LiBRA 05.2021 / JUKU_Infra&Cloud
•
0 gefällt mir•1,458 views
https://libra.netcommerce.co.jp/
Empfohlen
Weitere ähnliche Inhalte
Was ist angesagt?
Was ist angesagt? (20)
Ähnlich wie LiBRA 05.2021 / JUKU_Infra&Cloud
Ähnlich wie LiBRA 05.2021 / JUKU_Infra&Cloud (20)
Mehr von Masanori Saito
Mehr von Masanori Saito (20)
Kürzlich hochgeladen
Kürzlich hochgeladen (10)
LiBRA 05.2021 / JUKU_Infra&Cloud
- 2. DXを支えるテクノロジー・トライアングル データ解析 AI・機械学習 機械学習・深層学習 AIチップなど データ収集 IoT センサー・モバイル 自律制御など 5G 第5世代信システム DX : Digital Transformation デジタルを使いこなし その価値を最大限に活かせる 企業の文化や風土への変革 データ活用 クラウド サーバーレス・コンテナ SaaS・PaaSなど SDI ソフトウェア化 されたインフラ
- 5. 仮想 virtual 表面または名目上はそうでないが 実質的には本物と同じ 本来の意味 「仮想化」の本当の意味 本来の意味 仮想化 Virtualization 物理的実態とは異なるが、 実質的には本物と同じ機能を実現する仕組み 日本語での語感 虚像の〜 実態のない〜 It was a virtual promise. (約束ではないが)実際には約束も同然だった。 He was the virtual leader of the movement. 彼はその運動の事実上の指導者だった。
- 7. 物理資源・物理機械 サーバーの仮想化 ストレージの仮想化 Java仮想マシン データベースの仮想化 パーティショニング 分 割 アグリゲーション 集 約 エミュレーション 模 倣 仮想化 (Virtualization) ひとつの物理資源を 複数の仮想資源に分割 複数の物理資源を ひとつの仮想資源に分割 ある物理資源を 異なる資源に見せかける 仮想化の3つのタイプ
- 8. ソフトウェア化とはどういうことか(1) 掃除 機能 掃除 機械 レンジ 機能 レンジ 機械 テレビ 機能 テレビ 機械 作表 機能 文書作成 機能 会計管理 機能 汎用機械 オペレーティング・システム(OS) 家電製品 コンピュータ 専用一体 専用一体 専用一体 ソフトウェア Software ハードウェア Hardware
- 11. 仮想化 や ソフトウエア化 のための仕組み 使いたい機能や性能の組合せや変更の自由を実現 ソフトウェア化とクラウド 簡単・便利・いつでも/どこでもITの機能や性能をサービスとして使える仕組み 実質的に使える機能や性能 ネットワーク 専門的な スキルや ノウハウ 大規模・集中化・一元化・標準化 自動化などを駆使して、魅力的な コストパフォーマンスを実現する 物理的なハードウェアや設備 インフラストラクチャー プラットフォーム アプリケーション 運用管理者 特定の業務処理 を行うためのソフトウェア アプリケーションで共通に使う機能 を提供するソフトウエア オペレーティングシステム データベース管理システム など 販売管理システム 会計管理システム など ソフトウエアを動かすための ハードウェアや設備
- 15. 仮想化の種類
- 17. システム利用形態の歴史的変遷 OS OS AP AP AP AP AP AP 3 2 1 1950年代〜/バッチ 1960年代〜/タイムシェアリング メインフレーム メインフレーム ミニコン OS AP AP AP OS OS VM VM VM 1970年代〜/仮想化(仮想マシン) メインフレーム ミニコン OS AP AP AP OS OS 1980年代〜/分散化 ミニコン PCサーバー OS AP AP AP OS OS VM VM VM 2000年代〜/仮想化(仮想マシン) PCサーバー クラウド (IaaS) OS AP 設定 AP 設定 AP 設定 コンテナ コンテナ コンテナ 2015〜/コンテナ PCサーバー クラウド (PaaS) メインフレームの時代 オープン・システムの時代 クラウドの時代
