Splunk Virtual Compute (SVC)とは？

Splunk Virtual Compute (SVC)は、ワークロードベース価格体系で重要な役割を果たす単位です。以前の価格体系では、Splunkに取り込むデータ量のみが基準となりました。そのため、一部のお客様は、大量のデータがあるにもかかわらずコストを抑えるために取り込み量を制限し、レポート要件を十分に満たせないことがありました。新しいワークロードベース価格体系は柔軟性が高く、データとコストを細かく調整することができます。Splunkに取り込んだデータに対して実行するワークロードが基準となるため、支払う料金が、データで実現できる価値につながります。

このブログでは、ワークロードベース価格体系の構成、SVCの詳細、Splunkでのニーズの拡大に合わせたワークロードのサイジング、監視、管理方法について詳しく説明します。 

Splunk Cloud Platformのワークロードベース価格体系の構成

Splunk Cloud Platformのワークロードベース価格体系は2つの要素で構成されます。 

1. Splunk Virtual Compute (SVC)：サーチと取り込みのワークロードに必要な計算能力などの関連リソース
   
2. ストレージブロック：データ保持ポリシーに対応するために必要なストレージ(テラバイト単位)
    

SVCの詳細

ワークロードベース価格体系では、実行したいワークロードに必要なリソースの量と、分析したいデータに必要なストレージの量によって価格が決まります。Splunk Virtual Compute (SVC)は、その前者、つまりワークロードの実行に必要なリソースの測定単位です。 

ワークロードの例としては、コンプライアンスへの対応、データレイクの運用、基本的なレポートの作成、アドホック調査、継続的な監視などが挙げられます。これらのワークロードで重要な役割を果たすのが、SVCの主要要素であるサーチと取り込みです。必要となるサーチと取り込みの比率はワークロードによって異なります。各ワークロードでの一般的な比率は次のようになります。  

サーチと取り込みを別の要素に分けることで、リソースの使い方をより柔軟に検討できます。SVCの使用率は、Splunk Cloud Monitoring Console (CMC)で確認できます。このコンソールでは、リソースの使用率が見やすく表示されます。

ストレージブロックの詳細

ワークロードベース価格体系では、計算能力とストレージが別の要素に分けられ、個別に調整できます。購入したストレージブロックでは、データの保持期間に制限はありません。 

Splunk Cloudでは、ユースケースやデータの保持ポリシーに合わせて、以下のタイプのストレージを500GB単位で購入できます。

• DDAS (Dynamic Data Active Searchable)：データがすぐにSplunk Cloudでサーチ可能になります。
  
• DDAA (Dynamic Data Active Archive)：Splunkによるマネージド型のデータアーカイブで、Splunk Cloudにデータが自動的にリハイドレートされます。
  
• DDSS (Dynamic Data Self-Storage)：お客様が管理する形態のデータストレージで、データをサーチするには自社環境にデータを自身でリハイドレートする必要があります。
   

DDAAとDDSSについて詳しくは、ブログ「ダイナミックデータ：Splunk Cloudのデータ保持オプション(英語)」をご覧ください。

SVCの仕組み

SVCは、サーチと取り込みのパフォーマンスをSVCベンチマークと同じレベルに保つ計算能力などの関連リソースの単位です。Splunkが作成したこのベンチマークを基準とすることで、基盤となるインフラやソフトウェアの構成が進化しても、SVCによって同じかより高いレベルのパフォーマンスが常に保証されます。お客様にとっての大きなメリットの1つは、Splunk Cloud Platformの向上したパフォーマンスやクラウドベースの新しいプラットフォームサービスをより柔軟に活かせることです。

SVC使用量の測定方法

SVCは、Splunk環境内のインデクサーとサーチヘッドで使用されるクラウドの計算能力、I/O、メモリーリソースの単位です。CMCバージョン2.3.3を含むSplunk Cloud Platform 8.2.2106以降では、各マシンのSVC使用率が数秒単位で測定されます。すべてのマシンの測定結果を1時間単位で集計したものが、Splunk Cloud Platform環境全体のSVC使用率になります。数秒単位の結果を1時間単位に集計する際は、予期しない外れ値の影響を除外するよう注意が払われています。1時間単位のSVC使用率はCMCでいつでも確認できます。

