OCI管理のPostgreSQL、RedisおよびOpenSearchによるアプリケーション開発の最新化

パフォーマンス、スケーラビリティ、自己回復性、セキュリティおよびコスト効率を向上させることで、エンタープライズ・アプリケーションを最新化し、顧客、サプライヤ、従業員および規制当局の進化する要求に対応します。このアーキテクチャは、OCIマネージドPostgreSQL、OpenSearch、Redis、Kubernetesなどのエンタープライズ・グレードのオープンソース・テクノロジーを使用したアプリケーションの最新化を示しています。

ビジネスの柔軟性、運用の俊敏性、サービスの継続性、ユーザー・エクスペリエンスの向上、パフォーマンスの向上、コストの削減、包括的なプラットフォーム・ガバナンスを求める組織は、競争力を高めるためにアプリケーションの最新化にますます注目しています。クラウドネイティブなアプリケーションとマネージド・サービスは、アプリケーションの最新化を実現するための優れたレバーです。

アプリケーションの再プラットフォーム化、リファクタリング、再設計などのモダナイゼーション戦略は、トレーニング・コストと運用オーバーヘッドを大幅に削減するオープンソースおよびクラウドネイティブ・テクノロジによって促進されます。

このリファレンス・アーキテクチャは、アプリケーション・フロント・エンドにOCI Kubernetes Engineを使用し、キャッシュにRedisを使用し、トランザクション・データにPostgreSQLを使用し、高度な検索、ログおよびトレース分析にOpenSearchを使用した、Oracle Cloud Infrastructure (OCI)への最新アプリケーションのデプロイメントを示しています。このマルチデータベース実装は、パフォーマンス、スケーラビリティ、自己回復性、操作性、セキュリティ、ガバナンスが重要な、eコマース、ゲーム、ソーシャル・メディア、FinTechなどの多様なデータ型を管理する業界に最適です。

アーキテクチャ

このアーキテクチャは、OCIでの最新のアプリケーション・デプロイメントを示しています。このアーキテクチャを使用して、マイクロサービスとOCI管理のオープンソース・データベースを通じてアプリケーションを最新化し、スケーラブルでセキュアなプラットフォーム上で効率的なデータ取得と堅牢な分析機能を確保します。

このリファレンス・アーキテクチャでは、アプリケーションのフロントエンドを編成およびスケーリングするためのOCI Kubernetes Engine (OKE)、データ永続性のPostgreSQL、データ取得の高速化のためのキャッシュ・レイヤーとしてのRedisとValkey、高速で正確な検索および分析機能のためのOpenSearchなど、OCI管理のオープンソース・テクノロジと組み合せたマイクロサービス・デプロイメントを活用して、アプリケーションを最新化します。これらのサービスは、OCI固有のスケーラビリティと包括的なセキュリティ機能と組み合わせて、OCI上のアプリケーションを最新化するための強固な基盤を提供します。

次の図は、このリファレンス・アーキテクチャを示しています。

oke-architecture-diagram.pngの説明が続きます
図oke-architecture-diagram.pngの説明

oke-architecture-diagram-oracle.zip

アーキテクチャには次のコンポーネントがあります。

  • 管理対象サービス

    マネージド・サービスは、パフォーマンス、可用性、スケーリング、セキュリティまたはアップグレードの最適化に関連するメンテナンス・タスクを実行することなく、特定の機能を提供します。マネージド・サービスを使用すると、運用の複雑さを心配せずに、顧客に機能を提供することに集中できます。マネージド・サービスは、クラウドネイティブ開発のためのスケーラブルでセキュアなコンポーネントを提供します。マネージド・サービスを使用して、アプリケーションを開発および実行し、データを格納します。アプリを構築および運用するために各ドメインの専門知識を必要とせずに、クラス最高のソリューションを得ることができます。

  • Kubernetes Engine

    Oracle Cloud Infrastructure Kubernetes Engine (OCI Kubernetes EngineまたはOKE)は、コンテナ化されたアプリケーションをクラウドにデプロイするために使用できる、フル管理のスケーラブルで可用性の高いサービスです。アプリケーションで必要なコンピュート・リソースを指定すると、KubernetesエンジンがそれらをOracle Cloud Infrastructureの既存のテナンシにプロビジョニングします。OKEは、Kubernetesを使用して、ホストのクラスタにわたるコンテナ化されたアプリケーションのデプロイメント、スケーリングおよび管理を自動化します。