- 18. 物理システム・仮想化・コンテナの比較 物理サーバー (ハードウェア) ミドルウェア アプリ アプリ アプリ ハイパーバイザー 仮想サーバー 仮想サーバー 仮想サーバー 物理システム 仮想化されたシステム ミドルウェア ミドルウェア 物理サーバー (ハードウェア) 物理サーバー (ハードウェア) ストレージ CPU メモリ ストレージ CPU メモリ ストレージ CPU メモリ 物理サーバー (ハードウェア) ミドルウェア アプリ アプリ アプリ ミドルウェア ミドルウェア OS コンテナ・システム 物理サーバー (ハードウェア) ミドルウェア アプリ アプリ アプリ ミドルウェア ミドルウェア ライブラリ 環境変数 ライブラリ 環境変数 ライブラリ 環境変数 コンテナ管理システム コンテナ コンテナ コンテナ カーネル OS OS OS OS OS OS
- 19. サーバー仮想化とコンテナ OS ハードウェア ハイパーバイザー 仮想サーバー ミドルウェア アプリ OS 仮想サーバー ミドルウェア アプリ OS 仮想サーバー ミドルウェア アプリ サーバー仮想化 ハードウェア コンテナ管理ソフトウエア OS ミドルウェア アプリ ミドルウェア アプリ ミドルウェア アプリ コンテナ コンテナ コンテナ コンテナ ライブラリ 環境変数 ライブラリ 環境変数 カーネル カーネル カーネル カーネル ライブラリ 環境変数 ライブラリ 環境変数 ライブラリ 環境変数 ライブラリ 環境変数 隔離されたアプリケーション実行環境を提供(クラッシュの分離、独自のシステム管理とユーザー・グループ) 実行イメージのスナップショットをパッケージとしてファイルにして保存できる アプリケーションに加えて仮想マシン・OS の実行イメージを持つ必要がある アプリケーションとOSの一部 の実行イメージを持つ必要がある デプロイするサイズ 大きい 起動・停止時間 遅い デプロイするサイズ 小さい 起動・停止時間 早い 異なるOS 可 異なるOS 不可 メモリーやディスクの消費量が大きい = リソース効率が悪い メモリーやディスクの消費量が大きい = リソース効率が良い 構成の自由度が高い 異なるOS・マシン構成を必要とする場合など 軽量で可搬性が高い 実行環境への依存が少なく異なる実行環境で稼働させる場合など サンド・ボックス化 Sand Box
- 24. DockerとKubernetes の関係 24 コンテナの作成 コンテナの実行 コンテナ内でファイルシステ ムとして使われるイメージの 作成および管理 など 関連するコンテナのグルーピング コンテナに割り振られるIPアドレスの管理 コンテナ間ネットワークルーティング管理 複数のコンテナを利用した負荷分散 コンテナに割り当てるストレージの管理 コンテナの監視 など ネットワークのルーティングや複数コンテナの 連携、複数台のサーバーを対象にコンテナを横 断的に管理する機能などは提供されていない。 クラスタ環境でDockerを利用する場合は別途何らかの管理手法を用意する必要がある。 Dockerと連携して利用できるデプロイ/オーケストレーションツールのひとつ By Google Manage a cluster of Linux containers as a single system to accelerate Dev and simplify Ops. Linuxコンテナのクラスタを単一のシステムとして管理して 開発を加速し、運用を簡素化します。 意味:ギリシャ語で「人生の道標」 読み方:クーベルネイテス(koo-ber-nay'-tace)
- 25. Twelve Factorsとの関係 25 Ⅰ. コードベース バージョン管理されている1つのコードベースと複数のデプロイ Ⅱ. 依存関係 依存関係を明示的に宣言し分離する Ⅲ. 設定 設定を環境変数に格納する Ⅳ. バックエンドサービス バックエンドサービスをアタッチされたリソースとして扱う Ⅴ. ビルド、リリース、実行 ビルド、リリース、実行の3つのステージを厳密に分離する Ⅵ. プロセス アプリケーションを1つもしくは複数のステートレスなプロセスとして実行する Ⅶ. ポートバインディング ポートバインディングを通してサービスを公開する Ⅷ. 並行性 プロセスモデルによってスケールアウトする Ⅸ. 廃棄容易性 高速な起動とグレースフルシャットダウンで堅牢性を最大化する Ⅹ. 開発/本番一致 開発、ステージング、本番環境をできるだけ一致させた状態を保つ Ⅺ. ログ ログをイベントストリームとして扱う Ⅻ. 管理プロセス 管理タスクを1回限りのプロセスとして実行する アジリティーの高いWebサービスを構築するための方法論 コンテナ Kubernetes https://12factor.net/ja/
