マルチクラウドとの共生:基盤アーキテクチャのフレームワーク (2022/01/29)
マルチクラウドとの共生:基盤アーキテクチャのフレームワーク (2022/01/29)
投稿者:Vittorio Garbuglio | Cloud Solution Architect Leader, Multi Cloud & Virtualised Workloads
より多くの企業がクラウドを利用するようになるにつれ、どのようなデプロイ戦略が最適であると判断しているのでしょうか。多くの場合、それはマルチクラウドです。
マルチクラウド戦略とは、2つ以上のクラウドベースのコンピュートサービスを利用することです。マルチクラウドとは、複数のSaaS(Software-as-a-Service)やPaaS(Platform-as-a-Service)のクラウドオファリングを導入することを指す場合もある。しかし、通常はパブリックなIaaS(Infrastructure-as-a-Service)環境の組み合わせを指すことが多いです。
マルチクラウドのメリットと課題
組織がマルチクラウド戦略を採用するのは、次のようなメリットがあるからです。
- 経済性:異なるクラウドサービスプロバイダーを選択することで、コストを削減し、IT支出全体を最適化することができます。
- 能力:企業のニーズが多様化するにつれ、クラウドサービスの違いも見えてきます。
- 可用性:複数のクラウドサービスプロバイダー(CSP)にアプリケーションを分散させることで、可用性とクラウドの障害に対する回復力を高めることができます。
以下のようなマルチクラウドのユースケースは、最も一般的なものです。
- マルチクラウドのスプリットティアアーキテクチャのサポート
- 異なるパブリッククラウド間でのデータ移行
- ハイブリッドクラウド環境の運用
- オンプレミスからクラウドへの移行
2019年6月5日、オラクルはマイクロソフトとのクラウド相互運用性パートナーシップを発表し、組織がOracle Cloud InfrastructureとMicrosoft Azure間でミッションクリティカルなエンタープライズワークロードを移行・実行できるようになりました。
複数のクラウドを利用することは多くのメリットをもたらしますが、一方で以下のような様々な課題も生じます。
- 環境間の可視性の提供
- 一貫したツールとプロセスを使用し、複雑さを抑制
- セキュリティ
- 一貫した認証の確保
- 認証
- CSP間の監査とガバナンス
- コネクティビティ
マルチクラウドは主に運用上の問題に対する解決策ですが、その根底には、異なるCSPのリソースをシームレスに接続し、セキュリティを確保するというニーズが存在します。どのワークロードをどの CSP で実行するかという判断は、ハイブリッドおよびマルチクラウド戦略の効果に大きな影響を及ぼします。
マルチクラウド戦略で、クラウド・サービス・プロバイダーの1つとしてOracle Cloud Infrastructure(OCI)を使用する場合、以下のマルチクラウド・フレームワークを基本アーキテクチャ・リファレンスとして使用することができます。OCIは、マルチクラウド環境の設定に伴うリスクと課題を軽減することができます。
クラウドコアサービス
OCIは、企業の幅広いワークロードに対応するインフラとプラットフォームサービスを提供しています。各サービスでは、目的に応じて豊富な機能から選択することができます。オラクルは、最大のビジネス価値をもたらすクラウドトポロジーを設計、運用するために、一連のベストプラクティスを推奨しています。
OCIサービスのベストプラクティスは、以下のビジネス目標の下に整理されています。
- セキュリティとコンプライアンス:クラウド上のシステムおよび情報資産を安全に保護
- 信頼性と回復力:弾力性のあるクラウドインフラを構築することで、信頼性の高いアプリケーションを構築
- パフォーマンスとコストの最適化:インフラリソースを効率的に活用し、最小限のコストで最高のパフォーマンス
- 運用の効率化:ビジネス価値を最大化するために、アプリケーションとインフラストラクチャリソースの運用と監視
クラウドの物理的アクセス
クラウドの利用が左右される最も重要な要素の1つは、クラウドサービスへの接続の容易さと一貫性であります。クラウドを利用するユーザーは、さまざまなクラウドプロバイダーへの接続方法を知っておく必要があります。
インターネットを介した暗号化
まず最初に見るのは、インターネットを通じてクラウドサービスに直接接続するタイプであります。ほとんどのクラウドサービスプロバイダーは、443番ポート経由で、HTTPとSSLを使用してアクセスを可能にします。このHTTPセッションで、リモート・デスクトップ・プロトコル(RDP)、メール・トラフィック、APIアクセス、通常のWebサイト・アクセスなど、さまざまなプロトコルがカプセル化されます。
