ワークロードは、Azure エンクレーブ内で定義するAzure リソースの論理グループです。 Azureリソース グループをワークロード リソースにリンクして、そのリソース グループをエンクレーブのセキュリティと制御の境界に取り込むことができます (図を参照)。 コミュニティ所有者とエンクレーブ所有者は、分離された ミッション クリティカルな ワークロードを作成し、必要に応じて特定のアクセスを許可できます。 エンクレーブ所有者がAzureリソースとサービスをワークロードにデプロイすると、各ワークロードはエンクレーブのセキュリティ体制とポリシーを自動的に継承します。 ワークロード リソース グループに独自のAzure サービスを作成し、クラウドの共有責任モデルの下でそれらのリソースを維持します。 既定では、ワークロードは、エンクレーブからアクセス可能なコミュニティサービスも利用できます。
ワークロードを使用する理由
ワークロードは、Azure リソース グループを整理し、Azure エンクレーブ環境へのリンクを作成するための論理的な方法です。 ワークロードを使用すると、ポリシーと例外のグループを分離し、スコープを設定してワークロードに適用し、リンクされたワークロード リソース グループ内のリソースに適用できます。 ワークロード リソース グループには、 ベスト プラクティスに記載されているいくつかの制限があります。
代わりに、ワークロードにリンクされていないポータルを使用してAzureリソース グループをデプロイすることもできます。 ワークロード リソース グループは、通常の Azure リソース グループと同等であり、エンクレーブ境界内でリソースをセキュリティで保護するという利点が追加されています。 ポータルを使用して通常のAzureリソース グループをデプロイすることもできますが、通常のAzureリソース グループはエンクレーブ境界内でセキュリティで保護されません。
ワークロードのアーキテクチャ
ワークロードは子リソースとして エンクレーブ にリンクされ、親リソースとして ワークロード リソース グループにリンクされます。
- Azure Enclave ガバナンス
- エンクレーブ サービスとプロパティ
- Well-Architected Framework ワークロード ガイダンス
- Well-Architected Framework サービス ガイド
この図は、2 つのワークロードの例を示しています。
Shared Workloadは 3 つのワークロード リソース グループにリンクされ、AKS Workloadは 1 つのワークロード リソース グループにリンクされます。 リソース グループは緑色で強調表示され、Azureリソースは濃い青色で強調表示されます。
ワークロード リソース グループ
Azureエンクレーブ ワークロードを作成する場合は、リンクされたワークロード リソース グループを作成して、Azure リソースを整理できます。
ワークロード リソース グループのベスト プラクティスとガイドラインの詳細については、 ワークロード リソース グループのベスト プラクティスの詳細を参照してください。
ワークロードに追加できる内容
ワークロード リソース グループは、Azure リソース グループのように機能し、ワークロード ポリシーに準拠Azureリソースをデプロイできます。 Azure リソースに慣れている方法を使用して、新しいリソースを作成できます。 さらに、ポータルからサービス カタログを使用してリソースを作成できます。 サービス カタログとは