第四部:統治国家の再編(管理グループ再設計、タグ戦争、コスト統制)
- 山崎行政書士事務所
- 1月17日
- 読了時間: 10分
――『青の契約(Der blaue Vertrag)』続篇(Faust風)
配役追加
財務大臣フィノプス:FinOpsの化身。数字で人心を裁く。
予算監察官バジェッタ:Budgetの番人。閾値(しきいち)を越えると鐘を鳴らす。
配賦官アロケータ:Cost allocationの役人。「請求書は変わらぬ」と冷たく言う。
輸出商エクスポルト:Cost Management Exports の商人。帳簿を倉へ運ぶ。
タグ将軍コストセンター:必須タグ派の将軍。秩序を愛する。
自由派の工匠たち:開発者・現場部隊。速度と裁量を愛する。
根(ルート)の精霊:Root management group の寓意。沈黙して全てを支配する。
序幕 「国家は増殖する――サブスクリプションの洪水」
(舞台:雲上の地図。サブスクリプションが雨粒のように降り、地面に小さな王国を作っていく。)
山崎裁判(第三部)は勝った。だが勝利の翌朝、請求が届いた。“勝った証拠”の棚より先に、“増えた費用”の紙が積もる。
春野サブスクリプションが、増え続けてます。誰が作ったか分からないものも……。
(地図の端で笑い声。メフィスト。)
メフィスト増えよ、増えよ。小さな王国を好きなだけ作れ。統治が追いつく前に、便利が勝つ。
ゲーテ国家が増殖するなら、憲法を作り直すしかない。――“資源”を治める前に、“領土”を治める。
(黒江が地図に線を引く。線は上へ伸び、管理グループの階層になる。)
黒江管理グループ(Management groups)で、サブスクリプションを階層にまとめ直します。統一したポリシーとアクセス管理ができる。この国には、いまそれが必要です。
(雲の奥で、根(ルート)の精霊が静かに目を開く。)
第一幕 「統治国家の地図――管理グループ再設計」
(舞台:巨大な樹。根がルート管理グループ、枝が管理グループ、葉がサブスクリプション。)
根(ルート)の精霊我が下に全てはぶら下がる。だが、我が下に“混沌”までぶら下げるな。
桐谷ポリシーのスコープは、国境線だ。管理グループで定義すれば、子管理グループ・子サブスクリプションまで適用できる。複数サブスクリプションに効かせるなら、それらを含む管理グループが“場所”になる。
黒江構造案はこうです。
Platform(基盤):ネットワーク、監視、共有サービス
Landing Zones(業務):本番・非本番を環境別に枝分かれ
Sandbox(試験):実験は許すが、上限と制約で囲う
Quarantine(入国審査):新規サブスクリプションの一時収容所
山崎「Quarantine」とは、ひどい名だ。
ゲーテひどい名ほど、運用は忘れない。“勝手に生まれた王国”をまずそこへ入れる。
(黒江が“入国審査”の札を掲げる。)
黒江新しく作られるサブスクリプションが、どの管理グループへ入るか――既定を定められます。新規サブスクリプション用に別の管理グループを作り、そこに合ったポリシーやRBACを当てる、という発想です。
メフィスト(甘く)既定? そんなもの、誰も見ない。見ないなら、守れない。なら最初から自由にしてしまえ。
根(ルート)の精霊自由を名乗る混沌は、いずれ国を割る。
(合唱:運用者たちが低く歌う。)
合唱(運用)階層を作れ、境界を作れ。境界がなければ、責任も溶ける。
(幕)
第二幕 「タグ戦争――“管理グループにタグを付けたい”という禁断」
(舞台:戦場。旗には “Environment”“Owner”“CostCenter” の文字。両軍が対峙する。)
タグ将軍コストセンタータグは徴税の道具、統治の旗印。全資源に必須タグを付けよ!費用はタグで割り、責任はタグで追え!
自由派の工匠タグ? また増えた手間だ。デプロイが止まる。現場は“今”を動かしているんだ!
