Azure VMware Solution ワークロードを Azure ランディング ゾーンと統合する
各組織はワークロードを管理し、クラウド環境を一意に運用します。 一般的なクラウド運用モデルは、分散型
さまざまなモデルの最も重要な違いは、所有権のレベルです。 分散型モデルでは、ワークロード所有者は、ガバナンスに対する中央 IT 監視なしで自律性を持っています。 たとえば、独自のネットワーク、監視、ID の要件を管理します。 一方、集中型モデルでは、ワークロード所有者は中央 IT チームが設定したガバナンス要件に従います。
モデルの詳細については、「一般的なクラウド運用モデルを確認して比較する」を参照してください。
ワークロード所有者は、組織が使用する運用モデルを理解する必要があります。 この選択は、責任を負う技術的な決定と、中央チームに対して推進する技術的要件に影響します。
Azure VMware Solution の機能を最大限に活用するには、組織に適用されるベスト プラクティスを活用する必要があります。 このプラットフォームは、適応性と柔軟性を提供し、Azure VMware Solution 環境が将来の成長に対応するのに役立ちます。
Azure ランディングゾーン
Azure ランディング ゾーンは、組織の全体的なクラウド フットプリントを示す概念アーキテクチャです。 それぞれに固有の目的を持つ複数のサブスクリプションがあります。 中央チームは、Azure プラットフォームランディング ゾーンなど、一部のサブスクリプションを所有しています。
Azure ランディング ゾーンの概念を理解するには、「Azure ランディング ゾーンとは」を参照してください。.
重要
Azure VMware Solution には、特に Azure サービスとの統合に関連する特定の考慮事項と要件があります。 Azure VMware Solution ランディング ゾーン アクセラレータと Azure VMware Solution の Azure Well-Architected Framework ガイダンスは、これらの必要なカスタマイズを強調することを目的としています。 これらのリソースには、クラウド導入フレームワークの観点も組み込まれており、クラウド対応性に対する包括的なアプローチを実現します。
このアーキテクチャの Visio ファイル をダウンロードします。
プラットフォームランディングゾーン
ワークロードが移行される前に、Azure VMware Solution プライベート クラウドがデプロイされる場合があります。 それ以外の場合は、プライベート クラウドがワークロードにデプロイされます。 どちらの場合も、プライベート クラウドは複数の外部サービスと対話する必要があります。 中央チームは、プラットフォームランディングゾーンの一部としてこれらのサービスの一部を所有している可能性があります。 これらのサービスの例としては、ドメイン解決、ネットワーク接続、セキュリティ サービスなどがあります。 これらの外部サービスとの対話は、基本的な懸念事項です。 完全に機能するためには、Azure VMware Solution プライベート クラウドにデプロイされるワークロードには、プラットフォーム チームとワークロード チームが同じ責任の考え方を共有する必要があります。
Azure VMware Solution ワークロードを実行するために必要なプラットフォーム ランディング ゾーンのデモについては、Microsoft Azure VMware Solutionの Azure ランディング ゾーンレビュー
アプリケーションランディングゾーン
別のサブスクリプションがあります。これは、ワークロード所有者を対象とした Azure アプリケーション ランディング ゾーンとも呼ばれます。 このアプリケーション ランディング ゾーンは、VMware ワークロードをデプロイする場所です。 ワークロードを実行するために必要な基本的なインフラストラクチャを提供するプラットフォーム ランディング ゾーンにアクセスできます。 たとえば、ネットワーク、ID アクセス管理、ポリシー、監視インフラストラクチャなどがあります。
アプリケーション ランディング ゾーンに関するガイダンスは、Azure VMware Solution ワークロードに適用されます。 詳細については、「プラットフォーム ランディング ゾーンとアプリケーションランディング ゾーンの」を参照してください。 このガイダンスには、ワークロードを効率的に管理するための推奨事項が含まれています。
Azure VMware Solution ワークロードのアプリケーション ランディング ゾーンのデモについては、Azure VMware Solutionsのアーキテクチャ例
設計領域の統合
このセクションでは、プラットフォームが提供する強固な基盤について説明します。 また、このディスカッションでは、プラットフォーム チームとワークロード チームの間で共有される責任の領域についても説明します。
プラットフォームの責任
Azure VMware Solution プラットフォーム チームは、アプリケーション チームがインフラストラクチャを構築する準備ができていることを確認します。 一般的なタスクには、次のようなものがあります。
- Azure VMware Solution ソフトウェア定義データセンター (SDDC) のアクティブ化が発生し、リージョン、ノード、およびネットワーク設定が定義されていることを確認して、容量の を要求します。 プラットフォーム チームは、コンピューティング リソース、リソース プール、仮想記憶域ネットワーク (vSAN) ストレージ、クラスタリングを割り当てます。
- サービス レベル アグリーメント (SLA) を満たすインフラストラクチャを戦略的に構築することで、目標復旧時点 (RPO) と目標復旧時間 (RTO) を満たすように設計。
- オンプレミス システム、Azure、およびインターネットへの接続 のセキュリティ保護と最適化。 このタスクには、ルーティング、ファイアウォール エントリの設定、一元化されたネットワーク アプライアンスの管理が含まれます。
- Azure DNS、Azure Backup、Azure Monitor、Log Analytics、Microsoft Entra ID、Azure Key Vault との統合など、Azure 統合の管理。
共同責任
ワークロード チームとプラットフォーム チームには、個別の責任があります。 しかし、多くの場合、両方のチームが密接に連携して、ワークロードの可用性と回復性を確保します。 チームは、Azure VMware Solution で実行されるワークロードの全体的な成功に向けた取り組みを調整します。 クラウドベースのアプリケーションを正常にデプロイするために、プラットフォームチームとアプリケーション チーム間の効果的なコラボレーションが不可欠です。
プラットフォームとアプリケーションランディングゾーンの設計領域は密に結合されています。
- ワークロードに必要なプラットフォーム リソースの変更の詳細については、Microsoft Azure VMware Solutionの Azure ランディング ゾーン レビュー
参照してください。 - ワークロードの技術仕様の詳細については、「主要な設計領域とは」を参照してください。.
