OCIのLanding Zoneについて調べてみた!
はじめに
この記事はJPOUG Advent Calendar 2023およびOracle Cloud Infrastructure Advent Calendar 2023の23日目の記事になります。
最近はクラウドアーキテクトとして、OCI上でのシステムの設計と実装する機会が多いのですが、OCIでの標準的なアーキテクチャを検討しているときに、OCIにランディング・ゾーン(Landing Zone)というリファレンス・アーキテクチャがあることを知り、ちょっと興味があったので簡単に調べてみました!
OCI CAF(Cloud Adoption Framework)
2021年8月にOCIはクラウド導入フレームワーク(CAF)をリリースしました。
OCI CAFは、組織がクラウド戦略を定義、改良、展開する際の指針となるように設計された、クラウド・リソース、ベスト・プラクティス、チュートリアル、テクニカル・ガイダンス、イネーブルメント・ツールなどから構成されています。
OCI CAFでは、クラウド導入のプロセスを6つの概念的な柱(成功の柱)に分け、それぞれの柱に重要な機能を持たせています。これらの柱は組織がビジネス戦略とテクノロジー・ソリューションを結びつけ、人材、プロセス、テクノロジーを連携させるのに役立ちます。
OCI CAFの概要
成功の柱(Pillars of Success)
OCI CAFでは、クラウド導入の成功の柱として以下の6つが定義されています。
ビジネス戦略
ビジネス戦略の柱では、クラウド導入で達成したいビジネス目標、クラウド導入のビジネスケース構築、ビジネス目標の進捗を定量化するビジネス価値など、クラウド導入の成功の定義に焦点をあてています。
人材戦略
人材戦略の柱では、クラウドの導入と変革をリードするチーム(CCoE)の設立、メンバーのトレーニングと準備計画の策定、組織の変更管理計画の作成など、組織の人的要素を成功に導くための準備に焦点をあてています。
セキュリティ
セキュリティの柱では、共有セキュリティ・モデル、セキュリティ・ベスト・プラクティスによるセキュリティ・アーキテクチャおよび実装、継続的なセキュリティのメンテナンスとモニタリングおよび予防、IAMセキュリティ・モデルの定義、セキュリティ・オペレーションの有効化、アクセス・ガバナンスなど、ユーザーおよびデータの保護、規制およびコンプライアンス要件への対応に焦点をあてています。
プロセス設計
プロセス設計の柱では、ITインフラとビジネス・プロセスの整合を定義するフレームワークであるエンタープライズ・アーキテクチャ戦略、クラウド導入のガバナンス、クラウド導入のリスクとコンプライアンスの管理など、ビジネス目標を達成するために必要なビジネス・プロセスと技術プロセス(ITなど)の適応、実装および定義に焦点をあてています。
テクノロジー実装
テクノロジー実装の柱では、組織の目標を技術的に実装するランディング・ゾーン、非常に高い信頼性、高可用性、DR(災害復旧)、クラウド導入の設計と実装のエンタープライズ・シナリオなど、ガバナンスとセキュリティのモデルを組織のニーズに合わせて展開されているクラウド環境へ変換することに焦点をあてています。
マネージメントとオペレーション
マネージメントとオペレーションの柱では、クラウド・オペレーション・モデル、オペレーションとサポート、クラウドでのオブザーバビリティとマネージメント、クラウド環境の最適化、インシデント管理など、新しいクラウド環境が稼働した後のことに焦点をあてています。
ランディング・ゾーン(Landing Zone)
ランディング・ゾーンは、OCI CAFのテクノロジー実装の柱を構成する要素であり、セキュリティ、ガバナンス、アイデンティティなどに関するOracleのベスト・プラクティスが適用されたリファレンス・アーキテクチャをOCIへ迅速に導入、展開できる処方箋的なソリューションとして、IaC(Terraform)のテンプレートで提供されています。
ランディング・ゾーンでは、OCIを使い始めるために必要なすべてのコア・サービスを構築したクラウド・アーキテクチャをワンクリックで自動的に導入することができます。
現時点のランディング・ゾーンには、Oracle Enterprise Landing Zone、SCCA Landing Zone、Self-Service Landing Zoneがあります。
