SREチームのあおしょん(本名:青木)です。
本記事は Datadog Advent Calendar 2024 の12/6(金)投稿になります。
今回のテーマは当グループにおけるDatadogのMultiple-OrganizationとOrg (Organization) 構成についてです。
上記公式ドキュメントの概要です。
1 つの親組織アカウントから複数の子組織を管理することができます。これは通常、お互いのデータにアクセスできない顧客を持つマネージドサービスプロバイダーが使用します。
ドキュメントにも記載がある通り、同じ親Orgに所属する子Orgのユーザーは所属していない子Orgのデータにはアクセスできません。親Orgに所属するユーザーについても同様です。
親Orgは子Orgの利用状況(Plan & Usage の Usage)のみを見ることができます。
上記を踏まえて、当グループではどのようにOrg構成を整備したかをご説明します。
整備前のOrg構成
Multiple-Organization自体は私が当グループでDatadogに触れ始める前から有効になっていました。 Org構成は下記の通りです。Datadog導入当初は当グループが運用するサービスはmyTOKYOGASのみでした。
補足として、Orgの環境数は各サービスで異なりますが、今回は構成例として本番、開発のみを記載しています。
上図をご覧頂ければ分かる通りmyTOKYOGAS本番環境用のOrgがMultiple-Organizationの親Orgとなっていました。
この場合、子Orgを作成するユーザーにはmyTOKYOGAS本番環境用のOrgのDatadog Admin Roleを割り当てる必要があります。
繰り返しとなりますがDatadog導入当初は当グループが運用するサービスはmyTOKYOGASのみであったため、このOrg構成でも問題ありませんでした。
子Org追加の必要が出てきた
しかし、内製開発範囲の拡大に併せて新規サービスのためのOrg作成が必要になりました。
一部の方は当日リアルタイムで見てくださっている、またはアーカイブ視聴をされているかもしれませんが、新規サービスとは先日のCLOUD NATIVE DAYS WINTER 2024で当グループのSREチーム二人からお話のあったマイクロサービスのことです。
単純にOrgを作成するだけであれば下記の通りで良いのですが…
先述した通り、このままのOrg構成だと子Orgを作成するユーザーにはmyTOKYOGAS本番環境用のOrgのDatadog Admin Roleを割り当てる必要があります。そのため、myTOKYOGAS本番環境の情報(メトリクス、ログ、APMなど)が参照出来てしまうことになります。
今後、子Orgを作成するメンバーが必ずしもmyTOKYOGASの情報を参照出来て良いわけではない。すなわち、myTOKYOGAS本番環境用のOrgに対する権限を親Orgとして一緒に割り当てるべきではない、という課題が出てきました。
そうして、SREチーム二人(私は含まない)がマイクロサービスのプラットフォーム構築をしている最中、私はOrg構成整備の調整に入りました。
親Org, 子Orgの入れ替え
整備したOrg構成を先にお伝えすると下記の通りになりました。
上記の「子Org作成専用」は下記2点のみを目的としたOrgとなり、サービスの情報は保持しません。
- 子Orgの追加
- 親Org、全ての子OrgのUsage確認
「子Org作成専用」を親Orgとするために、まずは親子関係のない独立したOrgとして作成します。そしてDatadog担当営業の方へOrg変更手続きを依頼します。
変更手続き完了後、「子Org作成専用」のコンソール画面のPlan & Usageから子Orgとなった「myTOKYOGAS 本番」、「myTOKYOGAS 開発」のUsageを確認することが出来ました。
「子Org作成専用」の実名、各項目の具体的な数値は画像から消去しています。
但し、この時点では「子Org作成専用」から子Orgは作成出来ません。公式ドキュメントに記載の通り、DatadogサポートチームへMultiple-Organization有効化リクエストの連絡をする必要があります。
今回はサポートチームへ連絡した当日に有効化の対応をして頂けました。サポートの方の迅速な対応に感謝!
おわりに
こうして、当グループが新規サービスを立ち上げる際、それに合わせてDatadogの新規Orgを問題なく即座に作成できるようになりました。
今回のOrg構成の変更にご対応頂いたDatadogの方々、また一緒に変更の調整を推進頂いた東京ガスiネットの方にこの場を借りて感謝申し上げます。
また、Datadogに関するテックブログは今回が初めてとなりますが、実際にどう活用しているかの話についても今後発信していきたいと思います。
おまけ
元親現子Org「myTOKYOGAS 本番」でも未だに子Orgが作成できるみたいなのですが、どうすればMultiple-Organizationを無効に出来るのでしょうか…?
当チームは積極的な採用を行っています!もしこうした環境やチームに魅力を感じる方がいらっしゃいましたら、ぜひお気軽にお話をしましょう!
アプリケーションエンジニアはこちらから! www.wantedly.com
モバイルアプリエンジニアはこちらから! www.wantedly.com
SRE はこちらから! www.wantedly.com