Azure ランディング ゾーン アクセラレータをデプロイする
カスタマー ストーリーに基づいて、Tailwind Traders は自社の制約に合わせていくつかの特定の構成オプションをデプロイすることから始めます。 Azure ランディング ゾーン アクセラレータをデプロイする場合、次のオプションを使って Tailwind Traders がたどるプロセスを再現します。
前提条件
Azure ランディング ゾーン アクセラレータをデプロイする前に、2 つの Azure サブスクリプションを作成する必要があります。
- ネットワークと接続の資産をホストするためのネットワーク サブスクリプション
- ID とアクセス管理の資産をホストするための ID サブスクリプション
また、運用管理構成をデプロイする予定がある場合は、管理サブスクリプションを作成することもできます。 Tailwind Traders は、その構成オプションを使わないことを選びました。
「Microsoft 顧客契約サブスクリプションの作成」の記事では、これらのサブスクリプションの作成プロセスのガイドを行っています。
Azure ランディング ゾーン アクセラレータをデプロイする
Azure portal で Azure ランディング ゾーン アクセラレータを開きます。 このポータル エクスペリエンスによってデプロイの手順がガイドされます。
[デプロイ設定] タブで、以下を実行します。
[ディレクトリ] では、適切な Microsoft Entra テナントを選択します。
適切なアクセス許可を持っていない場合は、テナントの下にエラーが表示されます。
[リージョン] で、ドロップダウン リストからリージョンを選択します。
Tailwind Traders は米国中西部リージョンを選択します。
[Azure core setup] (Azure コア セットアップ) タブで、次の手順を実行します。
[リソース プレフィックス (ルート ID)] にはプレフィックスを入力します。
Tailwind Traders は「tailwind-」と入力します。
[プラットフォーム サブスクリプション オプション] では、[専用] オプションを選択してすべてのプラットフォーム リソースを専用サブスクリプションに保持します。
Note
すべてのプラットフォーム リソースに対して専用サブスクリプションを選ぶと、環境の管理に必要なすべてのツールが一元化されます。 Tailwind Traders がセキュリティ、運用、ガバナンスを追加すると、この専用オプションで作成された専用サブスクリプションと管理グループ構造を使うことになります。 単一サブスクリプションのオプションを選ぶと、導入プロセスの後半で大幅なやり直しが必要になる可能性があります。
[Platform management, security, and governance] (プラットフォームの管理、セキュリティ、ガバナンス) タブで、Log Analytics ワークスペースをデプロイして監視を有効にするかどうかを選びます。 このため、 [いいえ] を選択します。
Tailwind Traders は後でランディング ゾーンを拡張してセキュリティ、管理、ガバナンスのニーズに対処するため、これを選択しました。
[Platform DevOps and automation] (プラットフォームの DevOps と自動化) タブでは、通常、組織に適用されるオプションを選択します。
Tailwind Traders は Log Analytics 機能を追加しないことを選んだので、DevOps と自動の機能のいずれも追加できません。 そのため、ここでは何も選択する必要はありません。
[ネットワーク トポロジと接続] タブで、次の手順を実行します。
[Hub and spoke with Azure Firewall] (Azure Firewall を使用したハブおよびスポーク) を選択します。 これにより、接続専用のサブスクリプションが作成されます。
Tailwind Traders は、このオプションを選択します。 アクセラレータをデプロイすると、会社の MPLS ソリューションは、そのサブスクリプションにデプロイされた Azure ExpressRoute インスタンスに接続されます。 この設定により、どのアプリケーションのランディング ゾーンも MPLS 経由で接続できるようになりますが、トラフィックはまず Azure Firewall を経由します。
Azure Firewall を使用したハブおよびスポークのオプションを選択すると、接続サブスクリプションを構成できるように、さらに多くのオプションが表示されます。
[接続サブスクリプション] では、接続サブスクリプションを選択します。
[アドレス空間] に、ネットワーク ハブ内の任意の IP 用アドレス空間を入力します。
[Region for the first networking hub] (最初のネットワーク ハブのリージョン) で、デプロイ用のリージョンを選択します。
Tailwind Traders は、ネットワーク ハブを他のデプロイと確実に同じリージョン内にデプロイするために、[米国中西部] を選択します。
[DDoS ネットワーク保護を有効にする] では、[いいえ] を選択します。
Tailwind Traders は、現時点では DDoS 保護を有効にすることを希望していないので、この選択を行います。 会社はセキュリティの決定を先送りしており、そのサービスのコストを承認する準備がまだできていません。
[Create Private DNS Zones for Azure PaaS services] (Azure PaaS サービス用のプライベート DNS ゾーンの作成) で、[はい] を選択します。
Tailwind Traders はいくつかのワークロードを PaaS サービスとしてデプロイする予定なので、この無料サービスを有効にすることを選びました。
[VPN Gateway をデプロイする] と [ExpressRoute Gateway をデプロイする] では、既定の選択である [いいえ] のままにします。
Tailwind Traders は、現時点では MPLS を Azure ExpressRoute に接続する準備ができていないため、この選択をしました。
[Deploy Azure Firewall] (Azure Firewall のデプロイ) で、既定の選択である [はい] のままにして Azure Firewall をデプロイします。
[Subnet for Azure Firewall] (Azure Firewall のサブネット) で、Azure Firewall インスタンスのサブネット範囲を設定します。
上記の手順に含まれていないオプションについては、既定値のままにします。
[ID] タブで、次の手順を実行します。
[Assign recommended policies to govern identity and domain controllers] (ID とドメイン コントローラーを管理する推奨ポリシーを割り当てる) は、既定の選択である [はい (推奨)] のままにします。
Tailwind Traders は、ポリシー主導のガバナンスの原則に従う準備ができていません。 ただし、ID とドメイン コントローラーを管理するポリシーを有効にすることを選びました。 このガバナンス自動化の最初の手順は、クラウドで会社の ID コントローラーをより安全に保つために役立ちます。
[ID サブスクリプション] では、どのサブスクリプションが ID 関連の資産をホストするかを選択します。
ポリシー関連のすべてのオプションは、既定値の [はい (推奨)] のままにします。
[仮想ネットワーク アドレス空間] で、ID 関連の資産をホストする仮想ネットワークのアドレス空間を入力します。
[ランディング ゾーン構成] タブで、以下を実行します。
[Connect corp landing zones to the connectivity hub] (会社のランディング ゾーンを接続ハブに接続する) で、[はい] を選択します。
[Corp landing zone subscriptions] (会社のランディング ゾーン サブスクリプション) で、ドロップダウン リストから選択します。
Tailwind Traders は、移行対象であるほとんどの仮想マシンと他の資産の移行先として使う 1 つの既存のサブスクリプションを持っていました。 会社はここでそのサブスクリプションを選択します。
[Online landing zone subscriptions] (オンラインのランディング ゾーン サブスクリプション) で、ドロップダウン リストから選択します。
Tailwind Traders は、任意の公開アプリケーションをホストするために割り当てられたサブスクリプションも持っています。 会社はここでそのサブスクリプションを選択します。
[ランディング ゾーン管理グループ] 内の一連の推奨ポリシーについては、[監査のみ] を選択します。
Tailwind Traders は、ポリシー主導のガバナンスを採用する準備ができていないため、一覧表示されているすべてのポリシーをこのように設定します。
注意
Tailwind Traders がアプリ中心の設計またはサブスクリプションの民主化の設計原則に従うことを希望する場合、ドロップダウン リストで複数のサブスクリプションを選択することになります (または後で追加します)。
Tailwind Traders がポリシー駆動型ガバナンスの設計原則に従うことを希望する場合は、一覧表示されているすべてのポリシーを推奨オプションである [はい (推奨)] のままにして、Azure Policy を介してガバナンスの決定を自動的に適用します。
[確認と作成] タブで、[作成] を選択して環境をデプロイします。
アクセラレータを使って Azure ランディング ゾーンのデプロイを完了しました。 上記のプロセスに従った場合、そのデプロイは Tailwind Traders の制約に適合しています。