OCI well-architected framework: セキュアで自己回復性の高いクラウド実装のベストプラクティス (2025/01/09)

OCI well-architected framework: セキュアで自己回復性の高いクラウド実装のベストプラクティス (2025/01/09)

https://blogs.oracle.com/cloud-infrastructure/post/oci-wellarchitected-framework

投稿者: Ashish Sharma | Director Partner Product Marketing


Oracle Cloud Infrastructure(OCI)は、クラウドのパワーを活用しようとしている企業向けの包括的なインフラストラクチャおよびプラットフォーム・サービス・スイートを提供します。豊富な機能を備えた組織は、ビジネス価値を最大限に引き出すクラウド・トポロジを設計および運用できます。Oracleは、組織がOCIを最大限に活用できるように、OCI向けの適切に設計されたフレームワークと呼ばれる一連のベストプラクティスを開発しました。セキュリティ、信頼性、パフォーマンス・コストの最適化、運用効率の目標を通じて、組織はOCI上のワークロードを効果的に設計、導入、管理できます。


図1: OCIよく設計されたフレームワーク・コンポーネント


Oracleは、これらの4つの主要な柱のそれぞれに、組織がクラウドを採用し、クラウド環境を最適化するのに役立つ具体的な推奨事項とガイドラインを提供しています。このフレームワークは、ユーザー認証および認可からデータ保護、フォルト・トレラントなネットワーク・アーキテクチャ、コスト追跡および管理まで、包括的な一連のベスト・プラクティスをカバーしています。これらのベストプラクティスを導入することで、組織はOCIへの投資を最大化し、ビジネスの成功を促進することができます。



セキュリティとコンプライアンス


セキュリティとコンプライアンスにより、OCI上のワークロードが脅威から保護され、規制要件を満たし、機密性、整合性、可用性のベストプラクティスに準拠することが保証されます。この柱では、OCIでセキュアでコンプライアンスに準拠したワークロードを設計するための主要な原則とプラクティスについて、次の方法で説明します。


  • ユーザー認証および認可: 多要素認証(MFA)、シングル・サインオン(SSO)およびOCI Identity and Access Management (IAM)ポリシーを利用して、リソースへのセキュアなアクセスを確保します。
  • リソースの分離とアクセス制御: コンパートメントと仮想クラウド・ネットワーク(VCNs)は、論理およびネットワーク・レイヤーの分離を提供します。
  • コンピュート・セキュリティ: パスワードベースおよびルート・ログインを無効にし、SSHキーおよびネットワーク・セキュリティ・グループを使用して、インスタンスへのログイン・アクセスを強化します。
  • データベース・セキュリティ: 強力なパスワード、プライベート・サブネットおよび通常のセキュリティ・パッチを使用して、ユーザーおよびネットワーク・アクセスを制御します。データベース・セキュリティ・ツールを使用して、保護を強化します。
  • データ保護: ストレージ・サービスへの安全なアクセス、保存中および転送中のデータの暗号化、および暗号化キーのローテーションを支援します。キー管理にはOCI Vaultを使用します。
  • ネットワーク・セキュリティ: セキュリティ・リスト、ネットワーク・セキュリティ・グループおよびセキュア・ロード・バランサを実装します。重複しないプライベート・ネットワーク範囲を確立し、セキュアなネットワーク・アーキテクチャを設計します。
  • プライベート・アクセス: OCIプライベート・エンドポイントまたはFastConnectを使用して、パブリック・エクスポージャのないセキュアなリソース・アクセスを実現します。
  • アプリケーション・エンドポイント・セキュリティ: ヘルス・チェックを使用してパブリック・エンドポイントを監視し、トラフィック管理ステアリング・ポリシーを使用してユーザー・トラフィックをダイレクトします。
  • Webアプリケーション・ファイアウォール(WAF): SQLインジェクションやクロスサイト・スクリプティング(XSS)などの一般的な脅威からWebアプリケーションを保護します。
  • ホストとアプリケーションの強化: パッチと更新を定期的に適用し、自動パッチ適用にOCI OS Managementを使用します。
  • 脆弱性スキャン: OCI脆弱性スキャン・サービスを使用して、コンピュート・イメージおよびコンテナ・イメージの脆弱性を検出および修正します。
  • アダプティブ・セキュリティ: OCI Cloud Guardを使用して環境を継続的に監視および監査し、SIEMプラットフォームと統合してセキュリティを強化します。
  • ロギングおよびモニタリング: OCIロギングおよびモニタリング・サービスを有効にして、疑わしいアクティビティのログおよびメトリックを収集および分析します。



