ハイブリッドクラウドへと進化する企業システム|考慮すべき最重要課題とは

 日本企業でも着実に広がりつつあるクラウド活用。既存のオンプレミスシステムをクラウド化する取り組みも進んでいます。しかしその道程は、決して平坦ではありません。クラウドシフトには考慮すべきことが数多く存在するからです。その中でも最重要となるのが、オンプレミスシステムとの接続をどのように行うかではないでしょうか。インターネット接続では十分なセキュリティを確保できないと、不安を感じているIT担当者は多いはずです。

 そこで本記事では、クラウドとの閉域接続の方法と、それに取り組む際のハードル、そしてそのハードルを乗り越えるためのアプローチを紹介します。


▼ 目次
1. すでに当たり前になった企業システムにおけるクラウド利用検討
2. 求められるオンプレミスとの閉域接続、しかしそこには大きなハードルが
3. クラウドサービス毎に異なる閉域接続の方法
4. クラウドとの閉域接続のハードルを下げるには




1. すでに当たり前になった企業システムにおけるクラウド利用検討

 近年、データセンターに設置していたオンプレミスシステムを、パブリッククラウドへと移行したいというニーズが高まっています。その理由はさまざまですが、多く見られるのが「システム管理負担を軽減したい」「ハードウェアやシステムインフラのコストを下げたい」といった要望です。そのため、ハードウェアのリプレース時期に合わせてクラウド化を検討するケースも増えています。日本企業にとってクラウド利用検討は、当たり前のものになっているといえるでしょう。

 パブリッククラウドが提供するサービスは、大きく以下の3つに大別できます。

  • IaaS(Infrastructure as a Service)
    • プロセッサやメモリ、ストレージといったハードウェアリソースを仮想マシンとして提供
  • PaaS(Platform as a Service)
    • データベースソフトやアプリケーションサーバーといったミドルウェアや、IoTハブ、AIなどの機能を提供
  • SaaS(Software as a Service)
    • グループウェアやビジネスSNS、CRMなどの業務アプリケーションを提供



 パブリッククラウドが登場した頃は、IaaSの利用が主流でした。すでに企業内でもサーバーの仮想化が進みつつあったため、クラウド上の仮想マシンに同様のOS環境を構築し、クラウドへと移行するという考え方は馴染みやすかったからです。そのため、顧客やパートナー向けのシステムや、社外アクセスの要望が高いシステムを、パブリッククラウドに移してインターネット経由で利用する、という形態が広がっていきました。

 これと並行して、SaaSの利用も拡大していきます。これを牽引しているのが、マイクロソフトが提供する「Microsoft Office 365」や、グーグルが提供する「G Suite」だといえるでしょう。これらはメールやスケジュール管理を始めとするグループウェア機能を提供しており、コミュニケーションや情報共有を活性化する上で、重要な役割を果たしています。最近では働き方改革の基盤として、このようなSaaSを採用する事例も増えています。

 そして近年では、PaaSの利用も広がりつつあります。PaaSが提供する各種ミドルウェアの機能を利用することで、新規アプリケーション開発の負担を大幅に軽減できるからです。また既存の業務システムを、PaaSで再構成しようという動きもあります。


ハイブリッドクラウド






2. 求められるオンプレミスとの閉域接続、しかしそこには大きなハードルが

 このように企業システムのクラウドシフトが着実に進みつつある一方で、オンプレミスシステムも依然として残っています。工場内のシステムや一部の基幹システムでは、セキュリティの観点から自社内の閉じた環境で運用したいというニーズが存在するからです。また利用状況の変動が少なく、常に一定の負荷がかかるシステムでは、社内にハードウェアを設置した方がクラウド利用よりもトータルコストが安くなることも少なくありません。

 そのため多くの企業では今後も長期にわたって、オンプレミスシステムが残り続けることになるでしょう。また最終的にフルクラウド化を目指す企業でも、オンプレミスシステムが完全になくなるまでには、長い時間がかかるはずです。短期間でクラウドシフトを進めることは、大きなリスクを伴うからです。そのため企業システムは必然的に、パブリッククラウドと社内システムが共存する「ハイブリッドクラウド」へと向かうことになります。

 そこで重要になるのが、オンプレミスシステムとパブリッククラウドをどのように接続するかです。

 パブリッククラウドはインターネット経由で利用することを前提にしています。しかしセキュリティ確保のため社内運用しているシステムを、インターネット経由でパブリッククラウドに接続するのは、適切なアプローチだとはいえません。データ通信をVPNで保護したとしても、インターネットから不正アクセスされる危険性があるからです。高い安全性を確保するには、閉域接続することが望ましいといえます。

 ただし閉域接続は、インターネット経由での接続に比べ、かなりハードルが高くなります。閉域接続のための回線や機器を利用企業側が用意しなければならず、それらが問題なく動作することも自ら検証しなければならないからです。

