次の方法で共有


AKS のリソースの編成に関する考慮事項 (省略可能)

リソースの編成に関する考慮事項は、主にプラットフォーム基盤によって管理されますが、プラットフォーム基盤が AKS ランディング ゾーン アクセラレータに影響を与える可能性のあるいくつかの方法を次に示します。

一般的なエンタープライズ規模のランディングゾーンの推奨事項によって決定されるサブスクリプションとリソース グループの設計全体が、AKS リソース組織の管理方法において基本的な役割を果たします。 「管理グループとサブスクリプションの組織」で説明されているように、管理グループとサブスクリプションを使用して、それらの下のリソースにポリシーを割り当てます。サブスクリプションは、リソースのガバナンスおよび分離のための管理境界です。

たとえば、パブリックとプライベートのアプリケーションがある場合は、それらをそれぞれ CorpOnline という名前の異なるサブスクリプションに分離し、各サブスクリプションに異なるポリシーを割り当てます。 Corp サブスクリプションには、パブリック IP アドレスを作成できないようにするポリシーがあります。 Online サブスクリプションでは、インターネット接続が許可されます。 AKS 固有のポリシーを含め、エンタープライズ規模のランディングゾーンの設計において、どのレベルでどのポリシーを適用するかについて詳しくは、「エンタープライズ規模のランディング ゾーンの参照の実装に含まれるポリシー」を参照してください。

設計上の考慮事項

  • コンテナー ホストを管理する人を決定します。

    • ホストが集中管理されている場合は、ランディング ゾーン インスタンスの数を減らし、ホストをデプロイすることやワークロード レベルの操作に共有ダッシュボードとアラートを使用することに関して定義されたプロセスに従うことを開発者に要求することができます。

    • ワークロード チームがホストを管理している場合は、ホスト環境をセグメント化し、ワークロード チームが自分達のデプロイを制御できるようにするために、より多くのランディング ゾーン インスタンスが必要になります。

    • どちらの場合も、Web アプリケーション ファイアウォール、キー コンテナー、パイプライン ビルド エージェント、(場合によっては) ジャンプ ボックスなど、隣接する関連リソースにこの考慮事項を拡張します。

  • クラスターのテナント モデルを選択します。

    • ワークロード運用、シングル テナント: 1 つのワークロードをサポートする 1 つのクラスター ホストでは、ワークロード チームの区分けと制御を可能にするための専用のランディング ゾーンが必要になる可能性があります。

    • 集中運用、マルチテナントのホスト: ホストが集中管理されている場合、運用効率は、共有ランディング ゾーン環境での複数のホストと複数のワークロードの統合から得られます。 この統合により、1 つのクラスターまたはワークロードのサポート専用のランディング ゾーンとホストの数が削減されます。

      リージョン、事業単位、環境、重要性、その他の外部制約に基づいて区分けを分離する必要がある場合は、追加のランディング ゾーンが必要になる場合があります。

    • 集中運用、シングル テナント 依然として集中運用されている好ましくないまたは規制されたワークロードに対しては、それらのワークロードの専用ホストを持つのが一般的です。 それでも、サポートするランディング ゾーンを統合することで、運用の効率化を図ることができる場合があります。

  • ポートフォリオ全体の要件をサポートするために必要な環境とホストの一般的なスケールと配置に基づいて、管理グループ階層を選択します。

    • 各ワークロード チームで実行される、非集中型の運用の専用環境で多数の専用ホストをサポートするフラット構造。
    • 集中管理ホスト向けの管理グループと非集中型の運用向けの別個の管理グループを作成するセグメント化された構造。
    • 課金、ガバナンス、または運用要件を反映するように環境をさらにセグメント化する階層構造。
  • OCI 成果物の配布に使用するコンテナー レジストリ トポロジを決定します。

    • ワークロードごとに 1 つのレジストリ。
    • クラスターごとに 1 つのレジストリ (レジストリ内に複数のワークロードを含む)。
    • ランディング ゾーン内のすべてのクラスターごとに 1 つのレジストリ (同じレジストリ内に複数のワークロードとクラスターを含む)。
    • 複数のランディング ゾーンにわたるすべてのクラスターごとに 1 つのレジストリ (同じレジストリ内に複数のワークロードとクラスターを含む)。
  • Azure Policy のコンテナー レジストリ ポリシーのスコープを決定します。

    • ランディング ゾーン内のすべてのホストに定義されたレジストリを使用する事を要求するポリシーをサブスクリプション レベルで設定します。
    • リソース グループ レベルでより詳細なポリシーを設定します。
    • 管理グループ レベルでより広範なポリシーを設定します。

設計の推奨事項

  • Azure にデプロイされているすべてのコンテナー リソースに適用される名前付けおよびタグ付けの標準を定義します。 これには少なくとも以下が含まれます。
    • ワークロード名: 各クラスターでサポートされている 1 つまたは複数のワークロードを特定します。
      • クラスター リソース: 前述の考慮事項からクラスター リソース配置の昇格を特定します。
      • ホスト オペレーター: ホストの運用を担当するチームを特定します。
  • 組織のコンテナー レジストリ トポロジに基づいて特定の OCI 成果物レジストリを要求するポリシーを実装します。