※ 本記事は、Dominic Veldenによる”OCI’s two-region strategy is the most resilient solution for cloud customers“を翻訳したものです。
2023年6月6日
クラウド・アーキテクチャを使用する場合は、クラウド・サービス・プロバイダ(CSP)がビジネス継続性、ディザスタ・リカバリおよびソリューションの可用性をどのように実現するかを検討してください。CSPは、1つのリージョンで複数の可用性ゾーンを使用するリージョンベースのアプローチを適用します。ただし、ほとんどのCSPは各国で1つのリージョンをデプロイするため、障害時リカバリの要件を満たさない可能性のある国外の他のリージョンに依存することになります。
このブログでは、Oracle Cloud Infrastructure(OCI)の2リージョン設計戦略のメリットを調べて、ミッションクリティカルなワークロードに自己回復性を提供します。2つのリージョン設計が、複数の可用性ゾーンを持つ単一リージョン設計など、他の代替に対して最適なアプローチを提供すると考えている理由のいくつかについて検討します。このブログでは、次の幅広い分野について説明します。:
-
ビジネス継続性とサービス継続性
-
レイテンシとレスポンス時間
-
クロスリージョン・レプリケーション
-
高可用性/障害時リカバリのためのソリューションの開発
OCIの設計
最上位レベルでは、OCIのリージョン設計は、リージョンの論理的な集合であるレルムで構成されます。OCIのリージョンは、1つ以上の可用性ドメインを含む単一の地理的な場所です。可用性ドメインは、インスタンス、ボリューム、サブネットなどのOCIクラウド・リソースをホストする1つ以上のデータ・センターです。可用性ドメイン内では、Oracleは、高可用性を提供するための最適化されたアーキテクチャを提供するフォルト・ドメインと呼ばれるテクノロジを設計してデプロイしています。
フォルト・ドメインは、1つの物理データ・センターを3つの異なる論理データ・センターにパーティション化する手段であり、お客様は高可用性アーキテクチャにアンチアフィニティ・パターンを実装できます。フォルト・ドメインでは、ハードウェア障害または予期しないソフトウェア変更中にOCIリソースを分離できます。そのため、1つのフォルト・ドメインに影響するハードウェア障害またはコンピュート・ハードウェア・メンテナンス・イベントは、他の2つのフォルト・ドメインには影響しません。
次の主な概念を考えてみます。:
-
レルム: リージョンの論理的な集合。レルムは相互に分離され、データは共有されません。テナンシは単一のレルムに存在し、そのレルムのリージョンにアクセスできます。
-
リージョン: 単一の地理的な場所に配置された可用性ドメイン(データ・センターなど)のコレクション。
-
可用性ドメイン: リージョンにある1つ以上のデータ・センター。可用性ドメインは相互に分離され、フォルト・トレラントであり、同時に障害が発生することはほとんどありません。物理インフラストラクチャまたは内部可用性ドメイン・ネットワークを共有していないため、1つの可用性ドメインに影響する障害が他の可用性ドメインに影響を与えることはほとんどありません。
-
フォルト・ドメイン: 可用性ドメイン内のハードウェアおよびインフラストラクチャのグループ。フォルト・ドメインでは、単一のアベイラビリティ・ドメイン内の同じ物理ハードウェア上に存在しないようにインスタンスを分散できます。そのため、1つのフォルト・ドメインに影響する予期しないハードウェア障害やハードウェア・メンテナンスは、他のフォルト・ドメインのインスタンスに影響しません。
-
バックボーン: OCIリージョンは、最先端のネットワーク・テクノロジと設計に依存しています。各リージョンは、高パフォーマンスで信頼性が高くスケーラブルなトランスポートを提供することにより、ワークロードを可能にするように設計された専用インフラストラクチャ・バックボーンによって相互接続されます。バックボーンは、リージョンを相互接続するための専用のセキュアなネットワークです。バックボーン・ネットワークは、帯域幅、レイテンシおよびジッターのリージョン間の一貫したパフォーマンスにより、プライベートにルーティングされたリージョン間接続を提供します。この設定により、障害時リカバリ、リアルタイム・レプリケーション、クラスタリングなどのシナリオを含むワークロードが可能になります。
高可用性
高可用性ソリューションとは、単一障害点のないソリューションです。保護する障害のタイプおよび必要なレルム仕様に応じて、複数のリージョン、複数の可用性ドメインまたは複数のフォルト・ドメインを利用するソリューションを設計できます。