信頼性と回復力


混乱に耐え、迅速に回復し、ビジネス継続性を確保できるシステムを設計します。この柱は、さまざまなレベルの継続性を実現し、継続性要件とコストを均衡させるためのサービスおよびワークロード・アーキテクチャを説明しています。次に例を示します。


  • フォルト・トレラントなネットワーク・アーキテクチャ: オンプレミス環境とOCIのプライベート・リソース間の冗長接続を確立します。ロード・バランサをデプロイし、可用性ドメインおよびリージョン間でトラフィックを分散して、フォルト・トレランスと高可用性を確保します。
  • マルチ可用性ドメイン・アーキテクチャ: 複数の可用性ドメイン(該当する場合)またはリージョン内のフォルト・ドメインにリソースをデプロイして、単一障害点を回避します。
  • マルチリージョン・デプロイメント: ワークロードを複数のOCIリージョンに分散して、冗長性と地理的な回復力を確保します。OCI Full Stack Disaster Recoveryを使用して、インフラストラクチャとプラットフォーム・サービス全体でリソースの自動リカバリを設計、テスト、実行します。
  • データベース・レイヤーで、Oracle Data Guardなどのフェイルオーバー・メカニズムを実装します。
  • OCI Block Storageリージョン間レプリケーションを有効にします。
  • サービス制限と割当て制限: デフォルトのサービス制限とコンパートメント割当てを理解し、成長と拡張に対応するように監視および管理します。将来の拡張に備えて領域を残し、フェイルオーバーの使用率を制限に考慮します。
  • データ・バックアップ: リカバリ目標を達成するために、ストレージ・サービス、データベースおよびオペレーティング環境のバックアップ・ソリューションを実装します。自動バックアップ・オプションと手動バックアップ・オプションを利用して、バックアップの整合性とセキュリティを検証します。
  • OCI Autonomous Databaseバックアップを有効にするか、他のデータベース・サービスの手動バックアップを構成して、データ損失時に特定の時間にリストアします。
  • スケーリング: OCIが提供する自動スケーリング機能を使用して、オンデマンドでリソース容量を自動的に調整します。ステートレス・アプリケーションの場合は水平スケーリング(スケール・アウト)、特定のリソース要件の場合は垂直スケーリング(スケール・アップ)を検討します。
  • 障害シナリオを定期的にテストして、自己回復性のプロセスとポリシーを検証します。



パフォーマンスとコストの最適化


OCIで堅牢でスケーラブルかつコスト効率の高いソリューションを設計するための構造化されたアプローチに従います。この柱は、信頼性が高く効率的な運用のためのパフォーマンス、動的ワークロードへのシームレスな適応のためのスケーラビリティ、および次の機能を使用してOCI投資に対するリターンを最大化するコスト最適化に重点を置くことで、クラウド・アーキテクチャをビジネス目標と整合させます。


