※ 本記事は、Vittorio Garbuglio による“Living with multicloud: a foundation architecture framework”を 翻訳したものです。

2022 年3月11日

より多くの企業がクラウドを利用するようになるにつれ、どのようなデプロイメント戦略が最適であると判断しているのでしょうか。ほとんどの場合、それはマルチクラウドです。

マルチクラウド戦略とは、2つ以上のクラウドベースのコンピュート・サービスを利用することです。マルチクラウドとは、複数のSaaS(Software-as-a-Service)やPaaS(Platform-as-a-Service)クラウドの導入を指すこともあります。しかし、通常はパブリックなIaaS(Infrastructure-as-a-Service)環境の組み合わせを指します。

マルチクラウドのメリットと課題

企業がマルチクラウド戦略を採用するのは、次のようなメリットがあるからです。

  • 経済性: クラウド・サービス・プロバイダーを選択することで、お客様はコストを削減し、IT支出を全体的に最適化することができます。
  • 能力: 企業のニーズが多様化すればするほど、クラウド・サービスの違いも見えてきます。
  • 可用性: 複数のクラウド・サービス・プロバイダー(CSP)にアプリケーションを分散させることで、より高い可用性とクラウドの障害に対する回復力を得ることができます。

マルチクラウドのユース・ケースとしては、以下のようなものがあります。

  • マルチクラウドの分割ティア・アーキテクチャに対応
  • 異なるパブリック・クラウド間でのデータ移行
  • ハイブリッド・クラウド環境の運用
  • オンプレミスからクラウドへの移行

2019年6月5日、オラクルは、Oracle Cloud InfrastructureとMicrosoft Azure間でミッションクリティカルなエンタープライズ・ワークロードの移行と実行を可能にする、マイクロソフトとのクラウド相互運用性パートナーシップを発表しました。

複数のクラウドを利用することは多くのメリットをもたらしますが、一方で以下のような様々な課題も生じます。

  • 環境を超えた可視性の提供
  • 一貫したツールとプロセスを使用し、複雑さを抑制
  • セキュリティ
  • 一貫した認証の確保
  • 認可
  • CSP全体の監査とガバナンス
  • 接続性

マルチクラウドは主に運用上の問題に対する解決策ですが、その根底には、異なるCSPのリソースをシームレスに接続し、保護する必要性が残っています。どのワークロードをどのCSPで実行するかという判断は、ハイブリッドおよびマルチクラウド戦略の効果に大きな影響を及ぼします。

マルチクラウド戦略で、クラウド・サービス・プロバイダーの1つとしてOracle Cloud Infrastructure(OCI)を使用したい場合、以下のマルチクラウド・フレームワークを基盤アーキテクチャのリファレンスとして使用できます。OCIは、マルチクラウド環境の設定に伴うリスクと課題を軽減することができます。

A graphic depicting the architecture for Oracle Cloud Infrastructure connecting to cloud physical access with cloud operations and cloud security and governance.

クラウド・コア・サービス

OCIは、企業の幅広いワークロードに対応するインフラとプラットフォーム・サービスを提供しています。各サービスでは、目的に応じて豊富な機能から選択することができます。オラクルは、最大のビジネス価値をもたらすクラウド・トポロジーを設計し、運用するための一連のベスト・プラクティスを推奨しています。

OCIサービスのベスト・プラクティスは、以下のビジネスゴールの下に整理されています。

  • セキュリティとコンプライアンス: クラウド上のシステムおよび情報資産を安全に保護します。
  • 信頼性と回復力: レジリエントなクラウド・インフラを構築することで、信頼性の高いアプリケーションを実現します。
  • パフォーマンスとコストの最適化: インフラ・リソースを効率的に活用し、最小のコストで最高のパフォーマンスを引き出します。
  • 運用の効率化: 最大のビジネス価値を提供するために、アプリケーションとインフラ・リソースの運用と監視を行います。

クラウドの物理アクセス

クラウドの利用が左右される最も重要な要素の1つは、クラウド・サービスへの接続の容易さと一貫性です。クラウドのユーザーは、さまざまなクラウド・プロバイダーへの接続方法を知っておく必要があります。

インターネットを介した暗号化

最初に見るのは、インターネットを通じてクラウド・サービスに直接接続するタイプです。ほとんどのクラウド・サービス・プロバイダーは、443番ポート経由でHTTPとSSLを使用してアクセスを可能にします。このHTTPセッションで、リモート・デスクトップ・プロトコル(RDP)、メール・トラフィック、APIアクセス、通常のWebサイト・アクセスなど、さまざまなプロトコルがカプセル化されます。

