エンタープライズ・ベースライン・ランディング・ゾーン・アーキテクチャの理解

エンタープライズ・ベースライン・ランディング・ゾーンの基本アーキテクチャ構造は、次の図に示すようにコンパートメントに基づきます。

elz- compartment.pngの説明が続きます
図elz- compartment.pngの説明

elz- compartment- oracle.zip

アーキテクチャ・コンポーネントの理解

このアーキテクチャは、次のコンポーネントで構成されています。
  • テナント

    テナンシはアカウントです。これには、世界中の特定のリージョン内に構築するために選択したすべてのリソースが含まれます。複数のリージョンをサブスクライブし、必要に応じて、各新しいリージョンにランディング・ゾーンをデプロイできます。

  • コンパートメント

    コンパートメントはテナンシ内のリソースの論理グループです。このグループでは、環境を構造化し、論理的な分離のレイヤーを作成したり、リソースへのアクセスを管理したり、予算編成の観点からレポートを作成したりできます。

ランディング・ゾーン内で、次のコンパートメントをデプロイします:
  • 親コンパートメント

    親コンパートメントはルート・コンパートメント内にあり、関連するすべてのランディング・ゾーン・リソースが含まれます。これにより、ランディング・ゾーンに固有の追加リソースを簡単に管理し、このリソースに対してレポートして運用管理を円滑化できます。

  • 共通インフラ・コンパートメント

    Common Infraコンパートメントには、ネットワークおよびセキュリティに関連するリソースが含まれます。OCIに移行する準備が整った場合、追加の共通インフラストラクチャ・コンパートメントには、ワークロード拡張スタックを介してデプロイするワークロード関連リソースが含まれます。

  • ネットワーク・コンパートメント

    ネットワーキングおよび接続のリソースは、このコンパートメントに作成されます。これらのリソースには、仮想クラウド・ネットワーク(VCN)、サブネット、ゲートウェイおよびその他の関連コンポーネントが含まれます。

  • セキュリティ・コンパートメント

    セキュリティおよびモニタリングに関連するすべてのリソースがこのコンパートメントに作成されます。ロギング、通知およびイベントなどのガバナンスに関連するリソースも、このコンパートメントに作成されます。

Identity and Access Managementポリシーの理解

アイデンティティ・ポリシーは、組織内の誰がOCI内のリソースを制御し、アクセスできるかを定義します。定義されているポリシーに加えて、Active Directoryを使用してオンプレミス・ユーザーへのフェデレーテッド・アクセスを提供することもできます。

次の図は、ベースラインのエンタープライズ・ランディング・ゾーン・アーキテクチャ全体でのIAMポリシーの分散を示しています。elz- identity.pngの説明が続きます
図elz- identity.pngの説明

elz- identity- oracle.zip

Virtual Cloud Networksの理解

仮想クラウド・ネットワーク(VCN)は、Oracle Cloud Infrastructureリージョンで設定する、カスタマイズ可能なソフトウェア定義のネットワークです。従来のデータ・センター・ネットワークと同様に、VCNはネットワーク環境を完全に制御できます。VCNには、VCNの作成後に変更できる複数の重複しないCIDRブロックを含めることができます。

この図は、コンパートメント・トポロジ内のVCNと、それらのVCNをサブネットに分割する方法を示しています:

elz- vcn.pngの説明が続きます
図elz- vcn.pngの説明

elz- vcn- oracle.zip

インターネット・ゲートウェイは、インターネットに直接接続できるように、VCNのエッジをインターネットに接続する仮想ルーターです。エンタープライズ・スケール・ベースライン・ランディング・ゾーンは、インターネット・ゲートウェイを作成し、それに伴って次のコンポーネントを作成します:
  • ルート・テーブル

    ルート表は、ゲートウェイを介したサブネットからのVCNのトラフィックを外部宛先にマップするために使用されます。エンタープライズ・スケール・ベースライン・ランディング・ゾーンは、インターネット・ゲートウェイに関連付けられたルート表を作成します。必要なトラフィックがインターネット・ゲートウェイに到達できるように、ルート表にルールを作成する必要があります。ルールはワークロードによって異なります。

  • ネットワーク・アドレス変換(NAT)ゲートウェイ

    NATゲートウェイを使用すると、パブリックIPアドレスを持たないクラウド・リソースは、着信インターネット接続に公開されることなくインターネットにアクセスできます。エンタープライズ・スケール・ベースライン・ランディング・ゾーンは、ランディング・ゾーン・デプロイメント用のNATゲートウェイを作成します。各ワークロード・コンパートメントからのトラフィックをルーティングするルート表およびルート・ルールも作成されます。実際のルート・ルールはワークロードによって異なります。ワークロードをOCIに移動するときにルールを作成します。

