リソース・マネージャの概要

リソース・マネージャは、Oracle Cloud Infrastructureリソースのプロビジョニング処理を自動化できるOracle Cloud Infrastructureサービスです。Terraformを使用する場合、リソース・マネージャでは、「infrastructure-as-code」モデルを使用してリソースをインストール、構成および管理できます。

Terraform構成は、宣言的な構成ファイルのインフラストラクチャを調整します。リソース・マネージャを使用すると、複数のチームおよびプラットフォームにわたってインフラストラクチャ構成と状態ファイルを共有および管理できます。このインフラストラクチャ管理は、ローカルTerraformインストールおよびOracle Terraformモジュールでのみ実行できません。Oracle Cloud Infrastructure Terraformプロバイダの詳細は、Terraformプロバイダを参照してください。Terraformおよび「infrastructure-as-code」モデルの概要は、https://www.terraform.ioを参照してください。

リソース・マネージャは、Federal Information Processing Standard (FIPS)に準拠しています。米国政府リージョンのOCIの詳細は、Oracle Cloud Infrastructure US Government Cloudを参照してください。

ヒント

サービスへの概要ビデオを視聴してください。

主な概念

次に、リソース・マネージャの主な概念およびコンポーネントの簡単な説明を示します。

構成
インフラストラクチャを調整するための情報。指定のスタック内のOracle Cloud Infrastructureリソースを指定するには、構成を使用します。たとえば、リソース・メタデータ、データ・ソース定義および変数宣言を指定します。各Terraform構成ファイルは、HashiCorp構成言語(HCL)形式またはJSON形式です。HCL形式のファイルは、ファイル拡張子.tf を使用します。JSON形式のファイルは、ファイル拡張子.tf.jsonを使用します。
リソース・マネージャでサポートされているTerraform構成ソースについては、「Terraform構成の格納場所」を参照してください。
構成の例は、Terraformプロバイダの例およびOracle提供のテンプレートを参照してください。詳細は、リソース・マネージャのTerraform構成および構成のオーサリングを参照してください。HashiCorp: 構成も参照してください。
構成ソース・プロバイダ
Terraform構成ファイルが格納されているソース・コード制御システムへの接続情報。構成ソース・プロバイダを使用して、バージョン管理されたリモートのTerraform構成ファイルからスタックを作成します。
構成ソース・プロバイダには、次のタイプがあります: 
構成ソース・プロバイダには、次のライフサイクル状態があります:
  • アクティブ: 構成ソース・プロバイダは使用可能です。
詳細は、構成ソース・プロバイダの管理およびスタックの作成を参照してください。

CI/CDパイプラインでのクラウド・プロビジョニングにCLIを使用する手順は、「クラウドでのIaCの使用: CI/CDパイプラインへのTerraformおよびリソース・マネージャの統合- OCI CLIを使用した構築」を参照してください。