- 26. Kubernetes Master 全体のコンテナの稼働 状況などを把握し、運用 管理者が指定したよう に、コンテナ配置、削除 などを指示 Kubernetes の全体構造 26 コンテナ ライブラリ 環境変数 アプリや ミドルウェア コンテナ ライブラリ 環境変数 アプリや ミドルウェア コンテナ ライブラリ 環境変数 アプリや ミドルウェア コンテナ ライブラリ 環境変数 アプリや ミドルウェア コンテナ ライブラリ 環境変数 アプリや ミドルウェア コンテナ ライブラリ 環境変数 アプリや ミドルウェア Kubernetes Node Kubernetes Node Kubernetes Node Kubernetes Pod Kubernetes Pod Kubernetes Pod Kubernetes Pod コンテナ管理システム コンテナ管理システム が稼働しているマシン /サーバーの単位 コンテナの まとまりの単位 Kubernetes Cluster Nodeの集まりの単位 物理マシン/仮想マシン yaml形式記載された設定 ファイル kubectlコマンドを使って、 設定をKubernetes Masterに反映 Kubernetes Masterは反 映された内容を元に、 NodeやPodを操作 マニフェスト 意味:ギリシャ語で「人生の道標」 読み方:クーベルネイテス 略称:K8s
- 27. デスクトップ仮想化とアプリケーション仮想化 ネットワーク 入出力操作 通信 クライアントPC 文書作成 表計算 プレゼン ・・・ デスクトップ画面 メモリー ストレージ ハイパーバイザー PC用OS (Windows7など) プロセッサー 文書 作成 表 計算 プレ ゼン ・・・ 入出力操作 通信 クライアントPC 文書作成 画面表示 仮想PC サーバー PC用OS (Windows7など) 文書 作成 表 計算 プレ ゼン ・・・ 仮想PC メモリー ストレージ OS プロセッサー サーバー ターミナル・モニター 文書 作成 表 計算 プレゼン ・・・ 入出力操作 通信 クライアントPC 文書作成 表計算 プレゼン ・・・ デスクトップ画面 入出力操作 通信 クライアントPC 文書作成 画面表示 デスクトップ仮想化 アプリケーション仮想化
- 28. シンクライアント ネットワーク 入出力操作 通信 シンクライアント 文書作成 表計算 プレゼン ・・・ 画面表示 メモリー ストレージ ハイパーバイザー PC用OS (Windows7など) プロセッサー PC用OS (Windows7など) PC用OS (Windows7など) 文書 作成 表 計算 プレ ゼン ・・・ 文書 作成 表 計算 プレ ゼン ・・・ 文書 作成 表 計算 プレ ゼン ・・・ 入出力操作 通信 シンクライアント 文書作成 表計算 プレゼン ・・・ 画面表示 仮想PC 仮想PC 仮想PC サーバー ストレージ 文書作成 表計算 プレゼン ・・・ 入出力操作 通信 アプリケーション PC / Windows・Mac OS など 画面表示 データとプログラムの保管 プログラムの実行 は、PC内にて処理 データとプログラムの保管 プログラムの実行 は、サーバー内にて処理 シンクライアントは 画面表示と入出力操作
- 29. Chromebook インターネット データ 文書作成 表計算 プレゼン ・・・ ブラウザ 画面表示・入出力操作 通信 画面表示・入出力操作 通信 オフィス・アプリ データ 文書作成 表計算 プレゼン ・・・ オフィス・アプリ クラウドサービス Google Apps for workなど ブラウザ 文書作成 表計算 プレゼン ・・・ PC / Windows・Mac OS など Chromebook / Chrome OS
- 31. ストレージ仮想化 2TB 実データ 3TB 実データ 5TB 実データ 10TB 10TB 10TB 仮想ストレージ ブロック仮想化 10TB 実データ 30TB ストレージ(ハードウェア) 8TB 7TB 5TB 未使用領域 20TB ボリュームの仮想化 10TB 10TB 10TB 仮想ストレージ シンプロビジョニング 10TB 実データ 30TB ストレージ(ハードウェア) 容量の仮想化 未使用領域 0TB 必要な時に 追加 2TB 実データ 3TB 実データ 5TB 実データ 8TB 7TB 5TB 仮想ストレージ 重複排除 ストレージ(ハードウェア) データ容量の削減 D A B C E F A B ファイル 2 ファイル1 D A B C E F 重複データ を排除
