この記事では、Azure ランディング ゾーン アーキテクチャについてのよくある質問に回答します。
ランディング ゾーンアーキテクチャAzure実装に関する FAQ については、「Enterprise-scale の実装に関する FAQを参照してください。
Azure ランディング ゾーン ポータル アクセラレータとは
Azure ランディング ゾーン ポータル アクセラレータは、Azureポータル ベースのデプロイ エクスペリエンスです。 これは、Azure ランディング ゾーン参照アーキテクチャに基づいて、承認された実装をデプロイします。
Azureランディング ゾーンに推奨されるアクセラレータと実装はどれですか?
Microsoftは、Azureランディング ゾーン 設計の原則および design area ガイダンスに合わせて、プラットフォームとアプリケーション アクセラレータと実装を積極的に開発および維持します。
推奨されるプラットフォームとアプリケーションのランディング ゾーンの詳細については、「Deploy Azure ランディング ゾーンガイダンスを確認してください。
Azureランディング ゾーンのデプロイをニーズに合わせて調整する方法については、「要件を満たすようにAzureランディング ゾーンアーキテクチャを確認する」を参照してください
ヒント
アクセラレータと実装リストへの追加を要求するには、ALZ リポジトリでGitHubの問題を発生させます。
Azureランディング ゾーンの参照アーキテクチャとは何ですか?
Azureランディング ゾーン参照アーキテクチャは、スケールと成熟度の決定を表します。 これは、デジタル資産の一部としてAzureを採用したお客様から学んだ教訓とフィードバックに基づいています。 この概念アーキテクチャは、組織がランディング ゾーンを設計および実装するための方向を設定するのに役立ちます。
ランディング ゾーンアーキテクチャのコンテキストでは、Azureではランディング ゾーンは何にマップされますか?
Azureランディング ゾーンの観点からは、ランディング ゾーンは個々のAzure サブスクリプションです。
ポリシー主導のガバナンスとは何を意味し、どのように機能しますか?
ポリシー駆動型のガバナンス は、エンタープライズ規模のアーキテクチャの主要な設計原則の 1 つです。
ポリシー駆動型のガバナンスとは、Azure Policyを使用して、Azure テナント全体で一般的で繰り返される運用タスクに必要な時間を短縮することを意味します。
Azure Policyの効果を多く活用して、ポリシー定義で非準拠とされたリソースの作成や更新を制限するか、リソースをデプロイする、またはリソース作成・更新要求の設定を変更することで準拠させることによって、非準拠を防ぎます。Append、Deny、DeployIfNotExists、Modify などを使用します。
Audit、Disabled、AuditIfNotExistsなどの一部の効果では、防止やアクションは行われません。非準拠に関する監査と報告のみを行います。
ポリシー主導のガバナンスの例をいくつか次に示します。
Denyの効果: サブネットがネットワーク セキュリティ グループと関連付けられずに作成または更新されることを防ぎます。DeployIfNotExists効果: 新しいサブスクリプション (ランディング ゾーン) が作成され、Azureランディング ゾーンデプロイ内の管理グループに配置されます。 Azure Policy、サブスクリプションでMicrosoft Defender for Cloudが有効になっていることを確認します。 また、アクティビティ ログの診断設定を構成して、管理サブスクリプションの Log Analytics ワークスペースにログを送信します。新しいサブスクリプションの作成時にコードまたは手動のアクティビティを繰り返す代わりに、
DeployIfNotExistsポリシー定義によって自動的に展開および構成されます。
DeployIfNotExists (DINE) ポリシーを利用できない場合、またはまだ準備ができていない場合はどうしますか?
さまざまなフェーズとオプションについて説明する専用のページがあり、DINE ポリシーを "無効にする" か、3 段階のアプローチを使用して環境内で時間をかけて導入する必要があります。
ポリシー駆動型ガードレールの導入に関するガイダンスを参照してください
Azure Policyを使用してワークロードをデプロイする必要がありますか?
