Azure Lighthouse によってサービス プロバイダーの大規模な管理が可能になる方法

2019年7月11日 に投稿済み

Chief Technology Officer, Microsoft Azure

委任されたリソース管理による Azure Resource Manager の拡張

本日、Microsoft Azure のコーポレート バイス プレジデントである Erin Chapple 氏は、Azure Lighthouse の一般提供を発表しました。これは、サービス プロバイダーが顧客全体にわたって Azure を表示して管理するための単一のコントロール プレーンです。Azure Lighthouse は、Azure パートナーが自社のマネージド サービスのプラクティスにコードとしてのインフラストラクチャと自動化を継続的に組み込んでいることにヒントを得たものであり、委任されたリソースの新しい概念を導入して、テナント間の統制と運用を簡略化します。

きめ細かなアクセス、自動化の改善、簡略化された顧客オンボード

Azure Lighthouse を強力にしているのは、Azure Resource Manager に備わっている、委任されたリソース管理という機能です。委任されたリソース管理を使用すれば、顧客はサブスクリプション、リソース グループ、個々のリソースなどのスコープを超えてサービス プロバイダーに権限を委任できるため、サービス プロバイダーが管理操作を代行できるようになります。顧客がサービス プロバイダーにリソースを委任すると、サービス プロバイダーは、標準のロールベースのアクセス制御 (RBAC) メカニズムを使用して、顧客から指定された制約内でプロバイダーのテナント内のユーザーまたはアカウントにアクセスを提供することができます。標準の RBAC メカニズムは、顧客リソースがプロバイダー自身のサブスクリプション内のリソースであるかのように動作します。最後に、委任されたリソース管理は、サービス プロバイダーとその顧客が選択するライセンス コンストラクト (マイクロソフトエンタープライズ契約 (EA)、クラウド ソリューション プロバイダー (CSP)、従量課金制) に関係なく、一貫して機能します。

「Azure の委任されたリソース管理は、Nordcloud のお客様がセキュアなアクセスを簡単に提供できるようにしてくれました。新しいマネージド サービスのお客様のオンボードが簡略化され、弊社のセキュリティとコンプライアンスの高い基準が満たされていることが保証されています。」

Nordcloud、グループ CTO、Ilja Summala 氏

可視性と統制が強化された、大規模なテナント間管理

委任された管理は、サービス プロバイダーの大規模な管理と自動化のパターンを類例のない仕方でサポートします。プロバイダーが、顧客の代理として機能するマネージド サービス パートナーであるか、複数の Azure テナントを抱える企業の中心的な IT チームであるかは問いません。パートナーは、何千もの顧客の何万ものリソースを自社の Azure portal や CLI コンテキストから管理できるようになりました。サービス プロバイダーからは顧客リソースが自社のテナント内の Azure リソースに見えるため、サービス プロバイダーは、多数の顧客のリソースにまたがって、状態の監視と、作成/読み取り/更新/削除 (CRUD) の変更の適用を 1 か所から簡単に自動化できます。

Azure のリソース管理に関係するあらゆるものが、委任されたリソース管理に従います。これには、Azure portal から始まって、Azure Policy や Resource Graph などのサービス、Azure Monitor の Log Analytics 機能、Update Management が含まれます。その上、顧客もサービス プロバイダーもアクティビティ ログを見れば誰がリソースにアクションを実行したかがわかるので、双方の説明責任が改善され、個々のサービス プロバイダーの ID のプライバシーが保護されます。これは、Azure サービスが、新しく構築されたリソース プロバイダーである Microsoft Managed Services によって、呼び出し元がリソースのホーム テナントなのか、サービス プロバイダーのテナントなのかを判断できるようになるからです。

委任されたリソース管理

パートナー様には、これらの新機能の使用方法についていくつかの選択肢があります。Azure Lighthouse ポータル エクスペリエンスには、対応する API、PowerShell、Azure CLI、REST API、クライアント SDK があるため、他のクラウド管理ポータル、ITSM ツール、監視ツールへの統合が容易です。

パートナーが Azure Lighthouse を使用する方法

エキスパート パートナーである Rackspace と Sentia の 2 つの例から Azure Lighthouse と委任されたリソース管理の能力を確認できます。

Rackspace は、次の 3 段階で Azure Lighthouse を使用してセキュリティと顧客対応の機能を強化しています。

  1. Azure Resource Graph とテナント間クエリを利用して、影響を受けたイメージやホストがデプロイされている顧客をすばやく検出する
  2. すべての顧客の管理対象資産全体にゲスト内監査ポリシーを適用して、影響/脆弱性に関連するホスト設定を確認する
  3. 更新管理を使用して、影響を受けたシステムに関するレポートを作成し、対象のホット フィックスをスケジュール設定する

Sentia は、CI/CD パイプラインを中心に据えて宣言型の Azure Resource Manager テンプレートを使用し、Azure CSP ライセンス コンストラクト下のすべての顧客に対する管理成果物をプロビジョニングしました。Sentia のマネージド サービス オファーは、現在、90% が Resource Manager テンプレートに基づいています。顧客全体で監視、統制、管理の各タスクが大規模に自動化されることで、デプロイが大幅に簡略化されました。 

パートナーのための Azure Resource Manager への継続的な投資

Azure Lighthouse と委任されたリソース管理は、Microsoft がパートナーのために行っているプラットフォーム投資の最新のものに過ぎません。Azure のマネージド アプリケーションやカスタム プロバイダーと併用することにより、パートナーと顧客の包括的で大規模な管理機能が可能になります。詳細については、Microsoft Build 2019 でのデモをご覧ください。Microsoft が行ったその他の管理の革新の一部を以下に示します。

  • Azure Resource Manager API と Azure Resource Graph クエリがテナントのコンテキストで強化されたため、パートナーは、最小限の開発でテナント間のエクスペリエンスをソリューションに組み込むことができます。
  • サービス プロバイダーと ISV は、カスタム プロバイダーを使用して、Azure 内の IP をネイティブに拡張して提供できます。ITSM ツールの機能をネイティブで Azure に統合するカスタム プロバイダーの機能を利用して、エンドカスタマーが Azure の中からサービス プロバイダーにサービス要求を上げている様子をご想像ください。
  • 顧客は、サービス プロバイダーから提供されたすぐに使える管理が付属している、パートナーが開発したアプリケーションを Azure Marketplace から購入できます。基礎となるアプリケーション リソースは顧客から保護されていますが、顧客は新しいマネージド アプリケーション UI を使用してアプリケーションと安全に相互作用できます。サービス プロバイダーは、アプリケーションに対するフル アクセス権が付与されるため、マネージド アプリケーション センターから顧客に対するアプリケーション サポートを維持、更新、提供できます。

「Veeam のサービスとしてのバックアップ オファリングに新しい Azure Lighthouse 機能が導入されたことを喜んでいます。これは、弊社のクラウドベースのビジネス オファリングの自然な拡張を表しています。このパートナーシップは、弊社のマネージド サービス プロバイダーが Azure Lighthouse を使用して Veeam のサービスとしてのバックアップ オファリングを容易に拡張し、その Azure の顧客を大規模に管理する大きなチャンスです。」

North America Cloud, Ingram Micro Inc.、副社長、Tim FitzGerald 氏

プラットフォームとしての Azure がパートナーの役に立てば立つほど、パートナーは、差別化されたサービスとより高い価値を共同の顧客に提供することに集中できます。これは、パートナーが Azure でもっと多くのことを実現できることを意味します。Azure Lighthouse と委任されたリソース管理に対するフィードバックをお送りいただければ幸いです。