IBM Cloud Monitoring 入門
IBM Cloud® Monitoring は、IBM Cloud アーキテクチャーの一部として組み込むことができる、クラウド・ネイティブかつコンテナー・インテリジェントな管理システムです。 このシステムを使用して、アプリケーション、サービス、およびプラットフォームのパフォーマンスと正常性について、運用の可視化が可能になります。 この製品は、管理者、 DevOps チーム、開発者に、モニターとトラブルシューティング、アラートの定義、およびカスタム・ダッシュボードの設計を行うための拡張機能を備えたフルスタックのテレメトリーを提供します。 コンテナーおよびマイクロサービスに焦点を当てたアーキテクチャーでは、Secure を使用して、パイプラインおよびランタイムのコンポーネントを保護および監視し、フォレンジック分析を拡張できます。
開始前に
IBM Cloud アカウントのメンバーまたは所有者であるユーザー ID が必要です。 IBM Cloud ユーザー ID を取得するには、 「登録」に移動します。
サービスが使用可能なリージョンを確認します。 詳細はこちらをご覧ください。
「製品情報」 セクションを参照してください。
- Monitoring サービスについて詳しくは、 Monitoring のトピック を参照してください。
- メトリックの収集方法について詳しく理解するには、 メトリックの収集 を参照してください。
サポートされている任意のリージョンで開始手順を実行できます。
ステップ 1。 ユーザーのアクセス権限の管理
ご使用のアカウント内の IBM Cloud Monitoring サービスにアクセスするすべてのユーザーには、IAM ユーザー役割が定義されたアクセス・ポリシーを割り当てる必要があります。 そのポリシーによって、選択したサービスまたはインスタンスのコンテキスト内でユーザーが実行できるアクションが決まります。 許可されるアクションは、サービス上で実行できる操作としてカスタマイズされて定義されます。 その後、操作は IAM ユーザー役割にマップされます。 詳しくは、IBM Cloud でのユーザー・アクセスの管理を参照してください。
IBM Cloud で IBM Cloud Monitoring サービスを使用するための権限がユーザーに付与されると、このユーザーにはサービス役割が自動的に付与されます。 この役割によって、ユーザーが実行する権限を持つアクションが決まります。 詳しくは、IAM を介したアクセスの制御を参照してください。
インスタンスをプロビジョンする前に、以下を理解しておいてください。
- アカウント所有者は、IBM Cloud でサービスのインスタンスを作成、表示、および削除できます。また、IBM Cloud Monitoring サービスを使用するための権限を他のユーザーに付与できます。
- デフォルト のリソース・グループのリソースを作成するための権限が必要です。
administrator権限またはeditor権限を持つ他の IBM Cloud ユーザーは、IBM Cloud Monitoring の IBM Cloud サービスを管理できます。 また、これらのユーザーには、インスタンスをプロビジョンする予定のリソース・グループのコンテキスト内でリソースを作成するためのプラットフォーム権限も必要です。
ユーザーにサービスの管理者役割を付与し、アカウント内のリソース・グループ内のインスタンスを管理するには、そのユーザーに、リソース・グループのコンテキスト内でプラットフォーム役割 Administrator を持つ IBM Cloud Monitoring サービスの IAM ポリシーが必要です。 ユーザーにこの役割を割り当てるには、以下の手順を実行します。
-
メニュー・バーで**「管理」** > **「アクセス (IAM)」をクリックして、「ユーザー」**を選択します。
-
アクセス権限を割り当てる対象のユーザーの行で、**「アクション」メニューを選択し、「アクセス権限の割り当て」**をクリックします。
-
**「リソース・グループ内のアクセス権限の割り当て」**を選択します。
-
リソース・グループを選択します。
-
ユーザーに選択したリソース・グループの役割が付与されていない場合は、**「リソース・グループへのアクセス権限の割り当て」**フィールドの役割を選択します。
選択した役割に応じて、ユーザーはダッシュボードでのリソース・グループの表示、リソース・グループ名の編集、またはグループへのユーザー・アクセスの管理を行うことができます。
ユーザーがリソース・グループの IBM Cloud Monitoring サービスにのみアクセスできるようにするには、**「アクセス権限なし」**を選択します。
-
「IBM Cloud Monitoring」を選択します。
-
プラットフォーム役割**「管理者」**を選択します。
-
割り当て をクリックします。
ステップ 2 Monitoring サービスのインスタンスのプロビジョン
IBM Cloud Monitoring で、モニタリング機能を IBM Cloudに追加するには、IBM Cloud Monitoring サービスのインスタンスをプロビジョンする必要があります。
インスタンスは、リソース・グループのコンテキストでプロビジョンされます。 リソース・グループは、アクセス制御および請求の目的でサービスを編成します。 IBM Cloud Monitoring インスタンスは、デフォルト・リソース・グループまたはカスタム・リソース・グループにプロビジョンできます。
以下のステップを実行して、 IBM Cloud カタログから IBM Cloud Monitoring インスタンスをプロビジョンします。
-
**「カタログ」**をクリックします。 IBM Cloud で使用可能なサービスのリストが開きます。
-
「ロギングおよびモニタリング (Logging and Monitoring)」 カテゴリーを選択して、サービスのリストをフィルタリングします。
-
**「IBM Cloud Monitoring」**タイルをクリックします。
-