- 35. 銀行システムにおけるクラウド活用の動き 日本ユニシスとマイクロソフト、「BankVision on Azure」実現に向け共同プロジェクトを開始 2018年3月23日 日本ユニシス株式会社と日本マイクロソフト株式会社 は23日、日本ユニシスのオープン勘定系システム 「BankVision」の稼働基盤として、Microsoft Azureを 採用するための取り組みを推進するため、共同プロ ジェクトを4月から開始すると発表した。 いかに費用を抑え、最新技術も取り入れた上で短期間 でのシステム開発を行うかという課題に対応するため、 クラウドを選択。現在はクラウド最大手の米アマゾン ウェブサービスと組み、業務システムの一部から移行 を進めている。 5年間で100億円のコスト削減 1000超のシステムの約半分をクラウド化 週刊ダイヤモンド 2017.5.17 https://diamond.jp/articles/-/128045
- 36. ソニー銀行の次期勘定系システム https://www.sbbit.jp/article/fj/51586 2022年度の本番稼働を目指して、AWSを用いた次期勘定系システムの開発を推進している。
- 37. クラウド・バイ・デフォルト原則 政府情報システムにおけるクラウドサービスの利用に係る基本方針(案) クラウド・バイ・デフォルト原則(クラウドサービスの利用を第一候補) 政府情報システムは、クラウドサービスの利用を第一候補として、その検討を行う 情報システム化の対象となるサービス・業務、取扱う情報等を明確化した上で、メリット、開発の規模及び経費等を基に検討を行う https://www.kantei.go.jp/jp/singi/it2/cio/dai77/siryou.html Step0:検討準備 クラウドサービスの利用検討に先立ち、対象となるサービス・業務及び情報といった事項を可能な限り明確化する。 Step1:SaaS(パブリック・クラウド)の利用検討と利用方針 サービス・業務における情報システム化に係るものについて、その一部又は全部が SaaS(パブリック・クラウド)により提供されてい る場合(SaaS(パブリック・クラウド)の仕様に合わせ、サービス・業務内容を見直す場合も含まれる。)には、クラウドサービス提 供者が提供する SaaS(パブリック・クラウド)が利用検討の対象となる。 Step2:SaaS(プライベート・クラウド)の利用検討 サービス・業務における情報システム化に係るものについて、その一部又は全部が、府省共通システムの諸機能、政府共通プラット フォーム、各府省の共通基盤等で提供されるコミュニケーション系のサービスや業務系のサービスを SaaS として、当該サービスが利用 検討の対象となる。 Step3:IaaS/PaaS(パブリック・クラウド)の利用検討と利用方針 SaaS の利用が著しく困難である場合、又は経費面の優位性その他利用メリットがない場合については、民間事業者が提供する IaaS/PaaS(パブリック・クラウド)が利用検討の対象となる。 Step4:IaaS/PaaS(プライベート・クラウド)の利用検討 IaaS/PaaS(パブリック・クラウド)の利用が著しく困難である場合、又は経費面の優位性その他利用メリットがない場合については、 サーバ構築ができる政府共通プラットフォーム、各府省独自の共通基盤等を IaaS/PaaS として、当該サービスが利用検討の対象となる オンプレミス・システムの利用検討
- 41. クラウド・サービスの「作り方」による費用の違い サーバー(物理マシン)×9台 +データベース等のライセンス +インフラ、DBなどの環境構築 +運用管理業務 +設置場所(場所+電源+空調等) 購入費用 :数千万円 年間保守料 :数百万円 年間運用量 :数百万円 年間使用料 : ー ハードウェアを所有 クラウド・サービスを使用 サーバー(仮想マシン)×9台 +データベース等のライセンス +インフラ、DBなどの環境構築 +運用管理業務 × 設置場所(場所+電源+空調等) 購入費用 : ー 年間保守料 : ー 年間運用量 : ー 年間使用料 :254,980円 ハードウェアを所有する場合と変 わらないシステム構成と運用方法 実行環境を移行しただけ システムの構成や運用方法などの設計・方式は同じ まったく異なる設計・方式 アンケート入力・集計・レポートのサービスとして、できることは同じ サーバー(仮想マシン)×4台 購入費用 : ー 年間保守料 : ー 年間運用量 : ー 年間使用料 :198,691円 × データベース等のライセンス △インフラ、DBなどの環境構築 △ 運用管理業務 × 設置場所(場所+電源+空調等) 無償のDNSや監視、低料金のデー タベースなどのサービスを利用 一部をクラウドのサービスに代替 サーバーの構築・運用は不要 購入費用 : ー 年間保守料 : ー 年間運用量 : ー 年間使用料 :907円 × データベース等のライセンス × インフラ、DBなどの環境構築 × 運用管理業務 × 設置場所(場所+電源+空調等) サーバーレス方式と言われるまっ たく異なる実行方式を採用 クラウド・ネイティブで再構築 ハードウェアを所有し、設置場所 とその運営も自社責任
