※ 本記事は、Nelson Chenによる”New OCI Landing Zones: Network and IAM Extensions“を翻訳したものです。

2025年7月25日

OCIコア・ランディング・ゾーンは、ベース・テナンシと必要な主要なクラウド・サービスをプロビジョニングします。これにより、アプリケーション・ワークロードの後続のデプロイメントに最適なCIS準拠の基盤がクラウドで提供されます。day-0の設定では、OCIのオンボーディング時に、単一のテナンシ管理者がOCIコア・ランディング・ゾーンをデプロイすることが一般的です。これにより、アイデンティティ、ネットワークなどのリソースが様々な管理グループに割り当てられます。

この基礎を築くと、多くの場合、初期テナンシ管理アカウントが無効になり、セキュリティがさらに強化され、クラウド・リソースの継続的な管理が対応する管理グループに残されます。たとえば、セキュリティ管理者はIAMアクセスおよびセキュリティ・ゾーンを管理し、ネットワーク管理者はファイアウォール、VCNsおよびその他のリソースを管理します。

これにより、複数のビジネス・アプリケーションやワークロードで共有できるセキュアでコンプライアンスに準拠した環境のステージが設定されます。各チームには、業務上の境界に対して適切なレベルの責任とアクセス権が付与され、職務分掌要件をサポートできます。

Day-2の職務分離とワークロード拡張の簡素化

2つの新しいネットワークとIAM拡張機能がOCIランディング・ゾーンに導入され、職務の分離と継続的なワークロード拡張の継続的な管理と拡張性の合理化を支援したことをお知らせします。

ランディング・ゾーン拡張とは: 

拡張機能は、OCIランディング・ゾーン・フレームワークの一部であり、お客様は最初の導入後にサービスを簡単に追加したり、コア・ランディング・ゾーン・ブループリントをカスタマイズしたりしながら、チーム間のガバナンスと運用の境界を強化することができます。

拡張機能は、ワークロード・テンプレートと同様に、コア・ランディング・ゾーンの実行後にデプロイされます。すべてのランディング・ゾーンと同様に、拡張機能は、OCI Resource Manager Service (RMS)またはTerraform CLIを使用してデプロイすることもできます。

IAM拡張: 

コア・ランディング・ゾーンの初期デプロイメントでは、お客様は、対応するIAMセキュリティ・グループとともに、3層アプリケーション、OKEまたはExadataワークロードの環境をプロビジョニングできます。

IAM拡張機能を使用すると、お客様はコンパートメント、グループおよびポリシーを追加して、追加のワークロードをデプロイする必要があるときに、コア・ランディング・ゾーン・デプロイメントですでに作成されたIAM構造を使用して、職務分掌を強制できます。

ネットワーク拡張: 

同様に、ネットワーク拡張機能は、コア・ランディング・ゾーンによって作成されたネットワーク構造を追加のコンパートメント、グループおよびポリシーで拡張し、新しいアプリケーション・ワークロードをデプロイするための職務分掌をサポートします。ネットワーク拡張がデプロイされると、ネットワーク管理者はネットワーク・アーキテクチャ・ポリシーに従ってセキュリティ・リストおよびネットワーク・セキュリティ・グループ(NSG)を構成できます。

ランディング・ゾーン拡張を使用する場合のデプロイメント順序: 

通常、拡張は次の順序でデプロイされます 

  1. コア・ランディング・ゾーン – 初期クラウド環境を設定するためにテナンシ管理者によってデプロイされます。
     
    顧客が追加のワークロードに拡大するか、特定のアプリケーション要件に対応するために初期テナンシ構成にカスタマイズが必要な場合:  
  1. IAM管理者は、IAM拡張をデプロイします
  1. ネットワーク拡張は、VCNs、NSGおよびセキュリティ・リストを追加するためにネットワーク管理者によってデプロイされます
  1. ワークロード・テンプレートのデプロイメント- ワークロードの管理者/アプリケーション所有者によって管理されます。

このスケーラブルなロールベースのプログレッシブ・デプロイメント・シーケンスは、ベスト・プラクティスに合せて、ワークロード固有のリソースを導入する前にベース・テナンシ、IAMおよびネットワーク構成を確立します。シーケンスを繰り返すことで、複数のワークロードを簡単に追加したり、環境全体に詳細な管理ポリシーを適用して、必要な機能の分離をサポートしたりできます(たとえば、異なるワークロードを管理するために異なるネットワーク管理グループを持つなど)。

Day-2以降を簡略化: 

最終的に、これらの機能強化により、組織は複雑なワークロードの継続的な拡張と管理を簡素化し、業務上のニーズとテナンシが進化し続ける中、セキュアでコンプライアンスに準拠した環境を維持できるようになります。

インフラストラクチャ、セキュリティ、アプリケーション導入のいずれを管理する場合でも、これらの拡張機能は柔軟性と制御性を高め、適切に構造化されたエンタープライズグレードのクラウド環境の構築と維持を容易にします。

OCIコア・ランディング・ゾーンをデプロイするか、これらの新しい拡張機能を試すには、GitHubにアクセスしてください:
https://github.com/oci-landing-zones/terraform-oci-core-landingzone  

https://github.com/oci-landing-zones/terraform-oci-core-landingzone/tree/main/extensions