**「作成」**を選択します。
-
IBM Cloud Monitoring を作成する場所を選択します。
-
サービス・プランを選択します。 デフォルトでは、**「ライト」**プランが設定されています。
「モニター」 コンポーネントの完全なモニター機能性を持つインスタンスをプロビジョンするには、 「段階的層」 プランを選択します。
Monitor および Workload Protection (IBM Cloud Security and Compliance Center Workload Protection) コンポーネントを含むインスタンスをプロビジョンするには、プラン 「段階的層-Sysdig Secure + Monitor」 を選択します。
段階的層-Sysdig Secure + Monitor プランは 非推奨 になりました。 すべての新規 IBM Cloud Monitoring インスタンス ( IBM Cloud Security and Compliance Center Workload Protection 機能も必要な場合) は、 IBM Cloud Monitoring インスタンスを使用してプロビジョンする必要があります。
Workload Protection について詳しくは、IBM Cloud Security and Compliance Center Workload Protection の資料を参照してください。
サービス・プランについて詳しくは、『サービス・プラン』を参照してください。
-
「リソース詳細の構成」 で、インスタンスの名前を入力します。
-
リソース・グループを選択します。 デフォルトでは、**「デフォルト」**リソース・グループが設定されています。
-
リージョン内の 1 つの IBM Cloud Monitoring インスタンスを、 プラットフォーム・メトリック を受信するように構成することができます。 プラットフォーム・メトリックを受け取るようにインスタンスを構成するには、 「プラットフォーム・メトリックを有効にする (Enable platform metrics)」 スイッチをオンに設定します。
-
(オプション) IBM Cloud Security and Compliance Center Workload Protection インスタンスを IBM Cloud Monitoring インスタンスに接続します。
IBM Cloud Security and Compliance Center Workload Protection インスタンスを IBM Cloud Monitoring インスタンスにリンクして、単一のエージェントが両方のプロビジョンされたサービスでメトリックとセキュリティー・データの両方を収集できるようにすることができます。
IBM Cloud Security and Compliance Center Workload Protection インスタンスを IBM Cloud Monitoring インスタンスにリンクするには、以下のようにします。
-
「ワークロード保護インスタンスの接続」 スイッチをオンに設定します。
-
既存の IBM Cloud Security and Compliance Center Workload Protection インスタンスがある場合は、既存のインスタンスに接続するか、新規インスタンスを作成することができます。
-
新規インスタンスを作成するには、以下のようにします
-
「新規インスタンスの接続」 を選択します。
-
新しい IBM Cloud Security and Compliance Center Workload Protection インスタンスのデフォルトの詳細を変更するには、 「編集」 をクリックし、必要な変更を行い、 「保存」 をクリックして変更を保存します。
-
-
既存のインスタンスを使用するには、 「既存のインスタンスの接続」 を選択します。
-
「既存のインスタンスの接続」 を選択します。
-
接続するインスタンスをリストから選択します。
-
-
-
ご使用条件を読み、同意したことを確認します。
-
「作成」 をクリックします。
インスタンスをプロビジョンした後、以下のようにします。
- IBM Cloud Monitoring インスタンスの詳細が、 IBM Cloud Security and Compliance Center Workload Protection インスタンスが接続されているかどうかとともに表示されます。
- サービス ID が自動的に作成されます。 このサービス ID を使用して、インスタンスのアクセス・キーを取得できます。 サービス ID の名前は、
{InstanceName}-key-Administratorという形式になります。
CLI を使用してインスタンスをプロビジョンするには、IBM Cloud CLI によるモニタリング・インスタンスのプロビジョニングを参照してください。
ステップ 3。 メトリックの収集
次に、メトリックを送信するようにホストを構成します。
メトリックは、いくつかのプラットフォーム、オーケストレーター、および幅広いアプリケーション (Prometheus、JMX、StatsD、Kubernetes、およびその他のアプリケーション・スタックなど) から収集できます。これらのアプリケーションは、IBM Cloud®、IBM Cloud外部、またはオンプレミスで使用できます。 カスタム・メトリックを作成し、統合を追加することで、メトリックを追加することもできます。 詳細はこちら:
- モニター・エージェントを使用したデフォルト・メトリックの収集
- モニター・エージェントを使用したカスタム・メトリックの収集
- Prometheus リモート書き込みを使用したカスタム・メトリックの収集
- Prometheus エクスポーターを使用したカスタム・メトリックの収集
- IBM Cloud サービスからのプラットフォーム・メトリックの収集
プラットフォーム・メトリックの構成