春野(仲裁しようとして)……じゃあ、管理グループにタグを付けて、上から一括で……。
(全員が一瞬黙る。黒江が首を横に振る。)
黒江それはできない。タグを付けられるのは、リソース、リソースグループ、サブスクリプション。管理グループには付けられません。
(戦場がざわつく。)
タグ将軍コストセンターならば――“下”で戦うしかない。資源に付ける。資源群に付ける。サブスクリプションにも付ける。だが統治は“人手”では回らない。……先生、機械を呼べ。
(ゲーテが、ロジカの糸ではなく、今度は“ポリシー”の巻物を開く。)
ゲーテタグ戦争は、兵力で勝てない。勝つのは“規範”だ。Azure Policy を使う。
(デナイの門番が出てきて槍を立てる。だがゲーテは手を上げる。)
ゲーテ拒絶(Deny)だけでは国が止まる。必要なのは――補う力。
黒江タグ統治には、Modify(修正)効果が使えます。作成・更新時にタグやプロパティを追加・更新・削除でき、既存の非準拠リソースも remediation task(修復タスク)で是正できる。そして Modify の割り当てには managed identity が要る。
タグ将軍コストセンターつまり、タグを“付けさせる”のではなく、“付くようにする”。
桐谷さらに現実的には、タグ用のポリシー定義(例:リソース/リソースグループ/サブスクリプションへタグ追加)を用意して、デプロイ時に自動適用し、既存は修復タスクで追いつかせる。――そういうサンプル群も示されています。
自由派の工匠でも、タグに何でも書く奴が出る。“重要情報”とか、個人名とか……。
山崎それは規程で禁じる。
ゲーテ禁じる理由は技術にある。タグは平文で見える。コストレポート、API、履歴、ログ……様々な面に現れる。ゆえに、タグに機微情報を入れるな、という警告がある。
(タグ将軍は頷き、しかし旗をさらに増やそうとする。)
タグ将軍コストセンター必須タグは十六。任意タグは三十二。全軍、覚えよ!
春野(悲鳴)覚えられません!
(ゲーテが、巻物を束ねる。)
ゲーテ個別の掟を乱立させるな。掟は束ねよ。イニシアチブ(Initiative)だ。
黒江イニシアチブは複数ポリシー定義をまとめ、一つとして割り当て・管理できる。タグ系ポリシーも、束ねて一枚にできます。
(戦場が静まる。タグ戦争は、“憲章”で鎮まる気配を見せる。)
(幕)
第三幕 「コストの魔――予算の鐘と、責任の分配」
(舞台:大蔵省。金貨が流れ、メーターが振り切れそうになっている。財務大臣フィノプスが登場。)
財務大臣フィノプス統治には金が要る。金が燃えれば、統治は灰になる。――予算を置け。
(予算監察官バジェッタが鐘を持っている。)
予算監察官バジェッタ閾値に達したら、私は鳴らす。鳴らして終わりではない。“行動”を呼ぶ。
黒江Cost Management では予算(Budgets)を作り、閾値到達時に通知できます。また、サブスクリプションまたはリソースグループの予算なら、Action group を呼び出せます。
桐谷Action group は“自動化の呼び鈴”だ。通知だけでなく、連携先次第で運用アクションにも繋がる。ただし、少なくとも現時点の説明では、Action group はサブスクリプション/リソースグループのスコープでサポート、とされている。
春野じゃあ、管理グループでまとめて予算にして、一括で止める……は?
財務大臣フィノプス止めるな。“止める権限”は、政治だ。まず“見える化”だ。
(書記官アズールに似た“コスト書記”が現れ、巻物を読み上げる。)
コスト書記コストアラートには種類がある。予算アラート、クレジットアラート、部門の支出枠アラート――そして異常(anomaly)の警報もある。
(メフィストが金貨を弄びながら囁く。)
メフィストアラート? 鳴るだけだ。鳴る鐘には慣れる。慣れたらまた燃える。
ゲーテ慣れないように、仕組みを変える。“誰の費用か”を分けるのだ。
(配賦官アロケータが登場。冷たい顔。)
配賦官アロケータ配賦(Cost allocation)を望むか。なら教えよう。共有サービスの費用を、サブスクリプション・リソースグループ・タグ間で移し替える。だが請求書は変わらぬ。これは社内のチャージバック/ショーバックを助ける道具だ。
財務大臣フィノプス(眉をひそめる)請求書が変わらない?なら無意味では?
配賦官アロケータ無意味ではない。“責任”を変える。そして責任が変われば、行動が変わる。
黒江ただし注意もあります。コスト配賦は予約(Reservations)やSavings Plansのような購入には対応しない、とされています。
山崎なら規程に書く。「配賦は請求の再配分ではなく、社内管理のための説明資料である」「配賦の対象外(例:購入系)があることを前提に、別の説明手段を用意する」
(財務大臣フィノプス、静かに頷く。)
第四幕 「帳簿の輸出――“見える化”は倉庫へ行く」
(舞台:港。荷箱に “Exports” の刻印。輸出商エクスポルトが笑いながら帳簿を運ぶ。)
輸出商エクスポルト手で落とすな、帳簿を。毎日・毎月、自動で倉に送れ。Cost Management のデータは、定期エクスポートできる。倉(Azure Storage)へ運び、外部の台帳とも混ぜられる。FinOpsを回すための仕掛けだ。
春野毎月、私がCSVを落として配るの、終わりますか?