ドリフト
インフラストラクチャの現実世界での実際の状態とスタックの最終実行構成との差異。たとえば、チーム・メンバーがリソースに本番タグを追加したとき、またはリソースに障害が発生したときにドリフトが発生します。ドリフト検出レポートを実行して、プロビジョニングされたリソースの状態が、スタックの最終実行構成で定義されているリソースとは異なるかどうかを確認できます。各リソースの詳細なドリフト・ステータスを表示することもできます。
ジョブ
構成に定義されているアクションを実行する手順。特定のスタック上で実行できるジョブは、一度に1つのみです。さらに、Oracle Cloud Infrastructureリソースのセットは、特定のスタック上に1セットのみ持つことができます。別のリソース・セットをプロビジョニングするには、個別のスタックを作成し、別の構成を使用する必要があります。
ジョブには、関連付けられたスタックに関する履歴が格納されます。たとえば、計画ジョブは、生成された実行計画を格納し、ジョブ・ストア構成(スナップショット)および状態ファイルを適用します。ジョブは、関連付けられているスタックと同じコンパートメントに存在します。OCIDが各ジョブに割り当てられます。
リソース・マネージャ・ジョブ・タイプの詳細は、ジョブの作成を参照してください。
ジョブには、次のライフサイクル状態があります:
  • 承認済 (ACCEPTED): ジョブは処理のために受け入れられました。
  • 進行中 (IN_PROGRESS): ジョブは実行中(実行中)です。
  • 失敗 (FAILED): ジョブの実行が完了しませんでした。
  • 成功 (SUCCEEDED): ジョブは正常に完了しました。
  • 取消中 (CANCELING): ジョブは取り消されています。通知は送信されましたが、ジョブの実行はまだ停止されていません。
  • 取消済 (CANCELED): ジョブは取り消され、実行が停止されました。
デフォルトの再試行ポリシー: ダウンストリーム・サービスの問題により、ジョブが失敗することがあります。たとえば、コンピュート・インスタンスを作成するための適用ジョブは、コンピュート・サービスの一時的な接続の問題のために失敗することがあります。ダウンストリーム・サービスの問題のためにジョブが失敗した場合、Go SDKのデフォルト再試行ポリシーに従ってジョブが再試行されます。Go SDK for Oracle Cloud Infrastructureを参照してください。
モジュール
関連するリソースのグループ。モジュールを使用して軽量および再利用可能な抽象を作成し、アーキテクチャという観点からインフラストラクチャを記述できます。詳細は、モジュールの作成を参照してください。
package
通常は、GitHubなど、サポートされているプロバイダに格納されているTerraform構成への.zipファイルです。詳細は、「Oracle Cloudにデプロイ」ボタンの使用」を参照してください。
プライベート・エンドポイント
非公開リソースに接続するためのネットワーク情報。詳細は、プライベート・エンドポイントの管理を参照してください。
リソース検出
デプロイされたOracle Cloud InfrastructureリソースをTerraformの構成および状態ファイルとして取得する機能。詳細は、リソース検出を参照してください。
スタック
特定のTerraform構成に対応するOracle Cloud Infrastructureリソースのコレクション。各スタックは、指定したコンパートメントの単一のリージョンに存在しますが、指定したスタック上のリソースは複数のリージョンにデプロイできます。OCIDが各スタックに割り当てられます。
スタックを作成するステップは、スタックの作成を参照してください。リソース・マネージャでサポートされているTerraform構成ソースについては、Terraform構成の格納場所を参照してください。
スタックには、次のライフサイクル状態があります:
  • 作成中: スタックを作成中です。
  • アクティブ: スタックは使用可能です。
  • 削除中: スタックは削除中です。
  • 削除済: スタックは削除されました。
  • 失敗: スタックを作成できませんでした。
状態
リソース構成の状態で、状態ファイル(.tfstate)の JSON形式で格納されます。詳細は、State Managementを参照してください。
template
組込みのTerraform構成。一般的なシナリオで使用される一連のリソースをプロビジョニングします。テンプレートは、Oracleまたはテナンシ内の誰かがプライベート・テンプレートとして指定できます。テンプレートからスタックを作成するには、テンプレートからのスタックの作成を参照してください。詳細は、Oracle提供のテンプレートを参照してください。

プライベート・テンプレートを作成するには、プライベート・テンプレートの管理を参照してください。

特徴

テンプレート

テンプレートは、インフラストラクチャの管理に使用できるTerraform構成です。テンプレートは、コードとしてインフラストラクチャを初めて使用するお客様や、本番ワークフローの構成を更新するお客様を支援します。テンプレートを使用して、リソース・マネージャを試し、実証済のベスト・プラクティスを本番ワークフロー構成に適用します。Oracle提供のテンプレートの詳細は、Oracle提供のテンプレートを参照してください。

テナンシ内の他のユーザーと共有する独自のプライベート・テンプレートを作成します。

リソース作成ページで開始

リソース構成ページからスタックに構成を保存します。スタックを使用して、"infrastructure- as- code"モデルを介してリソースをインストール、構成および管理します。詳細は、リソース作成ページからのスタックの作成を参照してください。

リソース・マネージャによるCI/CD

Bitbucket CloudBitbucket ServerDevOps、GitHub、GitLabなどの統合ソース・コード制御システムを使用して、Terraform構成をリモートに格納します。この統合により、継続的インテグレーションおよび継続的デリバリ(CI/CD)を実現できます。

詳細は、次を参照してください:

CI/CDパイプラインでのクラウド・プロビジョニングにCLIを使用したウォークスルーについては、クラウドのIaC: Terraformおよびリソース・マネージャのCI/CDパイプラインへの統合- OCI CLIによる構築を参照してください。