  • Redisを使用したキャッシュ

    Oracle Cloud Infrastructure Cache with Redisは、オープン・ソースのRedisの基盤に基づいて構築された、包括的なマネージドインメモリ・キャッシング・ソリューションです。このフルマネージド・サービスは、データの読み取りと書き込みを高速化し、アプリケーションの応答時間とデータベース・パフォーマンスを大幅に向上させ、カスタマー・エクスペリエンスを向上させます。

  • Database with PostgreSQL

    PostgreSQLを使用するOracle Cloud Infrastructure Databaseは、パッチ適用やバックアップなどのルーチン・タスクからチームを解放するマネージドPostgreSQLサービスです。その特徴は、OCI Databaseに最適化されたストレージであり、システムの回復力とパフォーマンスを向上させます。OCI Database with PostgreSQLでは、コンピュートとストレージを個別にスケーリングできます。さらに、エンドツーエンドの暗号化により、データ・セキュリティを強化します。

  • OpenSearchを使用した検索

    OCI Search with OpenSearchは、OpenSearchに基づいてアプリケーション内検索ソリューションを構築するために使用できるマネージド・サービスであり、インフラストラクチャの管理に集中することなく、大規模なデータセットを検索して結果をミリ秒で返すことができます。OpenSearchには、メトリック、トレースおよびログ分析の可観測性機能があります。

  • 要塞サービス

    Oracle Cloud Infrastructure Bastionは、パブリック・エンドポイントがなく、ベア・メタルや仮想マシン、Oracle MySQL Database ServiceAutonomous Transaction Processing (ATP)、Oracle Cloud Infrastructure Kubernetes Engine (OKE)、およびSecure Shell Protocol (SSH)アクセスを許可するその他のリソースなど、厳密なリソース・アクセス制御を必要とするリソースへの制限付きで時間制限付きのセキュアなアクセスを提供します。OCI Bastionサービスを使用すると、ジャンプ・ホストをデプロイおよびメンテナンスせずにプライベート・ホストへのアクセスを有効にできます。さらに、アイデンティティベースの権限と一元化された監査済みの期限付きSSHセッションにより、セキュリティ・ポスチャが向上します。OCI Bastionは、要塞アクセスのパブリックIPの必要性をなくし、リモート・アクセスを提供する際の手間と潜在的な攻撃対象領域を排除します。

  • アイデンティティおよびアクセス管理

    Oracle Cloud Infrastructure Identity and Access Management (IAM)は、Oracle Cloud Infrastructure (OCI)およびOracle Cloud Applicationsのユーザー・アクセス制御を提供します。IAM APIおよびユーザー・インタフェースを使用すると、アイデンティティ・ドメインおよびその中のリソースを管理できます。各OCI IAMアイデンティティ・ドメインは、スタンドアロンのアイデンティティおよびアクセス管理ソリューション、または異なるユーザー集団を表します。

  • オブジェクト・ストレージ

    OCIオブジェクト・ストレージでは、データベースのバックアップ、分析データ、イメージやビデオなどのリッチ・コンテンツなど、あらゆるコンテンツ・タイプの構造化データおよび非構造化データにアクセスできます。インターネットまたはクラウド・プラットフォーム内から直接、データを安全かつセキュアに格納できます。パフォーマンスやサービスの信頼性を低下させることなく、ストレージを拡張できます。

    迅速、即時、頻繁にアクセスする必要があるホット・ストレージには、標準ストレージを使用します。長期間保持し、ほとんどまたはほとんどアクセスしないコールド・ストレージには、アーカイブ・ストレージを使用します。

  • Key Vault

    Oracle Key Vaultは、暗号化キー、Oracleウォレット、Java KeyStores、SSHキー・ペアおよびその他のシークレットを、OASIS KMIP標準をサポートし、OCI、Microsoft Azure、Amazon AWS、Google Cloud、およびオンプレミスの専用ハードウェアまたは仮想マシンにデプロイする、スケーラブルでフォルト・トレラントなクラスタに安全に格納します。