サブネットの理解

VCNをサブネットにセグメント化して、そのスコープをリージョンまたは可用性ドメインに指定できます。各サブネットは、VCN内の他のサブネットと重複しない連続した範囲のアドレスで構成されます。サブネットのサイズは、作成後に変更できます。サブネットはパブリックでもプライベートでもかまいません。
エンタープライズ・スケール・ベースライン・ランディング・ゾーンは、異なる目的のために設計された複数のサブネットを持つ単一のVCNを作成します:
  • サブネット- パブリック

    パブリック・サブネットは、ロード・バランサを含む、インターネットに直接接続されているすべてのサーバーおよびリソースをホストします。セキュリティの説明に従って、適切なクラウド・ガード・レシピおよびその他のセキュリティ機能を使用してこのサブネットを保護する必要があります。

  • サブネット- 共有サービス

    プライベート・サブネットは、組織で使用するすべての共通または共有サービスをホストします。アプリケーションに応じて、クラウド・テナンシ内のサーバー間のネットワーク・トラフィック(東/西トラフィック)がこのサブネットに出入りできるように、セキュリティ・リストを作成する必要があります。ワークロードのデプロイ中にセキュリティ・リストを作成します。

  • サブネット要塞サービス

    Bastionサービスをホストするプライベート・サブネット。要塞は、パブリック・エンドポイントがないターゲット・リソースへの制約および時間制限付きのアクセスを提供します。要塞の構成は、組織のクラウド管理者がプライベート・サブネットに存在するリソースにアクセスできるようにするために重要です。

Microsoft Active Directoryを使用したランディング・ゾーンのフェデレート

エンタープライズ・スケール・ベースライン・ランディング・ゾーンをMicrosoft Active Directoryとフェデレートするオプションがあります。

Active Directoryに使用するものと同じグループ名をOCIで使用します。そのためには、Active Directoryグループ名を変数としてEnterprise Scaleベースライン・ランディング・ゾーンTerraformモジュールに渡します。グループは、ランディング・ゾーンによって作成され、Active Directoryグループにマップされます。

次の図は、エンタープライズ・スケール・ベースライン・ランディング・ゾーンでサポートされているMicrosoft Active Directoryフェデレーションを示しています。

elz- adfs.pngの説明が続きます
図elz- adfs.pngの説明

elz- adfs- oracle.zip

セキュリティの理解

このアーキテクチャのセキュリティは、要塞、クラウド・ガード、脆弱性スキャン・サービス(VSS)およびセキュリティ・リストを使用して提供されます。

この図は、エンタープライズ・ベースライン・ランディング・ゾーンのセキュリティ実装のトポロジを示しています。

elz- security.pngの説明が続きます
図elz- security.pngの説明

elz- security- oracle.zip

主なセキュリティ・コンポーネントは次のとおりです。
  • 要塞

    要塞は、パブリック・エンドポイントのないリソースに対しセキュアでセッション・ベースのアクセスを提供します。Bastionsでは、認可されたユーザーが、Secure Shell (SSH)セッションを使用して特定のIPアドレスからターゲット・リソースに接続できます。

  • クラウド・ガード

    クラウド・ガードは、顧客がOracle Cloudで強力なセキュリティ・ポスチャをモニター、識別、実現および維持するのに役立つクラウドネイティブ・サービスです。

    エンタープライズ・スケール・ベースライン・ランディング・ゾーン・スタックを使用してクラウド・ガード・リソースをプロビジョニングする場合、ターゲットは親コンパートメント内のすべてのリソースです。エンタープライズ・スケール・ベースライン・ランディング・ゾーンには、2つのOracle管理レシピ(OCI Configuration Detector RecipeおよびOCI Activity Detector Recipe)が含まれます。これらのディテクタ・レシピは、チェックを実行し、リソースに対する潜在的なセキュリティの問題を特定します。

  • 脆弱性スキャン・サービス(VSS)

    脆弱性スキャンは、クラウド・リソースに潜在的な脆弱性がないかを定期的にチェックすることで、セキュリティ・ポスチャを改善するのに役立ちます。

  • セキュリティ・リスト

    セキュリティ・リストは、イングレスおよび送信トラフィックを制御できる仮想ファイアウォールです。エンタープライズ・スケール・ベースライン・ランディング・ゾーンは、インターネット・ゲートウェイに関連付けられたセキュリティ・リストを作成します。実際のイングレスおよびエグレス・ルールは、ワークロードおよび許可するトラフィックによって異なります。ワークロードをOCIに移動するときにイングレスおよびエグレス・ルールを構成します。