輸出商エクスポルト終わる。終わらせるために私はいる。
ゲーテだが倉庫は“証拠棚”でもある。帳簿が改ざんされたと言われぬよう、倉の統制を忘れるな。(第三部の影が、遠くで揺れる。)
第五幕 「最後の誘惑――“タグ継承”という甘い言葉」
(舞台:会議室。タグ将軍と財務大臣が、同じ資料を見ている。)
財務大臣フィノプスタグを付ける手間があるなら、勝手に“継承”させればいい。上に付けたタグを、下へ自動で。
黒江“タグ継承”には注意が必要です。Cost Management には、サブスクリプションやリソースグループのタグをコストデータ上でリソースに“コピーしたように見せる”機能がある。しかし、それはリソース自体のタグとして保存されない。そして他サービス(例:Azure Policy)では使えない、とされています。
タグ将軍コストセンター……つまり、財務の目には見えるが、統治の槍(Policy)には乗らぬ。
ゲーテそうだ。“数字の都合”と“統治の都合”は、似て非なるもの。だからタグ戦争は、政策(Policy)で終わらねばならない。
(メフィストが、わざとらしく拍手する。)
メフィスト見事だ。複雑さを増やして、皆を疲れさせた。疲れれば、やがて誰かが言う。「もういい、例外で」と。
山崎だから第二部がある。例外は制度として、期限と理由と承認で縛る。
桐谷そして第一幕がある。勝手に増えた王国は、入国審査へ落ちる。
(根(ルート)の精霊が、再び目を閉じる。)
終幕 「統治国家の再編――“静かな秩序”の誓約」
(舞台:管理グループの樹が、整然とした森になる。タグの旗は減り、しかし揃う。予算の鐘は、必要なときだけ鳴る。)
ゲーテ統治とは、自由の否定ではない。自由が燃え尽きないように、燃料の流れを測り、旗印を揃え、国境線を引くことだ。
財務大臣フィノプス数字は嘘をつかない。だが“意味”は、付けねば現れない。
タグ将軍コストセンター旗印は多すぎれば戦になる。少なすぎれば国が割れる。――核心だけを必須にしよう。
山崎規程にこう書く。「管理グループで統治の境界を定める」「タグで責任と費用の文脈を定める」「予算とアラートで異常を早期に可視化し、必要に応じて自動化の呼び鈴を鳴らす」「配賦と輸出で、説明責任を社内に流通させる」
メフィスト(消え際に)よい。だが覚えておけ。統治が整うほど、私は“たった一つの例外”に姿を変える。その一つを、君たちがどう扱うか――それが次の劇だ。
(ログの書記のペン音ではなく、今度は“予算の鐘の遠い余韻”が残って幕。)
(終)
舞台裏メモ(物語を“現実の設計”に落とす要点)
物語の中で実際に使っているAzureの骨格だけ、短く整理します。
管理グループ再設計
管理グループは、サブスクリプションを階層化し、統一したポリシーとアクセス管理を行うための仕組み。
Azure Policy は管理グループスコープで定義・割り当てでき、子管理グループや子サブスクリプションへ適用できる。
新規サブスクリプションの既定の所属先管理グループを定め、組織全体のガバナンスや、新規向けの別ポリシー/RBACを当てる考え方がある。
Cloud Adoption Framework でも、サブスクリプションが増えるほど管理グループ階層が重要になる、という趣旨で整理されている。
タグ戦争の“勝ち筋”
タグを付けられるのはリソース/リソースグループ/サブスクリプションで、管理グループには付けられない。
タグ統治には Azure Policy を使い、Modify 効果でタグの追加・更新・削除や、修復タスクによる既存是正ができる(ModifyにはマネージドIDが必要)。
タグ系のポリシー例(追加/置換など)と、デプロイ時自動適用+既存は修復で追いつかせる、という説明がある。
タグは平文で多方面に露出し得るため、機微情報を入れない注意がある。
イニシアチブ(Initiative)は複数ポリシーを束ねて一つとして割り当て・管理でき、タグ系ポリシーをまとめる例が示されている。
コスト統制(予算・配賦・輸出)
予算(Budgets)は通知でき、サブスクリプション/リソースグループの予算ではアクショングループを呼べる(サポート範囲の注意あり)。
Cost Management のアラートは、予算・クレジット・部門支出枠などの種類があり、異常検知アラートにも触れられている。
コスト配賦(Cost allocation)は、共有サービスの費用をサブスクリプション/リソースグループ/タグ間で再配分して“説明と責任”を助けるが、請求書自体は変えない。予約やSavings Plansなど購入系は対象外、という注意がある。
Cost Management Exports は、コストデータを日次/月次などで Azure Storage に自動エクスポートでき、FinOpsのために外部データと組み合わせる用途が示されている。
Cost Management の「タグ継承」はコストデータ上の補助であり、リソースに保存されず、Azure Policy など他サービスでは利用できない旨の注意がある。
コメント