- 42. 構築事例:従来型のWebアプリケーション・アーキテクチャ EC2 Internet クライアント Elastic Load Balancing EC2 冗長化 EC2 EC2 EC2 EC2 EC2 冗長化 冗長化 EC2 EC2 Web AP DB 死活監視 DNS DNSのセットアップが必要 APはそのまま移行。ただし、セッション管理等、一部改修が 必要な場合がある。 ミドルウェアが必要 (Oracle、 SQLServer、死活監視ソフト等の購入) DBMSのセットアップが必要 EC2:1台 365日24時間稼働:$175.2 EC2:9台 365日24時間稼働:$1576.8 ELB:1台 365日24時間稼働:$236.52+α ELB:2台 365日24時間稼働:$473.04+α リージョン:東京 <EC2> インスタンスタイプ:t2.micro (最少) 料金:$0.020/1時間 <ELB> 料金:$0.027/1時間 +$0.008/1GB 年間:約$2049.84 約254,980円 ※2015/3/20時点
- 43. 構築事例:AWSサービスを活かしたアーキテクチャ EC2 Internet クライアント Elastic Load Balancing EC2 冗長化 EC2 EC2 冗長化 Web AP DB DNS Route 53に 設定するのみ 死活監視のソフトウェア不要 基本的に無料/アラーム設定でメール通知 DBMSはインストール不要 Oracle、SQL Server等のライセンス料込 EC2の接続先を変更するだけ 冗長構成はMulti-AZを選択するのみ EC2:4台 365日24時間稼働:$700.8 ELB:2台 365日24時間稼働:$473.04+α RDS: 365日24時間稼働:$455.52 Route53: 1年間:$26.4(最少) リージョン:東京 <EC2> インスタンスタイプ:t2.micro (最少) 料金:$0.020/1時間 <ELB> 料金:$0.027/1時間 +$0.008/1GB <RDS> インスタンスタイプ: t2.micro (最少) 年間:約$1655.76 約198,691円 Cloud Watch Route 53 RDS(Master) RDS(Slave) DynamoDB セッション 管理 ※2015/3/20時点
- 44. 構築事例:AWSサービスを最大限活かしたアーキテクチャ Internet クライアント Cloud Front 画面表示は、 クライアント側 アプリ メールサーバー不要 冗長構成、拡張・データ再配置 はAWS任せ リージョン:東京 <S3> 料金:$0.0330/GB +リクエスト数+データ転 送量 <CloudFront> 料金:$7.2/年 (試算した結果) <Lambda> 料金:$0 <DynamoDB> 料金:$0 (試算した結果) 年間:約$7.56 約907円 Cloud Watch JavaScript 入力ページ(HTML) コンテンツ 非公開コンテンツ Log等 S3 DynamoDB Lambda Node.js テーブル Cognito Webサーバー機能 3箇所以上で自動複製、容量無制限 キャッシュ SSL証明書 任意のタイミングで処理実行 負荷分散、障害対策はAWS任せ AWS認証 アプリ認証 SignedURL発行 サーバ側アプリ ※2015/3/20時点 ※条件によって料金は異なります
- 46. クラウド利用における責任の所在と狙い プラットフォーム アプリケーション インフラストラクチャー クラウド サービス 事業者 クラウド サービス 事業者 クラウド サービス 事業者 PaaS IaaS SaaS ユーザー 自社所有 ユーザー ユーザー 特定の業務処理 を行うためのソフトウェア アプリケーションで共通に使う機能 を提供するソフトウエア ソフトウエアを動かすための ハードウェアや設備 業務プロセス/処理 ユーザー ユーザー ユーザー ユーザー 機能や性能の改善 セキュリティ 運用管理 稼働監視 トラブル対応 バックアップ など Software as a Service Platform as a Service Infrastructure as a Service SaaS>PaaS>IaaS ユーザーの負担が減少 事業の効率化や競争力の向上 のために経営資源を積極配分 事 業 システムの構築や運用 管理、セキュリティな ど付加価値を生みださ ない負担を軽減する
- 49. ネットワーク インターネットや専用回線 コレ一枚でわかるクラウド・コンピューティング インフラストラクチャー プラットフォーム アプリケーション 計算装置 記憶装置 ネットワーク データ ベース 運用管理 プログラム 実行環境 プログラム 開発環境 認証管理 電子 メール SNS 新聞 ニュース ショッピング 金融取引 財務 会計 施設や設備