  • APIゲートウェイ

    Oracle Cloud Infrastructure API Gatewayでは、ネットワーク内からアクセスでき、必要に応じてパブリック・インターネットに公開できるプライベート・エンドポイントを含むAPIを公開できます。エンドポイントは、API検証、リクエストとレスポンスの変換、CORS、認証と認可およびリクエスト制限をサポートします。

  • Oracle Services Network

    Oracle Services Network (OSN)は、Oracleサービス用に予約されているOracle Cloud Infrastructureの概念的なネットワークです。これらのサービスには、インターネットを介してアクセスできるパブリックIPアドレスがあります。Oracle Cloud外部のホストは、Oracle Cloud Infrastructure FastConnectまたはVPN接続を使用してOSNにプライベートにアクセスできます。VCNs内のホストは、サービス・ゲートウェイを介してOSNにプライベートにアクセスできます。

  • リージョン

    Oracle Cloud Infrastructureリージョンは、可用性ドメインをホストする1つ以上のデータ・センターを含むローカライズされた地理的領域です。リージョンは他のリージョンから独立しており、長距離の場合は(国または大陸にまたがって)分離できます。

  • 仮想クラウド・ネットワーク(VCN)およびサブネット

    VCNは、Oracle Cloud Infrastructureリージョンで設定する、カスタマイズ可能なソフトウェア定義ネットワークです。従来のデータ・センター・ネットワークと同様に、VCNsではネットワーク環境を制御できます。VCNには重複しない複数のCIDRブロックを含めることができ、VCNの作成後にそれらを変更できます。VCNをサブネットにセグメント化して、そのスコープをリージョンまたは可用性ドメインに設定できます。各サブネットは、VCN内の他のサブネットと重複しない連続した範囲のアドレスで構成されます。サブネットのサイズは、作成後に変更できます。サブネットはパブリックにもプライベートにもできます。

  • FastConnect

    Oracle Cloud Infrastructure FastConnectは、データ・センターとOracle Cloud Infrastructureの間に専用のプライベート接続を作成します。FastConnectは、インターネットベースの接続と比較して、高帯域幅のオプションと、より信頼性の高いネットワーキング・エクスペリエンスを提供します。

  • 動的ルーティング・ゲートウェイ(DRG)

    The DRG is a virtual router that provides a path for private network traffic between VCNs in the same region, between a VCN and a network outside the region, such as a VCN in another Oracle Cloud Infrastructure region, an on-premises network, or a network in another cloud provider.

  • インターネット・ゲートウェイ

    インターネット・ゲートウェイは、VCN内のパブリック・サブネットとパブリック・インターネット間のトラフィックを許可します。

  • サービス・ゲートウェイ

    サービス・ゲートウェイは、VCNからOracle Cloud Infrastructure Object Storageなどの他のサービスへのアクセスを提供します。The traffic from the VCN to the Oracle service travels over the Oracle network fabric and does not traverse the internet.

  • クラウド・ガード

    Oracle Cloud Guardを使用して、Oracle Cloud Infrastructure内のリソースのセキュリティをモニターおよびメンテナンスできます。クラウド・ガードでは、ディテクタ・レシピを使用して、リソースでセキュリティの弱点を調べたり、特定のリスクのあるアクティビティについてオペレータおよびユーザーをモニターしたりするために定義できます。構成の誤りやセキュアでないアクティビティが検出されると、クラウド・ガードは修正アクションを推奨し、ユーザーが定義できるレスポンダ・レシピに基づいてそれらのアクションの実行を支援します。

OKEには、次のソフトウェアがデプロイされています。

  • サービス・メッシュ

    サービス・メッシュ製品は、クラスタで実行されているアプリケーションに専用のインフラストラクチャ・レイヤー(サービス・メッシュ)を追加することで、Kubernetesクラスタ内のサービス間のネットワーク通信を管理します。たとえば、ポリシーの適用を提供するオープンソースのプラットフォームに依存しないサービス・メッシュであるIstioと、トラフィック管理上のテレメトリ・コレクションを使用できます。