高可用性は、アプリケーション・レベルやクラウド・インフラストラクチャ・レベルなど、様々なレベルで実現できます。アプリケーションの高可用性を構成するには、同じようなメリットを得ながら、アベイラビリティ・ドメインまたはフォルト・ドメインを使用していても、同様の処理が必要です。
可用性ドメインとフォルト・ドメインは同様の機能に対応しますが、フォルト・ドメインは可用性ドメインより物理的に緊密であるため、ネットワーク全体のレイテンシ時間は短くなります。また、接続性は外部のリスク要因の影響を受けにくくなります。レイテンシが重要なアプリケーションの場合、この要因は、高可用性ニーズにより適したアプリケーションを決定する上で重要です。
自己回復性のあるクラウド・アーキテクチャ
自己回復性を備えたクラウド・アーキテクチャには、構成の変更、ネットワークの停止、機器の障害または自然災害によりリージョンがダウンした場合でも、お客様の運用が継続的に行われるようにデータ、アプリケーションおよびオペレーティング環境のバックアップを含める必要があります。アプリケーションまたはソリューション・アーキテクチャでは、データを異なるサービスに格納する場合があります。たとえば、アプリケーションのバックアップ計画では、次の要因をカバーする必要があります。:
-
ストレージ・サービスのデータ
-
データベースのデータ
-
バックアップの整合性およびプロセスの検証
-
バックアップのセキュリティと暗号化の検証
-
障害時リカバリのためのデータのレプリケーション
障害時リカバリのためのデータのレプリケーションについて考えてみましょう。OCIは、障害時リカバリを容易にするデータが存在する場所に応じて使用できるいくつかのアプローチを提供しています。2つのリージョンでは、次のOCIサービスを使用して、1つのリージョンからディザスタ・リカバリ・リージョンにデータをレプリケートできます:
-
ブロック・ボリューム: OCIブロック・ボリューム・サービスを使用すると、ブロック・ボリューム、ブート・ボリュームおよびボリューム・グループの、プライマリ・リージョンからセカンダリ・リージョンへの継続的な自動非同期レプリケーションを実行できます。
-
オブジェクト・ストレージ: OCIオブジェクト・ストレージ・サービスは、リージョンの停止からの保護、ディザスタ・リカバリ作業の補助、データ冗長性コンプライアンス要件への対応を行うレプリケーションをサポートしています。これを使用して、あるバケットのオブジェクトを別のリージョンの別のバケットにレプリケートできます。
-
ファイル・ストレージ: OCIファイル・ストレージ・サービスは、リージョンの停止からの保護、ディザスタ・リカバリ作業の補助、データ冗長性のコンプライアンス要件に対応するレプリケーションをサポートします。これを使用して、あるファイル・システムのデータを別のリージョン内の別のファイル・システムにレプリケートできます。
-
Oracle Database: OCIは、お客様のニーズと選択したOracle Databaseサービスに応じて、データベース・レプリケーションの様々なオプションを提供します。
-
Oracle Data Guardは、本番データベースの同期された物理レプリカ(スタンバイ)を別のリージョンに維持することで、Oracle Databaseの包括的なデータ保護、高可用性および障害時リカバリを提供します。
-
Oracle GoldenGateは、マルチマスター・レプリケーション、ハブ・アンド・スポーク・デプロイメントおよびデータ変換をサポートする高度な論理レプリケーション製品です。GoldenGateには、異機種混在のハードウェア・プラットフォームなど、レプリケーション要件の全範囲に対処するための柔軟なオプションが用意されています。
-
Oracle Exadata DatabaseやOracle Autonomous Databaseなどのサービスでは、オブジェクト・ストレージへのバックアップの取得もサポートされています。
-
-
OCI Full Stack Disaster Recovery: サービスに関する情報は、このブログの後半で提供されます。
2つのリージョンのアプローチを使用しない場合、バックアップは、それを格納しているリージョンにアクセス可能なかぎり使用可能です。
地理的な冗長性