  • コンピュート・リソース: ワークロード要件に適合するコンピュート・シェイプ(VM.StandardやVM.DenseIOなど)を選択し、CPU、メモリーおよびストレージの適切なサイズを確保します。
  • 自動スケーリング: OCI自動スケーリングを使用して、トラフィックとロードに基づいてプール内のコンピュート・インスタンスの数を動的に調整します。
  • 分散アーキテクチャ: OCI Load Balancingサービスを使用して分散アーキテクチャを実装し、複数のサーバーまたはインスタンスにトラフィックを均等に分散します。
  • OCI Containerサービス: Oracle Kubernetes Engine (OKE)を使用して、迅速にスケーリングできるコンテナ化されたワークロードを管理します。
  • データベースのスケーラビリティ: データベースの場合は、自動スケーリングを含むOCI Autonomous Databaseを使用するか、高可用性とスケーラビリティを実現するためにOracle Real Application Clusters (RAC)をデプロイします。
  • サーバーレス: OCI Functionsは、要求に応じて自動的にスケーリングするイベントドリブンなサーバーレス・ワークロードに使用します。
  • マネージド・データベース・サービス: Autonomous DatabaseやExadata Database Serviceなどのサービスへのオフロード管理により、パフォーマンス・チューニングに集中できます。
  • 価格設定モデル: 使用パターンに基づいて、Pay As You Go (PAYG)とコミットメントベースのプランから選択します。コミットメント・モデルは、割引を提供できますが、支払超過を避けるために慎重に計画する必要があります。
  • コンパートメントとタグ: コンパートメントを使用してリソースを編成し、コストを割り当てます。コスト・トラッキング・タグによりきめ細かな制御が可能になり、複数のコンパートメントにわたる柔軟なコスト追跡が可能になります。
  • 予算およびアラート: 予算を設定して支出をモニターし、制限を超えた場合にアラートを受信します。このステップにより、予算内に収まり、潜在的なコスト超過を迅速に特定できます。
  • コンピュート最適化: ワークロードに適したコンピュート・シェイプを選択します。柔軟なシェイプにより、OCPUとメモリーをカスタマイズできるため、最適なパフォーマンスとコスト効率が確保されます。
  • 請求およびコスト管理: 請求基準を理解し、FinOps HubのようなOCIツールを使用してコストを最適化します。予期しない事態を回避するために、請求について理解します。
  • 未使用のリソースの削除: 不要な料金を回避するために、特に開発環境およびテスト環境で未使用のリソースを識別して削除または停止するプロセスを実装します。
  • 自動化と最適化: Infrastructure as Code(IaC)手法を採用して、リソースの導入と管理を自動化し、人的エラーを減らし、効率を向上させます。インフラストラクチャの自動化には、TerraformやOCI CLIなどのツールを使用します。
  • ネットワークおよびストレージのコストの最適化を検討します(データ・ライフサイクルに基づく)。
  • コスト分析とレポート: OCIのコスト分析ツールとレポートを活用して、リソースの使用状況と支出に関する詳細なインサイトを得ることができます。様々なパラメータでコストをフィルタし、最適化の領域を特定します。


これらのコスト最適化戦略に従うことで、OCIリソースの使用状況について十分な情報に基づいた意思決定を行い、不要な支出を削減し、クラウド導入がコスト効率に優れ、ビジネス目標に沿っていることを確認できます。



運用効率


適切な監視、合理化された運用、および自動化されたプロセスにより、ワークロードを効果的に管理します。この柱は、ITリソースをビジネス目標に整合させ、コンプライアンスを適用し、次の機能で運用パフォーマンスを最適化することに重点を置いています。


  • 可観測性および管理: メトリックを収集および分析し、ワークロードのヘルスおよびパフォーマンスをモニターします。クリティカル・イベントのアラームおよび通知を設定します。
  • 包括的なロギング: すべてのリソースでログの収集と分析を一元化するためにOCIロギングを有効にします。
  • リソースの状態の監視: OCI Monitoringを使用してリアルタイムのメトリックを取得し、OCI Alarmsを使用してプロアクティブなインシデント処理を行います。
  • 監査証跡: OCI監査をアクティブ化して、コンプライアンスおよび説明責任のためにAPIアクティビティの完全なログを維持します。
  • ポリシーを適用して、命名規則、タグ付け標準、および特定のコンプライアンス要件を適用します。
  • ワークロードの監視: 主要業績評価指標(KPI)を特定し、定期的に監視します。サービス・ロギングを有効にし、関連するメトリックのアラームを作成して問題を早期に検出します。
  • OCI Notificationsなどのツールを使用して、主要なイベントや変更をチームに知らせます。
  • OS管理: セキュリティ・パッチと拡張機能により、オペレーティング・システムを最新の状態に保ちます。Oracle OS Management HubやOracle Kspliceなどのツールを使用してOS管理を自動化し、手作業を削減してコンプライアンスを確保します。
  • リソース・ライフサイクル管理: リソースのライフサイクルを把握し、それらを効果的に管理します。未使用のリソースを削除または停止して、コストを最適化し、効率を向上させます。
  • サポート: Oracleサポートと対話するための明確なプロセスを確立します。運用チームをトレーニングして、サポート・インタラクションを処理し、Oracleのトレーニング・リソースへのアクセスを提供します。
  • Oracle Universityやその他のトレーニング・リソースを通じて、OCIのベストプラクティスに関するチームを継続的に教育します。


