リモート ハブを使用すると、中央テナントが複数のテナントまたはサブスクリプションのコスト データを集計するテナント間のコスト データ収集シナリオが可能になります。 このセットアップでは、異なるテナントの "サテライト" FinOps ハブは、統合されたレポートと分析のために、処理されたデータを中央の "プライマリ" ハブに送信します。
リモート ハブは、さまざまな Azure クラウドで動作し、次の機能をサポートします。
- Azure コマーシャル
- Azure Government
- 21Vianet によって運営される Azure
リモート ハブを使用するタイミング
次の場合は、リモート ハブを検討してください。
- 個別の課金関係を持つ複数の Azure テナント
- 複数の組織間で可視性を必要とする一元化された FinOps チーム
- 別々のテナント内の子会社または事業単位
- 共有分析にコスト データを提供するパートナーまたは顧客
- さまざまな Azure クラウド環境のコスト データが必要なマルチクラウド シナリオ
アーキテクチャの概要
リモート ハブの構成では、次の操作を行います。
- プライマリ ハブ: すべてのテナントから集計データを受信して格納する中央 FinOps ハブ
- リモート (サテライト) ハブ: ローカル コスト データを処理してプライマリ ハブに送信するリモート テナント内の FinOps ハブ
プライマリ ハブを構成する
- 通常のデプロイ プロセスを使用して、中央テナントに標準の FinOps ハブをデプロイする
- ストレージ アカウント名をメモします (デプロイ後にリソース グループに含まれます)
- Data Lake ストレージ エンドポイントを取得します。
- Azure portal でストレージ アカウントに移動します
- [設定]>Endpoints の選択
-
Data Lake Storage の URL をコピーする (形式:
https://storageaccount.dfs.core.windows.net/)
- ストレージ アカウントのアクセス キーを取得します。
- [セキュリティ + ネットワーク] に移動します>アクセス キー
- key1 または key2 値をコピーする
リモート ハブの構成
リモート ハブをデプロイするときは、プライマリ ハブのストレージの詳細を指定します。
- FinOps ハブ テンプレートをデプロイするときに、[ 詳細設定 ] タブに移動します
- [リモート ハブの構成] を展開する
- プライマリ ハブから リモート ハブ ストレージ URI を入力します (プライマリ ハブのストレージ アカウント設定の中の> エンドポイント > Data Lake Storageからコピーしてください)
- プライマリ ハブからリモート ハブ ストレージ キーを入力します (プライマリ ハブのストレージ アカウントの Security + networking からコピー > Access keys > key1/2 > Key)
- 通常どおりにデプロイを完了する
セキュリティに関する考慮事項
- バージョン要件: リモート ハブのサポートには、FinOps ハブ テンプレート バージョン 0.4 以降が必要です
- ストレージ キー: ストレージ キーをシークレットとして扱います。 ストレージ アカウントへのフル アクセスを提供します
- ネットワーク アクセス: プライマリ ハブとリモート ハブの両方にプライベート ネットワークを使用することを検討する
- キーのローテーション: ストレージ キーを定期的にローテーションし、リモート ハブの構成を更新する
- 最小特権: ストレージ キーは広範なアクセスを提供します。使用可能な場合は、Azure AD 認証の使用を検討してください
データ フローと処理
リモート ハブはローカルでデータを処理し、処理された (未加工の) コスト データをプライマリ ハブに送信します。 この方法の特徴は次のとおりです。
- データ転送コストを削減
- 初期処理のデータ主権を維持する
- 最終的な処理済みコスト データのみを一元化する
- プライマリ ハブの完全な細分性を保持します