- 52. セルフ・サービス・ポータル 調達・構成変更 サービスレベル設定 運用設定 ・・・ 数分から数十分 直近のみ・必要に応じて増減 経費・従量課金/定額課金 クラウド システム資源のECサイト 見積書 契約書 メーカー ベンダー サイジング 調 達 費 用 数週間から数ヶ月 数ヶ月から数年を想定 現物資産またはリース資産 従来の方法 調達手配 導入作業
- 53. 「自家発電モデル」から「発電所モデル」へ 工場内・発電設備 設備の運用・管理・保守は自前 需要変動に柔軟性なし 電力供給が不安定 自前で発電設備を所有 工場内・設備 電 力 電力会社・発電所 大規模な発電設備 低料金で安定供給を実現 設備の運用・管理・保守から解放 需要変動に柔軟に対応 工場内・設備 送電網 データセンター 大規模なシステム資源 低料金で安定供給を実現 設備の運用・管理・保守から解放 需要変動に柔軟に対応 システム・ユーザー デ ー タ ネットワーク
- 57. 徹底した標準化 大量購入 負荷の平準化 APIの充実・整備 セルフサービス化 機能のメニュー化 クラウド・コンピューティングのビジネス・モデル クラウド・コンピューティング オンデマンド 従量課金 自動化・自律化 システム資源 の共同購買 サービス化 低コスト 俊敏性 スケーラビリティ 仮想化とソフトウエア化の仕組み
- 58. IT活用 適用領域の拡大 難しさの隠蔽 システム資源 エコシステム クラウドがもたらしたITの新しい価値 クラウド・コンピューティング IT利用のイノベーションを促進 ビジネスにおけるIT価値の変化・向上 新たな需要・潜在需要の喚起 モバイル・ウェアラブル ソーシャル 人工知能 ビッグデータ IT利用者の拡大 IoT ロボット 価格破壊 サービス化
- 59. クラウドの定義
- 61. クラウドの定義/サービス・モデル (Service Model) アプリケーション ミドルウェア オペレーティング システム インフラストラクチャ PaaS Platform as a Service Infrastructure as a Service Software as a Service SaaS Salesfoce.com Google Apps Microsoft Office 365 Microsoft Azure Force.com Google App Engine Amazon EC2 IIJ GIO Cloud Google Cloud Platform アプリケーション ミドルウェア & OS 設備 & ハードウェア プ ラ ッ ト フ ォ ー ム IaaS
- 62. XaaSについて a a S s ervice サービス としての 〜 効用や満足などを提供する 形のない労働や役務のこと 〜 物理的実態/形あるモノの提供を伴わなわずに 機能や性能を提供して対価を受け取るビジネス IaaS PaaS SaaS Software(アプリケーションのこと) の機能や性能を提供するサービス Platform(OSやミドルウェアのこと) の機能や性能を提供するサービス Infrastructure(ハードウェアや設備のこと) の機能や性能を提供するサービス DaaS Desktop(PC画面/PCでできること) を提供するサービス MaaS Mobility(移動する) ための手段を提供するサービス CaaS Communication(会議やチャットのこと) の機能を提供するサービス サブスクリプション または従量課金など サービス設備や機材は サービス事業者の資産 オンライン・サービス /クラウド・サービス
- 63. クラウド・サービスの区分 自社所有 IaaS 仮想マシン CaaS PaaS FaaS ユーザー企業が管理 ハードウェア 仮想マシン コンテナ 管理機能 ミドルウェア アプリケーション OS SaaS ランタイム データ ハードウェア 仮想マシン コンテナ 管理機能 ミドルウェア アプリケーション OS ランタイム データ ハードウェア 仮想マシン コンテナ 管理機能 ミドルウェア アプリケーション OS ランタイム データ ハードウェア 仮想マシン コンテナ 管理機能 ミドルウェア アプリケーション OS ランタイム データ ハードウェア 仮想マシン コンテナ 管理機能 ミドルウェア アプリケーション OS ランタイム データ ハードウェア 仮想マシン コンテナ 管理機能 ミドルウェア アプリケーション OS ランタイム データ ハードウェア 仮想マシン コンテナ 管理機能 ミドルウェア アプリケーション OS ランタイム データ IaaS ベアメタル クラウドサービス事業者が管理 連携機能 CaaS PaaS FaaS SaaS
