クラウド導入の準備(CAF for Azure)
はじめに
Cloud Adoption Framework for Azure(CAF)の「準備」ステージについて記載します。CAFについては、以前投稿した「CAFってなに?」と、「準備」ステージの前に実施する「計画」ステージについては、「クラウド導入の計画(CAF for Azure)」を参照してください。
クラウド導入準備とは
クラウド導入を開始するには、既存のITインフラストラクチャをクラウドへ移行、または新規にクラウド上でワークロードをホストするための環境となる、ランディングゾーンを作成します。
ランディングゾーンを設計する
ランディングゾーンとは、クラウド上で運用するワークロードに対して、クラウドの民主化、ポリシー主導のガバナンス、単一の管理プレーン、アプリケーション中心のサービスモデルを設計原則としたクラウドネイティブな環境を指します。
8つの設計領域
ランディングゾーンは、8つの設計領域にわたる主要な設計原則に準拠した環境です。
| # | 設計領域 | 説明 |
|---|---|---|
| 1 | Azure課金とMicrosoft Entraテナント | テナントの適切な作成、登録、および課金の設定は、初期の重要な手順です。 |
| 2 | ID管理とアクセス管理 | ID およびアクセス管理は、パブリッククラウドの主要なセキュリティ境界です。 セキュリティで保護され、完全に準拠したアーキテクチャの基盤になるものです。 |
| 3 | リソースの編成 | クラウド導入の規模が拡大するにつれて、サブスクリプションの設計と管理グループの階層に関する考慮事項は、ガバナンス、運用管理、導入パターンに影響を与えます。 |
| 4 | ネットワークトポロジと接続 | ネットワークと接続性の決定は、どのようなクラウドアーキテクチャでも同様に重要な基本的な側面です。 |
| 5 | セキュリティ | クラウド環境を保護するためのコントロールとプロセスを実装します。 |
| 6 | 管理 | クラウドで安定して継続的な運用を行うには、可視性、運用コンプライアンス、保護および復旧機能を提供する管理ベースラインが必要です。 |
| 7 | ガバナンス | ガバナンスポリシーの監査と適用を自動化します。 |
| 8 | プラットフォームの自動化とDevOps | 最適なツールとテンプレートを配置し、ランディングゾーンとサポートリソースをデプロイします。 |
ランディングゾーンの構成概要
①Azure課金とMicrosoft Entraテナント
Azureのライセンスプログラムには、主に「クラウドソリューションプロバイダー (CSP)」、「オープンライセンス」、「EA (Enterprise Agreement)」、「マイクロソフトオンラインサブスクリプションプログラム (MOSP)」の4つが提供されています。各々課金や認証機能(Microsoft Entra)の管理方法が異なるため、顧客のニーズに合わせて契約します。
②ID管理とアクセス管理
Microsoft Entraで管理するIDには、クラウド上でのみ使用する「クラウドID」と、オンプレミス環境のActive Directoryで管理しているIDと同期する「ハイブリッドID」と2つのIDがあります。ハイブリッドIDを構成することで、オンプレミス環境へサインインすればクラウドサービスにもサインインされるSSO(シングルサインオン)が可能となります。IDの一元管理化を行うには、ハイブリッドIDの構成を推奨します。
③リソースの編成
Azureでは、ワークロードの数とスケールを増やして環境全体の管理を簡素化するため、4つのレイヤでAzureリソースを編成します。サブスクリプションをグルーピングして管理する「管理グループ」をはじめとした、「サブスクリプション」、「リソースグループ」、「リソース」 のレベルごとに編成し、またAzure Policyでポリシー制御することで、ランディングゾーンの設計原則にある「ポリシー主導のガバナンス」を実現します。
④ネットワークトポロジと接続
ネットワークトポロジと接続の設計領域は、クラウドネットワーク設計の基盤を確立するうえで重要です。クラウドネイティブなアーキテクチャである「マイクロサービスアーキテクチャ」を実現するため、仮想ネットワーク(VNet)はワークロードごとに構成し、共通基盤(ハブ)と接続する「ハブアンドスポーク」構成にしていきます。そうすることで、ワークロードの構成変更によって別のワークロードが影響を受けることを避けます。
⑤セキュリティ
インターネット上で提供されるパブリッククラウドでは、オンプレミスとは異なるクラウドセキュリティを実装する必要があります。主にMicrosoft Entra IDによる認証セキュリティ、データ暗号化とキー管理を実装します。認証セキュリティでは不正アクセスを防ぐため、電話、SMS、モバイルアプリなどを連携する多要素認証、キー管理ではソースコードにパスワードなどシークレット情報をハードコーディングしないようシークレット管理を行います。
⑥管理
クラウドで安定して継続的な運用を行うには、可視性、運用コンプライアンス、保護および復旧機能を提供する管理ベースラインが必要です。主に「インベントリと可視化」、「ベースラインの監視」、「保護と回復」、「運用のコンプライアンス」をベースに運用管理ツールを評価し実装します。
⑦ガバナンス
クラウド導入の過程は、ガバナンスの効いた環境に対する強力なコントロールからはじまります。Azure ランディングゾーンにおける考慮すべきガバナンスは、「5つの規範」から構成され実装します。
| # | 規範 | 説明 |
|---|---|---|
| 1 | コスト管理 | Microsoft Cost Managementによるコスト管理など |
| 2 | セキュリティベースライン | Microsoft Defender for CloudによるCSPM、CWPPなど |
| 3 | リソースの整合性 | リソースの命名規則やリソースタグの設定など |
| 4 | IDベースライン | Microsoft Entra IDによるID管理など |
| 5 | デプロイ高速化 | Azure Resource Manager(ARM)テンプレートによるデプロイなど |
⑧プラットフォームの自動化とDevOps
Azureでは、DevOpsプラットフォームサービスのAzure DevOps Serviceが提供されています。このAzure DevOps Serviceを利用することで、ARMテンプレートによるインフラストラクチャのデプロイ、アプリケーション開発のCI/CD(継続的インテグレーション/デリバリー)を実現します。
クラウド運用モデルを定義する
クラウドを導入することによって、オンプレミス環境で対応してきた機器故障やサポート切れによるハードウェア交換といった運用がなくなります。そのため、クラウドではOSやアプリケーション、データといった物理からデジタルへとデジタル資産が移行します。ハードウェアの運用を取り除くことでクラウド運用モデルは、システムを稼動状態に維持することから一貫性のある運用を維持する運用に移行します。
おわりに
クラウド導入準備では、従来のオンプレミス環境で稼動するシステムの運用とは異なる従量課金制のコスト管理、パブリッククラウドに対するセキュリティ、オートスケーリング機能によるパフォーマンス効率化、コーディングによるデプロイメントの自動化、といったクラウドのメリットを最大限に活用するためのクラウドネイティブな環境を設計します。
クラウドを導入する上でもっともAzureの幅広い知見が必要なステージとなるため、外注も視野に入れて有識者をプロジェクト体制にアサインすることをお勧めします。
Discussion