Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Oracle Cloud Infrastructure 技術概要

Oracle Cloud Infrastructure 技術概要

OCIの主にIaaS周りのサービスに特化した技術概要資料です。
OCIのアーキテクチャーの説明と、各コンポーネントについてなるべく短く網羅的にご紹介しています。

更新履歴
2022/02/08 アップロード
2023/11/16 最新情報に更新
2024/02/27 最新情報に更新
2024/02/29 最新情報に更新

oracle4engineer

February 08, 2022
Tweet

More Decks by oracle4engineer

Other Decks in Technology

Transcript

  1. 1. Oracle Cloud Infrastructure アーキテクチャー 2. Oracle Cloud Infrastructure 各サービスのご紹介

    • コンピュート • ストレージ • ネットワーク • そのほか • セキュリティ、ガバナンス • Edge Agenda Copyright © 2024, Oracle and/or its affiliates 2
  2. 2023年12月現在:48リージョン提供中、さらに4リージョン計画 Oracle Cloud Infrastructure(OCI)のリージョン Copyright © 2024, Oracle and/or its

    affiliates 3 https://www.oracle.com/cloud/public-cloud-regions/ MUMBAI HYDERABAD CHUNCHEON SEOUL TOKYO OSAKA JOHANNESBURG SINGAPORE SINGAPORE 2 38 Commercial 4 Commercial Planned 8 Government 12 Microsoft Azure Interconnect 2 Sovereign NEWPORT AMSTERDAM FRANKFURT ZURICH LONDON STOCKHOLM MILAN PARIS JEDDAH JERUSALEM DUBAI SAUDI 2 ABU DHABI ISRAEL 2 MADRID MARSEILLE SERBIA SAUDI 3 SYDNEY MELBOURNE CANBERRA SAN JOSE PHOENIX CHICAGO ASHBURN TORONTO MONTREAL MONTERREY QUERETARO SANTIAGO VINHEDO SAO PAULO VALPARAÍSO BOGOTA デュアル・リージョン:基本的にすべての国/地 域で2つ以上のリージョンを提供し、 お客様の業務継続要件に対応していく (日本の場合は東京-大阪) 各リージョンはOracle Backboneで接続 サステナビリティ:2025年までに、全リージョンで 100%再生可能エネルギーを使用することを表明 (南米/欧州は達成済み) New
  3. Oracle Cloud Infrastructure アーキテクチャ リージョン (東京、ロンドンなど) AD1 AD2 AD3 物理ネットワーク

    (フラット・ネットワーク) 仮想クラウド・ネットワーク Rack Rack Rack FD1 FD2 FD3 AD ( 可用性ドメイン ) サービス (コンピュート、ストレージなど全てのサービス) Copyright © 2024, Oracle and/or its affiliates 4
  4. リージョン内のHA構成要素 – 可用性・ドメイン、フォルト・ドメイン 可用性ドメイン(AD) • 1つ以上のデータセンターから構成されるリージョン内の独立したファシリティ • 各ADは建屋、電源、冷却装置、ネットワーク接続が独立し、火災や水害などの災害時に影響を受けるADは1つのみ フォルト・ドメイン(FD) •

    AD内のハードウェアやインフラのセット AD間は『広帯域(>=1Tb/sec)』『低レイテンシー(< 0.5ms *)』のネットワークで接続 • リージョン内の AD 間通信は無償 Oracle MAAなどの可用性とスケーラビリティを両立したアーキテクチャをクラウドでも構成可能 データセンター・ファシリティ リージョン (東京、ロンドンなど) AD1 AD2 AD3 (*) One-way latency Rack Rack Rack FD1 FD2 FD3 AD ( 可用性ドメイン ) Copyright © 2024, Oracle and/or its affiliates 5
  5. Oracle Cloud Infrastructure (PaaS/IaaS) & Oracle Cloud Applications (SaaS) Oracle

    Cloudのサービス群 Oracle Cloud Applications Global Cloud Data Center Infrastructure Commercial and Government Public Cloud Regions | Cloud@Customer | Dedicated Regions | Roving Edge Security | Governance | Compliance アプリケーション開発 DevOps インテグレーション コンテナ 管理・監視 自動化 ネイティプVMware 機械学習 AI コンピュート ストレージ 分析・BI データサイエンス リレーショナル・ データベース その他のデータベース ネットワーク ERP SCM HCM ACX IA Enterprise Resource Planning Supply Chain and Manufacturing Human Capital Management Advertising and Customer Experience Industry Applications Oracle Cloud Infrastructure Copyright © 2024, Oracle and/or its affiliates 9
  6. 1. Oracle Cloud Infrastructure アーキテクチャー 2. Oracle Cloud Infrastructure 各サービスのご紹介

