シナリオ: 管理グループを Azure ランディング ゾーンの概念アーキテクチャに移行する
この記事では、既存の環境を Azure ランディング ゾーンの概念アーキテクチャに移行して切り替えるための考慮事項と手順について説明します。 このシナリオでは、単一または複数の管理グループについて説明します。
このシナリオでは、顧客が既に Azure を使用していることを前提としています。 プラットフォーム内でいくつかのアプリケーションまたはサービスをホストする複数のサブスクリプションを含む管理グループ階層があります。 しかし、現在の実装では、"クラウド ファースト" 戦略に関連するスケーラビリティと成長が制限されています。
この拡張の一環として、オンプレミスのデータセンターから Azure への移行も計画されています。 移行時には、アプリケーションやサービスの最新化と変換を図り、可能な限りクラウドネイティブ テクノロジを使用できるようにします。 たとえば、Azure SQL Database と Azure Kubernetes Service (AKS) を使用することもできます。 これにはかなりの時間と労力がかかることがわかっているため、"リフト アンド シフト" で開始する計画です。 このプランでは、当初、Azure VPN Gateway や Azure ExpressRoute などのサービスを介したハイブリッド接続が必要です。
顧客は、既存の環境を Azure ランディング ゾーンの概念アーキテクチャに移行したいと考えています。 このアーキテクチャでは、同社の "クラウドファースト" 戦略がサポートされ、オンプレミス データセンターを廃止するに従ってスケーリングできる堅牢なプラットフォームも備えられています。
現在の状態
このシナリオでは、お客様の Azure 環境の現在の状態は、次のもので構成されています。
- 1 つ以上の管理グループ。
- 組織の構造または地域に基づく管理グループ階層。
- 開発、テスト、運用 (開発/テスト/運用) などの各アプリケーション環境の Azure サブスクリプション。
- 均一ではないリソース分布。 1 つの環境のプラットフォーム リソースとワークロード リソースは、同じ Azure サブスクリプションにデプロイされます。
- 管理グループとサブスクリプション レベルで割り当てられる監査効果と拒否効果を含むポリシーの割り当て。
- 各サブスクリプションとリソース グループのロールベースのアクセス制御ロールの割り当て。
- ハイブリッド接続用のハブ仮想ネットワーク (Azure VPN Gateway や Azure ExpressRoute など)。
- 各アプリケーション環境の仮想ネットワーク。
- 開発、テスト、運用などの環境分類に基づいて、それぞれのサブスクリプションにデプロイされるアプリケーション。
- 環境を制御および運用する中央 IT チーム。
次の図は、このシナリオの現在の状態を示しています。
Azure ランディング ゾーンの概念アーキテクチャへの移行
この方法を実装する前に、Azure ランディング ゾーンの概念アーキテクチャ、Azure ランディング ゾーンの設計原則、Azure ランディング ゾーンの設計領域に関する記事を確認します。
このシナリオの現在の状態を Azure ランディング ゾーンの概念アーキテクチャに移行するには、次のアプローチを使用します。
Azure ランディング ゾーン アクセラレータを、現在の環境と並行して同じ Microsoft Entra ID テナントにデプロイします。 この方法により、アクティブなワークロードの中断を最小限に抑えながら、新しいランディング ゾーン アーキテクチャにスムーズかつ段階的に移行できます。
このデプロイによって新しい管理グループ構造が作成されます。 この構造は、Azure ランディング ゾーンの設計原則と推奨事項に沿っています。 また、既存の環境がこれらの変更の影響を受けないことが保証されます。
詳細については、「開発/テスト/運用ワークロード ランディング ゾーンを処理する方法」を参照してください。
(省略可能) アプリケーション チームまたはサービス チームと協力して、元のサブスクリプションにデプロイされたワークロードを新しい Azure サブスクリプションに移行します。 詳しくは、「既存の Azure 環境を Azure ランディング ゾーンの概念アーキテクチャに移行する」をご覧ください。 ワークロードを、新しくデプロイされた Azure ランディング ゾーンの概念アーキテクチャ管理グループ階層の適切な管理グループ (次の図の corporate や online など) の下に配置できます。
移行時のリソースへの影響の詳細については、「ポリシー」を参照してください。
最終的に、既存の Azure サブスクリプションを取り消して、使用が停止された管理グループに配置できます。
Note
既存のアプリケーションまたはサービスを、必ずしも新しいランディング ゾーン (Azure サブスクリプション) に移行する必要はありません。
オンプレミスからの移行プロジェクトをサポートするランディング ゾーンを提供する新しい Azure サブスクリプションを作成します。 これらを適切な管理グループ (次の図の corporate や online など) の下に配置します。
詳細については、「移行のためのランディング ゾーンの準備」を参照してください。
次の図は、このシナリオの移行中の状態を示しています。
まとめ
このシナリオでは、お客様は、Azure ランディング ゾーンの概念アーキテクチャを既存の環境と並行してデプロイすることで Azure 内での拡張とスケーリングの計画を達成しました。