設計領域 - インフラストラクチャ
バックアップとディザスター リカバリー は、アプリケーションチームとプラットフォーム チームの両方が実装に役割を持つインフラストラクチャ設計の領域です。
- Azure VMware Solution プラットフォーム チームは、仮想マシン (VM) と Azure VMware Solution コンポーネントのインフラストラクチャ レベルのバックアップとレプリケーションを設定します。
- アプリケーション チームは、アプリケーション レベルのバックアップとデータ復旧の手順を担当します。
一部の組織では、一部の運用は共有責任です。 次の表に例を示します。
| プラットフォーム チームの責任 | 負荷分担チームの責任 |
|---|---|
| - インフラストラクチャバックアップ。 Azure VMware Solution コンポーネント、VM、コア インフラストラクチャのバックアップを実装します。 - VM イメージ バックアップの構成。 障害発生時に VM ディスク (VMDK) などの形式からインフラストラクチャをすばやく復旧します。 - ディザスター リカバリー計画。 Azure VMware Solution インフラストラクチャのサイト フェールオーバー、データ レプリケーション、および RPO および RTO ターゲットの維持のためのメカニズムを定義します。 |
- データバックアップ. エージェントベースの VMware と互換性のあるバックアップ ソリューションを使用して、アプリケーション固有のデータとデータベースをストレージの場所にバックアップします。 - アプリケーション構成。 アプリケーションが動作する必要があるアプリケーション構成、設定、およびライブラリを管理します。 - タスクの優先順位付け。 重要なタスクを不要なタスクから識別します。 - データの復元と回復の。 バックアップからアプリケーション データを定期的に復元します。 実際のシナリオでアプリケーションが機能状態に戻っていることを確認します。 |
デザイン領域 - ネットワーク
DNS 解決 は、ネットワーク設計領域の主要な概念です。
Azure VMware Solution の DNS 構成には、ホスト名と IP アドレスのマッピングが含まれます。 このマッピングにより、Azure VMware Solution と広範なネットワーク内の VM とサービス間の接続が確立されます。 次の表に、DNS の役割を示します。
| プラットフォーム チームの責任 | ワークロード チームの責任 |
|---|---|
| - VM をドメイン コントローラーとして起動します。 - プライベート DNS ゾーンを作成します。 - ドメイン名を管理します。 - 逆引き DNS 参照を構成します。 |
- ホスト名を構成します。 - アプリケーションの有効期間 (TTL) 設定を管理します。 - 内部 DNS 解決を管理します。 - アプリケーションに影響を与える DNS 監視とアップダウン アラートを管理します。 |
デザイン エリア - オペレーション
キー管理 は、運用において重要な領域です。
アプリケーション チームとプラットフォーム チームの両方に、キーとパスワードの管理に関する責任があります。 これらのロールは、Azure VMware Solution で実行されるアプリケーションのセキュリティとアクセス制御を確保するのに役立ちます。 次の表に、チームの責任の違いを示します。
| プラットフォーム チームの責任 | ワークロード チームの責任 |
|---|---|
| - インフラストラクチャ キー管理。 暗号化キーと、暗号化されたディスクや VM テンプレートなどのインフラストラクチャ レベルのデータを管理します。 - インフラストラクチャ資格情報。 VMware vCenter Server や VMware ESXi ホストなどのコンポーネントの Azure VMware Solution 管理者資格情報を管理します。 - プラットフォームのアクセス制御。 Azure VMware Solution 環境でユーザー ロールとアクセス許可を定義します。 - Key Vault: Key Vault インスタンスの作成、コンテナーの保護、インフラストラクチャとプラットフォームのシークレットの管理、暗号化および復号化操作の管理を行うポリシーを構成します。 |
- アプリケーション固有の資格情報とキー (API、データベース、シークレットへのアクセスに使用される資格情報など) を管理します。 - 承認されていないアクセスを防ぐために、通常のパスワード ローテーションと資格情報の有効期限ポリシーを実装します。 - アプリケーションの資格情報が安全に保存され、アプリケーション コードまたは構成ファイルにハードコーディングされていないことを確認します。 - これらのシークレットへのアクセスを必要とするアプリケーションやサービスに特化したキーボルトのアクセス ポリシーを定義します。 |
次の手順
評価ツールを使用して、設計の選択を評価します。