    • コンピュート • ストレージ • ネットワーク • そのほか • セキュリティ、ガバナンス • Edge Agenda Copyright © 2024, Oracle and/or its affiliates 10
  7. 1コアからスタート、ベアメタル、GPUなど、高いコストパフォーマンスで幅広く提供 用途に応じてインスタンスのシェイプを選択可能 • VMもベアメタルも、同じインフラ(ネットワーク、ハードウェア、ファームウェア、API)上で提供 コンピュート: シェイプの選択 インスタンス の種類 シェイプ タイプ

    VMインスタンス ベアメタルインスタンス • 仮想マシン環境 - 1コアからサイズ選択可能な仮想マシン - 開発環境から本番環境まで利用可 能な汎用的なインスタンス • 専有サーバー環境 - コンピュートリソース(CPU、メモリー)を必 要とするワークロード用の物理サーバー 環境 - 性能重視アプリケーション向け Standard 汎用タイプ 一般的なワークロード 向け Dense I/O NVMe SSD内蔵タイ プ I/O性能重視ワークロード 向け GPU GPU搭載タイプ AI、機械学習、HPC 向け Copyright © 2024, Oracle and/or its affiliates 11 HPC/Optimized HPCワークロード用の高ク ロック数のコアとクラスタリン グ用ネットワーク Bare Metal Compute Virtual Machine Compute
  8. VMでもベアメタルでも柔軟に選択可能 VMインスタンス • 仮想マシンインスタンス • 必要なリソースのサイズ(シェイプ)を選択可能 • メモリサイズ、 Local SSDサイズ(DenseIOの場合)、VNIC、

    ネットワーク帯域はOCPU数に応じて決定される • フレキシブル・インスタンスでは、OCPU数とメモリサイズを個別 に指定可能 • Oracle提供イメージ、またはイメージ持ち込みも可能 • Linux, Windows ベアメタルインスタンス • 大量のCPUや大容量メモリが必要なアプリケーションに 対応できるベアメタル型インスタンス • インスタンス間のネットワーク帯域はPerformance SLAの対象 • ハイパーバイザーの持ち込み(Bring-Your-Own Hypervisor)も可能 • KVM, Hyper-V コンピュート: インスタンスの種類 Copyright © 2024, Oracle and/or its affiliates 12 Bare Metal Compute Virtual Machine ベアメタル 仮想マシン Compute
  9. OCPUとメモリサイズをそれぞれ任意の値で設定できるため、必要なスペックに応じたリソースを利用可能 Flexible Shape • 任意のOCPU数、メモリサイズを選択可能(インスタンス起動後に シェイプのリサイズも可能) • 最小メモリ:1×OCPU数(GB) • 最大メモリ:64×OCPU数(GB)(途中でシェイプごとに上限あり)

    • ネットワーク帯域、VNIC数はOCPU数に応じて決まる(途中でシェ イプごとの上限値あり) • 最大ネットワーク帯域:1×OCPU数(Gbps) • Optimized3シェイプでは4×OCPU数(Gbps) • 最大VNIC数:2OCPUまで2個、それ以降は+1OCPUごとに+1個 • Optimized3シェイプでは2×OCPU数(個) • サポートされるシェイプ • VM.Standard.E3.Flex (AMD) • VM.Standard.E4.Flex (AMD) • VM.DenseIO.E4.Flex (AMD) * • VM.Standard3.Flex (Intel) • VM.Optimized3.Flex (Intel) • VM.Standard.A1.Flex (Ampere Arm) VMインスタンスのフレキシブル・シェイプ Copyright © 2024, Oracle and/or its affiliates 13 *現時点ではVM.DenseIO.E4.Flex はCPUとメモリサイズの柔軟な設定、シェイプ のリサイズが不可能 Compute
  10. VMインスタンス シェイプ一覧 Copyright © 2024, Oracle and/or its affiliates 14

