Azureにワークロードをデプロイする前に、それらをサポートする基になる環境を準備します。 CAF Ready は、スケーラブルで安全で管理されたクラウド環境を最初から構築するのに役立つ構造化されたアプローチを提供します。 この基本的なセットアップは、プラットフォーム ランディング ゾーンと呼ばれます。 Azure ランディング ゾーン は、プラットフォーム ランディング ゾーンの推奨される実装です。
プラットフォームランディングゾーン
プラットフォーム ランディング ゾーンは、Azure 環境のバックボーンとして機能します。 組織全体に適用されるガバナンスと中央サービスが確立されます。 その機能には、サブスクリプション間で Azure Policy が適用された管理グループ階層が含まれます。 接続、ID、管理、およびセキュリティ共有サービス用の専用サブスクリプションもあります。
組織の規模とクラウドの成熟度に応じて、これらの一元化されたサービスのすべてを実装するか、一部を実装するか、まったく実装しないかを選択できます。 小規模またはクラウドネイティブのチームの場合は、軽量なアプローチで十分な場合があります。
プラットフォーム ランディング ゾーンの一部には、アプリケーション ランディング ゾーンの要求を受信し、それらの要求をワークロード チームに配布して実装する機能を含める必要があります。
アプリケーションランディングゾーン
アプリケーション ランディング ゾーンは、ワークロード リソース用です。 ワークロードには、環境 (開発、テスト、または運用環境) ごとにアプリケーション ランディング ゾーンが必要です。 各アプリケーション ランディング ゾーンは、スケーリングとサービスの制限に対応するために 1 つ以上のサブスクリプションで構成されます。 Azure Policy 定義を親管理グループから継承するために、"Online" や "Corp" など、適切な管理グループの下に階層化されています。 この構造により、ワークロードは制御された一貫性のある方法でデプロイされますが、個々のワークロードのニーズに柔軟に対応できます。
すべてのサブスクリプションに適用される構成
サブスクリプションがプラットフォームまたはアプリケーション ランディング ゾーンに属しているかどうかに関係なく、特定の構成を汎用で有効にする必要があります。 これらの構成には、Azure Role-Based アクセス制御 (RBAC)、Cost Management、Network Watcher、および Microsoft Defender for Cloud が含まれます。 これらのサービスは、Azure 環境全体の可視性、セキュリティ、運用制御を維持するのに役立ちます。
Azureランディング ゾーンの実装
Azure ランディング ゾーン は、プラットフォーム ランディング ゾーンの推奨される実装です。 実装は主要なフェーズで展開され、それぞれがサポートプロセスとツールを備えています。
1. 環境をセットアップする
新しい (Greenfield) を開始する場合でも、既存のセットアップ (Brownfield) を最新化する場合でも、最初の手順は、リソースをホストするサブスクリプションを作成することです。 ベスト プラクティスに基づいて新しい Azure ランディング ゾーン環境を実装するには、通常、複数のサブスクリプションが必要です。 これらのサブスクリプションは、手動、プログラム、または自動自動販売機モジュールを使用して作成できます。
2. プラットフォーム ランディング ゾーン コンポーネントをデプロイする
次に、Azure ランディング ゾーンの参照アーキテクチャに基づいて、プラットフォーム リソースのデプロイを高速化します。 これらのコンポーネントは、管理グループ階層、ポリシーの適用、接続、セキュリティ、監視などのガバナンスと共有サービスを確立します。 デプロイ オプションには、Azure portal、Bicep、Terraform が含まれます。
3. サブスクリプション販売プロセス(オプション)
プラットフォームが整ったら、Azure テナント内に個々のアプリケーション ランディング ゾーンを作成する必要があります。 このプロセスを自動化するには、サブスクリプションの自動販売機ソリューションをお勧めします。 自動販売機は、ネットワークなどのコア リソースと共にサブスクリプションをデプロイするのに役立ちます。 Bicep モジュールと Terraform モジュールの両方を使用できます。