ハイブリッドクラウドでのアカウントおよびネットワーク管理のためのサーバーレスソリューション

ハイブリッドクラウドでのアカウントおよびネットワーク管理のためのエレガントなサーバーレスソリューション

1.0はじめに

新世代の組織は、パブリッククラウド上でネイティブにビジネスを構築しています。 クラウドプロバイダーによる提供が増え続けているため、組織のアカウントをインテリジェントに管理し、個々のアカウントの可視性を制御するのは困難な作業です。 これらの企業にとって、データフローのための持続可能で費用対効果の高い、信頼性の高いネットワークバックボーンを構築することは非常に重要です。 これらの企業は、セキュリティ、コンプライアンス、エッジ遅延、またはその他のSLA要件のいくつかを満たすために、ますますオンプレミスのプロビジョニングを追加しています。 このまさにビジネスの性質により、ハイブリッドクラウド戦略を採用するようになりました。

クラウドで生まれていないビジネスは、これらの最新のデジタルテクノロジーを利用する準備ができていません。 コンピューティング、ストレージ、およびネットワークのバックボーンの従来の手段に固執すると、より機敏で、応答性が高く、革新的な組織に対する競争力が失われます。 これらのビジネスがハイブリッドクラウドに移行し、移行アプローチを採用しないのは「いつ」の問題になっています[1].

グローバルITソリューションプロバイダーであるRahi Systems Inc.は、先を行くことを望んでいる企業にハイブリッドクラウドを迅速に導入することを支援する専門家です。 他の多くの利点の中でも、ハイブリッドクラウド変換は、展開のリードタイムを短縮することで収益を増やし、リソースをより適切に管理することでコストを削減し、解決サイクルを短縮します。 この採用により、稼働時間、応答時間、エラー率、可用性などの測定可能なインデックスが常に改善されるため、顧客体験が向上します。

新世代の組織であるLumina NetworksはRahi Systems Inc.の顧客であり、アマゾンウェブサービス(AWS)プラットフォームでビジネスを構築しています。 顧客の要件は、個々のAWSアカウントと VPCこれらのアカウントで作成された–セキュリティポリシーとネットワークポリシーを設定および管理するための単一の真実のソースのメカニズム。 彼らの要求の一部は、すべてのアカウントにまたがるセキュリティモデルを構築して、データフローを東西および南北トラフィックの両方で安全にし、VPCを環境グループに編成して、トラフィックに必要なリソースアクセスと分離をインテリジェントに管理することでした環境間のフロー。これにより、ソフトウェア定義のVPNを使用して、VPCリソースへの安全で詳細なリモートアクセスが提供されます。 さらに、前述の要件に加えて、このオーケストレーションは、Lambda、CloudTrail、CloudWatch、SNSなどのAWSが提供するツールを活用するカスタマイズされたソリューションを考案することにより、最適なシステムの健全性と効率的なパフォーマンスのために監視されます。主要なリソースを最適化し、アカウント全体のファイアウォールポリシーとVPNアクセスを管理し、必要に応じて自動化を導入するとともに、事前通知を生成して停止の可能性をある程度の精度で警告し、停止後の自動回復を可能にします。

Rahi Systemsは、AWSなどのパブリッククラウドプラットフォームで構築されたハイブリッドクラウド環境でネットワークの自動化と監視、データフローオーケストレーション、アカウント管理に対処するサーバーレスソリューションを構築することにより、Lumina Networksなどの複雑な要件を持つ企業にソリューションを提供することでチャンピオンを獲得しています AWSのIaaSとラムダテクノロジを使用してネットワークバックボーンを提供し、単純な「if this then that」に加えて、複雑な依存関係を持つ管理タスクの容赦ない自動化を追求します(ITTT)ロジック。
AWSを使用したハイブリッドクラウド

図1:サーバーレスソリューションの開発フェーズ

上の写真は、AWSを使用したハイブリッドクラウドでのインテリジェントアカウントおよびデータフローオーケストレーションのためのエレガントなサーバーレスソリューションの開発のXNUMXつの異なる段階を示しています。