プラットフォーム・メトリックは、IBM Cloud のモニタリング対応サービスとプラットフォームによって公開されるメトリックです。 これらのメトリックをモニターするには、リージョンで IBM Cloud Monitoring インスタンスを構成する必要があります。 詳細はこちらをご覧ください。
モニタリング対応サービスのリストについては、クラウド・サービスを参照してください。
例えば、リージョンのプラットフォーム・メトリックを構成するには、以下の手順を実行します。
-
IBM Cloud ダッシュボードから、メニュー・アイコン
> 「プログラム識別情報」 に移動して、 「プログラム識別情報」 ダッシュボードにアクセスします。 -
「モニター」 > 「オプション」 > 「プラットフォームの編集」 を選択します。
-
リージョンを選択します。
-
そのロケーションで有効なサービスからメトリックを収集する Monitoring インスタンスを選択します。
-
保存 をクリックします。
プログラム識別情報のメイン・ページが開きます。
メトリックを受け取るように構成したインスタンスには、フラグ 「プラットフォーム・メトリック」 が表示されます。
モニタリング・エージェントの構成
インスタンスをプロビジョンした後、モニターするホスト (エージェントがサポートされているホスト) ごとにモニター・エージェントを構成できます。 例えば、パフォーマンスと正常性をモニターして制御したいクラウド・リソース (Kubernetes クラスターなど) をホストにすることができます。 IBM Cloudの外部でホストをモニターすることもできます。
モニタリング・エージェントは、事前定義メトリックを自動的に収集して報告します。 アクセス・キー を使用して、メトリック・データの収集およびインスタンスへのメトリック・データの転送を行うモニタリング・エージェントを構成します。 詳しくは、アクセス・キーの処理を参照してください。
さまざまな環境のためのモニタリング・エージェントを構成できます。 例えば、 IBM Cloud Monitoring インスタンスにメトリックを送信するように Kubernetes クラスターを構成するには、クラスターの各ノードに monitoring-agent ポッドをインストールする必要があります。 モニター・エージェントは、インストールされているポッドからデータを収集し、それを IBM Cloud Monitoring インスタンスに転送します。
モニタリング・エージェントのデプロイ方法を学習するには、以下のいずれかのチュートリアルを行います。
| チュートリアル |
|---|
| Linux VPC サーバー・インスタンスのモニター |
| Linux ベアメタル・サーバーのモニター |
| Windows 環境のモニター |
| Kubernetes クラスターのモニター |
| Red Hat OpenShift クラスターのモニター |
| VMware vCenter サーバー・デプロイメントのモニター |
モニター・エージェントがデプロイされると、モニター・エージェントは自動的に事前定義メトリックおよびカスタム・メトリックを収集し、それらに関するレポートを作成します。 これらのメトリックは、 IBM Cloud Monitoring インスタンスに転送されます。 環境でモニターするメトリックを構成できます。
IBM Cloud Security and Compliance Center Workload Protection のインスタンスを IBM Cloud Monitoring インスタンスに接続した場合、エージェントは、2 つの別個のエージェントを構成することなく、両方のサービスにデータを提供します。
ステップ 4: Web UI の起動
IBM Cloud Monitoring で IBM Cloud サービスのインスタンスをプロビジョンし、ノードのモニタリング・エージェントを構成した後に、サービスの Web UI を使用してデータを表示、モニター、および管理できます。
IBM Cloud UI から、 IBM Cloud Monitoring インスタンスのコンテキスト内で Web UI を起動します。
モニタリング UI を起動するには、以下のステップを実行します。
-
IBM Cloud アカウントにログインします。
IBM Cloud ダッシュボードを開きます。
ユーザー ID とパスワードを使用してログインすると、IBM Cloud ダッシュボードが開きます。
-
ナビゲーション・メニューで、**「プログラム識別情報」**を選択します。
-
**「モニタリング」**を選択します。
IBM Cloud で使用可能な IBM Cloud Monitoring インスタンスのリストが表示されます。
-
インスタンスを 1 つ選択します。 次に、**「ダッシュボードを開く」**をクリックします。
IBM Cloud Monitoring Web UI が開きます。 デフォルトでは、 「概要」 タブが表示されます。
デフォルトでは、ユーザーは、 Monitoring インスタンスごとに事前定義されている Monitor Operations チームのメンバーとして自動的に追加されます。 ユーザーには、Web UI のすべてのデータを表示する完全な権限があります。
管理者は、チームのユーザーを管理し、表示可能なデータを制御して、データへのアクセスを制限できます。 例えば、管理者は限定された有効範囲と可視性を持つデフォルト・チームを作成して、ユーザーの表示権限を制限できます。 その後、ユーザーを他のチームに手動で割り当てます。 詳しくは、チームの処理を参照してください。
ステップ 5. 次のステップ
-
サービスの使用量およびコストをモニターするには、使用量の表示を参照してください。
-
Getting started with IBM Cloud® Security and Compliance Center Workload Protection を確認し、これを使用してソフトウェアの脆弱性を検出して優先順位を付け、脅威を検出して対応し、実行するソースから構成、権限、およびコンプライアンスを管理する方法を確認します。