また、Terraform構成をオブジェクト・ストレージ・バケットに格納することもできます。詳細は、バケットからのスタックの作成を参照してください。

リソース・ディスカバリ

デプロイされたリソースをTerraformの構成および状態ファイルとして取得する機能。この機能を使用して次のことを実行できます。

  • 手動管理インフラストラクチャからリソース・マネージャ制御インフラストラクチャに移行します。
  • TerraformがHashiCorp Configuration Language (HCL)構文を使用してOracle Cloud Infrastructureリソースを表す方法を学習します。
  • 別のコンパートメントに既存のインフラストラクチャを複製または再構築します。
状態管理

リソース・マネージャは、スタックのTerraform状態ファイルを格納するため、必要ありません。リソース・マネージャはスタック状態をロックし、特定のスタックで一度に1つのジョブのみを実行できるため、複数のユーザーがスタックで同時に作業できます。リソース・マネージャは、スタックの状態ファイル(JSON形式で.tfstate)を自動的に生成して更新します。このファイルは、スタックのリソースを構成にマップし、リソースの依存関係などの必須の構成メタデータを保持します。

Terraform状態ファイルの詳細は、状態(terraform.io)を参照してください。

盗難検出

プロビジョニングされたリソースの状態が、スタックの最終実行構成で定義されたリソースと異なるかどうかを確認し、各リソースの詳細なドリフト・ステータスを表示します。

オプションで、ドリフト検出を指定されたリソースに制限できます。各リソースは、リソース・アドレスによって識別されます。これは、スタックのTerraform構成で指定されたリソース・タイプおよび名前とオプションの索引から導出された文字列です。たとえば、"test_instance"という名前の4番目のコンピュート・インスタンスのリソース・アドレスはoci_core_instance.test_instance[3]です。リソース・タイプはoci_core_instanceで、ピリオドはデリミタとして機能し、リソース名はtest_instanceで、索引はカッコ内の3です。リソース・アドレスの詳細および例は、Terraformのドキュメント(https://www.terraform.io/docs/internals/resource-addressing.html#examples)を参照してください。

ドリフト検出の詳細は、driftおよび次の手順を参照してください。
「Oracle Cloudへのデプロイ」ボタン

「Oracle Cloudにデプロイ」ボタンを使用すると、リソース・マネージャで使用可能なスタックの作成ワークフローを使用してリモートTerraform構成を起動できます。

この図は、「Oracle Cloudにデプロイ」ボタンを示しています。

詳細は、「Oracle Cloudにデプロイ」ボタンの使用」を参照してください。

プライベート・エンドポイント

プライベート・エンドポイントでは、リソース・マネージャからテナンシの非パブリック・クラウド・リソースにアクセスできます。たとえば、リモート実行をプライベート・インスタンスで使用するか、プライベートGitHubサーバーのTerraform構成にアクセスします。

一般的なシナリオを含む詳細は、プライベート・エンドポイントの管理を参照してください。

カスタム・プロバイダ

オブジェクト・ストレージを使用して、カスタムTerraformプロバイダを指定できます。バケットにカスタム・プロバイダを追加するには、オブジェクト・ストレージへのデータの配置を参照してください。バケットからカスタム・プロバイダをフェッチするには、スタックでのカスタム・プロバイダの使用を参照してください。

依存関係のロック・ファイル

依存関係ロック・ファイルは、新しいスタックおよび更新されたスタックに対して自動的に管理されます。Terraformプロバイダの構成済ソースから使用可能な最新バージョンをいつ取得するかを決定します。プロバイダは、Terraform構成のバージョン制約内で更新されます。手順については、最新プロバイダの取得を参照してください。

ジョブのロールバック

スタックを以前の既知の状態にロールバックします。ロールバックは、スタックの不明な状態のトラブルシューティングに時間を費やす代替手段です。

ロールバックするには、まず適切な適用ジョブを特定します。このターゲット・ジョブでは、別のTerraform構成が使用されます。このターゲット・ジョブのプラン・ロールバック・ジョブを作成してから、生成された実行計画を使用して適用ロールバック・ジョブを作成します。

可用性

リソース・マネージャ・サービスは、すべてのOracle Cloud Infrastructure商用リージョンで使用できます。使用可能なリージョンのリストと、関連する場所、リージョン識別子、リージョン・キーおよび可用性ドメインは、リージョンおよび可用性ドメインについてを参照してください。

全般ワークフロー

次のイメージは、リソース・マネージャ・ワークフローの一般的なビューを表しています。

このイメージは、リソース・マネージャを使用するプロビジョニング・インフラストラクチャのワークフローを示しています。
  1. Terraform構成を作成します。

