おばんです。ガリガリ君ラバーズの荒井です。
社内の若手層からもらったQAを備忘録がてらブログでメモメモ。ざっくり・オブ・ざっくりブログですが、記録残しまーす!
Azureでガバナンスを効かせる時は、Blueprints、イニシアティブ、Azure Policyを使おう!
どんなことができるの?
準拠していないリソースを処理するためのビジネス ルールは、組織によって大きく異なります。 たとえば、組織がプラットフォームで準拠していないリソースに対応する方法には、以下のようなものがあります。
引用元:Azure Policy とは
・リソースの変更を拒否する
・リソースへの変更をログに記録する
・変更前にリソースを変更する
・変更後にリソースを変更する
・準拠している関連リソースをデプロイする
簡単に言うと?
Azureリソースをデプロイする時に、デプロイ対象リソースプロパティ(属性)に着目して、ルール違反(*)があれば明示的にデプロイを否認するシステムです。
これを活用すれば、ルール違反しているAzureリソースが世界に生まれ落ちないことになります。
(*)作成しちゃいけないインスタンスサイズを指定しているとか
Blueprints?イニシアティブ?Azure Policy?色々あってよくわからない。
ざっくり表すと以下の図のような関係です。最小単位はAzurePolicy一つから構成できますが、ガバナンスを効かせる範囲が増えると管理がメンディです。イニシアティブ、Blueprintsでグループ化し最適化しましょう。
Blueprints1:イニシアティブ N、イニシアティブ1:AzurePolicy Nみたいな関係です。定義したポリシー(Blueprints、イニシアティブ、AzurePolicy)は、リソースグループ、サブスクリプション、管理グループなどに適用できます。適用の組み合わせは以下をご覧くださいませー。うまいこと管理して運用負荷を減らしましょうー。
いかがでしょうか!?
ざっくり理解できましたら幸いです。
もっと詳細が知りたい人は、試しに作ってみましょう!それが一番近道です。
クイック スタート:ポータル内でブループリントを定義して割り当てる
以上、「ざっくり覚えるAzure Blueprints、イニシアティブ、Azure Policyの関係性とサブスク達」ブログでした!
最後までお読みいただき、ありがとうございました!