Azure サブスクリプションの作成とスケーリング

この記事は、1 日目から適切な方法でサブスクリプションを作成するのに役立ちます。 サブスクリプションは、クラウド リソースを整理、セキュリティ保護、管理するための基盤です。 思慮深いセットアップにより、ビジネスの成長に合わせて時間、コスト、労力を節約できるようになりました。

前提条件:Azure アカウントを作成します。 スタートアップは、Azure クレジットの対象かどうかを確認します。

サブスクリプション ポリシーから始める

最初のサブスクリプションを作成する前に、それらをデプロイおよび管理するための適切な方法を定義することが重要です。 サブスクリプションはアクセス、コスト、セキュリティの管理に役立ちます。そのため、計画を事前に用意すると、後でスケーリングできます。 作業を開始する方法を次に示します。

1. 管理グループを使用してサブスクリプションを管理します。 管理グループを使用すると、階層的な組織とポリシーの継承が可能になり、大規模なガバナンスが簡素化されます。 関連するサブスクリプションをグループ化し、Azure Policy を使用してガバナンス ポリシーを適用します。 高度なシナリオについては、 Azure ランディング ゾーン管理グループに関するページを参照してください。

2. サブスクリプションの作成と管理のプロセスを確立します。 新しいサブスクリプションを要求し、承認できるユーザーと、それらを構成する方法 (ポリシー、アクセス、予算) の明確なプロセスを定義します。 標準化されたプロセスにより、すべてのサブスクリプションがガバナンス要件を満たしながら、サブスクリプション管理アクティビティの監査証跡とアカウンタビリティを提供します。

3. サブスクリプションを使用してワークロードを分離します。 同じサブスクリプションに複数のワークロード環境を配置しないでください。 運用環境、非運用環境、サンドボックス環境用に個別のサブスクリプションを作成します。 各環境には、個別のガバナンス ポリシーとアクセス制御が必要です。 この分離により、運用ワークロードが保護され、イノベーションがサポートされ、コストの追跡、アクセス制御、ポリシーの適用が簡素化されます。 詳細については、 Azure ランディング ゾーンのアプリケーション環境に関するページを参照してください。

初期サブスクリプションを作成する

ポリシーを設定したら、最初のサブスクリプションを作成する準備ができました。 少なくとも、次のガイダンスに従ってください。

1. 適切な境界を確立するには、3 つのコア サブスクリプションから始めます。 ライブ ワークロード用に 1 つの運用サブスクリプション、開発とテスト用の非運用サブスクリプション、および実験と学習用に 1 つのサンドボックス サブスクリプションを作成します。 この構造により、管理オーバーヘッドを低く抑え、コストを予測可能にしながら、重要な分離を実現します。

2. Azure Dev/Test の価格を使用して、非運用環境でのコストを最適化します。Azure Dev/Test オファーを 使用すると、開発、テスト、トレーニングアクティビティのコストを大幅に削減できます。 これらの価格上の利点は、小規模な組織が適切な環境の分離とガバナンスのプラクティスを維持しながら、クラウドへの投資を最大化するのに役立ちます。

3. Azure portal を使用してサブスクリプションを作成します。 Azure portal で [サブスクリプション] に移動し、[追加] を選択します。ワークロードと環境の両方を明確に示すわかりやすい名前を指定します。 適切な課金アカウントとプランを選択します。 適切なサブスクリプション ディレクトリと管理グループを選択します。 サブスクリプション所有者を割り当て、支出アラートの予算を構成します。 標準化されたタグを適用して一貫性を確保します。 詳細なガイダンスについては、「 MCA サブスクリプションの作成 」または 「EA サブスクリプションの作成」を参照してください。 組織が成熟したら、一貫性を確保し、手動での作業を減らすために、 プログラムでサブスクリプションを作成 することを検討してください。

サブスクリプションを管理する

効果的なサブスクリプション ガバナンスにより、クラウド リソースのライフサイクル全体を通じて、セキュリティで保護され、準拠し、コスト効率が維持されます。 Azure ロールベースのアクセス制御、ポリシー、タグ、リソースなど、すべての標準サブスクリプションの外観を決定する必要があります。 その方法は次のとおりです。

1. 既定でリソースのデプロイを制御します。 管理グループ レベルで Azure Policy を使用して、ガバナンス ポリシーを適用します。 Azure Policy の 一般的な 定義から始めます。たとえば、リソース、場所、削除をブロックできます。 その他の例については、「 自動ポリシーの適用」を参照してください。

2. Azure ロールベースのアクセス制御を適用します。 ロールベースのアクセス制御により、ワークロード チームは、セキュリティ境界を維持しながら、リソースを効果的に管理できます。 作成時に Azure ロールベースのアクセス制御をサブスクリプションに割り当て、ワークロード チームが責任を果たすのに必要な最小限のアクセス許可を提供します。 ワークロード チームがリソース グループとリソースへのアクセス権を付与できるようにします。 詳細については、 Azure ランディング ゾーンのアクセス制御に関するページを参照してください。