    OCPU Memory (GB) Local NVMe (TB) Network帯域 (Gbps) Price/Hour VM.Standard3.Flex 1 – 32 1 - 512 N/A 1 /OCPU Max 32 [OCPU] ¥5.60 OCPU Per Hour [Memory] ¥0.21 Gigabyte Per Hour VM.Standard.E5.Flex 1 - 94 1 - 1049 N/A 1/OCPU Max 40 [OCPU] ¥4.20 OCPU Per Hour [Memory] ¥ 0.28 Gigabyte Per Hour VM.Standard.E4.Flex 1 – 64 1 – 1024 N/A 1 /OCPU Max 40 [OCPU] ¥3.50 OCPU Per Hour [Memory] ¥0.21 Gigabyte Per Hour VM.Standard.A1.Flex 1 - 80 1 – 512 N/A 1 /OCPU Max 40 [OCPU] ¥1.40 OCPU Per Hour [Memory] ¥0.21 Gigabyte Per Hour VM.DenseIO.E4.Flex 8, 16, 32 128, 256, 512 6.8, 13.6, 27.2 8, 16, 32 [OCPU] ¥3.50 OCPU Per Hour [Memory] ¥0.21 Gigabyte Per Hour [NVMe] ¥8.568 NVMe Terabyte Per Hour VM.Optimized3.Flex 1 - 18 1 - 256 N/A 4 /OCPU Max 40 [OCPU] ¥7.56 OCPU Per Hour [Memory] ¥0.21 Gigabyte Per Hour GPU OCPU GPU Memory (GB) CPU Memory (GB) Local NVMe (TB) Network 帯域 (Gbps) Price/Hour VM.GPU.GU1 1, 2 15, 30 24, 48 240, 480 N/A 24, 48 ¥280.00 GPU Per Hour VM.GPU3 1, 2, 4 6, 12, 24 16, 32, 64 90, 180, 360 N/A 4, 8, 24.6 ¥413.00 GPU Per Hour Compute
  11. ベアメタル・インスタンス シェイプ一覧 (1/2ページ) Copyright © 2024, Oracle and/or its affiliates

    15 OCPU Memory (GB) Local NVMe (TB) Network帯域 (Gbps) Price/Hour BM.Standard3 64 1024 N/A 2 x 50 [OCPU] ¥5.60 OCPU Per Hour [Memory] ¥0.21 Gigabyte Per Hour BM.Standard.E5 192 2304 N/A 1 x 100 [OCPU] ¥4.20 OCPU Per Hour [Memory] ¥ 0.28 Gigabyte Per Hour BM.Standard.E4 128 2048 N/A 2 x 50 [OCPU] ¥3.50 OCPU Per Hour [Memory] ¥0.21 Gigabyte Per Hour BM.Standard.A1 160 1024 N/A 2 x 50 [OCPU] ¥1.40 OCPU Per Hour [Memory] ¥0.21 Gigabyte Per Hour BM.DenseIO.E4 128 2048 54.4 2 x 50 [OCPU] ¥3.50 OCPU Per Hour [Memory] ¥0.21 Gigabyte Per Hour [NVMe] ¥8.568 NVMe Terabyte Per Hour BM.Optimized3 36 512 3.84 2 x 50 1 x 100 (RDMA) [OCPU] ¥7.56 OCPU Per Hour [Memory] ¥0.21 Gigabyte Per Hour Compute
  12. ベアメタル・インスタンス シェイプ一覧 (2/2ページ) Copyright © 2024, Oracle and/or its affiliates

    16 GPU OCPU GPU Memory (GB) CPU Memory (GB) Local NVMe (TB) Network帯域 (Gbps) Price/Hour BM.GPU.A100-v2.8 8 128 640 2048 27.2 2 × 50 16 × 100 (RDMA) ¥560 GPU Per Hour BM.GPU4 8 64 320 2048 27.2 1 x 50 8 x 200 (RDMA) ¥427 GPU Per Hour BM.GPU.A10 4 64 96 1024 7.68 2 x 50 ¥280 GPU Per Hour BM.GPU3 8 52 128 768 N/A 2 x 25 ¥413 GPU Per Hour Compute
  13. 【ご参考】コンピュート: 対応OS (プラットフォーム・イメージ) プラットフォーム・イメージはOCI用に提供されている標準OSイメージ https://docs.cloud.oracle.com/iaas/Content/Compute/References/images.htm 各イメージは互換性のあるシェイプで利用可能 Name Version 補足 Oracle