2.0構成

2.1アカウント管理

AWSアカウントのセットアップが一貫してスケーラブルな方法で、特にマルチアカウントで適切に行われるように、事前に深く掘り下げて時間をかけることが重要です。 特に組織内のAWSアカウントの数が増えた場合、作業のやり直しと再計画を節約できます。 これはAWSの最もエキサイティングな部分ではないかもしれませんが、正しく行うための重要な部分です。

複数のユーザーを単一のアカウントに構成することは、実用的でもスケーラブルでもないため、説明責任を実施する上で課題となります。 組織は、次のことに役立つマルチアカウント構造を迅速に採用します。

  • コストの最適化と請求
  • セキュリティとガバナンス
  • ワークロードの制御
  • リソースのグループ化
  • 事業単位の定義

上記のニーズに対処するために、2つの新しいアーティファクトを含む概念を導入します。

  1. 管理アカウント
  2. 運用環境

Rahi Systemsは、重要な設立ステップとして、このプロセスに顧客とかなりの時間を費やしています。 たとえば、Luminaのユースケースでは、自動販売アカウントのアプローチにより便利でスケーラブルになります。

図2:AWS組織

組織レベルのAWSアカウント管理者は、個々のメールIDで作成された場合、自動販売アカウントの完全な制御を失います。 そこで、管理アカウントの概念を紹介します。 制御アカウントは、会社の個々のユーザーに配布する目的で作成されたAWSアカウントです。 個人のメールアドレスを使用してアカウントを作成する代わりに、エイリアスのメールアドレスまたはAWSアカウント管理者に属する配布グループのアドレスを使用して、この新しいアカウントを作成します。 次に、この個々のユーザーを管理者権限に近いこの新しく作成されたAWSアカウントに追加すると、個人は完全に制御できるという望ましい認識を得ることができます。

ビジネスの目的は、アカウントの動作環境を決定します。 運用環境はAWSアーティファクトではなく、同様のセキュリティ、コンプライアンス、データフローの制限と要件を持つアカウントのコレクションです。 たとえば、Luminaのユースケースでは、コントローラーアカウントは単純にProduction(Prod)、Development(Dev)、Testing(Test)環境に分離されました。 ルートユーザーの電子メールIDで作成されたアカウントは、個々のユーザーの電子メールではなくIT管理者が所有し、管理アカウントと呼ばれます。

Rahi Systemsは、以下に示すいくつかの簡単なガイドラインに従うように組織アカウントを構成することをお勧めします。

  • 配布グループである電子メールアドレスで管理されたアカウントを作成します。
  • 必要に応じて、個別の電子メールIDを持つユーザーを作成し、IDベースのポリシーを適用することにより、管理対象アカウントを個別のユーザーアカウントとして再利用します。
  • 特定の管理アカウントをネットワーク管理デバイスのみをホストするように指定します。
  • また、一般的なアプリケーションをホストする管理アカウントを指定して公開します
  • これらの管理対象アカウントのそれぞれに個別のCIDR範囲を割り当てます。
  • アカウント全体でCloudTrailログを設定して、自動化を有効にします。
  • デフォルトのVPCでラムダ関数を実行できるようにするアカウント許可を設定します
  • 環境に割り当てられた各アカウント。
  • ラムダ機能を実行してアカウント間で管理、監視、自動化を行うための中央アカウントとして、管理アカウントをマスターとして選択します。

AWS Control Towerは、ガードレールを使用した自動着陸ゾーンの設定とガバナンスのためのサービスです。 Q2 2019からの一般提供により、上記の問題のいくつかに対処できます。

VPC管理用の2.2ネットワーク設計

Virtual Private Cloudは、従来のデータセンターネットワークに似ており、クラウド内に独立したセクションを提供して、ビジネス目的に合わせた仮想ネットワークでリソースを起動します。 ルートテーブル、ゲートウェイ、IP範囲を完全に制御できます。 大企業の場合、VPCの数は、特に上記のようにアカウント販売の方法論が使用されている場合、急速に増加します。 VPCピアリング
相互に迅速かつ簡単に通信する方法です。 VPCピアリング
接続は、XNUMXつのVPC間のネットワーク接続であり、
プライベートIPv4アドレスまたはIPv6を使用してそれらの間のトラフィックをルーティングする
アドレス。 いずれかのVPCのインスタンスは、あたかもあたかも相互に通信できます
それらは同じネットワーク内にあります。 VPCピアリングを作成できます
独自のVPC間の接続、または別のAWSアカウントのVPCとの接続。