組織は、これらのベストプラクティスに従うことで、安全で信頼性が高く、コスト効率に優れた方法でクラウド導入を設計および運用し、OCIのビジネス価値を最大化することができます。



適切に設計されたフレームワークが重要な理由


OCIの適切に設計されたフレームワークで説明されているベストプラクティスは、クラウド・ソリューションを効果的かつ安全に設計、導入、運用するための包括的なフレームワークを提供するため、お客様にとって重要です。ガイドラインに従うことで、ワークロードの自己回復性を向上させ、リソース使用量を最適化し、運用リスクを低減することで、ビジネス目標を達成し、イノベーションを効果的に推進できます。



OCIの適切に設計されたフレームワークとOracle Cloud Adoption Framework


次の表に、適切に設計されたフレームワークとOracle Cloud Adoption Frameworkを比較します。


 

OCI well-architected framework

Oracle Cloud Adoption Framework

Focus

Provides specific recommendations and guidelines for designing, deploying, and operating cloud solutions effectively. It covers areas such as security, reliability, performance, and operational efficiency.

Provides a structured approach and strategic guidance for organizations embarking on their cloud journey. It helps organizations plan and process their cloud adoption initiatives effectively.

Scope

Focuses on individual workloads, ensuring performance, security, and reliability.

Covers the entire organization’s transformation, including governance, culture, and operations.

Key areas

Pillars: Performance, security, reliability, cost optimization, governance, and operations.

Domains: Business strategy, organization and governance, security, architecture, and migration

Audience

Cloud architects, developers, and operational teams managing OCI workloads.

Executives, IT leaders, and teams planning and managing cloud adoption.

Stage

Most useful during the implementation and operation stages of the cloud journey. They help organizations make the right design choices and optimize their cloud deployments once they have adopted cloud services.

The framework is most useful during the planning and early stages of cloud adoption. It helps organizations establish a solid foundation for their cloud journey and ensure a successful transition to the cloud.

 

OCIの適切に設計されたフレームワークとクラウド導入フレームワークは、組織がクラウドで成功するために連携する補完的なツールです。クラウド導入フレームワークは、組織がクラウド導入のジャーニーを計画するための戦略的なロードマップを提供し、適切に設計されたフレームワークは、クラウド・ソリューションを効果的に設計および運用するための詳細なガイダンスを提供します。両方のリソースを利用することで、組織はクラウドへの円滑で正常な移行を保証し、Oracle Cloud Infrastructureの利点を最大化できます。


OCI Well-Architected Frameworkは、安全で信頼性が高く、費用対効果の高いクラウド実装に不可欠なベストプラクティスを提供します。セキュリティ、信頼性、パフォーマンスおよび運用効率にまたがる原則を採用することで、組織はクラウド・デプロイメントを最適化し、ビジネスの成功を促進できます。このフレームワークをOracle Cloud Adoption Frameworkと組み合せると、クラウド戦略と運用への包括的なアプローチが保証され、組織は最大限の効率性とリスクで目標を達成できます。


クラウドへの移行を最適化する準備はできていますか? OCIとクラウド導入フレームワークよく設計されたフレームワークにアクセスして、OCIへの投資の可能性を最大限に引き出すことができます。



詳細


詳細は、次のリソースを参照してください。

コメント

コメントを投稿

このブログの人気の投稿

Oracle Database 19cサポート・タイムラインの重要な更新 (2024/11/20)

イメージ
Oracle Database 19cサポート・タイムラインの重要な更新 (2024/11/20) https://mikedietrichde.com/2024/11/20/important-update-to-oracle-database-19c-support-timelines/ 長い沈黙は、私が隠れているという意味ではありません。つまり、今はとても忙しいということです。そして、より少ない旅行で、私はあなたのコメントにもブログと返信するより多くの時間を持っていることを願っています。それでも、Oracle Database 19cサポート・タイムラインの非常に重要な更新について説明します。 * 更新された内容 2024年11月19日現在、Oracle Database 19cのサポート・タイムラインが調整されています。 MOSノート: 742060.1 – 現在のデータベース・リリースのリリース・スケジュールを見ると、新しい日付が表示されます。 Premier Support、2029年12月31日まで 2030年1月1日から2032年12月31日までの拡張サポート 2033年1月1日から2034年12月31日までのアップグレード・サポート これは知ることがとても大切です。 他のリリースの更新はありますか。 MOSノートの終わりにある変更ログ: 742060.1 – 現在のデータベース・リリースのリリース・スケジュールでは、Oracle Database 21cの最新の更新も確認できます。このリリースのPremier Support期間は、2027年7月31日まで延長されました。 また、Oracle Database 23aiのパッチ適用終了日は2032年12月31日に設定されています。 Lifetime Support Policy 更新は、Oracle Technology Productsの Oracle Lifetime Support Policy (6ページ)でも確認できます。 From: Oracle Lifetime Support Policy for Oracle Technology Product s – page 6 – Nov 19, 2024 特に、次の表に示す制限事項に注意してください。 Oracle Database 1...
続きを読む

