Azure ランディング ゾーンは、8 つの設計領域にわたる主要な設計原則に準拠した環境です。 これらの設計原則は、すべてのアプリケーション ポートフォリオに適合し、アプリケーションの移行、最新化、イノベーションを大規模に実現できます。 Azure ランディング ゾーンでは、サブスクリプションを使用することで、アプリケーション リソースとプラットフォーム リソースが分離されてスケーリングされます。 アプリケーション リソースのサブスクリプションはアプリケーション ランディング ゾーンと呼ばれ、プラットフォーム リソースのサブスクリプションはプラットフォーム ランディング ゾーンと呼ばれます。
Azure ランディング ゾーン アーキテクチャ
Azure ランディング ゾーン アーキテクチャはスケーラブルかつモジュール式で、さまざまなデプロイ ニーズを満たします。 反復可能なインフラストラクチャのため、すべてのサブスクリプションに一貫性をもって構成と制御を適用できます。 モジュールによって、要件の発展に合わせて、特定の Azure ランディング ゾーン アーキテクチャのコンポーネントのデプロイおよび変更を行うことが簡単になります。
Azure ランディング ゾーンの概念アーキテクチャ ("図 1 を参照") は、Azure ランディング ゾーンのために熟慮されたターゲット アーキテクチャを表します。 この概念アーキテクチャを出発点として活用し、ニーズに合わせてアーキテクチャを適合させる必要があります。
図 1: Azure ランディング ゾーン概念アーキテクチャ。このアーキテクチャの Visio ファイルをダウンロードします。
設計領域: 概念アーキテクチャは、その 8 つの設計領域間の関係を示しています。 これらの設計領域は、Azure の課金と Microsoft Entra テナント、ID およびアクセス管理、管理グループとサブスクリプションの組織、ネットワーク トポロジと接続、セキュリティ、管理、ガバナンス、プラットフォームの自動化と DevOps になります。 設計領域について詳しくは、Azure ランディング ゾーン環境の設計領域をご覧ください。
リソース組織: 概念アーキテクチャは、サンプルの管理グループ階層を示しています。 管理グループごとにサブスクリプション (黄色のボックス) を編成します。 "プラットフォーム" 管理グループの下のサブスクリプションは、プラットフォーム ランディング ゾーンを表します。 ランディング ゾーン管理グループの下にあるサブスクリプションは、アプリケーションのランディング ゾーンを表します。 概念アーキテクチャでは、5 つのサブスクリプションについて詳細を示しています。 各サブスクリプションのリソースと、適用されたポリシーを確認できます。
プラットフォームとアプリケーションのランディング ゾーンの比較
Azure ランディング ゾーンは、プラットフォーム ランディング ゾーンとアプリケーション ランディング ゾーンで構成されます。 両方の機能についてできる限り詳しく説明します。
プラットフォーム ランディング ゾーン: プラットフォーム ランディング ゾーンは、アプリケーション ランディング ゾーン内のアプリケーションに共有サービス (ID、接続、管理) を提供するサブスクリプションです。 多くの場合、これらの共有サービスを統合すると、運用効率が向上します。 1 つ以上の中央チームがプラットフォーム ランディング ゾーンを管理します。 概念アーキテクチャ (図 1 を参照) では、"IDサブスクリプション"、"管理サブスクリプション"、"接続サブスクリプション" は 3 つの異なるプラットフォーム ランディング ゾーンを表します。 概念アーキテクチャでは、これら 3 つのプラットフォーム ランディング ゾーンについて詳しく示しています。 各プラットフォーム ランディング ゾーンに適用される代表的なリソースとポリシーを描いています。
アプリケーション ランディング ゾーン: アプリケーション ランディング ゾーンは、アプリケーションをホストするためのサブスクリプションです。 コードを通してアプリケーション ランディング ゾーンを事前プロビジョニングし、管理グループを使用してそれらにポリシー制御を割り当てます。 概念アーキテクチャ ("図 1 を参照") で、"ランディング ゾーン A1 サブスクリプション" と "ランディング ゾーン A2 サブスクリプション" は、2 つの異なるアプリケーション ランディング ゾーンを表します。 概念アーキテクチャでは、"ランディング ゾーン A2 サブスクリプション" のみが詳細まで示されています。 これは、アプリケーション ランディング ゾーンに適用される代表的なリソースとポリシーを描いています。