- 64. ハイブリッド・クラウド 複数企業共用 パブリック・クラウド クラウドの定義/配置モデル (Deployment Model) プライベート・クラウド 個別企業専用 個別・少数企業 不特定・複数企業/個人 LAN LAN インターネット 特定企業占有 ホステッド・プライベート・クラウド 固定割当て LAN 専用回線・VPN LAN
- 68. クラウドの不得意を理解する 68 【低遅延】短い遅延時間が求められる業務は、 ネットワークの地理的距離の遠くなると不利 なので、同一場所で完結させた方がいい 証券市場においてデータ基に1秒で数千回の売買注文を行 うような高頻度取引(HFT:High Frequency Trading) 工場の製造現場で、直ちに良/不良を見分けて、不良品を 排除する品質管理工程の自動化 自動車の自動運転における事故の回避判断と回避行動の連 動 など データが発生する、あるいは処理を行う場所が同じ 場所/同じ装置の中で実行し、データを送る距離を 短くし、データが発生する現場でデータを処理する 【大量データ転送】現場で大量のデータが発 生し、それを保管、処理しなければならない 場合は、それらを全てクラウドに送り出すと、 回線料金が莫大になるため、同じ場所で保管、 処理させた方がいい 大量のセンサーからデータを取得し、それを利用して業務 を行う 工場の機械の動作履歴を検査や改善のために使う業務 な ど
- 69. クラウド利用の3原則 原則1:クラウド・ファーストで考える。 まずはクラウドを第1候補(クラウド・バイ・デフォルト)で考える。 自社で所有する場合をそのままに設計や運用をおこなうのではなく、クラウドにふさわし いお作法に則って、「使える」使い方を考えること。 同じ操作や同じ使い勝手を優先せず、それ以上の成果が得られることを優先する。 原則2:クラウド・ネイティブで考える。 システムを開発・構築することではなく、業務上の成果をあげられるかを考え、開発しな いクラウド利用(SaaS)を優先的に利用する。 開発しなければならない場合は、高速に開発でき、俊敏に改善できるサービスやツール (サーバーレスやローコード開発ツールなど)を積極的に利用する。 このような常識を持たないITベンダーとは組まない。新しい常識(クラウド・ネイティ ブ)を持つITベンダーに協力を求める。 原則3:クラウド・ローカルで考える。 ITは競争力の源泉と心得え、自分たちでできるスキルと体制を確保する。例え外部に委託 するにも、自分たちが使えるスキルがなければ、適切なパートナーの選択はできず、見積 や結果を評価できない。 ITを競争力の源泉にする前提は、高速な現場からのフィードバックと高速な改善を繰り返 すこと。それができる体制と人材確保を目指す。
- 70. クラウドに吸収されるITビジネス 70 アプリケーション・ビジネス • ビジネス開発 • システムの企画 • システム設計 • プログラム開発・テスト • 開発・テスト環境の構築 • 本番実行環境の構築 • セキュリティ対策 • 運用管理 • トラブル対応 ネットワーク・ビジネス • ネットワークの設計 • ネットワーク機器の導入・設定 • セキュリティ対策 • 監視・運用管理 • トラブル対応 インフラ・ビジネス • インフラの設計 • インフラ機器の導入・設定 • セキュリティ対策 • 監視・運用管理 • トラブル対応 クラウド・データセンター内 ネットワーク クラウド・データセンター間 バックボーンネットワーク 5G通信網のタイムスライス SIMによる閉域網 ローコード開発 Salesforce.com Lightning Platform Microsoft PowerApps AWS Honeycod サーバーレス/FaaS・PaaS コンテナ運用・管理マネージドサービス SaaS Oracle Dedicated Region @Cloud AWS Outposts Microsoft Azure Stack Hub オンプレミス型マネージド・システム アジャイル 開発 DevOps OutSystems Mendix GeneXus ローコード開発ツール
- 71. クラウド・ネイティブへのシフトが加速する Oracle Dedicated Region @Cloud AWS Outposts Microsoft Azure Stack Hub IBM Cloud Paks Google GKE on-prem Microsoft Azure Ark IBM Cloud Satellite Google Anthos オンプレミス環境にパブリック・クラウドと 同等の環境を構築する製品やサービス オンプレミスとパブリック・クラウドを 一元的に運用管理するサービス ハイブリッド・クラウド マルチ・クラウド