Rahi Systemsは、サーバーレスユーティリティを使用して、ネットワーク設計の簡素化とネットワーク管理の自動化を支援します。 ネットワークは、特にネットワークの設計、サイズ設定、および管理を専門とするネットワーク専門家を持たないお客様向けに、弾力性があり、耐障害性があり、費用効率が高いように設計されています。 これらのサーバーレスユーティリティは、顧客がVPCのライフサイクル全体を管理できるように設計されたコントロールプレーンの一部です。

最初のステップとして、お客様と協力して現在の設計と複雑さを発見し、VPC、ルーティング、IP割り当て、およびトラフィックエンジニアリングを管理する効率的なソリューションを評価および推奨します。

mVPCピアリングを使用して相互に通信するnVPCを備えた、AWS内にプロビジョニングされたかなり複雑なネットワークを検討してください。 VPC間のトラフィックは、セキュリティグループとネットワークACLを使用してネットワーク管理者によって管理および制御されます。 VPCを追加するたびに、vpcピアリング、ルートテーブル、セキュリティグループ、およびACLを管理者が手動で設定および更新する必要があります。 このような複雑なネットワークの展開と管理を容易にするために、Rahiシステムは統合ソリューションを設計および展開しました トランジットゲートウェイ。 ハブアンドスポークモデルに類似した集中型アーキテクチャを使用してVPC接続を処理し、VPC間の通信を制御することにより、管理を大幅に簡素化します。 このソリューションは、運用コストとVPC接続の数を大幅に削減します。 たとえば、Lumina Networksは、ビジネス要件を満たすための技術的ソリューションを必要としていました。これは、ネットワークを簡単に管理し、コストを削減するのに役立ちます。 このビジネスケースは、以下の簡単なセットアップを展開することで解決されました。

図3.ネットワークインフラストラクチャの設計

3.0継続的インテグレーション(CI)/継続的展開(CD):

上記のこの複雑なインフラストラクチャのセットアップは、管理が指数関数的に困難になります。 新しい機能が有効になり、新しいアカウントが追加されると、成長を監視および管理することができなくなります AWSコンソール.

AWS CloudFormation AWSインフラストラクチャ展開を予測可能かつ繰り返し作成およびプロビジョニングできます。 クラウド環境でAWSおよびサードパーティのアプリケーションリソースをモデリングおよびプロビジョニングするための共通言語を提供します。 AWS CloudFormationを使用すると、プログラミング言語または単純なテキストファイルを使用して、すべてのリージョンとアカウントにわたってアプリケーションに必要なすべてのリソースを自動化された安全な方法でモデリングおよびプロビジョニングできます。 これにより、AWSおよびサードパーティのリソースに関する単一の真実の情報源が得られます。

ただし、チームの開発者は長期間、単独で作業し、作業が完了してからマスターブランチに変更をマージする場合があります。 これにより、コードの変更をマージするのが難しく、時間がかかり、修正せずに長い間バグが蓄積されていました。 これらの要因により、更新を顧客に迅速に提供することが難しくなりました。 これに対するAWSソリューションは使用することです AWS Codepipeline、誰もがコード変更を1日に複数回中央リポジトリにマージします。 各マージは、自動化されたビルドとテストをトリガーします。 ソースコードの変更は、完全なCI / CDソリューションを提供するために、開発/運用サーバーに自動的に展開されます。

CI / CDパイプラインの利点は次のとおりです。

  • 早期バグ検出
  • 小規模なコード変更、競合はより簡単です
  • 障害分離はより簡単で迅速です
  • プロセス全体を自動化するのが簡単です
  • 費用対効果の高いプロセス
  • チーム全体の可視性と透明性の向上

図4. CI / CDパイプライン

その他のソリューションは、Bitbucket、Jenkins、Ansible、Terraformの助けを借りて、上の図にある手動プロセスを使用するのではなく、DevOpsチームがテクノロジースタックを自動的に管理およびプロビジョニングするために使用します。 Jenkinsは、ソフトウェアプロジェクトを継続的にビルドおよびテストするために使用されるオープンソースツールであり、開発者がプロ​​ジェクトに変更を簡単に統合できるようにします。 Jenkinsは、ビルド、ドキュメント、テスト、パッケージ、ステージング、デプロイ、静的分析などを含むライフサイクルプロセスを統合します。 マルチクラウドインフラストラクチャ全体をTerraformを使用して管理できます。 Terraformを使用する利点のいくつかは次のとおりです。