インターネットを介した仮想プライベート・ネットワーク・トンネル

VPN(Virtual Private Network)は、プライベート・ネットワークをインターネットやその他のパブリック・ネットワークに拡張し、企業がそれらの共有ネットワーク上でデータを送受信することを可能にするものです。VPNに接続されたデバイスは、その組織のプライベート・ネットワークに直接接続されます。インターネット上のVPNトンネルを見ると、これらのトンネルは、SLA、ルーティング、パフォーマンス、または高可用性に高い制限があることがわかります。

イーサネット、MPLS、またはIPVPNプロバイダーによるプライベート・ネットワークの相互接続

すべてのクラウド・プロバイダーが提供する主なサービスは、ネットワーク(場合によってはエクスチェンジ・プロバイダーも含む)を介したプライベートWAN接続です。これらのプライベート接続は、クラウド・サービスやクラウド・アプリケーションへの直接接続を提供します。これらの接続は、プロバイダーのクラウド・データ・センターへのレイヤー2 イーサネット、レイヤー3 MPLS、またはIPVPN接続が主体となっています。エンタープライズグレードのクラウド環境で作業する場合、クラウド・リソースへの低遅延かつ高可用性のネットワーク接続を提供するために、これらの直接接続が必要になります。このようなサービスの例としては、Oracle Cloud Infrastructure FastConnect、Microsoft ExpressRoute、AWS Direct Connectなどがあります。

小規模なネットワーク・プロバイダーの多くは、エクスチェンジ・プロバイダーを経由してクラウド・プロバイダーに接続することを好みます。エクスチェンジ・プロバイダーは、ネットワーク・プロバイダーよりもはるかに速く拡張できるからです。エクスチェンジ・プロバイダーの例としては、EquinixやMegaportなどがあります。次の図は、インターコネクト・モデルを図式化したものです。

レイテンシーと帯域幅(最も重要なもの)

ホスティング環境またはクラウド・プロバイダーで作業する場合、レイテンシーと帯域幅といういくつかの要素が他の要素よりも重要になります。遅延と帯域幅は、どれだけのクラウド・サービスを利用できるか、どれだけの速度でデータに到達できるかを決定します。もう一つの要素は、保存されているデータと転送中のデータです。この情報は、あなたのデータが今どこにあるのかを示しています。

A graphic depicting latency as a rectangle with a blue gradient with arrows running left and right and bandwidth as a circle with the same gradient with the arrows running up and down.

接続性では、速度も同様に重要です。遅延が大きいと、アプリケーションのパフォーマンスが低下します。

接続条件

Autonomousシステムは、1つまたは複数のネットワーク・プロバイダーまたはオペレータの管理下にある、接続されたIPルーティング・プリフィックスの集合体です。

ボーダー・ゲートウェイ・プロトコル(BGP)は、外部ゲートウェイ・プロトコルの後継プロトコルです。BGPは、Autonomousシステム間のルーティング用に設計されています。BGPはメトリックをサポートし、インテリジェントなルーティングの決定を行うことができ、内部ルーティングプロトコルOSPFと連携することができます。ルート集約は、主にclassless inter-domain routing(CIDR)で使用され、サポートされています。

プライベート・ピアリングとは、2つのネットワーク間で直接相互接続することです。この接続は、専用の帯域幅を持つ媒体OSI、レイヤー1または2を使用します。他のネットワークや第三者がプライベート・ピアリングを共有することはありません。現在、ほとんどのプライベート相互接続は、キャリア・ホテルやミートミー・ルームと呼ばれるキャリアニュートラルのコロケーション施設で確立されています。これらの施設では、同じ建物内または同じデータ・センター・キャンパス内の参加者間で直接クロスコネクトが行われます。このようなネットワーク間相互接続は、通常、電気通信回線よりもはるかに低コストです。

通信回線とは、情報やデータを伝送するための回線やプロバイダーのことです。

パブリック・ピアリングは、exchange point、インターネット・エクスチェンジ、またはネットワーク・アクセス・ポイントと呼ばれるレイヤー2アクセス技術を介して実現されます。これらの場所では、複数のプロバイダーが1つの物理ポートを介して1つまたは複数の他の通信事業者と相互接続します。パブリック・ピアリングでは、ネットワークが他の多くのネットワークと相互接続またはピアリングすることができます。パブリック・ピアリングは、第三者がinternet exchangeに課金するため、プライベート・ピアリングより容量が小さいと思われがちです。しかし、より多くのネットワークとの接続を可能にし、新しいネットワークやコンテンツ・プロバイダーがプライベート・ピアリングを行わずに他のネットワークにトラフィックを送信することを可能にしています。

クラウド運用

クラウド運用は、Terraformのような一貫したツールや複雑さを抑えるためのプロセスを使って、可視化と環境間の課題を軽減する方法に関するベスト・プラクティスを提供します。