    Linux Oracle Linux 9 UEK 7 Oracle Linux 8 UEK 7 Oracle Linux 7 UEK 6 Oracle Linux 6 UEK 4 Oracle Linux Premier Support が利用可能 Oracle Autonomous Linux Oracle Autonomous Linux 7 UEK 6 Oracle Autonomous Linux 8 UEK 7 Oracle Linux Premier Support が利用可能 Oracle Linux Cloud Developer Oracle Linux 8 UEK 6 Oracle Linux Premier Support が利用可能 Ubuntu 22.04 LTS 20.04 LTS 18.04 LTS CentOS CentOS 7, CentOS Stream 8 Windows Server 2022 2019 2016 2012 R2 Windows OS 従量課金 (追加料金が必要) Compute 課金 + Windows OS課金¥12.88 OCPU/Hour Copyright © 2024, Oracle and/or its affiliates 17 Compute
  14. BYO Hypervisor ・BYO KVM ・BYO Hyper-V 【ご参考】持ち込みイメージの種類と利用可能OSについて VM BYOI Oracle提供イメージ

    Supported OS * Oracle Autonomous Linux 7, 8 Oracle Linux 6, 7, 8, 9 Oracle Linux Cloud Developer 8 CentOS 7, Stream 8 Ubuntu 18.04, 20.04, 22.04 Windows Server 2012 R2, 2016, 2019, 2022 ベアメタル 新規OSイメージ 持ち込みイメージ https://docs.cloud.oracle.com/iaas/Content/Compute/References/bringyourownimage.htm ベアメタル CentOS 4.0, 4.8, 5.11, 6.9, 7, Stream 8 or later Debian 5.0.10, 6.0, 7, 8 or later Flatcar Container Linux 2345.3.0 or later FreeBSD 8, 9, 10, 11, 12 or later openSUSE Leap 15.1 Oracle Linux 5.11, 6.x, 7.x, 8.x, 9.x RHEL Red HatとOCIのRed Hat Certified Cloud and Service Provider (CCSP)プロ グラムからのサポート: サポートされるシェイプ とイメージをこちらからご確認ください OCIからの限定サポート: 4.5、5.5、5.6、5.9、 5.11、6.5、6.9、7以上 SUSE 11, 12.1, 12.2 or later Ubuntu 12.04, 13.04 or later Windows Server 2012, 2012 R2, 2016, 2019, 2022 Copyright © 2024, Oracle and/or its affiliates 18 kernel 3.4以降はPVモード推奨 Compute
  15. コンピュート・インスタンスのOSを一元管理 • コンピュート・インスタンスのOS管理を一元管理/制御するためのサービス • OSパッチ、パッケージ管理などの管理者タスクを軽減 • 対応OS: • Oracle Linux

    6, 7, 8, 9 • Oracle Autonomous Linux • Windows 2012 R2, 2016, 2019 • Oracle提供イメージもしくはそれをベースにしたカスタムイメージ • 無償。 OS管理サービス OS Management Copyright © 2024, Oracle and/or its affiliates 20
  16. 1. Oracle Cloud Infrastructure アーキテクチャー 2. Oracle Cloud Infrastructure 各サービスのご紹介

    • コンピュート • ストレージ • ネットワーク • そのほか • セキュリティ、ガバナンス • Edge Agenda Copyright © 2024, Oracle and/or its affiliates 21
  17. 用途に応じたストレージを選択可能 OCI ストレージ・サービスのラインナップ ローカル NVMe ブロック ボリューム コンピュートにローカル接続された超高速ス トレージ コンピュートにリモート・アタッチされる耐久性

    の高い永続高速ストレージ (標準で 60 IOPS/GB) ファイル ストレージ オブジェクト ストレージ 高性能 大容量 拡張性・可用性に優れたネットワーク・ファ イル・システム(NFS) 大容量データの保存に適した高耐久・低 価格ストレージ 種類 概要 Analytics、 HPC、 レプリケーションなど データベース、エンタープライズアプリケーショ ン、ビッグデータなど Webアプリケーション、Dockerコンテナ、並 列分散処理など バックアップ、アーカイブ、コンテンツ管理、ス トリーミングなど 用途 Storage Copyright © 2024, Oracle and/or its affiliates 22
  18. 100万IOPS以上の性能を実現する超高性能ローカルボリューム Dense I/OなどのインスタンスにアタッチされたNVMe SSDのローカルボリューム • シェイプごとにドライブ数が異なる • BM.DenseIO2.52 で 51.2

    TB • 数百万IOPS、0.01 ~ 0.1 ms レイテンシー • IOPSはPerformance SLA対象 • データの耐久性確保には、LVM RAID構成を行う • 例)BM.DenseIO1.36(28.8TB Raw)の使用可能容量: RAID10の場合約12.8TB • 費用は各コンピュート・インスタンスに含む ストレージ: ローカルNVMe Shape NVMe Local Disk (TB) Minimum Supported IOPS VM.DenseIO2.8 6.4 TB 250k VM.DenseIO2.16 12.8 TB 400k VM.DenseIO2.24 25.6 TB 800k BM.DenseIO2.52 51.2 TB 3.0MM Storage Copyright © 2024, Oracle and/or its affiliates 23
  19. 高速ブロック・ストレージ基盤 NVMe SSD をベースにしたストレージ・インフラストラクチャー • 1ボリューム当たりの容量: 50 GB – 32