適用するスコープなどは異なりますが、各ランディング・ゾーンの概要は以下の通りです。
各ランディング・ゾーンの詳細なアーキテクチャや実装については、公式ドキュメントに記載がありますので参照してください。
Oracle Enterprise Landing Zone(OELZ)v1
Oracle Enterprise Landing Zoneの総合的なバージョンです。
このリファレンス・アーキテクチャでは、ガバナンス、セキュリティ・セグメンテーション、職務の分離のための設計を含む、エンタープライズ規模のアーキテクチャを提供します。
OELZ v1 リファレンス・アーキテクチャ(セキュリティのみ)
デプロイ方法
OCI上にOELZ v1ランディング・ゾーンをデプロイするには、以下のTerraformテンプレートを利用します。
Terraformテンプレート(コア・インフラストラクチャ・コンポーネント)
Terraformテンプレート(OELZ v1 - ワークロード拡張)
Oracle Enterprise Landing Zone(OELZ)v2
Oracle Enterprise Landing Zoneの新しいバージョンです。
このリファレンス・アーキテクチャでは、エンタープライズ規模のクラウド環境でより優れたアジリティ、スケーラビリティ、およびセキュリティを提供します。
OELZ v2の主な特徴の1つは、クラウド・インフラを迅速かつ容易に拡張できるモジュラー・アーキテクチャです。
OELZ v2 リファレンス・アーキテクチャ
デプロイ方法
OCI上にOELZ v2ランディング・ゾーンをデプロイするには、以下のTerraformテンプレートを利用します。
Terraformテンプレート(OELZ v2)
Oracle Enterprise Landing Zone(OELZ)v1 - Lite
Oracle Enterprise Landing Zoneのクイックスタート・バージョンです。
このリファレンス・アーキテクチャでは、OCI Bastionサービスの監査ログとプロトコルのセキュリティ設定を事前に指定してデプロイできる基本テンプレートを提供します。
デプロイ方法
OCIコンソールのホームページの「ベースライン・ランディング・ゾーンのデプロイ」クイックスタート・カードからOELZ v1ランディング・ゾーンをインストールします。
ベースライン・ランディング・ゾーンのデプロイ
Oracle Cloud Native Secure Cloud Computing Architecture(SCCA) Landing Zone
Oracle Cloud Native SCCA Landing Zoneでは、アメリカ国防情報システム局(DISA)のSCCA要件をサポートするセキュアなアーキテクチャを提供します。
SCCA Landing Zone リファレンス・アーキテクチャ
デプロイ方法
OCI上にSCCAランディング・ゾーンをデプロイするには、以下のTerraformテンプレートを利用します。
Terraformテンプレート(SCCA)
Self-Service Landing Zone(CIS)
Self-Service Landing Zoneでは、CIS Foundations Benchmark for Oracle Cloudで規定されたセキュリティ・ガイダンスを満たす、クラウドのコア・テクノロジー・コンポーネント(コンピュート、ストレージ、ネットワーキング)、セキュリティ(分離された仮想クラウド・ネットワーク設計、リソース分離目的のコンパートメント)、IAMグループ、および暗号化手法の定義を提供します。
OCI CIS Landing Zone リファレンス・アーキテクチャ
デプロイ方法
OCI上にCISランディング・ゾーンをデプロイするには、以下のTerraformテンプレートを利用します。
Terraformテンプレート(CIS)
終わりに
- ランディング・ゾーンは、Oracleのセキュリティを中心としたベスト・プラクティスが実装されたリファレンス・アーキテクチャです。ただし、組織での適用には制約があります。
- ランディング・ゾーンは単独で導入できますが、組織へのOCI CAFの導入に含めたほうが導入による効果が高いと思いです。
- 機会があれば、OCI CAFを導入している組織の具体的な事例を聞きたいと思いました。
参考
Discussion