全然雨降らないじゃん!って言ったそばから大雨に見舞われております。
2年間履き潰してたデッドストックのバンズも穴が空いて雨漏りするのでとっても困っております。
こんにちわ、小島です。
さて、今回のお話はAzureランディングゾーンについてです。
Azureランディングゾーンってなに?
聞きなれないようで知っているみたいな感覚でしょうかね?Azureを結構ガリガリ使っている人でも「ん-、なんだっけか?」っていう何となくサービスの代表格がAzureランディングゾーンですw
Azureランディングゾーンを説明するとき、いつもその説明に苦慮します。
というのもこのランディングゾーンは一言でいうとAzureのマルチサブスクリプション環境そのものだからです。
ここらへんの概念ってちょっとフワッとしていて、わかりづらい(逆に言うとわかりみがあるw)んですよ。
AzureランディングゾーンとはAzure内リソースのスケール、セキュリティ、ガバナンス、ネットワーク、そしてID を考慮して設計されたマルチサブスクリプションの構成になります。
おおよそのアーキテクチャーというのはこのランディングソーンのなかではアプリケーションテンプレート部分にフォーカスしていることが多いですね。
ここの部分はWell‐Architected Frameworkなどで構成するいわばコアアーキテクチャーになります。
ランディングゾーンはこれらも含む、すべての構成に関してのルールやセキュリティなどが一式入っています。
ランディングゾーン、何から始める?
ランディングゾーンは結構壮大なAzureテンプレなわけですが、いきなり壮大なものを作ったほうが良いのか、小さく始めたほうがいいのか悩みどころですよね。
まあ、いきなりでかくやるのは大抵エンタープライズなシステムで、それらを提供するためには様々な考慮が必要なわけです。
そういう時はEnterprise-Scaleのランディングゾーンから作ります。
この話はまた今度しますね。
一方小規模なWebシステムや拡張性を重視したシステムの場合はいきなりガチガチのランディングゾーンを作っても取り回しに苦慮してしまいます。
ランディングゾーンの設計自体をテンプレート化し、それらを小規模に作りながら拡張していくほうが現実的ですよね。
そういう時はAzure Blueprintsを使います。
Azure Blueprints(Preview)
まだGAされていないのでガラリと変わる可能性がありますが、小規模なランディングゾーンであればAzure Blueprintsを使うと簡単です。
Azure BlueprintsはAzureを構成するうえで必要なルールやセキュリティ、管理ツールを一式いれたテンプレートです。
まずはこのAzure BlueprintsをつかってAzure全体のルールを作成します。
初めての人はまずはCAF基盤ブループリントを使いましょう。
このブループリントに含まれるAzureリソースや内容は以下になります。
- Azure Policy(サブスクリプションに設定するルール)
- Azure Key Vault
- Azure Security Center
- Log Analyticsスペース
- Storageアカウント
特にAzure Policyは、ブループリント作成時に設定することができます。このPolicyはAuzreの基本的なガバナンスを担保します。
Azure Key Vaultはシークレットの保管、管理を行います。
まずはこの基本のCAFを抑えておきましょう。
AzureランディングゾーンはこのようにAzure全体設計になり、よりコンパクトにルールなどを定めたテンプレートがAzure Blueprintsになります。
ちょっとわかりずらいかもしれませんが、Azureをうまくつかい、セキュアに、かつ管理をなるべく楽にするためにはこのような設計から入ることをお勧めします。
次回はEnterprise-Scaleにおける設計のキモ的な話を書こうと思います。