    ノート リソース・マネージャでサポートされているTerraform構成ソース

    については、「Terraform構成の格納場所」を参照してください。
  2. スタックを作成します。
  3. 実行計画を生成する計画ジョブを実行します。
  4. 実行計画(ジョブ・ログ)を確認します。
  5. 実行計画で変更が必要な場合は、構成を更新して計画ジョブを再度実行します。
  6. リソースをプロビジョニングするために適用ジョブを実行します。
  7. 必要に応じて状態ファイルおよびログ・ファイルを確認します。
  8. 適用ジョブを再実行することによって、構成を変更の有無にかかわらずオプションで再適用できます。
  9. オプションで、スタック上で実行されているリソースを解放するには、破棄ジョブを実行します。

リソース・マネージャ・ワークフローの詳細なウォークスルーは、スタート・ガイドを参照してください。

リソース・マネージャへのアクセス方法

リソース・マネージャ・サービスには、コンソール(ブラウザベースのインタフェース)またはリソース・マネージャREST APIを使用してアクセスできます。コンソールおよびAPIのための手順は、このガイド全体を通してトピックに含まれています。使用可能なSDKのリストは、ソフトウェア開発キットとコマンドライン・インタフェースを参照してください。

コンソール: リソース・マネージャコンソールを使用してアクセスするには、サポートされているブラウザを使用する必要があります。コンソールのサインイン・ページに移動するには、このページの上部にあるナビゲーション・メニューを開き、「Infrastructureコンソール」をクリックします。クラウド・テナント、ユーザー名およびパスワードの入力を求められます。ナビゲーション・メニューを開き、「開発者サービス」をクリックします。「リソース・マネージャ」で、「概要」をクリックします。

API: APIを介してリソース・マネージャにアクセスするには、リソース・マネージャAPIを使用します。

CLI: リソース・マネージャのコマンドライン・リファレンスを参照してください。

デフォルト・プロバイダ

デフォルトでリソース・マネージャはOracle Cloud InfrastructureのTerraformプロバイダであるterraform-provider-ociをサポートしています。

サポートされているサードパーティTerraformプロバイダは、サポートされているTerraformプロバイダを参照してください。

認証と認可

Oracle Cloud Infrastructureの各サービスは、すべてのインタフェース(コンソール、SDKまたはCLI、およびREST API)の認証および認可のためにIAMと統合されています。

組織の管理者は、どのユーザーがどのサービスとリソースにアクセスできるか、およびアクセスのタイプを制御する、グループコンパートメントおよびポリシーを設定する必要があります。たとえば、ポリシーは、新しいユーザーの作成、クラウド・ネットワークの作成と管理、インスタンスの起動、バケットの作成、オブジェクトのダウンロードなどを実行できるユーザーを制御します。詳細は、ポリシーの開始を参照してください。異なる各サービスに対するポリシーの記述の詳細は、ポリシー・リファレンスを参照してください。

会社が所有するOracle Cloud Infrastructureリソースを使用する必要がある通常のユーザー(管理者ではない)の場合は、ユーザーIDを設定するよう管理者に連絡してください。管理者は、使用する必要があるコンパートメントを確認できます。

重要

Oracle Cloud Infrastructureリソースを管理するためのポリシーは、リソースにアクセスするリソース・マネージャ操作にも必要です。たとえば、コンピュート・インスタンスおよびサブネットを含むスタック上で適用ジョブの実行を行うには、リソースをプロビジョニングするコンパートメント内で、これらのリソース・タイプに対する権限を付与するポリシーを必要とします。Oracle Cloud Infrastructureリソースを管理するためのポリシーの例は、共通ポリシーを参照してください。

管理者:グループにリソース・マネージャ・リソースへのアクセス権を付与する共通ポリシーについては、IAMポリシー(リソース・マネージャの保護)を参照してください。

セキュリティ

IAMポリシーの作成に加えて、リソース・マネージャのセキュリティのベスト・プラクティスに従います。

  • 構成ファイルと出力ファイルで機密情報の使用を制限します
  • セキュリティ監査の実行
  • プライベート・エンドポイントを使用して、ネットワーク・トラフィックをパブリックに公開せずにリソースにセキュアにアクセス

セキュア・リソース・マネージャを参照してください。