インターネットをトンネルでつなぐ仮想プライベートネットワーク
仮想プライベートネットワーク(VPN)は、プライベートネットワークをインターネットやその他のパブリックネットワークに拡張し、企業がそれらの共有ネットワーク上でデータを送受信できるようにするものです。VPNに接続されたデバイスは、その組織のプライベートネットワークに直接接続されます。インターネット上のVPNトンネルを見ると、これらのトンネルには、SLA、ルーティング、パフォーマンス、または高可用性に高い制限があることがわかります。
イーサネット、MPLS、IPVPNプロバイダーによるプライベートネットワーク相互接続
すべてのクラウドプロバイダーが提供する主なサービスは、ネットワーク(場合によっては交換プロバイダーも含む)を介したプライベートWAN接続であります。これらのプライベート接続は、クラウドサービスやクラウドアプリケーションへの直接接続を提供します。これらの接続は、ほとんどがレイヤー2イーサネット、レイヤー3 MPLS、またはプロバイダーのクラウドデータセンターへのIPVPN接続をベースにしています。エンタープライズグレードのクラウド環境で作業する場合、クラウドリソースへの低遅延かつ高可用性のネットワーク接続を提供するために、これらの直接接続が必要になります。このようなサービスの例としては、Oracle Cloud Infrastructure FastConnect、Microsoft ExpressRoute、AWS Direct Connectなどがあります。
小規模なネットワーク・プロバイダーの多くは、交換プロバイダーを経由してクラウド・プロバイダーに接続することを好みます。交換プロバイダーは、ネットワーク・プロバイダーよりもはるかに高速に拡張できるからです。エクスチェンジ・プロバイダーには、EquinixやMegaportなどの例があります。次の図は、インターコネクトモデルを図式化したものです。
レイテンシーと帯域幅(最も重要なもの)
ホスティング環境またはクラウドプロバイダーで作業する場合、レイテンシーと帯域幅といういくつかの要素が他の要素よりも重要になります。これらは、どれだけのクラウドサービスを利用できるか、どれだけの速度でデータにアクセスできるかを決定します。もう一つの要素は、保存されているデータと転送中のデータです。この情報は、あなたのデータが今どこにあるのかを示しています。
接続性では、速度も同様に重要です。遅延が大きいと、アプリケーションのパフォーマンスを低下させる可能性があります。
接続性用語
自律システムは、1つまたは複数のネットワークプロバイダーまたはオペレータの管理下にあります、接続されたIPルーティングプリフィックスの集合体です。
ボーダーゲートウェイプロトコル(BGP)は、外部ゲートウェイプロトコルの後継プロトコルです。BGPは、自律システム間のルーティングのために設計されています。BGPはメトリックをサポートし、インテリジェントなルーティングの決定を行うことができ、内部ルーティングプロトコルOSPFと連携することができます。ルートアグリゲーションは、主にクラスレスドメイン間ルーティング(CIDR)で使用され、サポートされています。
プライベート・ピアリングとは、2つのネットワーク間で直接相互接続することです。この接続は、専用の帯域幅を持つ媒体OSI、レイヤー1または2を使用します。他のネットワークや第三者がプライベートピアリングを共有することはありません。現在、ほとんどのプライベート相互接続は、キャリアホテルやミートミールームと呼ばれるキャリアニュートラルのコロケーション施設で確立されています。これらの施設では、同じ建物内または同じデータセンターキャンパス内の参加者間で直接クロスコネクトが行われます。これらのネットワーク間相互接続は、通常、電気通信回線よりもはるかに低コストです。
通信回線とは、情報やデータを伝送するための回線やプロバイダーのことです。
パブリック・ピアリングは、交換ポイント、インターネット・エクスチェンジ、またはネットワーク・アクセス・ポイントと呼ばれるレイヤー2アクセス技術を介して実現されます。これらの場所では、複数のプロバイダーが1つの物理ポートを介して1つまたは複数の他の通信事業者と相互接続します。パブリック・ピアリングでは、ネットワークが他の多くのネットワークと相互接続またはピアリングすることができます。パブリックピアリングは、第三者がインターネット交換に課金するため、プライベートピアリングより容量が小さいと思われがちです。しかし、より多くのネットワークとの接続を可能にし、新しいネットワークやコンテンツプロバイダーがプライベートピアリングを行わずに他のネットワークにトラフィックを送信することを可能にしています。
クラウドオペレーション
クラウドオペレーションは、Terraformのような一貫したツールや複雑さを抑えるためのプロセスを使って、環境間の可視性を提供することに関する課題を軽減する方法に関するベストプラクティスを提供します。