クラウドの地理は、フォルト・トレランスを考慮する必要がある重要なリスク・ファクタです。自然災害、停電、またはその他の人間が引き起こしたイベントによって、データ・センター、可用性ドメインまたはリージョン全体を引き出すことができます。1つのリージョン内の複数の可用性ドメインに依存するアーキテクチャ設計では、リージョン全体に影響するイベントを許容できません。
地理的な冗長性とバックアップ戦略のサポートは、ビジネス継続性およびディザスタ・リカバリ計画において重要な部分であり、組織は計画外の中断から回復できます。地理的な冗長性は、最小距離で区切られた異なる地理的な場所にある複数のデータ・センターにまたがる2つ以上のリージョンで構成されます。この地理情報により、ミッションクリティカルなインフラとコンポーネントを配布できます。したがって、2つのリージョンの設計を使用するアプリケーションは、1つの可用性ドメインを持つ1つのリージョン内のアプリケーションよりも自己回復性が高くなります。
リージョン全体が利用できなくなる事態に耐えられるのは、業界のベスト・プラクティスであるマルチリージョン・アプリケーション・アーキテクチャだけです。Amazon Web Services (AWS)とMicrosoft Azureの両方とも、このオプションが表されています。
カスケード障害が発生すると、リージョン全体が失敗する可能性があります。クラウド・リソースが影響を受ける1つのリージョンのみに制限されている場合、停止時間とビジネスの継続性が失われる可能性があります。カスケード障害とは、他のコンポーネントの障害につながる特定のコンポーネントの障害から発生する可能性がある状況で、徐々に増大し、リップル効果をトリガーします。カスケード失敗の一例は、CSPのデータ・ストリーミング・サービスで開始された単一のリージョンで問題であり、その後、他のいくつかの依存サービス間で問題が発生しました。この問題は、そのクラウド・プラットフォームを使用する何千ものオンライン・サービスに結果的に影響を与えました。
コスト効率に優れたディザスタ・リカバリ・ソリューションを2つのリージョン環境に簡単に実装
OCIのFull Stack Disaster Revovery (FSDR)は、ディザスタ・リカバリのオーケストレーションおよび管理サービスであり、2つのリージョン環境でシームレスかつ迅速にディザスタ・リカバリを自動化できます。インフラストラクチャ、ミドルウェア、データベース、アプリケーションなど、アプリケーション・スタックのすべてのレイヤーに対して包括的なディザスタ・リカバリ機能を提供します。FSDRサービスを使用して、障害回復保護を必要とする各アプリケーションスタックに専用の障害回復構成を作成できます。テナンシにデプロイされたサービスおよびアプリケーションのディザスタ・リカバリ・プランを生成、実行およびモニターします。
Full Stack Disaster Recoveryでは、障害時リカバリを組み込むためにシステムの再構成に時間を費やす必要はありません。この簡略化により、本番後のアドオンではなく、プロジェクトの開始時に堅牢なディザスタ・リカバリを実装できるため、開発作業、タイムライン、および予算が大幅に削減されます。フル・スタックのディザスタ・リカバリの詳細は、サービス・ページを参照してください。
ダウンタイム・リスクの最小化
OCIリージョンでの保守性稼働時間を最大限に高めるために、計画メンテナンスを含むすべての変更は、レルム内のリージョン・ペアに順次デプロイされます。リージョナル・ペアでは、1つのリージョンがプライマリ、もう1つのリージョンがセカンダリとして定義されます。プライマリは常にセカンダリより前に更新され、ペア内の1つのリージョン内のリソースのみが任意の時点でアクティブに変更されます。変更の対象となるプライマリ・リージョン内のリソースのヘルスは、ペア内のセカンダリ・リージョンで更新を適用する前に、検証の目的で最小期間モニターされます。
グローバル・エクスペリエンス
Oracle独自のデュアル・リージョン・クラウド戦略を使用すると、地理的に離れた複数の場所に回復力のあるサービスをデプロイできます。真のビジネス継続性と災害保護を構築するために、Oracleでは、OCIデプロイメント・タイプに関係なく、運用しているほぼすべての国で少なくとも2つのクラウド・リージョンを確立することを計画しています。たとえば、OCI商用レルムでは、次の国にはすでに2つのクラウド・リージョンがあります: 米国、カナダ、英国、フランス、韓国、日本、ブラジル、インド、アラブ首長国連邦およびオーストラリア。
OCIには、次のデプロイメント・オプションがあります。:
-
