リソースの整合性の意思決定ガイド

Azure のサブスクリプション設計では、組織の構造、会計実務、ワークロードの要件に関連してクラウド資産をどのように編成するかを定義します。 このレベルの構造に加え、クラウド資産全体にわたって組織のガバナンス ポリシー要件に対応するために、サブスクリプション内のリソースを一貫して整理、デプロイ、管理する機能が必要です。

複雑さが最小から最大までのリソースの整合性オプションを表わした図 (対応するジャンプ リンクを下に掲載)

ジャンプ先:基本的なグループ化 | デプロイの整合性 | ポリシーの整合性 | 階層的な整合性 | 整合性の自動化

クラウド資産のリソース整合性要件のレベルに関する意思決定を左右する主な要因: 移行後のデジタル資産のサイズ、既存のサブスクリプション設計方法にうまく適合しないビジネスまたは環境の要件、リソースがデプロイされた後に時間の経過と共にガバナンスを適用する必要性。

これらの要因の重要性が増すにつれて、クラウドベースのリソースを一貫してデプロイ、グループ化、管理することのベネフィットの重要性も増します。 増加する要件を満たすために、より高度なレベルのリソース整合性を実現するには、自動化、ツールの使用、整合性の適用により多くの作業が必要になります。 この作業の結果、変更管理と進捗管理に費やす時間が増えます。

基本的なグループ化

Azure では、リソース グループはサブスクリプション内でリソースを論理的にグループ化するリソース編成のコア メカニズムです。

リソース グループは、共通のライフサイクル、およびポリシーや Azure のロールベースのアクセス制御の要件などの共有管理の制約があるリソースのコンテナーです。 リソース グループに別のリソース グループを入れ子にすることはできません。また、リソースは 1 つのリソース グループにのみ属することができます。 すべてのコントロール プレーン アクションは、リソース グループ内のすべてのリソースに作用します。 たとえば、リソース グループを削除すると、そのグループ内のすべてのリソースも削除されます。 リソース グループの管理には、次のようなパターンを使用することをお勧めします。

  • リソース グループのコンテンツは一緒に開発されますか。
  • リソース グループのコンテンツは、同じ担当者またはチームによってまとめて管理、更新、および監視されていますか。
  • リソース グループのコンテンツは一緒に削除されますか。

上記のいずれかの点について答えが "いいえ" の場合は、リソースを別のリソース グループに配置してください。

重要

リソース グループはリージョン固有ですが、リソースは、前述のようにまとめて管理されるため、同じリソース グループ内の異なるリージョンに配置されることが一般的です。 リージョンの選択の詳細については、複数のリージョンに関するページを参照してください。

デプロイの整合性

基本的なリソース グループ化メカニズムの上に構築されている Azure プラットフォームは、テンプレートを使用してクラウド環境にリソースをデプロイするためのシステムを提供します。 ワークロードのデプロイ時に、テンプレートを使用して一貫性のある組織と名前付け規則を作成できます。 テンプレートにより、リソースのデプロイと管理の設計におけるこれらのアスペクトが強化されます。

Azure Resource Manager テンプレートを使用すると、事前に定義された構成とリソース グループの構造体を使用して一貫した状態でリソースを繰り返しデプロイすることができます。 Resource Manager テンプレートを使用して、デプロイの基礎として標準のセットを定義できます。

たとえば、標準テンプレートを使用して、ロード バランサーと結合した Web サーバーとして 2 つの仮想マシンを含む Web サーバー ワークロードをデプロイし、サーバー間のトラフィックを均等配置できます。 その後、このテンプレートを再利用して、構造的に同一の仮想マシンのセットを作成できます。 この種類のワークロードが必要な場合はいつでも VM にはロード バランサーがあり、関連するデプロイ名と IP アドレスを変更するだけで作成できます。

プログラムでこれらのテンプレートをデプロイして、CI/CD システムと統合することもできます。

ポリシーの整合性

リソース グループ設計の一部には、リソースをデプロイするときに共通の構成を使用することが含まれます。 共通の構成を使用すると、リソースが作成されるときにガバナンス ポリシーが確実に適用されます。

リソース グループと標準化された Resource Manager テンプレートを組み合わせることで、デプロイに必要な設定の標準と、リソース グループまたはリソースそれぞれに適用する Azure Policy 規則の標準を適用できます。

たとえば、サブスクリプション内にデプロイされたすべての仮想マシンが、中央の IT チームによって管理されている共通のサブネットに接続するという要件があるとします。 ワークロード VM をデプロイするための標準的なテンプレートを使用します。このテンプレートにより、ワークロードの別のリソース グループが作成され、必要な VM がそこにデプロイされます。 このリソース グループには、共有サブネットに参加するリソース グループ内のネットワーク インターフェイスのみを許可するポリシー規則があります。

クラウド デプロイ内でのポリシーの決定の適用に関する詳細については、ポリシーの適用をご覧ください。

階層的な整合性

リソース グループを使用すると、サブスクリプション内の組織内で追加の階層レベルをサポートできます。 階層は、リソース グループ レベルで Azure Policy の規則とアクセスの制御をサポートします。 クラウド資産のサイズ拡大に合わせて、さらに複雑なサブスクリプション間ガバナンス要件のサポートが必要となる場合があります。 Azure エンタープライズ契約の企業、部署、アカウント、サブスクリプションの各階層を使用します。

Azure 管理グループ を使用すると、サブスクリプションをより高度な組織構造体に編成することができます。 サブスクリプションをエンタープライズ契約の階層と異なる階層にグループ化できます。 この代替階層では、複数のサブスクリプションと各サブスクリプションに含まれるリソースにまたがって、アクセスの制御とポリシー実施のメカニズムを適用できます。 管理グループ階層を使用して、クラウド資産のサブスクリプションを運用やビジネス ガバナンスの要件に一致させることができます。 詳細については、「サブスクリプション決定ガイド」を参照してください。

整合性の自動化

大規模なクラウド デプロイでは、グローバル ガバナンスがさらに重要で複雑になります。 リソースをデプロイするときにガバナンスの要件を自動的に適用して強制することと、既存のデプロイに対する更新された要件を満たすことは非常に重要です。

Azure Blueprints を使用すると、組織で Azure 内の大規模なクラウド資産のグローバル ガバナンスをサポートできます。 Blueprints は、標準の Azure Resource Manager テンプレートで提供される機能を超えています。 Blueprints はリソースのデプロイとポリシー規則の適用が可能な完全なデプロイ オーケストレーションを作成します。 Blueprints では、バージョン管理、ブループリントが使用されていたすべてのサブスクリプションを更新する機能、デプロイされたサブスクリプションをロックしてリソースの不正な作成および変更を回避する機能がサポートされています。

これらの展開パッケージを使用すると、IT チームと開発チームが、変化する組織のポリシー要件に準拠する新しいワークロードとネットワーク資産を迅速にデプロイできます。 開発チームは、ブループリントを CI/CD パイプラインに統合して、デプロイの更新時に、改訂されたガバナンス標準をそれらのデプロイに適用することもできます。

次のステップ

リソースの整合性は、クラウド導入プロセスでのアーキテクチャに関する意思決定で要求されるコア インストラクチャ コンポーネントの 1 つにすぎません。 アーキテクチャの決定ガイドの概要を参照して、さまざまな種類のインフラストラクチャの設計に関する決定を行うときに使用されるパターンとモデルを確認してください。