図 2: アプリケーションとプラットフォームランディング ゾーンがオーバーレイされた Azure ランディング ゾーンの概念アーキテクチャ。このアーキテクチャの Visio ファイル をダウンロードします。
アプリケーション ランディング ゾーンの管理には、3 つの主要なアプローチがあります。 必要に応じて、次のいずれかの管理アプローチを使用する必要があります。
- 中央チームのアプローチ
- アプリケーション チームのアプローチ
- 共有チームのアプローチ
| アプリケーション ランディング ゾーンの管理アプローチ | 説明 |
|---|---|
| 中央チームによる管理 | 中央 IT チームがランディング ゾーンを完全に運用します。 このチームは、プラットフォームとアプリケーション ランディング ゾーンに制御とプラットフォーム ツールを適用します。 |
| アプリケーション チームによる管理 | プラットフォーム管理チームは、アプリケーション ランディング ゾーン全体をアプリケーション チームに委任します。 アプリケーション チームは環境を管理し、サポートします。 管理グループ ポリシーにより、プラットフォーム チームは引き続きアプリケーション ランディング ゾーンを管理できます。 サブスクリプション スコープで他のポリシーを追加し、アプリケーション ランディング ゾーンでのデプロイ、セキュリティ保護、または監視に、代替ツールを使用できます。 |
| 共有管理 | AKS や AVS などのテクノロジ プラットフォームを使用して、中央 IT チームが基になるサービスを管理します。 アプリケーション チームは、テクノロジ プラットフォーム上で実行されているアプリケーションを担当します。 このモデルでは、さまざまな制御またはアクセス許可を使用する必要があります。 これらの制御と権限はアプリケーション ランディング ゾーンを中央で管理するために使用するものとは異なります。 |
プラットフォーム ランディング ゾーン用の Azure 検証済みモジュール
コードとしてのインフラストラクチャ (IaC) のデプロイでは、プラットフォーム ランディング ゾーン用の Azure 検証済みモジュールを使用できます。 Bicep と Terraform の両方で使用できるこれらのモジュールは、プラットフォーム ランディング ゾーンのデプロイに役立つ再利用可能でカスタマイズ可能な拡張可能なモジュールのセットを提供します。 モジュールは、推奨されるリソース階層とガバナンス モデルの配信を高速化するために設計されています。 共有サービス、ネットワーク接続、アプリケーション ワークロードをデプロイに統合したり、個別に管理したりできます。
Bicep または Terraform を使用する場合は、Bicep と Terraform のデプロイ オプション を参照してください。
Azure プラットフォーム ランディング ゾーン ポータル加速器
このアクセラレータは、既製のデプロイ エクスペリエンスです。 Azure ランディング ゾーン ポータル アクセラレータは、概念アーキテクチャ ("図 1 を参照") をデプロイし、管理グループやポリシーなどの主要コンポーネントに、事前定義済みの構成を適用します。 これは、組織の概念アーキテクチャが計画的な運用モデルとリソース構造に合う組織に適しています。
Azure portal を使用して環境を管理する予定の場合は、Azure Platform Landing Zones ポータル アクセラレータを使用します。 Azure ランディング ゾーン ポータル アクセラレータをデプロイするには、テナント (/) スコープでリソースを作成するためのアクセス許可が必要です。 これらのアクセス許可を付与するには、「ARM テンプレートを使用した テナントのデプロイ: 必要なアクセス」のガイダンスに従います。
アプリケーション ランディング ゾーン アクセラレータ
アプリケーション ランディング ゾーン アクセラレータは、アプリケーション ランディング ゾーンのデプロイに役立ちます。 Azure アーキテクチャ センターにある使用可能なアプリケーション ランディング ゾーン アクセラレータの一覧を参照して、シナリオに合致するアクセラレータをデプロイします。
"アプリケーション ランディング ゾーンとその実装原則を説明するビデオ"
次のステップ
Azure ランディング ゾーンは、8 つの設計領域にわたる主要な設計原則に準拠した環境です。 これらの設計原則に精通して、ニーズに合わせて調整する必要があります。