シナリオ: 管理グループがない単一サブスクリプションを Azure ランディング ゾーンの概念アーキテクチャに移行する

この記事では、Azure 環境を Azure ランディング ゾーンの概念アーキテクチャに移行して切り替える方法に関する考慮事項と手順について説明します。 このシナリオは、管理グループのない単一サブスクリプションを対象としています。

このシナリオでは、お客様は既に Azure を使用しており、プラットフォーム内でいくつかのアプリケーションまたはサービスを既にホストしています。 しかし、現在の実装では、"クラウド ファースト" 戦略に関連するスケーラビリティと成長が制限されています。

この拡張の一環として、オンプレミスのデータセンターから Azure への移行も計画されています。 移行時には、アプリケーションやサービスの最新化と変換を図り、可能な限りクラウドネイティブ テクノロジを使用できるようにします。 たとえば、Azure SQL Database と Azure Kubernetes Service (AKS) を使用することもできます。 これにはかなりの時間と労力がかかることがわかっているため、"リフト アンド シフト" で開始する計画です。 このプランでは、当初、Azure VPN Gateway や Azure ExpressRoute などのサービスを介したハイブリッド接続が必要です。

このお客様は、既存のアプローチをエンタープライズ規模のアーキテクチャに移行したいと考えています。 このアーキテクチャでは、同社の "クラウドファースト" 戦略がサポートされ、オンプレミス データセンターを廃止するに従ってスケーリングできる堅牢なプラットフォームも備えられています。

現在の状態

このシナリオでは、お客様の Azure 環境の現在の状態は、次のもので構成されています。

  • 単一の Azure サブスクリプション。
  • カスタム管理グループは存在しない。
  • 均一ではないリソース分布。 プラットフォームとワークロードのリソースは、同じ Azure サブスクリプションにデプロイされています。
  • Azure Policy の使用は最小限。 監査効果や拒否効果などのポリシー割り当てはリソース グループごとに実行されているが、例外がある。
  • リソース グループは、管理とスケールの単位として扱われている。
  • 各リソース グループに対してロールベースのアクセス制御によるロール割り当て。
  • 単一の仮想ネットワーク。
    • Azure VPN Gateway や Azure ExpressRoute などのサービスを介したハイブリッド接続なし。
    • アプリケーションごとに新しいサブネットが作成される。
  • app-xx-rg リソース グループ内に複数の自己完結型アプリケーション。 アプリケーションは、さまざまなアプリケーション チームまたはサービス チームによって制御および運用される。

次の図は、このシナリオの現在の状態を示しています。

1 つのサブスクリプション環境を示す図。

Azure ランディング ゾーンの概念アーキテクチャへの移行

このアプローチを実装する前に、Azure ランディング ゾーンの概念アーキテクチャAzure ランディング ゾーンの設計領域を確認します。

このシナリオの現在の状態を Azure ランディング ゾーンの概念アーキテクチャに移行するには、次のアプローチを使用します。

  1. Azure ランディング ゾーン アクセラレータを、現在の環境と並行して同じ Microsoft Entra ID テナントにデプロイしてください。 この方法により、アクティブなワークロードの中断を最小限に抑えながら、新しいランディング ゾーン アーキテクチャにスムーズかつ段階的に切り替えることができます。

    このデプロイによって新しい管理グループ構造が作成されます。 この構造は、Azure ランディング ゾーンの設計原則と推奨事項に沿っています。 また、既存の環境がこれらの変更の影響を受けないことが保証されます。

  2. (省略可能) アプリケーション チームまたはサービス チームと協力して、元のサブスクリプションにデプロイされたワークロードを新しい Azure サブスクリプションに移行します。 詳しくは、「既存の Azure 環境を Azure ランディング ゾーンの概念アーキテクチャに移行する」をご覧ください。 ワークロードを、新しくデプロイされた Azure ランディング ゾーンの概念アーキテクチャ管理グループ階層の適切な管理グループ (次の図の corporateonline など) の下に配置できます。

    移行時のリソースへの影響の詳細については、「ポリシー」を参照してください。

    最終的に、既存の Azure サブスクリプションを取り消して、使用が停止された管理グループに配置できます。

    Note

    既存のアプリケーションまたはサービスを、必ずしも新しいランディング ゾーン (Azure サブスクリプション) に移行する必要はありません。

  3. オンプレミスからの移行プロジェクトをサポートできるランディング ゾーンを提供する新しい Azure サブスクリプションを作成します。 これらを適切な管理グループ (次の図の corporateonline など) の下に配置します。

    詳細については、移行のためのランディング ゾーンの準備に関するガイダンスを参照してください。

次の図は、このシナリオの移行中の状態を示しています。

移行状態の単一のサブスクリプション環境を示す図。

まとめ

このシナリオでは、お客様は、Azure ランディング ゾーンの概念アーキテクチャを既存の環境と並行してデプロイすることで Azure 内での拡張とスケーリングの計画を達成しました。