  • 基準サーバー

    Metrics Serverは、リソース使用率データのクラスタ全体のアグリゲータであり、OKEクラスタおよびアプリケーションのヘルスおよびパフォーマンスを監視するために不可欠なデータを提供します。メトリック・サーバーは、CPUやメモリー使用率などのノードおよびポッドからリソース・メトリックを収集し、水平ポッド自動スケーリングやKubernetesダッシュボードなどの他のKubernetesコンポーネントで使用できるようにします。

  • Kubernetesダッシュボード

    Kubernetes Dashboardは、実行中のポッドの数、そのヘルス・ステータス、リソース使用率およびその他の重要なメトリックに関するインサイトを提供します。また、デプロイメントのスケーリング、ログの表示、リソースの削除などのアクションを実行することもできます。K9s、Rancherなどの代替をデプロイすることもできます。

  • イングレス・コントローラ

    Kubernetesイングレス・コントローラは、Kubernetesイングレスに定義されたルールおよび構成オプションを実装して、受信トラフィックをロード・バランシングし、クラスタ内のワーカー・ノードで実行されているサービス・ポッドにルーティングします。OCIネイティブ・イングレス・コントローラまたはNginxイングレス・コントローラなどのサード・パーティのイングレス・コントローラをデプロイできます。

  • クラスタの可観測性

    可観測性と、より具体的にはアプリケーション・パフォーマンスの監視のために、PrometheusはOKEによって生成された様々なメトリックを廃棄して格納するためにデプロイされます。Grafanaはメトリックの視覚化に使用されます。Fluentbitは、OKEクラスタからのログ取得用にデプロイされます。データは、OpenSearchを使用してOCI Searchに転送されます。

レコメンデーション

次の推奨事項を開始点として使用します。 実際の要件は、ここで説明するアーキテクチャとは異なる場合があります。

アプリケーションのスケーラビリティ

OCIでは、プロビジョニング時とデプロイメント後の両方で、サービスのサイズをニーズに合わせて柔軟に調整できます。垂直方向のサイズ変更では、クラスタノードのメモリーおよびCPUリソースを増減できます。水平サイズ変更では、ノード数を調整できます。ダウンタイムを最小限に抑えるために、ブロック・ボリューム・クローニングを使用した青緑色のデプロイメントでは、業界標準のローリング更新よりも大幅に高速な更新が可能です。また、コンピュートとストレージを分離することで、両方のリソースを個別にスケーリングでき、OCIの優れたネットワーキングによってシャードの再割当てが容易になります。

  • Kubernetes Engine

    Kubernetesは、組み込みの水平ポッド自動スケーリングを使用して、サービスのインスタンス数を動的にスケーリングおよび削減できます。必要に応じて、Kubernetes Cluster Autoscalerを使用して、過剰なプロビジョニングによってコンピュート・リソースを無駄にすることなく、現在の負荷を満たすようにクラスタを適切なサイズにするためにKubernetesワーカーを追加および削除することもできます。

  • RedisとValkeyを使用したキャッシュ

    ワークロードに応じて、ノード当たりのメモリーのサイズを設定できます。クラスタにレプリカ・ノードを追加して、高可用性を確保し、読取り操作の帯域幅を改善できます。シャード・クラスタをデプロイして最大99ノードをアタッチすることもできますが、メモリーが小さいノードを使用すると、読取りパフォーマンスをさらに向上できます。また、障害発生時のノード・リカバリも高速化されます。

  • Database with PostgreSQL

    クラスタでノード当たりに必要なCPUおよびメモリーの正確な量を選択します。このサービスでは、OCI Database Optimized Storage (DBoS)を使用します。これは、クラスタ全体の障害が発生した場合でも、データ損失ゼロを保証するためにリージョナル・ブロック・ボリュームに依存します。割り当てられたストレージがデータベース・システムの実際のデータに基づいて増減するため、ここではサイズ設定は必要ありません。

  • OpenSearchを使用した検索

    OpenSearchは、垂直および水平のスケーリングをサポートします。さらに水平方向にスケーリングするために、追加のクラスタをデプロイし、クラスタ間接続を介して相互接続できます。これにより、デプロイされているすべてのクラスタでデータを効果的に検索できます。

