Azure ランディング ゾーンは、Azure を利用するすべての組織に対して標準化され、推奨されるアプローチです。 Azure 環境を大規模に設定および管理するための一貫した方法が提供されます。 プラットフォームとアプリケーションのランディング ゾーンを通じて、セキュリティ、コンプライアンス、運用効率に関する主要な要件に合わせて調整することで、組織全体の一貫性を確保します。 これらは、8 つの設計領域にわたる主要な設計原則に沿った、適切に設計された基盤を提供します。
Azure ランディング ゾーン アーキテクチャ
Azure ランディング ゾーン アーキテクチャはスケーラブルかつモジュール式で、さまざまなデプロイ ニーズを満たします。 反復可能なインフラストラクチャのため、すべてのサブスクリプションに一貫性をもって構成と制御を適用できます。 モジュールによって、要件の発展に合わせて、特定の Azure ランディング ゾーン アーキテクチャのコンポーネントのデプロイおよび変更を行うことが簡単になります。
Azure ランディング ゾーンの参照アーキテクチャ (図 1 を参照) は、Azure ランディング ゾーンの承認されたターゲット アーキテクチャを表します。 この参照アーキテクチャを出発点として使用し、 ニーズに合わせてアーキテクチャを調整する必要があります。
図 1: Azure ランディング ゾーンの参照アーキテクチャ。このアーキテクチャの Visio ファイル または PDF ファイル をダウンロードします。
設計領域: 参照アーキテクチャは、8 つの設計領域間の関係を示しています。 これらの設計領域は、Azure の課金と Microsoft Entra テナント、ID およびアクセス管理、管理グループとサブスクリプションの組織、ネットワーク トポロジと接続、セキュリティ、管理、ガバナンス、プラットフォームの自動化と DevOps になります。 設計領域について詳しくは、Azure ランディング ゾーン環境の設計領域をご覧ください。
リソースの編成: 参照アーキテクチャは、管理グループ階層のサンプルを示しています。 管理グループごとにサブスクリプション (黄色のボックス) を編成します。 "プラットフォーム" 管理グループの下のサブスクリプションは、プラットフォーム ランディング ゾーンを構成する共有サービスをホストします。 ランディング ゾーン管理グループの下にあるサブスクリプションは、アプリケーションのランディング ゾーンを表します。 参照アーキテクチャでは、5 つのサブスクリプションの詳細が示されています。 各サブスクリプションのリソースと、適用されたポリシーを確認できます。
プラットフォームランディングゾーンとアプリケーションランディングゾーン
Azure ランディング ゾーンは、1 つのプラットフォーム ランディング ゾーンと 1 つ以上のアプリケーション ランディング ゾーンで構成されます。 両方の機能についてできる限り詳しく説明します。
プラットフォーム ランディング ゾーン: プラットフォーム ランディング ゾーンは、アプリケーション ランディング ゾーン内のアプリケーションに共有サービス (ID、接続、管理) を提供します。 多くの場合、これらの共有サービスを統合すると、運用効率が向上します。 1 つ以上の中央チームがプラットフォーム ランディング ゾーンのサービスを管理します。 参照アーキテクチャ (図 1 を参照) では、"ID サブスクリプション"、"管理サブスクリプション"、"接続サブスクリプション" はプラットフォーム ランディング ゾーンのコンポーネントです。 参照アーキテクチャは、プラットフォーム ランディング ゾーン共有サービスをホストするサブスクリプションに適用される代表的なリソースとポリシーを示しています。
アプリケーションランディングゾーン: アプリケーション ランディング ゾーンには、1 つのワークロード/アプリケーションをホストするためのリソースが含まれています。 ワークロードには、環境 (開発、テスト、または運用環境) ごとにアプリケーション ランディング ゾーンが必要です。 各アプリケーション ランディング ゾーンは、スケーリングとサービスの制限に対応するために必要に応じて、1 つ以上のサブスクリプションで構成されます。 アプリケーション ランディング ゾーンのサブスクリプションは、 サブスクリプションの自動販売機プロセスを使用してコードを使用して事前にプロビジョニングします。一方、ワークロード チームは、アプリケーション ランディング ゾーンにワークロード コンポーネントをデプロイする責任を負います。
アプリケーション ランディング ゾーンは、親管理グループから Azure Policy 定義を継承するために、 Online や Corpなどの適切な管理グループの下に入れ子になっています。 この構造により、ワークロード サブスクリプションは制御された一貫性のある方法でデプロイされますが、個々のワークロードのニーズに柔軟に対応できます。
Azure ランディング ゾーン アーキテクチャ (図 1 を参照) では、たとえば、"ランディング ゾーン A2 サブスクリプション" はアプリケーションランディング ゾーンです。 このアーキテクチャは、"ランディング ゾーン A2 サブスクリプション" に適用される代表的なリソースとポリシーを示しています。 "ランディング ゾーン P1 サブスクリプション" は、VM イメージ リポジトリやコンテナー レジストリなど、複数のアプリケーション ランディング ゾーンとチームをサポートするサービスを構築およびデプロイするためにプラットフォーム チームによって使用されます。 これらのサービスはアプリケーション固有ではなく、サブスクリプションは引き続きアプリケーション ランディング ゾーン レベルで適用されるガバナンス ポリシーの対象となります。
図 2: Application Landing Zones と Platform Landing Zone がオーバーレイされた Azure ランディング ゾーン参照アーキテクチャ。このアーキテクチャの Visio ファイル または PDF ファイル をダウンロードします。
アプリケーション ランディング ゾーンの管理には、3 つの主要なアプローチがあります。 必要に応じて、次のいずれかの管理アプローチを使用する必要があります。