Oracle APEXのInteractive Gridで、Oracle Formsと比較して、重複行の検証を制御/通過させる方法 (2022/07/21)

イメージ
Oracle APEXのInteractive Gridで、Oracle Formsと比較して、重複行の検証を制御/通過させる方法 (2022/07/21) https://medium.com/oracledevs/how-to-control-or-pass-validation-for-duplicate-rows-in-interactive-grid-of-oracle-apex-as-compare-18f453f750bf 投稿者: Jignesh oracle Formsでは、データブロックの重複行を制御するのは非常に簡単ですが、IGの検証を制御するにはどうすればよいでしょうか。 必要な出力 ステップ1:インタラクティブグリッドのある白紙ページを作成します(私は1つの領域「IG」を作成し、インタラクティブグリッドとしてタイプを選択しました) ステップ 2: リージョンに Static ID を定義する (私の場合、リージョンは IG で、Static ID も IG です) ステップ3:複製を制御したいカラムのStatic IDを定義します ステップ4:関数とグローバル変数に移動します コード: var validity, message, ui = this.data; (function($) { function update(model) { var projKey = model.getFieldKey(“PROJECT_ID”), recObj = [], recArray = []; model.forEach(function(record, index, id) { var projid = parseInt(record[projKey], 10), // record[salKey] should be a little faster than using model.getValue in a loop meta = model.getRecordMetadata(id); if (!isNaN(projid) && !meta.deleted && !meta.agg) { recObj = {ID: id, project_id: projid}; recArray.push(recObj)...
続きを読む

Oracle APEX 24.1の一般提供の発表 (2024/06/17)

イメージ
Oracle APEX 24.1の一般提供の発表 (2024/06/17) https://blogs.oracle.com/apex/post/announcing-oracle-apex-241 投稿者: Ashish Mohindroo | Vice President, Product Management APEX Low Code Application Platform Oracle APEX 24.1は、 ダウンロード が一般的に可能になり、世界中のOCI APEX Application DevelopmentおよびAutonomous Database Cloud Serviceリージョンにロールアウトされています。この最新リリースで、GenAIを使用して最初のローコード・アプリケーションを構築する方法を学習します。リリースのお知らせのリプレイはこちらからご覧いただけます。 このリリースでは、優れたエンタープライズ・グレードのアプリケーションを簡単に構築できるイノベーションの3つの主要な柱(AI支援アプリケーション開発、Oracleの次世代データ・プラットフォームのパワー活用、高度なWebおよびモバイル・アプリケーションを構築するための強力なエンタープライズ・グレードのコンポーネント)が提供されています。 AI支援アプリ開発 このリリースでは、AIをローコード開発に直接取り込み、すべての開発者が高度なクラウドおよびモバイル・アプリケーションを簡単に構築できるようにしています。開発者は、AIをアシスタントとして使用して、時間と労力を削減してアプリを構築できるようになりました。APEX AIアシスタントを使用すると、開発者は複数のウィンドウを使用して表名と列名を検索する必要がなくなります。 APEX 24.1 では、クラウドおよびモバイル・アプリの自然言語ベースの開発を可能にするネイティブAI搭載APEX AIアシスタントを導入しました。APEX AIアシスタントを使用すると、すべての開発者は自然言語を使用してSQLを生成できるため、アプリケーションをより簡単に構築したり、ワンクリックで構文修正を実行したり、表名を覚える必要がなくなります。開発者は、自然言語プロンプトを使用して目的の機能とコンポーネントを指定し、直感的な会話型インタフェースを使用し...
続きを読む