停止中のサーバー

2.セキュリティーポリシー

  • セキュリティーグループを使用してパブリッククラウド上のIPアドレスとポートを許可または拒否することができます。運用経験の浅いユーザーによってはポートを開放したままにして、全てのソースIPを許可してしまう可能性があります。セキュリティーポリシーではポート/IPを開放しているセキュリティーグループを特定し、アクセスを厳格化するための新しいルールを定義することができます。

セキュリティーポリシーには以下のようなポリシーが含まれています。

AWSのセキュリティーポリシー

バケットにフルアクセスできるユーザー
どのユーザーもアクセスできないバケット
バケットに誰でもアクセスできるユーザー
バケットへの読み込み権限を持つユーザー
バケットに書き込み可能なユーザー
セキュリティーで保護されていないIPポートの設定
セキュリティーで保護されていないIPの設定

Azureのセキュリティーポリシー

安全でないIPポートの設定
安全でないIPの設定

3.最適化ポリシー

  • クラウドインフラストラクチャでは計算資源を効率的に活用することが重要です。最適化ポリシーは使用率の低いサーバーや高いサーバーを特定するのに役立ちます。
  • アイドル状態のサーバーの場合アプリケーションのサーバー数を減らしたり、サーバーのサイズを縮小したりして、利用率の向上とコスト削減を図ることができます。
  • 使用率の高いサーバーについてはサーバーサイズを拡大することができます(例:MediumからLarge以上へ)。ユースケースに基づいてオートスケーリングの利用を決定することができます。

最適化ポリシーには以下の推奨ポリシーが含まれています。

AWSの最適化ポリシー

利用されていないEC2インスタンス
使用率の高いEC2インスタンス
利用されていないRDSインスタンス
利用されているRDSインスタンス、利用されていないRDSインスタンス
Elasticacheインスタンスの使用率が低い
Elasticacheインスタンスの使用率が高い
アイドル状態のDynamoDBインスタンス

Azureの最適化ポリシー

使用率の低い仮想マシン
使用率の高い仮想マシン
使用率の低いSQLプールインスタンス
使用されているSQLプールインスタンス、使用されているSQLプールインスタンス
SQL DBインスタンスの使用率低下
SQL DBインスタンスの使用率が高い
利用されていないCosmosDBインスタンス
CosmosDBインスタンス利用中、CosmosDBインスタンス利用中

4.コンプライアンスポリシー

  • 部門、アプリケーション、またはクラウドリソースに必要な特定のコンプライアンスタグのクォータを定義することができます。

コンプライアンスポリシーには以下のような推奨ポリシーが含まれています。

AWSのコンプライアンスポリシー

メンテナンスが必要なRDSインスタンス
Quota Limitsのコンプライアンスを確認する
タグ付けされていないリソース
リソースの位置
タグのコンプライアンス
タグ付けされていないリソース
予算

Azureのコンプライアンスポリシー

Quota Limitsのコンプライアンスを確認する
タグ付けされていないリソース
リソースの位置
タグのコンプライアンス
タグ付けされていないリソース
予算

5. ネイティブポリシー

  • さまざまなハイパースケーラが使用量に応じた推奨を提供しています。ポリシーを有効にするとPoBGはネイティブコンソールから推奨を取得することができます。

ネイティブポリシーには以下のような推奨ポリシーが含まれています。

AWSのネイティブポリシー

AWS Trusted Advisorの推奨

Azureのネイティブポリシー

Azureアドバイザーの推奨

6. バックアップポリシー

  • クラウドアカウントのバックアップ設定を作成することができます。
  • PoBGはネイティブクラウドプロバイダーAPIを使用して、自動的にサーバーのスナップショットを取得できます。
  • 設定に従って古いスナップショットを削除できます。

詳細は サーバーインスタンスのスナップショット自動化 をご参照ください。

スケジュールの作成

サイドメニューの「スケジュールの作成」を選択するとスケジュールの作成画面に移動します。

ポリシー設定は以下の3ステップで行います。

  1. スケジュール - 毎日、毎週、毎月、毎年など、ポリシーを実行するタイミングを選択します。

  2. リソースセット
    • ポリシーを定義する対象プロバイダーを選択します。
    • 選択したプロバイダーの対象アカウントを選択しポリシーを作成します。
    • 部門、アプリケーション、データセンターに基づいてポリシーを定義します。

    (この場合ポリシーは選択したプロバイダーのすべてのアカウントに対して定義されます。) - アカウントレベル:ポリシーのグループは選択されたアカウント/部門/データセンターアプリケーションに基づいて、すべての利用可能なリソースに適用される。 (またユーザーは複数のアカウント/部門/データセンター/アプリケーションに対して一度にポリシーを定義することができます。) - リソースタイプレベル:リソースタイプによって異なるポリシーが利用可能。

