Azure Landing Zoneで基盤標準化
398 Views
December 19, 25
スライド概要
Infra Engineer👩🏻💻
関連スライド
各ページのテキスト
第9回 Azure Landing Zone で基盤標準化 JAZUG for Women 田中 舞
自己紹介 名前:田中 舞 出身地:鹿児島県 得意分野:Azureインフラ Xアカウント:@usagi_hamster_m 2
1. こんなことで困ったりしませんか? アジェンダ 2. Azure Landing Zoneとは? 3. アーキテクチャ 4. 各ランディングゾーンの説明 5. まとめ 3
このセッションのゴール Azure Landing Zoneを使うことで、どんなメリットがあるのかをお伝えできれば嬉しいです! 4
こんなことで困ったりしませんか? • 各部署でAzureをバラバラに使っていて、ガバナンスが統一されていない • ネットワーク通信を一元管理したい • DevOpsのツールが部署ごとに異なる このような課題を解決できるのが「Azureランディングゾーン」です! 5
Azure Landing Zoneとは? Azureを組織全体でうまく運用していくための共通ルールや仕組みを整える、8つの設計領域で整理さ れた考え方 1. Azureの請求とEntraテナント 2. ID管理とアクセス管理 3. リソース構成設計 4. ネットワーク 5. 運用管理 6. セキュリティ 7. ガバナンス 8. プラットフォーム自動化とDevOps 6
アーキテクチャ 大まかなアーキテクチャ図は以下の通り 課金・会社情報 DevOps オンプレAD ルート管理グループ プラットフォーム ランディングゾーン 接続 ID 運用管理 セキュリティ 接続サブスクリプション IDサブスクリプション 運用管理サブスクリプション セキュリティサブスクリプション RG RG RG RG 社内システム 使用停止 サンドボックス 社外サービス LZ サブスクリプション 開発用サブスクリプション RG RG 7
アーキテクチャ 大まかなアーキテクチャ図は以下の通り Azureの請求 課金・会社情報 DevOps DevOps ID管理とアクセス管理 オンプレAD ルート管理グループ プラットフォーム ランディングゾーン 使用停止 サンドボックス リソース構成設計 接続 ID 運用管理 セキュリティ 接続サブスクリプション IDサブスクリプション 運用管理サブスクリプション セキュリティサブスクリプション RGネットワーク RG ID管理とアクセス管理 RG 運用管理 RGセキュリティ 社内システム 社外サービス LZ サブスクリプション 開発用サブスクリプション RG RG 8
アーキテクチャ • プラットフォーム ランディングゾーン: 共有サービス(接続、ID、運用管理、セキュリティ) • アプリケーション ランディングゾーン: 社内システムや社外向けサービスなどの個別システム 課金・会社情報 DevOps オンプレAD ルート管理グループ プラットフォーム ランディングゾーン 接続 ID 運用管理 接続サブスクリプション プラットフォーム ランディングゾーン IDサブスクリプション 運用管理サブスクリプション RG RG RG セキュリティ 社内システム セキュリティサブスクリプション RG 使用停止 サンドボックス 社外サービス アプリケーション LZ サブスクリプション 開発用サブスクリプション ランディングゾーン RG RG 9
アーキテクチャ 詳細なアーキテクチャ図はMS Learn参照 Azure ランディング ゾーンとは - Cloud Adoption Framework | Microsoft Learn 10
各Landing Zoneの説明 – Azureの請求とEntraテナント 1. Azureの請求と Entraテナント 2. ID管理とアクセス管理 3. リソース構成設計 ■主な目的 Azureの契約とテナント構成を明確にする 4. ネットワーク 5. 運用管理 6. セキュリティ 7. ガバナンス ■主な対象サービス 8. プラットフォーム自動化 とDevOps • 契約(EA/MCA/CSP) • Entraテナント構成 ■設計観点(例) • 契約体系の整理(EA/MCA/CSP) • テナント構成(単一テナント、または複数テナント)の方針決定 11
各Landing Zoneの説明 – ID管理とアクセス管理 1. Azureの請求と Entraテナント 2. ID管理とアクセス管理 3. リソース構成設計 4. ネットワーク ■主な目的 ■設計観点(例) • ユーザーとアプリケーションの認証 (誰がアクセスできるか) • RBACで作業に必要な最小権限を 割り当てる 6. セキュリティ • リソースへのアクセス制御(何ができるか) • PIMで必要な時だけ権限を割り当てる 8. プラットフォーム自動化と DevOps • 最小特権の原則に基づく権限割り当ての整理 (誰にどの権限を割り当てるか) • オンプレADとEntraの同期方式 5. 運用管理 7. ガバナンス • オンプレADとEntra IDを同期し、 ユーザーを一元管理(ハイブリッドID) ■主な対象サービス • Entra ID • RBAC • PIM • オンプレAD-Entra同期 (Cloud Sync /Entra Connect) 12