  1. オーケストレーション
  2. 不変のインフラストラクチャ
  3. 宣言的なコード
  4. 変更の自動化
  5. リソースグラフ

Rahi Systemsは、TerraformとCloudFormationの両方のスクリプトを使用してLumina Networksのプロジェクト要件に対処するために考案された高度なクラウドソリューションを実装しました。 スクリプトは、再利用可能でスケーラブルなモジュールの形式で記述されています。 Terraform状態ファイル(terraform.tfstate)はS3バックエンドに保存されます。 下の図は、Terraformを使用してAWSスタックをデプロイする際のさまざまな段階を示しています。

図5:Terraformのワークフロー

コードはBitBucketでアクセス可能です リンク.

4.0オートメーション

会社のワークロードが増加するにつれて、自動化が運用をコスト効率よく維持するための鍵となります。 AWSは、 包括的なロギング, イベント伝播 監視と通知のためのイベントトリガー。 ただし、複雑なセットアップの自動化を可能にし、これらのさまざまなログを効果的に統合、管理、および分析するために、顧客は複数のアカウントおよび地域に集中ログソリューションを実装することを選択します。 私たちは 集中ログソリューション お客様固有のニーズに合わせて設計されたコントロールプレーンを駆動できます。

実用的なインテリジェンスをリアルタイムで利用でき、条件が満たされると、イベントがELKスタックに到達することなく、CloudTrail抽出に基づいて一連のラムダ関数がトリガーされます。 これは、すべてのアカウントにラムダのコピーをインストールして構成することで実現されます。 単一のポートの可視性で、変更、アップグレード、バグ修正のための複数のプロビジョニングを管理することは、アカウント間で有効化された集中ログでも困難です。 Rahiは、主に調整のためにラムダを活用する集中コントロールプレーンを展開することでこれに対処します。 これにより、以下の図に示すように、ラムダ関数の単一のコピーをすべてのアカウントとリージョンに適用できます。 すべてのリージョンのマスターアカウントのCloudTrailからのイベントはCloudWatchに送られ、SNSを使用して通知を送信します。

図6. Lambdaクロスアカウントワークフロー

このLuminaのオーケストレーションは、大量の情報フローを大幅に削減し、シリアル化された追跡しやすく管理しやすいセットアップにしました。 コントロールプレーンは、ネットワーク構成、ワークロード、ゲートウェイ接続、VPN構成、セキュリティグループ構成、高可用性、ネットワークとコンピューティングのプロビジョニング、およびアカウント販売によるVPC管理の健全性に作用します。

このコントロールプレーンの詳細なアーキテクチャは、この記事の範囲外です。 お客様は、Rahi Systemsのソリューションアーキテクトチームに連絡して、お客様のニーズに合わせた専門的なカスタムソリューションについて話し合い、活用することをお勧めします。 自動化を使用してVPCを実稼働環境、開発環境、またはテスト環境に接続する例を要約します。

  • ユーザーは特定の形式でVPCにタグを付けます。そうでない場合、ユーザーは形式を修正するように通知されます。 一定の期間が経過すると、不正なタグ形式のVPCが削除されます
  • サブネット接続とともに参照VPCデータベースを維持する
  • フォーマットからVPCサブネットタグとその環境の関連付けを特定する
  • 参照データベースの助けを借りて、アクションをイベントの移動または新しいVPCとして識別します
  • 対応する環境のすべての新しいVPCに中継ゲートウェイ接続を作成します
  • サブネットをTGWルーティングテーブルに自動的に関連付け、伝播を有効にします
  • 環境間で移行する場合、添付タグを要求された環境に再添付する前に、分離タグを適用します
  • Slackなどのサードパーティのイベント通知機能との統合を活用して、通知をチャネルに送信します。