SVCのサイジング：必要数の見積もり

必要なSVCの合計数は、処理のピーク時に使用される最大計算リソースによって決まります。 

1日の間に使用率が瞬間的に急増する時間があり、それ以外はそれほど多く使用しない場合は、回避策があります。たとえば、日単位、時間単位、分単位のサーチが午前0時で重なって、下の図のように0時過ぎの1分間、使用率が急増することがあるかもしれません。

Splunkならワークロードを詳細に管理できるため、この場合、同じタイミングで実行する必要のないワークロードを分散させることができます。サーチ使用率、アプリケーション数、ユーザー数など、ワークロードの使用率を高めるその他の要素を最適化することもできます。 

継続的に実行されるワークロードが1日を通して常にSVC数に近い使用率を示している場合は、負荷を軽減するためにSVCを増やす必要があります。 

新規のお客様のためのワークロードベース価格体系とサイジング

Splunkを初めて導入する場合は、まずワークロードを予測し、それに基づいてSVCの範囲を割り出すことをお勧めします。使用率はサーチと取り込みの2つの要素で構成されることを忘れないでください。この2つの組み合わせを考慮して、必要なSVC数を見積もる必要があります。一般的に、サーチの方がSVCの使用率が高くなります。下の表は、各種のユースケースで実行するサーチのタイプと、各サーチを実行する場合にSVCで処理できる取り込み量の範囲を示します。範囲で示したのは、取り込むデータや実行するサーチの複雑さによってSVCの使用率が大きく変わるためです。

お客様の使用例：ユースケースごとのSVC使用率

この範囲を参考にして、必要なSVC数を大まかに判断できます。実際のワークロードに必要なSVCあたりの適切なGB/日量を見積もる際は、Splunkのセールスチームがご支援します。その見積もりに基づいて、SVCの購入数を決めることができます。 

たとえば、主なユースケースがコンプライアンスストレージの場合、1つのSVCあたり35～45GB/日のデータを取り込むことができます。 

自社環境でSplunkを効率的に運用するために必要なSVC数は、次の式で計算できます。

データ総量(GB) / 1つのSVCあたりの取り込み量(GB) = 必要なSVC数

たとえば、取り込むデータが1500GBあり、そのうち800GBをコンプライアンスストレージに使用し、残りの700GBを継続的な監視に使用する場合、SVC数の計算は次のようになります。

• コンプライアンスストレージ：800GB / 1つのSVCあたり35～45GB/日 = SVC 18～23個
  
• 継続的な監視：700GB / 1つのSVCあたり10～20GB/日 = SVC 35～70個
   

Splunk Enterpriseを使用しているお客様のサイジング

Splunk EnterpriseをすでにオンプレミスまたはBYOL (Bring Your Own License)で使用している場合は、Splunk Cloud Migration Assessment Appを使用して、データポイントを収集し、評価を自動的に行うことができます。この方法は、Splunkを導入済みで、複数のユースケースに使用している場合に特に便利です。

Splunk Cloud Platformを取り込みデータ量ベース価格体系で使用しているお客様のサイジング

Splunk Cloud Platformを取り込みデータ量ベース価格体系で使用していて、ワークロードベース価格体系に移行したい場合は、Splunkアカウントチームが見積もりを直接ご支援します。Splunk Cloud Platformでは、適切な見積もりに役立つメトリクスがすべて収集されます。

まとめ

ワークロードベース価格体系ならSplunk Cloud Platformを最大限に活用できることは間違いありません。なぜなら、Splunkへの投資がより直接的に計算能力の増強につながり、実現できる価値の大きさに比例するからです。最終的には柔軟性が増して、より多くのデータを取り込んで活用できます。CMCで使用率を詳細に監視できるので、GB単位の課金を心配せず、さまざまなユースケースを試すことができます。

CMCでの監視と管理について詳しくは、「ワークロードベース価格体系とSVC：監視と管理(英語)」をご覧ください。

このブログはこちらの英語ブログの翻訳、村田 達宣によるレビューです。