  3. 操作の選択 - 「アカウントレベル」または「リソースタイプレベル」に基づいて、実行可能なオペレーションを選択することができる。 - グローバル設定パラメータ - ポリシー設定に基づき、異なる有効/無効の設定詳細が表示される。 - デフォルトの設定を適用するか、現在のリソースセットに対して異なる設定を適用するかを選択することができる。

注意: 「今すぐ実行」オプションを使用すると作成したスケジュールをすぐに実行できます。

スタートと停止のポリシー

  • サーバーの電源オン/オフのスケジュールを定義することができます。
  • スタートと停止のポリシーは重要ではないワークロードの電源のオン/オフするタイミングを設定するのに役立ち、未使用のワークロードにかかるコストを削減することができます。

すべての情報を入力し「レビュー」ボタンをクリックすると、サマリー画面が表示されます。 確認後、ポリシーが作成され、選択したリソースセットに対して適用されます。

スケジュール一覧

UIから有効化されたポリシーの確認と管理ができます。

  • ポリシーの「削除」は確認後、ユーザー自身が作成したポリシーを削除できます。
  • ポリシーの「表示」ではお客様のリソースにポリシーを適用した最新の結果が表示されます。
  • ポリシーの「編集」では同じ「ポリシーの追加」画面に移動し、ユーザー自身が作成したポリシーの詳細を編集することができます。

ポリシーの変更

スケジュール一覧から変更したいスケジュールの[編集]をクリックすると、ポリシーの対象となるリソース、頻度パターン、スケジュール名などを変更することができます。

ポリシーの削除

特定のスケジュールを削除することができます。

ポリシーステータス

ポリシーのステータスのサイドバーメニューオプションから、ポリシーとステータスを確認できます。

各行には以下の内容が指定されています。

  1. 重要度アイコン
    • ゼロより大きい場合は赤色
    • 影響される数がゼロの場合、緑色
    • リソースの総数がゼロの場合、灰色
  2. ポリシー名

  3. リソースの種類

  4. プロバイダータイプ

  5. アカウント名

  6. ポリシースケジュール名

  7. 対象リソース数

  8. 合計リソース数

  9. 影響を受けるリソースの割合

  10. 表示 - 表示オプションをクリックすると、特定のポリシーの詳細を見ることができます。

注意:ポリシーの状態、スケジュール一覧をCSVファイルでエクスポートすることができます。「エクスポート」ボタンが表示されない場合は管理者にご確認ください。

影響を受けるリソースの確認

ポリシーステータスページで特定のポリシーを選択すると対象リソースの情報を確認することができます。 影響を受けるリソースの上位サマリーや詳細を確認し、推奨されるアクションのいずれかを実行することができます。

各リソースは詳細なリソースダッシュボードにハイパーリンクされています。

レビュー活動

レビュー活動はユーザーまたはポリシーによって呼び出されたすべてのアクションを一箇所で確認できます。サイドバーを使用してすべてのアクティビティを確認するか、ポリシーステータスUIから移動することができます。

アクティビティは次の情報を提供します。

  • 状態 - 成功または失敗
  • スケジュール - 特定のポリシースケジュールID
  • アカウント - 特定のクラウドアカウントID
  • チェック - 特定のポリシーのチェック ID
  • リソース - 特定のリソース ID
  • アクション - 利用可能なアクション: スタート, 停止, 再起動, または 削除
  • 呼び出し元- PoBG UI から操作を呼び出したユーザーの ID
  • 説明 - 操作の成功または失敗に関する追加情報
  • 呼び出し時間 - 操作が実行されたときのタイムスタンプ

よくある質問

  • 自分が作ったポリシーに灰色のアイコンが表示されます

リソースフィルターが正しく定義されているかどうか確認してください。

  • 影響を受けるリソースが表示されない

PoBGは定義したポリシーパラメーターに基づいて、影響を受けるリソースをレポートします。総リソース数が0より大きい場合は総リソースをクリックしてリソースダッシュボードの個々のメトリクスを確認し、ポリシーパラメータと比較します。クラウドリソースは定期的に更新され新しくCMP上で新しく検知されたリソースを確認できます。

  • 時々、深刻度/チェック値が空の行が表示されます

リソースフィルターで定義されたアカウントのセットに対してポリシーが実行されると、影響を受けるリソースがポリシーステータスUIに入力されます。ポリシーの実行後にアカウントの1つを削除した場合、深刻度の行が空になることがあります。

  • 設定を有効にしても一部の設定に対してスケジュールを作成できない

スケジュールは各プロバイダーで利用可能な設定に対してのみ作成されます。