 また閉域接続の要件は、クラウドサービス事業者によって大きく異なります。そのためマルチクラウドを利用している企業は、さらに複雑な問題に直面することになるのです。

ハイブリッドクラウド






3. クラウドサービス毎に異なる閉域接続の方法

 一例として、オンプレミスシステムとL2で閉域接続する方法について、下記のサービスを例に挙げて比較してみましょう。



3-1. AWS

 AWSには、L2接続する方法は大きく2種類あります。1つはクラウド接続プロバイダーのデータセンターに機器をハウジングし、そこから接続する方法です。この場合、BGP対応機器とクラウド接続プロバイダーまでの回線、ハウジング用の機器を準備し、さらにクラウド接続プロバイダーとのハウジング契約も行う必要があります。また用意する機器はMD5認証とIEEE802.1Qに対応している必要があり、プライベートAS(Autonomous System)番号と2種類のVLAN IDも準備しなければなりません。もう1つはクラウド接続事業者のサービスを利用する方法です。この場合は、BGP対応機器とプライベートAS番号、VLAN IDを用意しておく必要があります。



3-2. Microsoft Azure

 閉域接続でMicrosoftAzureを利用する場合、IaasとSaas/Paasで接続方式が異なります。MicrosoftAzureには2種類のL2接続方法があります。第1は「Privateピアリング」であり、利用企業はBGP対応機器とプライベートAS番号、プライベートIPアドレスを用意する必要があります。第2は「Microsoftピアリング」であり、この場合にはBGP対応機器、NAT対応機器、パブリックAS番号またはプライベートAS番号、パブリックIPアドレスが必要です。またプライベートAS番号を利用する場合には、マイクロソフトによる検証・承認も必要になります。


3-3. GCP

 GCPのL2接続はAWSと同様に、クラウド接続プロバイダーのデータセンターに機器をハウジングする方法と、企業データセンターのBGPからクラウド接続プロバイダー経由で接続する方法があります。前者で利用企業側が準備すべきものは、BGP対応機器、ハウジング用機器、クラウド接続プロバイダーまでの回線、ハウジング契約、プライベートAS番号、VLAN IDです。後者の場合には、BGP対応機器、プライベートAS番号、VLAN IDとなります。

 またGCPではL2接続の他に、L3での閉域接続も可能です。その方法としては、クラウド接続プロバイダーのデータセンターに機器をハウジングする方法と、企業データセンターのBGPからクラウド接続プロバイダー経由で接続する方法の2種類がありますが、使用機器に対する要件はL2接続とは異なります。


3-4. Oracle Cloud Infrastructure

 クラウドへの閉域接続は下記の二つの方式があります。

  • プライベートピアリング
  • パブリックピアリング


 プライベートピアリングは「Oracle Cloud Infrastructure Compute」などのIaaSへの接続に利用され、パブリックピアリングは「Oracle Autonomous Data Warehouse」などのPaaSへの接続に利用されます。

 注意点として、クラウド接続プロバイダーによってはプライベートピアリングのみの提供の場合がありますので、利用の際は事前確認が必要です。プライベートピアリングを利用する際に準備するものとしては、BGP対応機器、プライベートAS番号、プライベートIPアドレスが必要です。両ピアリングとも接続帯域は他クラウドと比べ種類が少なく、1Gと10Gの2種類のみとなります。





ハイブリッドクラウド







4. クラウドとの閉域接続のハードルを下げるには

 このようにざっと俯瞰しただけでも、閉域接続には複数の方法があり、クラウドサービス事業者毎に要件が異なっていることがわかります。利用企業はこれらの方式を熟知しておく必要があり、接続した後も問題なく動作するか否かを確認しなければなりません。また実運用後に問題が発生した場合にも、その原因を自ら究明することが求められます。

 このようなハードルを解消するために、CTCが2018年9月にリリースしたのが、「CTC Cloud Connect」です。



関連記事を読む





 これは、CTCデータセンターのハウジングサービスや、TechnoCUVICをはじめとするCTCクラウドサービスから、マルチクラウドに閉域接続するサービスです。このサービスを利用することで、利用企業側の責任分担領域は、以下のように一気に縮小します。利用クラウドの契約やクラウド側の設計や設定は利用企業側が担当する必要がありますが、その他はすべてCTC側の担当になるからです。



表 1. CTC Cloud Connect を利用する企業側の責任分界領域

ハイブリッドクラウド



 そのため利用企業は、クラウドサービス毎の接続方式の違いや、接続に何が必要なのかを熟知する必要がなくなります。これに加えCTC Cloud Connectには、注目すべき3つの特徴があります。



4-1. お手軽

 クラウド接続事業者までの専用線手配やマルチクラウド接続に必要なネットワークの構成はサービス提供の範囲に含まれており、お客様が実施する部分はクラウド側の設計、設定の部分のみになります。


4-2. コスト

 最低利用期間が1か月と短く設定されており(一般的な閉域網の最低利用期間は12ヶ月)、実証実験の際に安価なトータルコストとなるよう価格設定されています。



4-3. セキュリティ

 CTCデータセンターから各クラウドサービスへの接続は、インターネットを経由しない閉域接続となっています。また、異なるキャリアが提供する複数の専用回線で完全に冗長化され、サービス提供範囲の全ての機器に対する常時監視も行われており、可用性も極めて高くなっています。





 このようなサービスを活用すれば、マルチクラウドへの閉域接続を短期間で気軽に行えるようになるはずです。なおサービス内容の詳細は、以下のページをご参照ください。


関連記事を読む


_

関連記事はこちら