表- スケーラビリティ・オプション

  Kubernetes Engine RedisとValkeyを使用したキャッシュ Database with PostgreSQL OpenSearchを使用した検索
ノード- スケール・アップ
ノード- スケール・ダウン
クラスタ- スケール・アウト
クラスタ- スケール・イン ×

高可用性

高可用性は、OCI管理サービスのコア設計特性です。最大限の稼働時間とアクセシビリティを確保するために、少なくとも3つのノード(1つのマスターと2つのレプリカ)を持つ本番クラスタをデプロイすることをお薦めします。OCIは、これらのノードをOCIリージョンの可用性ドメインまたはフォルト・ドメインに自動的に分散して、シングルポイント障害によるダウンタイムを排除します。ノードに障害が発生した場合、OCIは交換ノードを自動的にプロビジョニングしてクラスタ・サイズをリストアします。サービスの可用性は、次の自動アクションによってさらに保証されます。

  • Kubernetes Engine

    Kubernetesは高可用性を中心に設計されており、サービス・デプロイメントの複数のインスタンスが複数のワーカーに自動的に分散されるため、問題が発生した場合にサービスが使用可能になります。Kubernetesは、サービスの失敗したインスタンスを検出して再起動し、サービス・インスタンスと連携して動作するヘルス・モニタリング機能を備えており、問題が発生しているインスタンスを識別して再起動します。アップグレード中に継続的なサービスの可用性を維持するために、Kubernetesは、サービス・デプロイメントのローリング更新およびロールバックをサポートしています。また、Kubernetesコントロール・プレーン固有の冗長性により、Kubernetes自体のローリング・アップグレードが可能になります。

  • RedisとValkeyを使用したキャッシュ

    レプリカ・ノードは自動的にマスター・ロールを引き継ぎ、置換レプリカ・ノードがプロビジョニングされます。

  • Database with PostgreSQL

    キャッシュと同様に、レプリカ・ノードは自動的にマスター・ロールを引き継ぎ、置換レプリカ・ノードがプロビジョニングされます。データはリージョナル・ブロック・ストレージ間でレプリケートされ、コンピュート・ノードから分離されるため、データベースの最適化されたストレージにより、ノード障害が発生した場合のデータ損失はゼロになります。

  • OpenSearchを使用した検索

    リーダー対象ノードは、サービスの可用性を確保するために、自動的にリーダーに昇格されます。

これらの自動フェイルオーバー・プロセスは、ゼロ・リカバリ・ポイント目標(RPO)を目標とし、ユーザーにとって比類のないシンプルさで、地域の高可用性を提供します。

ha-architecture-diagram.pngの説明が続きます
図ha-architecture-diagram.pngの説明

ha-architecture-diagram-oracle.zip

ディザスタ・リカバリ

OCI管理サービスは、ビジネス継続性を確保するための堅牢なディザスタ・リカバリ機能を提供します。ディザスタ・リカバリ戦略は、リージョンの障害からサービスを保護します。OCIサービスを使用すると、フェイルオーバー・リージョンでゼロ・リカバリ・ポイント目標(RPO)および1分未満のリカバリ時間目標(RTO)を達成できます。

OCIは、動的ルーティング・ゲートウェイ(DRG)とOCIバックボーンにより、リージョン間の接続を簡素化します。OCIバックボーンは、OCIリージョンをグローバルに相互接続する、セキュアで可用性の高い専用ネットワークです。デフォルトでは、同じレルム内のリージョン間のパブリックおよびプライベートIPトラフィックは、インターネットではなくOCIバックボーンを通過します。

表- ディザスタ・リカバリのオプションと使用可能なツール

  Kubernetes Engine Database with PostgreSQL OpenSearchを使用した検索
コールド・スタンバイ OCIフル・スタック・災害復旧 自動的なバックアップとリストア 自動スナップショットAPI
ウォーム・スタンバイ   pglogical、GoldenGate クラスタ間レプリケーション(早期アクセス)