- 中央チームのアプローチ
- アプリケーション チームのアプローチ
- 共有チームのアプローチ
| アプリケーション ランディング ゾーンの管理アプローチ | 説明 |
|---|---|
| 中央チームによる管理 | 中央 IT チームがランディング ゾーンを完全に運用します。 このチームは、プラットフォームとアプリケーション ランディング ゾーンに制御とプラットフォーム ツールを適用します。 |
| アプリケーション チームによる管理 | プラットフォーム管理チームは、アプリケーション ランディング ゾーン全体をアプリケーション チームに委任します。 アプリケーション チームは環境を管理し、サポートします。 管理グループ ポリシーにより、プラットフォーム チームは引き続きアプリケーション ランディング ゾーンを管理できます。 サブスクリプション スコープで他のポリシーを追加し、アプリケーション ランディング ゾーンでのデプロイ、セキュリティ保護、または監視に、代替ツールを使用できます。 |
| 共有管理 | AKS や AVS などのテクノロジ プラットフォームを使用して、中央 IT チームが基になるサービスを管理します。 アプリケーション チームは、テクノロジ プラットフォーム上で実行されているアプリケーションを担当します。 このモデルでは、さまざまな制御またはアクセス許可を使用する必要があります。 これらの制御と権限はアプリケーション ランディング ゾーンを中央で管理するために使用するものとは異なります。 |
ヒント
さまざまな種類のアプリケーション ランディング ゾーンに関するガイダンスについては、「共通のサブスクリプションの自動販売機製品ラインを確立する」を参照してください。
アプリケーション ランディング ゾーン アクセラレータ
アプリケーション ランディング ゾーン アクセラレータは、アプリケーション ランディング ゾーン サブスクリプションに一般的なワークロードをデプロイするのに役立ちます。 Azure アーキテクチャ センターにある使用可能なアプリケーション ランディング ゾーン アクセラレータの一覧を参照して、シナリオに合致するアクセラレータをデプロイします。
Azure ランディング ゾーンでの AI
一般的な質問は、Azure ランディング ゾーンと共に専用の AI ランディング ゾーンが必要かどうかです。 答えは、別の AI ランディング ゾーンは必要ないということです。 代わりに、既存の Azure ランディング ゾーン アーキテクチャを使用して、AI ワークロードをアプリケーションランディング ゾーンにデプロイします。 Azure ランディング ゾーンの設計領域と原則は、AI ワークロードをサポートするのに十分です。これは、AI コンポーネントと非 AI コンポーネントとサービスの両方を含むアプリケーションとワークロードのガバナンス、セキュリティ、管理に必要な基盤を提供するためです。
個別の AI ランディング ゾーンを必要とせずに、AI サービスをアプリケーションのランディング ゾーンに統合できます。 ID とアクセス管理、ネットワーク トポロジと接続性、セキュリティ、ガバナンスなどの Azure ランディング ゾーンアーキテクチャ、設計原則、設計領域は、AI を含むすべてのワークロードに対応するように既に設計されています。
Azure ランディング ゾーンの観点から見ると、AI は、既存の Azure ランディング ゾーンのアーキテクチャ、原則、設計領域を利用して、プラットフォーム チームが他のアプリケーション、ワークロード、またはサービスと同様に、1 つ以上のアプリケーション ランディング ゾーン サブスクリプション内にデプロイ、管理、セキュリティ保護できる別のワークロードまたはサービスにすぎません。
Azure での AI 導入の詳細については、 AI 導入シナリオを参照してください。 AI ワークロードとランディング ゾーンに関する具体的な焦点については、 AI 基盤の確立に関するページを参照してください。
Azure ランディング ゾーンのデプロイと管理
ランディング ゾーンの 実装オプションの詳細については、Azure ランディング ゾーン (上記を参照) の一部であるプラットフォーム ランディング ゾーンをデプロイおよび管理する方法が複数あります。 組織のニーズと専門知識に最適な方法を選択できます。 複数のオプションを使用できます。
-
Azure ランディング ゾーンのインフラのコード化 (IaC) アクセラレータ(推奨アプローチ)
- プラットフォーム ランディング ゾーン (ALZ) 用 Azure Verified Modules (AVM) - Terraform(必要に応じてアクセラレータの外部でも使用できます)
- プラットフォーム ランディング ゾーン (ALZ) 用 Azure Verified Modules (AVM) - Bicep(必要に応じて、アクセラレータの外部でも使用できます)
- Azure プラットフォーム ランディング ゾーン ポータル アクセラレータ
Azure ランディング ゾーンのデプロイと管理には、Azure ランディング ゾーンの Infrastructure-as-Code (IaC) アクセラレータを使用して、Bicep や Terraform などのコードとしてのインフラストラクチャ (IaC) オプションを使用することを強くお勧めします。 これらのオプションにより、ポータル アクセラレータと比較して、柔軟性、再現性、スケーラビリティが向上します。
ただし、組織が IaC に必要な専門知識を持っていない場合や、より視覚的なアプローチを好む場合は、ポータル アクセラレータを適切な代替手段にすることができます。 IaC が推奨される方法である理由を理解するのに役立つ詳細については、「 コードとしてインフラストラクチャを使用して Azure ランディング ゾーンを更新 する」を参照してください。
次のステップ
Azure ランディング ゾーンの背後にある設計原則を確認して、セキュリティで保護されたスケーラブルな環境を導く方法を理解します。 デプロイする準備ができたら、ランディング ゾーンの作成と管理に使用できる実装オプションを確認します。 AI ランディング ゾーンが必要かどうか、エンタープライズ規模の違いなど、一般的な質問に対する簡単な回答については、FAQ を参照してください。