可視性と管理性
Oracle Observability and Managementで、マルチクラウド環境とオンプレミス環境を管理できます。標準ベースの完全な統合プラットフォームとして、エンドツーエンドの機械学習主導の実用的な洞察を提供します。このオプションは、オンプレミスまたは任意のクラウドのどこに展開されていても、顧客のITテクノロジー・スタックを管理するためのより良い方法を提供します。
オラクル上級副社長のClay Magouyrkが、Integra LifeSciences社やKingold社などの企業がこのテクノロジーからどのような恩恵を受けているかを説明する様子をご覧ください。
オートメーション
- Infrastructure as Codeの方法論を採用します。CSPでInfrastructure as Codeの手法を採用すると、アプリケーションインフラ全体をコード形式で定義することができます。運用手順をコードとして実行し、イベントベースの通知に対応して実装することができます。プロビジョニング、オーケストレーション、および構成管理を支援するために、Ansible モジュールや Chef Knife などの管理ツールの採用を検討してください。Ansibleモジュールを使用すると、クラウド基盤の構成とプロビジョニング、ソフトウェア資産の展開と更新、および複雑な運用プロセスのオーケストレーションを自動化できます。
- ビルドおよびデプロイメント管理システム ビルドおよびデプロイメント管理システムを使用して、効率を向上させます。これらのシステムは、手動プロセスによるエラーを減らし、変更を導入するための労力レベルを低減します。
- 変更のテストと検証 エラーを検出するために、常に変更を追跡し、テストし、検証します。バージョン管理システムを使用して、コードの変更を追跡することができます。テストプロセスを自動化するために、配備管理システムの利用を検討してください。
クラウドのセキュリティとガバナンス
すべてのクラウドモデルは、脅威の影響を受けやすいです。クラウドセキュリティには、外部と内部の両方のサイバーセキュリティの脅威からクラウド環境を保護する手順と技術が含まれます。組織は、クラウドのセキュリティに完全な信頼を置き、CSP間のすべてのデータ、システム、アプリケーションがデータの漏洩、盗難、破損、削除から保護されていることを確認する必要があります。マルチクラウド環境を保護するために、次のようなニーズがあることを考慮してください。
データ管理
- データの分類:機密、規制、公開。分類された場合、クラウドサービスへのデータの出入りを停止させることが可能。
- データ損失防止(DLP):不正なアクセスからデータを保護し、不審な動きを検知すると自動的にアクセスやデータの転送を停止
- データの制御を管理:各CSPにおいて、指定したユーザーに対する編集者や閲覧者へのフォルダー権限付与や、権限削除などを実施
- 暗号化:クラウドデータの暗号化(静止時および転送時)により、データが流出したり盗まれたりしても、不正なアクセスを防止することが可能
クラウドセキュアアクセス
- ユーザーのアクセス制御:クラウドアクセスセキュリティブローカー(CASB)を使用して、アクセス制御を行うことが可能
- デバイスのアクセス制御:個人所有のデバイスや未承認のデバイスがクラウドデータにアクセスしようとすると、アクセスをブロック
- 特権アクセス:データおよびアプリケーションへのアクセスは、特権アカウントのみに許可し、露出を軽減するための制御を実施
- 悪意のある行為の特定:ユーザー行動分析(UBA)により、不正アカウントや内部脅威を検出し、悪意のあるデータ流出を防ぐ
コンプライアンス
- リスクアセスメント:クラウド環境やプロバイダーによってもたらされるリスク要因を特定し、対処
- コンプライアンスアセスメント:PCI、HIPAA、その他のアプリケーションの規制要件に対するコンプライアンス評価の見直しと更新を実施
IDフェデレーション
- IDフェデレーションとは、ユーザー管理をIDプロバイダーやIdPに委ねる仕組みのことです。既存のIDシステムを利用したい企業は、新たにユーザーを作成・管理する代わりに、フェデレーションを導入することができる。フェデレーションには、フェデレーション・トラストと呼ばれる、依拠当事者とIdPの間の1回限りの設定が必要です。
まとめ
この記事では、基礎となるアーキテクチャのリファレンスとして使用できるマルチクラウドフレームワークを取り上げます。この方法は、ハイブリッドまたはマルチクラウド戦略を持ち、Oracle Cloud InfrastructureをメインのCSPとして使用し、ハイブリッド・マルチクラウド環境の設定および管理時に発生するリスクを軽減し、課題を低減したい組織に多くの利点をもたらします。
ご一読いただき、ありがとうございました。
コメント
コメントを投稿