次の図は、ウォーム・スタンバイを使用したクロス・リージョン・ディザスタ・リカバリを示しています。

dr-architecture-diagram.pngの説明が続きます
図dr-architecture-diagram.pngの説明

dr-architecture-diagram-oracle.zip

次のコンポーネントを利用できます。

  • プライマリとスタンバイのリージョン

    リージョンはレルムにグループ化されます。テナンシは、単一のレルムに存在し、そのレルムに属するすべてのリージョンにアクセスできます。現在、Oracle Cloud Infrastructureには、商用、政府および専用レルムを含む複数のレルムがあります。パリとマルセイユは、商用(OC1)レルムの一部です。

  • OCIフル・スタック・災害復旧

    OCI Full Stack Disaster Recovery (FSDR)は、Oracle Cloud Infrastructureの災害復旧オーケストレーションおよび管理サービスであり、インフラストラクチャー、ミドルウェア、データベース、アプリケーションなど、アプリケーション・スタックのすべてのレイヤーに包括的な災害復旧機能を提供します。FSDRサービスは、OKEおよび基礎となるOCIリソースと連携して、データベース、ファイル・ストレージおよびブロック・ボリュームのアプリケーション・データを別のリージョンにレプリケートします。Kubernetesの場合、OKE構成およびマニフェストの詳細(サービス、デプロイメント、構成マップなど)を別のリモート・リージョンにレプリケートします。このレプリケートされたデータと構成は、リージョン全体を停止して別のOCIリージョンでサービスを起動する、ありそうにない災害が発生した場合に使用できます。

  • レプリケーション・ツール

    データをスタンバイ・リージョンにレプリケートします。フェイルオーバー時に自動スケーリングを実装すると、スタンバイのサイズを縮小できます。

    • OCI Database with PostgreSQLでは、データベース・データのコピーを作成し、リモートに格納する自動バックアップが提供されるため、リージョナル・データ・センターの障害後など、必要に応じて元の状態にリストアするために使用できます。PostgreSQLは、PostgreSQLの論理ストリーミング・レプリケーションを提供するpglogical拡張などの論理レプリケーション・オプションも提供し、パブリッシュ/サブスクライブ・モデルと、リアルタイムのデータ統合、データ・レプリケーション、トランザクション・チェンジ・データ・キャプチャ、データ変換などを提供するOracle GoldenGateを使用します。
    • OpenSearchクロス・クラスタ・レプリケーションを使用したOCI検索では、あるOpenSearchクラスタから別のクラスタ(別のOCIリージョン内など)に索引、マッピングおよびメタデータをレプリケートできます。
  • CI/CD

    Oracle DevOpsサービスは、開発者向けに継続的インテグレーションおよびデプロイメント(CI/CD)プラットフォームを提供します。DevOpsサービスを使用して、Oracle Cloudでソフトウェアおよびアプリケーションを簡単にビルド、テストおよびデプロイできます。DevOpsのビルド・パイプラインとデプロイメント・パイプラインは、変更主導型のエラーを削減し、リリースのビルドおよびデプロイに顧客が費する時間を短縮します。

    また、このサービスはコードを格納するためのプライベートGitリポジトリを提供し、外部コード・リポジトリへの接続をサポートします。ワークロードをオンプレミスまたは他のクラウドからOCIに移行する場合でも、OCIで新しいアプリケーションを開発する場合でも、DevOpsサービスを使用して、ソフトウェア・デリバリ・ライフサイクルを簡略化できます。

  • バージョン・アップグレード

    マイナー・バージョン・アップグレードは、サービス継続性を保証するためにローリング・ベースで適用されるパッチとしてOCIによって処理されます。メジャー・アップグレードには移行パス・プロセスが必要です。

  • セキュリティ

    Oracle Cloud Guardを使用して、OCI内のリソースのセキュリティをプロアクティブにモニターおよびメンテナンスします。Oracle Cloud Guardでは、定義可能なディテクタ・レシピを使用して、リソースでセキュリティの弱点を調べたり、オペレータおよびユーザーにリスクのあるアクティビティを監視したりできます。構成の誤りやセキュアでないアクティビティが検出されると、Oracle Cloud Guardは修正アクションを推奨し、定義可能なレスポンダ・レシピに基づいてそれらのアクションの実行を支援します。