必要なアクションのシーケンスを以下に示します。

図7. Lambdaクロスアカウントアクセスフロー

5.0管理

今日の企業は、その中核的価値に集中することにより、進化し、革新し、差別化する必要があります。 ますます多くの企業がマネージドサービスに注目しています。 マネージドサービスは、変更要求、監視、パッチ管理、セキュリティ、バックアップサービスなどの一般的なアクティビティを自動化することにより、運用のオーバーヘッドとリスクを軽減し、削減し、クラウドインフラストラクチャのプロビジョニング、実行、サポートを行うライフサイクル全体のサービスを提供します。

AWSマネージドサービス Active Directory統合とコンプライアンス認定マッピング(HIPAA、GDPR、SOC、NIST、ISO、PCI)の重要なタスクを含む、セキュリティ、アイデンティティ、コンプライアンス境界をクラウドに拡張するための段階的なプロセスを提供することにより、それを達成します。アラートの分析やインシデントへの対応など、クラウド環境の運用を担当します。

Rahi Systemsには、AWSプラットフォームだけでなく、ハイブリッドインフラストラクチャ全体を最適化する専門知識があります。 このバランスを継続的に達成するためのベストプラクティスを提案します。 必要に応じて従業員を教育し、企業がインフラストラクチャを最適に管理する方法についての理解を加速できるようにします。 私たちは、パブリッククラウドのリソースとワークロードの移行作業を軽減するのに役立ちます。

Lumina Networksは、Rahi Systemsが提供できる専門知識の一部を活用しています。 Rahi Systemsをセキュリティオペレーションセンター(SOC)として設立することを検討しています。 Rahiは通知用にSlackを統合しました。

6.0まとめ

競争の激しい企業は、イノベーションサイクルの高速化、スケーラビリティ、リスクの低減、コストの最適化など、ハイブリッドクラウドがもたらす重要な要因により、デジタルトランスフォーメーション、データセンターの統合、DevOpsをますます重視しています。

Rahi Systemは、グローバル規模のハイブリッドソリューションの設計、全体的な運用モデルの定義、トレーニングサービスの提供、マネージドサービスの提供によるリスクの軽減を支援します。 何らかの形でクラウドを導入する準備を整えている企業、またはコストと予算の管理のためのベストプラクティスを必要とする大規模なクラウドヘビーエンタープライズ、およびハイブリッドクラウドの旅のこれら2つの州の中間にある企業の障壁を取り除く手助けをします。

ユースケースに関しては、この記事では特に、Ramin SystemsがLumina Networksに実装したサーバーレスソリューションについて説明し、そのネットワークバックボーンに対処し、AWSプラットフォームでのアカウント管理を簡素化します。 Lumina Networksは、Rahi Systemをこの道に引き込み、自立し、コアビジネスの拡大に合わせて業務を自動化します。 ソリューションのいくつかのマイナーな部分はまだ開発中です。 ただし、ソリューションはエンタープライズ空間でより広い範囲と用途を持っていると強く信じています。

さらに情報が必要な場合や特定の要件についてサポートが必要な場合は、チームの誰かに連絡してください。

参照:

【1]https://aws.amazon.com/blogs/apn/cloud-transformation-is-not-just-a-cheaper-alternative-to-a-data-center-but-a-path-to-it-innovation/

【2]https://internetofthingsagenda.techtarget.com/definition/IFTTT-If-This-Then-That

【3]https://www.rahisystems.com/blog/a-look-at-aws-transit-gateways/

[4] [5]https://semaphoreci.com/blog/2017/07/27/what-is-the-difference-between-continuous-integration-continuous-deployment-and-continuous-delivery.html

【6]https://searchitoperations.techtarget.com/definition/Infrastructure-as-Code-IAC

【7]https://d1.awsstatic.com/whitepapers/building-a-scalable-and-secure-multi-vpc-aws-network-infrastructure.pdf?did=wp_card&trk=wp_card

エラー: コンテンツは保護されています!





选择语言 我ら CA
国を選択:

アメリカ - 英語

  • すべての国/地域
  • 北米
  • アジア太平洋地域
  • ヨーロッパ
  • 大中華圏
  • インド - 英語
  • 日本(東京会場での開催は終了しました。たくさんのご参加ありがとうございました。)
    日本語
  • シンガポール - 英語
  • 韓国- 英語
  • オーストラリア - 英語