3. 各サブスクリプションに予算とコストアラートを適用します。 Microsoft Cost Management ツールは、財務ガバナンスを提供し、予期しない支出を防ぎます。 定義された間隔で自動アラートを使用して適切な 予算しきい値 を設定し、コストが制限を超える前に通知します。 これらの制御は、チームがクラウド支出を責任を持って管理しながら、財務関係者に可視性を提供するのに役立ちます。

4. ガバナンスとコストの割り当てに関するリソース タグ付け標準を確立します。 一貫性のあるタグ付けにより、環境全体で正確な追跡とレポートが可能になります。 ガバナンス レポートとチャージバック プロセスをサポートするために、所有権、コスト センター、環境、アプリケーションの必須タグを定義します。 この標準化により、サブスクリプション全体のすべてのリソースの可視性とアカウンタビリティが向上します。 詳細については、「タグ付け戦略を定義する」を参照してください。

サブスクリプションをスケーリングする

クラウド環境が拡大するにつれて、サブスクリプション戦略が進化する必要があります。 ガバナンスを損なうことなく、成長をサポートするスケーラブルなパターンを確立します。 その方法は次のとおりです。

1. 定義済みの構成でテンプレートを使用します。 インフラストラクチャをコードとして使用し、ポリシー、ロールの割り当て、タグ、および各サブスクリプションの種類に合わせたベースライン リソースを含めることで、一貫性とコンプライアンスを確保します。 例については、 Azure ランディング ゾーンの Bicep テンプレートに関するページを参照してください。

2. サブスクリプションのプロビジョニングと管理を自動化します。 自動化ツールは手動エラーを排除し、大規模なコンプライアンスを確保します。 これらのツールにより、サブスクリプションの作成、構成、ガバナンスが合理化され、ビジネス ニーズへの対応が加速されます。 詳細については、サブスクリプション ベンディングを参照してください。

3. サブスクリプションのクォータと制限を事前に監視します。 定期的な監視により、予期しないサービスの中断を防ぐことができます。 重要なしきい値に達する前に、Azure サブスクリプションの制限に対するリソース使用量を追跡して、必要なサブスクリプションが増えるタイミングを特定します。 詳細については、 Azure サブスクリプションの制限とクォータに関するページを参照してください。

4. アーキテクチャでサブスクリプション間のネットワーク コストを最適化します。 効率的なネットワーク設計は、分離とコスト管理のバランスを取ります。 ワークロードの分離と共有サービス アクセスを維持しながら、サブスクリプション間の不要なデータ転送を最小限に抑えます。 このアプローチにより、運用要件を損なうことなくコスト効率を確保できます。

5. クラシック デプロイ モデルのリソース分離を計画します。 クラシック デプロイ モデルで作成されたレガシ リソースでは、Azure ポリシー、ロールベースのアクセス制御、リソースのグループ化、タグを使用できません。 管理の複雑さを回避し、最新のリソースの適切なガバナンスを可能にするために、これらのリソースを専用サブスクリプションに移動します。 詳細については、「 Azure リソースを別のリソース グループまたはサブスクリプションに移動する」を参照してください。

6. ビジネス ニーズがサブスクリプションの作成を促進できるようにします。 Azure サブスクリプション戦略は、組織の優先順位に基づいて進化する必要があります。 ビジネスが成長するにつれて、イノベーション、移行、コスト管理、運用、セキュリティ、ガバナンスなどの特定のニーズが、より多くのサブスクリプションの作成を正当化する可能性があります。

7. サブスクリプション間でリソースを移動する方法を決定します。 サブスクリプション モデルが拡大するにつれて、一部のリソースが他のサブスクリプションに属していると判断する場合があります。 サブスクリプション間で移動できるリソースの種類は多数あります。 自動デプロイを使用して、別のサブスクリプションでリソースを再作成することもできます。 詳細については、「 Azure リソースを別のリソース グループまたはサブスクリプションに移動する」を参照してください。

サブスクリプションの監視

継続的な監視と最適化により、サブスクリプションの設計が引き続きビジネス ニーズを満たすことができます。 定期的なレビューは、改善点を特定し、問題がエスカレートするのを防ぐのに役立ちます。 その方法は次のとおりです。

1. 定期的なアクセス レビューを実施する。 サブスクリプション アクセスを四半期ごとまたは年単位で確認し、ビジネス ニーズに確実に対応します。 Microsoft Entra Privileged Identity Management (PIM) を使用して、特権アクセスを管理および監査します。

2. サブスクリプションのライフサイクル管理を計画します。 未使用のサブスクリプションの使用停止、リソースの転送、コンプライアンスの維持のためのプロセスを定義します。 効果的なライフサイクル管理により、スプロールを防ぎ、環境を整理し、コスト効率を維持します。

次のステップ