可視化と管理性

Oracle Observability and Managementでマルチクラウドとオンプレミス環境を管理することができます。標準ベースの完全な統合プラットフォームとして、エンドツーエンドの機械学習ドリブンの実行可能な洞察を提供します。このオプションは、オンプレミスやあらゆるクラウドに展開されているお客様のITテクノロジー・スタックを管理するためのより良い方法を提供します。

Oracle Executive Vice PresidentのClay Magouyrkが、Integra LifeSciences社やKingold社などの企業がこのテクノロジーからどのような恩恵を受けているかについて説明します。

自動化

  • Infrastructure as Codeの方法論を採用: CSPでInfrastructure as Codeの手法を採用すると、アプリケーション・インフラ全体をコード形式で定義することができます。運用手順をコードとして実行し、イベントベースの通知に対応して実装することができます。   プロビジョニング、オーケストレーション、および構成管理を支援するために、AnsibleモジュールやChef Knifeなどの管理ツールの採用を検討してください。Ansibleモジュールを使用すると、クラウド基盤の構成とプロビジョニング、ソフトウェア資産の展開と更新、および複雑な運用プロセスのオーケストレーションを自動化できます。
  • ビルド・アンド・デプロイメント管理システム: ビルド・アンド・デプロイメント管理システムを使用することにより、効率を向上させます。これらのシステムは、手動プロセスによって引き起こされるエラーを減らし、変更を展開するための労力レベルを低減します。
  • 変更点のテストと検証: エラーを検出するために、常に変更を追跡し、テストし、検証してください。バージョン管理システムを使って、コードの変更点を追跡することができます。テストプロセスを自動化するために、デプロイメント管理システムの使用を検討してください。

クラウド・セキュリティとガバナンス

すべてのクラウド・モデルは、脅威の影響を受けやすいのです。クラウド・セキュリティには、外部と内部の両方のサイバーセキュリティの脅威からクラウド環境を保護するための手順と技術が含まれます。組織は、クラウドのセキュリティに完全な信頼を置き、CSP間のすべてのデータ、システム、アプリケーションがデータの漏洩、盗難、破損、削除から保護されていることを確認する必要があります。マルチクラウド環境を保護するために、次のようなニーズがあることを考慮してください。

データ・コントロール

  • データの分類: 機密、規制、公開。分類された場合、クラウド・サービスへのデータの出入りを停止することができます。
  • データ・ロス防止(DLP): 不正なアクセスからデータを保護し、不審な動きを検知すると自動的にアクセスやデータの転送を無効にします。
  • データ・コントロール管理: 各CSPで、指定されたユーザーのフォルダ権限を編集者や閲覧者にしたり、権限を削除したりすることです。
  • 暗号化: クラウド・データの暗号化(静止時および転送時)は、データが流出したり盗まれたりした場合でも、データへの不正アクセスを防止するために使用できます。

クラウド・セキュア・アクセス

  • ユーザーのアクセス・コントロール: クラウド・アクセス・セキュリティ・ブローカー(CASB)を使用して、アクセス・コントロールを実施することができます。
  • デバイスのアクセス・コントロール: 個人所有のデバイスや不正なデバイスがクラウド・データにアクセスしようとした場合、アクセスをブロックします。
  • 特権アクセス: データおよびアプリケーションへのアクセスは、特権アカウントのみに許可し、露出を軽減するためのコントロールを実装します。
  • 悪意のある行動を特定: ユーザー行動分析(UBA)により、不正アカウントや内部脅威を検知し、悪意のあるデータ流出を防止します。

コンプライアンス

  • リスク・アセスメント: クラウド環境とプロバイダーによってもたらされるリスク要因を特定し、対処します。
  • コンプライアンス評価: PCI、HIPAA、その他のアプリケーションの規制要件に対するコンプライアンス評価をレビューし、更新します。

IDフェデレーション

  • IDフェデレーションとは、ユーザ管理をIDプロバイダー(IdP)に委ねる仕組みのことです。既存のIDシステムを利用したい企業は、新たにユーザーを作成・管理する代わりに、フェデレーションを導入することができます。フェデレーションには、フェデレーション・トラストと呼ばれる、依拠当事者とIdPの間のワンタイム設定が必要です。

まとめ

この記事では、基盤となるアーキテクチャのリファレンスとして使用できるマルチクラウド・フレームワークを取り上げています。この方法は、ハイブリッドまたはマルチクラウド戦略を持ち、Oracle Cloud InfrastructureをメインのCSPとして使用し、ハイブリッド・マルチクラウド環境のセットアップと管理時に発生するリスクを軽減し課題を低減したい組織に多くの利点を提供します。

お読みいただきありがとうございました。