- 73. ゼロトラストという考え方
- 74. トラストとは何かを考える
- 75. 共有パスワードを使った暗号化にトラストはない × Zipファイルを展開すると平文に戻ってしまう × 安全かどうかをソフトウエアで確認できない × ファイルと鍵を転送されてしまう × ファイルは総当たり攻撃でいつか開かれてしまう × 仲介者による開封、改ざんに気がつくことができない × パスワードが漏れてしまったときにパスワードの変更ができない
- 77. パスワード認証のリスク 77 ID/パスワードによる認証: 利用している本人が本人であることを証明するための仕組み ID/パスワードを搾取 ファイヤ ウォール 社内 ネットワーク VPN 1. 複雑なパスワードを使う 文字数を長くする。 文字の種類を増やす。英字(大文字、小文 字)、数字、特殊文字を組み合わせる。 2. 定期的に変更する 3カ月に一度変更する。 3. 一度使ったパスワードは使わない 過去3回までに使ったパスワードは使えない。 一度使ったパスワードは二度と使えない。 「複雑なパスワード」と「定期的なパスワード変更」は意味がない ID/パスワードが簡単にる 人間の記憶力に依存しまた再利用が可能なため 一人当たり平均27個のオンラインアカウントを保持 している それぞれのアカウントのパスワードを複雑化し、全 てのアカウントに紐づいているパスワードを違うも ので設定し、覚えておくということができない。 毎日アクセスするために、「覚えやすい簡単なパス ワードにする」「同じパスワードを使い回す」「メ モを書いておく」 ID/パスワード・VPN・ ファイヤウォールが役立たない
- 84. Microsoftのセキュリティ・プラットフォーム Azure AD Azure Sentinel Azure Sentinel : SIEM(Security Information and Event Management)。Office 365 ATP、Windows Defender ATP、Azure AD、Azure ATP、Microsoft Cloud App Security、Azure Security Centerなどの脅威検知エンジンで収集したログ、サードパーティのセキュリティソリューションのログ、Deviceログ、Emailロ グなどを1つに集め、ビルトインされた機械学習モデルやAIを使って脅威の検知を行う Azure ADなどの様々なログから、機械学習モデル やAIを使って脅威の検知を行う ID およびアクセス管理サービス。様々なリソースへのサイ ンインとアクセスを管理し、シングルサインオン環境を提供 Azure AD : ID およびアクセス管理サービスであり、リソースへのサインインとアクセスを支援。Microsoft Office 365、Azure portal、その他何千という SaaS アプ リケーションなど、外部リソース。企業ネットワークとイントラネット上のアプリや、自分の組織で開発したクラウド アプリなどの内部リソース。 AD(オンサイト) Microsoft Defender ATP (オンサイト) Microsoft Defender ATP (モバイル) インターネット クラウド・サービス Microsoft Defender ATP(Advanced Threat Protection) : 企業のネットワークによる高度な脅威の防止、検出、調査、および応答を支援するために設計された プラットフォーム。 フェデレーション(認証連携) 同期
- 86. ゼロトラスト・アーキテクチャーの7原則 情報システムやサービスに於いて 正確なアクセス許可を行う際の不 確かさを低減・排除するために設 計された概念やアイデアの集合体 疑わしさを受け入れつつも できるだけ不確かさを排除 「ゼロ・トラスト」の考え方 リスクはゼロにはならない 1. 全データ・計算資源をリソースとして識別 2. ネットワークの場所に関係なく全ての通信の安全を確保 3. 個々のリソース・アクセスはセッション単位 4. リソースのアクセスは動的ポリシーにて決定 5. 全ての所有機器見・アプリの安全状態を常に監視・測定 6. アクセスを許可する前に動的・厳格に認証・認可 7. 機器・インフラ・通信状態の情報収集と安全面での改善 ゼロトラスト・アーキテクチャーの7原則
- 87. ユーザーに意識させない・負担をかけないセキュリティ 87 Security Orchestration Automation Response SOAR セキュリティ製品間の連携 手動 → 自動 自動調査&対処 自動化 いつでも/どこでも 安心・安全にITの利便性を享受 ユーザーに 意識させない・負担をかけない