Oracleパブリック・クラウド: Oracle Cloudリージョンには、あらゆるユーザーがアクセスできます。世界中の22か国に41のクラウド・リージョンがあり、今後も増える予定です。OCIは10か国とEU全域で、2つ以上のクラウド・リージョンがあり、災害時にデータが国境を越えることなく可用性を確保できるようにしています。これらの場所で事業を展開している多くの組織は、データ・レジデンシと可用性の要件を満たすためにクラウド・ワークロードを国内で実行できます。
-
Oracleソブリン・クラウド: 商業組織および政府組織のニーズを満たすレルム
-
欧州連合のソブリン・クラウド・リージョン: 2023年にスペインとドイツにデータ・センターを導入すると、Oracleの新しいEUソブリン・クラウド・リージョンは、EUの既存のOracle商用クラウド・リージョンとは論理的かつ物理的に独立しています。民間企業と公共部門の両方の組織が、これらの新しいリージョンを使用して、機密性、規制、または戦略的地域にとって重要であるデータとアプリケーションをホストできます。
-
Dedicated Region Cloud@Customer: OCIパブリック・クラウドの俊敏性、スケーラビリティおよび経済性を備えた、独自のデータ・センターで完全なOCIリージョンを探しているお客様向けに設計されています。
-
Oracle Cloud Isolatedリージョン: リージョンは、インターネット接続なしで空輸可能な最高政府分類基準に保護されています。Oracle Cloud Isolatedリージョンは、パブリックOracle Cloudリージョンで利用可能な同一のサービスとツールを提供し、顧客が継続的なイノベーションのペースを活用できるようにします。これらのリージョンは、国内で政府公認の職員がサポートし、お客様の安全な政府ネットワークからのみアクセス可能です。Oracle Cloud Isolatedリージョンは、最も要求の厳しいデータ・ソブリンとセキュリティ要件を満たし、ミッション継続性を確保し、高可用性とディザスタ・リカバリの両方を提供する2リージョン・アーキテクチャ・モデルを使用して業界標準を採用するように設計されています。
-
Oracleのデュアル・リージョン・ソブリンUK Governmentクラウド: SCレベルのセキュリティ・クリアランスを保持する英国市民が運営する、インターネットに接続された2つのクラウド・リージョンで構成される英国政府の要件を反映するように設計されたOracleのソブリン・クラウド。この専用デュアル・リージョン・クラウドは、公式の影響を受けやすいワークロードをサポートするように構築されており、お客様の情報(顧客または運用)が、表明された権限なしに環境を離れることがない完全なソブリン・モデルを提供します。
-
米国: 商用顧客から分離され、規制に準拠したミッションクリティカルな米国公共部門のワークロードをサポートするために構築された、非常にセキュアなエンタープライズ規模のクラウド・エコシステムです。Oracle Cloudの米国国家セキュリティ・リージョンは、機密データとトップ・シークレットに分類されたデータをサポートする、空輸対応の分離されたクラウドを提供します。米国政府向けのOracle Cloudは、米国連邦政府、民間機関、州および地方オフィス向けのFedRAMP高JAB認定クラウドです。米国国防総省向けのOracle Cloudは、インパクト・レベル5で、国防総省の最も機密性の高い未分類のデーをサポートすることが認められています。
-
まとめ
OCIの2つのリージョン設計戦略は、開発者にとってすぐに使えるツールや機能と組み合わせることで、高可用性と障害時リカバリのバランスがとれています。オラクルの2つのリージョン戦略により、ミッション・クリティカルなワークロードのレジリエンシ要件を簡単に実装できます。
すべてのユース・ケースが異なることはわかっています。OCIが適切かどうかを知る唯一の方法は、OCIを試すことです。Oracle Cloud Free Tierまたは30日間の無料トライアルを商用リージョンで選択できます。これには、コンピュート、ストレージ、ネットワーキングなどの様々なサービスの使用を開始するためのクレジットが含まれます。Oracle Cloud Isolated Region、Oracle Dedicated Region Cloud@CustomerまたはOracle National Security Regions (ONSR)を希望する場合は、Oracle営業担当者に連絡して、適切なリージョンの概念実証を確認してください。
Oracle Cloud Infrastructureの2リージョン戦略、高可用性およびディザスタ・リカバリの詳細は、次のリソースを参照してください: