リソースの整合性の意思決定ガイドResource consistency decision guide

Azure のサブスクリプション設計では、組織の構造、会計実務、ワークロードの要件に関連してクラウド資産をどのように編成するかを定義します。Azure subscription design defines how you organize your cloud assets in relation to your organization's structure, accounting practices, and workload requirements. このレベルの構造に加え、クラウド資産全体にわたって組織のガバナンス ポリシー要件に対応するために、サブスクリプション内のリソースを一貫して整理、デプロイ、管理する機能が必要です。In addition to this level of structure, addressing your organizational governance policy requirements across your cloud estate requires the ability to consistently organize, deploy, and manage resources within a subscription.

複雑さが最小から最大までのリソースの整合性オプションを表わした図 (対応するジャンプ リンクを下に掲載)

ジャンプ先:基本的なグループ化 | デプロイの整合性 | ポリシーの整合性 | 階層的な整合性 | 整合性の自動化Jump to: Basic grouping | Deployment consistency | Policy consistency | Hierarchical consistency | Automated consistency

クラウド資産のリソース整合性要件のレベルに関する意思決定を左右する主な要因: 移行後のデジタル資産のサイズ、既存のサブスクリプション設計方法にうまく適合しないビジネスまたは環境の要件、リソースがデプロイされた後に時間の経過と共にガバナンスを適用する必要性。Decisions regarding the level of your cloud estate's resource consistency requirements are primarily driven by these factors: post-migration digital estate size, business or environmental requirements that don't fit neatly within your existing subscription design approaches, or the need to enforce governance over time after resources have been deployed.

これらの要因の重要度が増すにつれて、クラウド ベースのリソースを一貫してデプロイ、グループ化、管理することの利点がより重要になります。As these factors increase in importance, the benefits of ensuring consistent deployment, grouping, and management of cloud-based resources becomes more important. 増加する要件を満たすために、より高度なレベルのリソース整合性を実現するには、自動化、ツールの使用、整合性の適用により多くの作業が必要になり、その結果、変更管理と進捗管理に費やす時間が増えます。Achieving more advanced levels of resource consistency to meet increasing requirements requires more effort spent in automation, tooling, and consistency enforcement, and this results in additional time spent on change management and tracking.

基本的なグループ化Basic grouping

Azure では、リソース グループはサブスクリプション内でリソースを論理的にグループ化するリソース編成のコア メカニズムです。In Azure, resource groups are a core resource organization mechanism to logically group resources within a subscription.

リソース グループは、共通のライフサイクルのほか、ポリシーやロールベースのアクセス制御 (RBAC) の要件などの共有管理の制約があるリソースのコンテナーとして機能します。Resource groups act as containers for resources with a common lifecycle as well as shared management constraints such as policy or role-based access control (RBAC) requirements. リソース グループに別のリソース グループを入れ子にすることはできません。また、リソースは 1 つのリソース グループにのみ属することができます。Resource groups can't be nested, and resources can only belong to one resource group. すべてのコントロール プレーン アクションは、リソース グループ内のすべてのリソースに作用します。All control plane actions act on all resources in a resource group. たとえば、リソース グループを削除すると、そのグループ内のすべてのリソースも削除されます。For example, deleting a resource group also deletes all resources within that group. リソース グループの管理には、次のようなパターンを使用することをお勧めします。The preferred pattern for resource group management is to consider:

  1. リソース グループのコンテンツは一緒に開発されますか。Are the contents of the resource group developed together?
  2. リソース グループのコンテンツは、同じ担当者またはチームによってまとめて管理、更新、および監視されていますか。Are the contents of the resource group managed, updated, and monitored together and done so by the same people or teams?
  3. リソース グループのコンテンツは一緒に削除されますか。Are the contents of the resource group retired together?

上記のいずれかの点について答えが "いいえ" の場合は、該当するリソースを別のリソース グループに配置する必要があります。If you answered no to any of the above points, the resource in question should be placed elsewhere, in another resource group.

重要

リソース グループはリージョン固有でもありますが、リソースは、前述のようにまとめて管理されるため、同じリソース グループ内の異なるリージョンに配置されることが一般的です。Resource groups are also region specific; however, it is common for resources to be in different regions within the same resource group because they're managed together as described above. リージョンの選択の詳細については、複数のリージョンに関するページを参照してください。For more information about region selection, see Multiple regions.

デプロイの整合性Deployment consistency

基本的なリソース グループ化メカニズムの上に構築されている Azure プラットフォームは、テンプレートを使用して、クラウド環境にリソースをデプロイするためのシステムを提供します。Building on top of the base resource grouping mechanism, the Azure platform provides a system for using templates to deploy your resources to the cloud environment. ワークロードのデプロイ時、テンプレートを使用して一貫性のある組織と名前付け規則を作成し、リソースのデプロイと管理の設計におけるこれらの側面を強化できます。You can use templates to create consistent organization and naming conventions when deploying workloads, enforcing those aspects of your resource deployment and management design.

Azure Resource Manager テンプレートを使用すると、事前に定義された構成とリソース グループの構造を使用して一貫した状態でリソースを繰り返しデプロイすることができます。Azure Resource Manager templates allow you to repeatedly deploy your resources in a consistent state using a predetermined configuration and resource group structure. Resource Manager テンプレートを使用して、デプロイの基礎として標準のセットを定義できます。Resource Manager templates help you define a set of standards as a basis for your deployments.

たとえば、サーバー間のトラフィックを分散するために、ロード バランサーと組み合わせた Web サーバーとして 2 つの仮想マシンを含む Web サーバー ワークロードをデプロイするための標準テンプレートを作成できます。For example, you can have a standard template for deploying a web server workload that contains two virtual machines as web servers combined with a load balancer to distribute traffic between the servers. この種類のワークロードが必要な場合はいつでも、このテンプレートを再利用して、関連するデプロイ名と IP アドレスを変更するだけで構造的に同一な一連の仮想マシンとロード バランサーを作成できます。You can then reuse this template to create structurally identical set of virtual machines and load balancer whenever this type of workload is needed, only changing the deployment name and IP addresses involved.

プログラムでこれらのテンプレートをデプロイして、CI/CD システムと統合することもできます。You can also programmatically deploy these templates and integrate them with your CI/CD systems.

ポリシーの整合性Policy consistency

リソースが作成されるときにガバナンス ポリシーが確実に適用されるようにするために、リソース グループ設計の一部には、リソースをデプロイするときに共通の構成を使用することが含まれます。To ensure that governance policies are applied when resources are created, part of resource grouping design involves using a common configuration when deploying resources.

リソース グループと標準化された Resource Manager テンプレートを組み合わせることで、デプロイに必要な設定の標準と、リソース グループまたはリソースそれぞれに適用される Azure Policy ルールの標準を適用できます。By combining resource groups and standardized Resource Manager templates, you can enforce standards for what settings are required in a deployment and what Azure Policy rules are applied to each resource group or resource.

たとえば、サブスクリプション内にデプロイされたすべての仮想マシンが、中央の IT チームによって管理されている共通のサブネットに接続するという要件があるとします。For example, you may have a requirement that all virtual machines deployed within your subscription connect to a common subnet managed by your central IT team. ワークロード VM をデプロイするための標準的なテンプレートを作成できます。このテンプレートにより、ワークロードの別のリソース グループが作成され、必要な VM がそこにデプロイされます。You can create a standard template for deploying workload VMs to create a separate resource group for the workload and deploy the required VMs there. このリソース グループには、共有サブネットに参加するリソース グループ内のネットワーク インターフェイスのみを許可するポリシー ルールがあります。This resource group would have a policy rule to only allow network interfaces within the resource group to be joined to the shared subnet.

クラウド デプロイ内でのポリシーの決定の適用に関する詳細については、ポリシーの適用をご覧ください。For a more in-depth discussion of enforcing your policy decisions within a cloud deployment, see Policy enforcement.

階層的な整合性Hierarchical consistency

リソース グループを使用すると、サブスクリプション内の組織内で追加の階層レベルをサポートでき、リソース グループ レベルで Azure Policy の規則とアクセス制御を適用できます。Resource groups allow you to support additional levels of hierarchy within your organization within the subscription, applying Azure Policy rules and access controls at a resource group level. クラウド資産のサイズ拡大に合わせて、Azure エンタープライズ契約の企業、部門、アカウント、サブスクリプションの各階層を使用してサポートできる、さらに複雑なサブスクリプション間ガバナンス要件のサポートが必要となる場合があります。As the size of your cloud estate grows, you may need to support more complicated cross-subscription governance requirements than can be supported using the Azure Enterprise Agreement's enterprise/department/account/subscription hierarchy.

Azure 管理グループを使用すると、サブスクリプションをエンタープライズ契約の階層と異なる階層にグループ化することで、サブスクリプションをより高度な組織構造に編成することができます。Azure management groups allow you to organize subscriptions into more sophisticated organizational structures by grouping subscriptions in a hierarchy distinct from your Enterprise Agreement's hierarchy. この代替階層では、複数のサブスクリプションと各サブスクリプションに含まれるリソースにまたがって、アクセス制御とポリシー実施のメカニズムを適用できます。This alternate hierarchy allows you to apply access control and policy enforcement mechanisms across multiple subscriptions and the resources they contain. 管理グループ階層を使用して、クラウド資産のサブスクリプションを運用やビジネス ガバナンスの要件に一致させることができます。Management group hierarchies can be used to match your cloud estate's subscriptions with operations or business governance requirements. 詳細については、「サブスクリプション決定ガイド」を参照してください。For more information, see the subscription decision guide.

整合性の自動化Automated consistency

大規模なクラウド デプロイでは、グローバル ガバナンスがさらに重要で複雑になります。For large cloud deployments, global governance becomes both more important and more complex. リソースをデプロイするときにガバナンスの要件を自動的に適用し、強制することは、既存のデプロイの更新された要件を満たすことと同様に非常に重要です。It is crucial to automatically apply and enforce governance requirements when deploying resources, as well as meet updated requirements for existing deployments.

Azure Blueprints を使用すると、組織で Azure 内の大規模なクラウド資産のグローバル ガバナンスをサポートできます。Azure Blueprints enable organizations to support global governance of large cloud estates in Azure. Blueprints は、標準の Azure Resource Manager テンプレートで提供される機能を超えて、リソースのデプロイとポリシー規則の適用が可能な完全なデプロイ オーケストレーションを作成します。Blueprints move beyond the capabilities provided by standard Azure Resource Manager templates to create complete deployment orchestrations capable of deploying resources and applying policy rules. Blueprints では、バージョン管理、ブループリントが使用されていたすべてのサブスクリプションを更新する機能、およびデプロイされたサブスクリプションをロックしてリソースの不正な作成および変更を回避する機能がサポートされています。Blueprints support versioning, the ability to update all subscriptions where the blueprint was used, and the ability to lock down deployed subscriptions to avoid the unauthorized creation and modification of resources.

これらの展開パッケージを使用すると、IT チームと開発チームが、変化する組織のポリシー要件に準拠する新しいワークロードとネットワーク資産を迅速にデプロイできます。These deployment packages allow IT and development teams to rapidly deploy new workloads and networking assets that comply with changing organizational policy requirements. Blueprints は CI/CD パイプラインに統合して、デプロイの更新時に、改訂されたガバナンス標準をそれらのデプロイに適用することもできます。Blueprints can also be integrated into CI/CD pipelines to apply revised governance standards to deployments as they're updated.

次のステップNext steps

リソースの整合性は、クラウド導入プロセスでのアーキテクチャに関する意思決定で要求されるコア インストラクチャ コンポーネントの 1 つにすぎません。Resource consistency is just one of the core infrastructure components requiring architectural decisions during a cloud adoption process. アーキテクチャの決定ガイドの概要を参照して、他の種類のインフラストラクチャの設計に関する決定を行うときに使用される代替パターンまたはモデルを確認してください。Visit the architectural decision guides overview to learn about alternative patterns or models used when making design decisions for other types of infrastructure.