要するに、 いいえ。 Azure Policyを使用して、ワークロードとランディング ゾーンを管理し、コンプライアンスを維持します。 ワークロード全体とその他のツールをデプロイするようには設計されていません。 Azure ポータルまたはコードとしてのインフラストラクチャ オファリング (ARM テンプレート、Bicep、Terraform) を使用して、ワークロードをデプロイおよび管理し、必要な自律性を得ます。
Terraform 用のクラウド導入フレームワーク "ランディングゾーン" (aztfmod) とは
クラウド導入フレームワーク ランディングゾーン オープンソースプロジェクト (OSS)(別名 aztfmod)は、Azure ランディングゾーンのコアチームや Azure GitHub 組織の外部で所有・管理されている、コミュニティによって運営されているプロジェクトです。 組織がこの OSS プロジェクトを使用することを選択した場合は、GitHubを通じたコミュニティの取り組みによって推進されるため、利用可能なサポートを考慮する必要があります。
ランディング ゾーンに既にリソースがあり、そのスコープに含まれるAzure Policy定義を後で割り当てた場合はどうでしょうか。
次のドキュメント セクションを確認します。
- 既存のAzure環境を Azure ランディング ゾーン参照アーキテクチャに変換する - "Policy" セクション
- クイック スタート: ポリシー割り当てを作成して準拠していないリソースを識別する - 「準拠していないリソースを識別する」セクション
専用または個別の AI ランディング ゾーンが必要ですか?
いいえ。別の AI ランディング ゾーンは必要ありません。 代わりに、既存の Azure ランディング ゾーン アーキテクチャを使用して、AI ワークロードをデプロイできます。 Azureランディング ゾーンの AI のガイダンスと説明を参照してください。
Azure ランディング ゾーン アーキテクチャで、"開発/テスト/運用" のワークロードランディングゾーンをどのように扱うべきでしょうか?
詳細については、「ランディング ゾーンでのアプリケーション開発環境の管理Azure」を参照>。
Azureランディング ゾーン参照アーキテクチャのデプロイ時にAzureリージョンを指定するように求められるのはなぜですか。
Azureランディング ゾーン参照アーキテクチャ ポータル ベースのエクスペリエンスを使用してランディング ゾーン アーキテクチャAzureデプロイする場合は、デプロイ先のAzureリージョンを選択します。 最初のタブ [ デプロイの場所] によって、デプロイ データの格納場所が決まります。 詳細については、「 ARM テンプレートを使用したテナントのデプロイ」を参照してください。 ランディング ゾーンの一部はグローバルにデプロイされますが、デプロイ メタデータはリージョン メタデータ ストアで追跡されます。 デプロイに関するメタデータは、[デプロイの 場所 ] タブで選択したリージョンに格納されます。
デプロイ場所 タブのリージョン セレクターは、必要に応じて、Log Analytics ワークスペースなど、リージョン固有のリソースを格納するリージョンAzureを選択するためにも使用されます。
ネットワーク トポロジを Network トポロジと接続 タブにデプロイする場合は、ネットワーク リソースをデプロイするAzureリージョンを選択する必要があります。 このリージョンは、[ デプロイの場所 ] タブで選択したリージョンとは異なる場合があります。
ランディング ゾーン リソースが使用するリージョンの詳細については、「 ランディング ゾーンリージョン」を参照してください。
Azure ランディング ゾーン アーキテクチャを使用する場合、どのようにしてより多くの Azure リージョンを有効化しますか?
ランディング ゾーンに新しいリージョンを追加する方法、またはランディング ゾーン リソースを別のリージョンに移動する方法については、「 ランディング ゾーンリージョン」を参照してください。
毎回新しいAzure サブスクリプションを作成するか、Azureサブスクリプションを再利用する必要がありますか?
サブスクリプションの再利用とは
サブスクリプションの再利用は、既存のサブスクリプションを新しい所有者に再発行するプロセスです。 サブスクリプションを既知のクリーンな状態にリセットし、新しい所有者に再割り当てするプロセスが必要です。
サブスクリプションの再利用を検討する必要がある理由
一般に、お客様は サブスクリプション民主化設計原則を採用することをお勧めします。 ただし、サブスクリプションの再利用が不可能または推奨されない特定の状況があります。
ヒント
サブスクリプションの民主化設計原則に関する YouTube ビデオをこちらでご覧ください: Azure ランディング ゾーン - Azure で使用すべきサブスクリプションの数は?