各Landing Zoneの説明 – リソース構成設計 1. Azureの請求と Entraテナント 2. ID管理とアクセス管理 3. リソース構成設計 ■主な目的 リソースを階層的に整理して管理しやすく、拡張性のある構成にする 4. ネットワーク 5. 運用管理 6. セキュリティ 7. ガバナンス ■主な対象サービス 8. プラットフォーム自動化と DevOps • 管理グループ • サブスクリプション • タグ • 命名規則 ■設計観点(例) • 管理グループ/サブスクリプションの階層設計 • 命名規則、タグの標準化 • 部門ごとの責任分担 13
各Landing Zoneの説明 – ネットワーク 1. Azureの請求と Entraテナント 2. ID管理とアクセス管理 3. リソース構成設計 ■主な目的 ■設計観点(例) Azure内の通信、およびAzure外の通信を一元管 理し、安全に・効率的に制御 • オンプレとの接続方式検討(ER/VPN) • インターネット通信 ■主な対象サービス • ネットワーク構成検討 (Virtual WAN/ハブ&スポーク) • Azure Firewall/Firewallポリシー • 名前解決方式検討 • ExpressRoute/VPN Gateway • IPアドレス設計 4. ネットワーク 5. 運用管理 6. セキュリティ 7. ガバナンス 8. プラットフォーム自動化と DevOps • DNS Private Resolver • Azure Front Door • Azure Bastion 14
各Landing Zoneの説明 – 運用管理 1. Azureの請求と Entraテナント 2. ID管理とアクセス管理 3. リソース構成設計 ■主な目的 リソースの状態を継続的に監視する仕組みの構築 4. ネットワーク 5. 運用管理 6. セキュリティ 7. ガバナンス ■主な対象サービス 8. プラットフォーム自動化と DevOps • Log Analytics • Application Insights • ダッシュボード ■設計観点(例) • 対応フローの策定 15
各Landing Zoneの説明 – セキュリティ 1. Azureの請求と Entraテナント 2. ID管理とアクセス管理 3. リソース構成設計 ■主な目的 Azure全体の脅威を最小化 4. ネットワーク 5. 運用管理 6. セキュリティ 7. ガバナンス ■主な対象サービス 8. プラットフォーム自動化と DevOps • Microsoft Sentinel • Defender for Cloud • 条件付きアクセス ■設計観点(例) • 特権アカウントの運用 • ゼロトラストの考え方に基づいた多層防御 16
各Landing Zoneの説明 – ガバナンス 1. Azureの請求と Entraテナント 2. ID管理とアクセス管理 3. リソース構成設計 ■主な目的 ガバナンスを統制する仕組みの構築 4. ネットワーク 5. 運用管理 6. セキュリティ 7. ガバナンス ■主な対象サービス 8. プラットフォーム自動化と DevOps • Azure Policy • Cost Management • エンタイトルメント管理 ■設計観点(例) • どの管理グループ/サブスクリプションにどのポリシーを適用するか • コストの可視化 17
各Landing Zoneの説明 – プラットフォーム自動化と DevOps ■主な目的 開発から運用まで自動化できる仕組みの構築 1. Azureの請求と Entraテナント 2. ID管理とアクセス管理 3. リソース構成設計 4. ネットワーク 5. 運用管理 6. セキュリティ 7. ガバナンス ■主な対象サービス 8. プラットフォーム自動化 とDevOps • Azure DevOps • IaC ■設計観点(例) • 開発ライフサイクル • IaCの採用方針 • サブスクリプション払い出しフロー 18
まとめ MS Learnに詳しい説明が記載されています Azure ランディング ゾーンとは - Cloud Adoption Framework | Microsoft Learn 19
まとめ Azureランディングゾーンとは組織全体の標準化を支えるための考え方です! 必ず概念アーキテクチャと同じ構成にするのではなく、お客様の環境にあった構成を考えていくことが個人 的には大事だと考えています。 いい感じにガバナンス効かせてAzureを安全に・効率的に使っていきましょう! 20