    最大限のセキュリティーを必要とするリソースの場合、Oracleではセキュリティーゾーンを使用することをお勧めします。セキュリティ・ゾーンは、ベスト・プラクティスに基づくセキュリティ・ポリシーのOracle定義レシピに関連付けられたコンパートメントです。たとえば、セキュリティ・ゾーン内のリソースにパブリック・インターネットからアクセスできず、顧客管理キーを使用して暗号化する必要があります。セキュリティ・ゾーンでリソースを作成および更新すると、OCIでは、セキュリティ・ゾーン・レシピのポリシーに対して操作が検証され、ポリシーに違反する操作が拒否されます。

  • セキュリティ・ゾーン

    Oracleが提供するデフォルトのレシピをクローニングおよびカスタマイズして、カスタム・ディテクタおよびレスポンダ・レシピを作成します。これらのレシピを使用すると、警告を生成するセキュリティ違反のタイプ、およびそれらに対して実行を許可するアクションを指定できます。たとえば、可視性がpublicに設定されているオブジェクト・ストレージ・バケットを検出できます。

    クラウド・ガードをテナンシ・レベルで適用して、最も広い範囲をカバーし、複数の構成を維持する管理上の負担を軽減します。

    管理対象リスト機能を使用して、特定の構成をディテクタに適用することもできます。

  • ネットワーク・セキュリティ・グループ

    ネットワーク・セキュリティ・グループ(NSG)を使用して、特定のVNICに適用されるイングレス・ルールおよびエグレス・ルールのセットを定義できます。NSGを使用すると、VCNのサブネット・アーキテクチャをアプリケーションのセキュリティ要件から分離できるため、セキュリティ・リストではなくNSGを使用することをお薦めします。

  • ロード・バランサの帯域幅

    ロード・バランサの作成時に、固定帯域幅を提供する事前定義済のシェイプを選択するか、帯域幅範囲を設定するカスタム(フレキシブル)シェイプを指定して、トラフィック・パターンに基づいて帯域幅を自動的にスケーリングできます。どちらの方法でも、ロード・バランサの作成後にいつでもシェイプを変更できます。

考慮事項

このリファレンス・アーキテクチャをデプロイする場合は、次の点を考慮してください。

  • ワークロードの可観測性

    マネージド・サービスのメトリック、トレースおよびログは、OCIによってすぐに取得および監視されます。OCIコンソールでこれらを確認することも、選択したツール(Prometheus、OpenSearch、Grafana、Jaeger、OCI Application Performance Monitoringなど)で可観測性データを統合することもできます。

  • Governance

    OCI Cloud Adoption Frameworkは、組織がビジネス・アジリティを改善し、革新的なソリューションを促進することを支援します。クラウドを最大限に活用するには、組織は、クラウド変革への段階的なアプローチを使用して、人、プロセス、およびテクノロジに関する経験に基づく推奨を活用する戦略に従う必要があります。OCI Cloud導入フレームワークは、ベスト・プラクティスと、組織がクラウドをうまく導入できるよう構造化されたアプローチを提供します。

  • 原価最適化

    OCIは、予測可能なコストとともに、世界中で一貫した価格設定を提供しています。OCIには、サービス・コストの管理を容易にする様々な請求およびコスト管理ツールが用意されています。コストの見積もり、予算の作成による支出しきい値の設定、使用状況の表示、チャートやレポートでの支出のビジュアル化が可能です。

    現在のニーズに基づいて環境を適切にサイジングすることは、コスト管理を保証するために重要です。必要に応じて、OCIサービスのスケーラビリティ機能をいつでも使用して、インフラストラクチャをいつでもワークロードに適応させることができます。また、未使用のサービスを削除し、非本番環境インスタンスを営業時間外に自動的に停止することをお薦めします。

詳細の参照

このアーキテクチャの機能と、OCIベースのアプリケーション・モダナイゼーション・プロジェクトを最大限に活用するためのベストプラクティスをご覧ください。

次の追加リソースを確認します。

確認

  • 作成者: Ismaël Hassane
  • コントリビュータ: Tim Graves, John Sulyok