次のいずれかの状況を満たす場合は、サブスクリプションの再利用を検討する必要があります。
- Enterprise Agreement (EA) があり、削除されたサブスクリプションを含む、1 つの EA アカウント所有者アカウント (課金アカウント) に 5,000 を超えるサブスクリプションを作成する予定です。
- Microsoft 顧客契約 (MCA) または Microsoft Partner Agreement MPA があり、5,000 を超えるアクティブなサブスクリプションを持つ予定です。 サブスクリプションの制限の詳細については、Azure ポータルの Billing アカウントとスコープを参照してください。
- 従量課金制のお客様である。
- Microsoft Azure スポンサー プランを使用します。
- 以下をよく作成する。
- 一時的な実験室またはサンドボックス環境
- 顧客デモ/試用版アクセス用の独立系ソフトウェア ベンダー (ISV) を含む、概念実証 (POC) または実用最小限の製品 (MVP) のデモ環境
- MSP/トレーナーの学習環境などのトレーニング環境
サブスクリプションを再利用する方法
上記のシナリオまたは考慮事項のいずれかに一致する場合は、既存の使用停止または未使用のサブスクリプションを再利用し、新しい所有者と目的に再割り当てすることを検討する必要があります。
古いサブスクリプションをクリーンアップする
最初に、再利用のために古いサブスクリプションをクリーンアップする必要があります。 再利用する準備が整う前に、サブスクリプションに対して次のアクションを実行する必要があります。
- リソース グループと包含リソースを削除します。
- サブスクリプション スコープで、Privileged Identity Management (PIM) ロールの割り当てを含むすべてのロール割り当てを削除します。
- サブスクリプション スコープで、カスタム ロールベースのアクセス制御 (RBAC) の定義を解除します。
- サブスクリプション スコープでポリシー定義、イニシアティブ、割り当て、および除外を削除します。
- サブスクリプション スコープでデプロイを削除します。
- サブスクリプション スコープでタグを削除します。
- サブスクリプション スコープでリソース ロックを削除します。
- サブスクリプション スコープで Microsoft Cost Management 予算を削除します。
- 組織の要件でMicrosoft Defender for Cloud のプランを有料レベルに設定する必要がない限り、Microsoft Defender for Cloud プランをFreeレベルにリセットしてください。 通常は、Azure Policyを使用してこれらの要件を適用します。
- サブスクリプションがアクティブな間、組織の要件でこれらのログの転送が義務付けられている場合を除き、Log Analytics ワークスペース、Event Hubs、ストレージ アカウント、またはその他のサポートされている宛先に転送するサブスクリプション アクティビティ ログ (診断設定) を削除します。
- サブスクリプションのスコープで Azure Lighthouse の委任を削除する。
- サブスクリプションから非表示のリソースを削除します。
ヒント
サブスクリプション スコープを対象とする Get-AzResource または az resource list -o table を使用すると、再割り当て前に削除する非表示または残りのリソースを見つけるのに役立ちます。
サブスクリプションを再割り当てする
サブスクリプションをクリーンアップした後で、サブスクリプションを再割り当てできます。 再割り当てプロセスの一部として実行する一般的なアクティビティを次に示します。
- サブスクリプションに新しいタグを追加し、それらの値を設定します。
- サブスクリプション スコープで、新しい所有者のために新しいロール割り当てや Privileged Identity Management (PIM) ロール割り当てを追加します。 通常、これらの割り当ては、個人ではなくMicrosoft Entraのグループに対して行われます。
- ガバナンス要件に基づいて、サブスクリプションを目的の管理グループに配置します。
- 新しいMicrosoft Cost Management予算を作成し、しきい値が満たされたときに新しい所有者にアラートを設定します。
- Microsoft Defender for Cloud のプランを目的のレベルに設定します。 この設定は、適切な管理グループに配置してから、Azure Policyを使用して適用する必要があります。
- Log Analytics ワークスペース、Event Hubs、ストレージ アカウント、またはその他のサポートされている宛先に転送するサブスクリプション アクティビティ ログ (診断設定) を構成します。 適切な管理グループに配置された後、Azure Policyを使用してこの設定を適用する必要があります。
ソブリン ランディング ゾーンとは何ですか。また、Azureランディング ゾーンアーキテクチャとどのように関連していますか?
ソブリンランディングゾーンはMicrosoftソブリンクラウドのコンポーネントであり、高度な主権制御を必要とする公共部門のお客様を対象としています。 Azureランディング ゾーン参照アーキテクチャのカスタマイズされたバージョンとして、ソブリン ランディング ゾーンは、サービス所在地、カスタマー マネージド キー、Azure Private Link、コンフィデンシャル コンピューティングなどのAzure機能を調整します。 この調整により、ソブリン ランディング ゾーンは、データとワークロードが既定で脅威からの暗号化と保護を提供するクラウド アーキテクチャを作成します。
注
Microsoftソブリン クラウドは、主権のニーズを持つ組織に向かいます。 Microsoftソブリン クラウド機能が必要かどうかを慎重に検討し、ソブリン ランディング ゾーン アーキテクチャの採用のみを検討する必要があります。
ソブリンランディングゾーンの詳細については、「 ソブリンランディングゾーン(SLZ)」を参照してください。