    TB (1GB単位) • 1インスタンス当たり、最大32個までアタッチ可能 (合計1PB) 冗長化された永続ストレージ インスタンスにアタッチして使用 • アタッチをはずしてもデータは永続 デフォルトで暗号化 ストレージ: ブロック・ボリューム 競合他社の標準スト レージ価格でオラクルは 高性能ストレージを提供 Storage Block Volume インスタンス ブロック・ボリューム Copyright © 2024, Oracle and/or its affiliates 24 性能タイプ より低い コスト バランス (デフォルト) より高い パフォーマンス 超高性能 (UHP) VPU(Volume Performance Unit) 0 10 20 30~120 (10刻み) IOPS 2 IOPS/GB (最大3000 IOPS/vol) 60 IOPS/GB (最大25,000 IOPS/vol) 75 IOPS/GB (最大50,000 IOPS/vol) 90~225 IOPS/GB (最大300,000 IOPS/vol) スループット 240 KBPS/GB (最大 480 MB/s/vol) 480 KBPS/GB (最大 480 MB/s/vol) 600 KBPS/GB (最大 680 MB/s/vol) 720 ~ 1800 KBPS/GB (最大 2,680 MB/s/vol) Performance SLA Yes Yes Yes 1か月の1GBあたりの 価格 (ストレージ+VPU) ¥3.57 ¥5.95 ¥8.33 ¥10.71 ~ ¥32.13
  20. エンタープライズレベルの共有ファイル用ストレージ フルマネージドで、簡単にデプロイ可能な共有ファイルストレージ • 数キロバイトから8エクサバイトまで • 使った分だけ課金 (¥42 /GB/month) 機能 •

    NFS v3、 POSIX準拠 • スナップショット機能、クローン機能 • レプリケーション機能 • デフォルトで暗号化 • 管理コンソール、API/CLIアクセス 性能 • 低レイテンシー (約1-2 ms)、150 MB/s per TB ストレージ: ファイル・ストレージ インスタンス ファイル・ストレージ NFSマウント Storage Copyright © 2024, Oracle and/or its affiliates 25 File Storage
  21. 低価格で信頼性の高いクラウド・ストレージ APIベースで利用する非階層構造のストレージ • コンソール、REST API、Amazon S3 compatible API、SDK、CLI、 GUI、HDFS Connector

    • 大容量/更新頻度の多くない非構造化データの保持に向いている ストレージ層は3種類 • 標準(Standard) • Hotデータ用の標準的なストレージ層 • ¥3.57/GB/month (1TB 約¥3,570/月) • 頻度の低いアクセス(Infrequent Access) • Coolデータ用。アクセス頻度の低いデータ向き。アクセスする際に Data Retrieval費用がかかる。 • ¥1.4/GB/month (1TB 約¥1,400/月) + Data Retrieval費 • アーカイブ(Archive) • Coldデータ用。取り出し時に時間がかかる。 • ¥0.364/GB/month (1TB 約¥364/月) ストレージ: オブジェクト・ストレージ Storage Webアプリケーション 静的コンテンツ リポジトリ 分析 ステージング データベース バックアップ オブジェクト ストレージ ビッグデータ 画像、動画、ログ etc.. 非構造化データ の保持に最適 CloudBerry等 GUIツール Tier メトリック ¥ Request 10,000 Requests/month 0.476 Standard Storage GB/month 3.57 Infrequent Access Storage GB/month 1.4 Data Retrieval GB Storage Retrieved/month 1.4 Archive Storage GB/month 0.364 Copyright © 2024, Oracle and/or its affiliates 26 Object Storage
  22. 大容量のデータをネットワークを経由せずセキュアに Oracle Cloud へ転送 データ転送ディスクを利用したオフラインでのデータ移行 • お客様購入ディスクにデータをロードし、データ転送サイトに送付 • 対応デバイス:USB 2.0/3

    .0ハード・ディスク・ドライブ • 転送前にデータ暗号化(AES-256) • お客様指定のオブジェクト・ストレージのバケットにアップロードされる • アップロードが完了したディスクは消去されてから(NIST 800- 88)お客様に返送される • サービス費用無償 • 別途デバイス費用と往復輸送費、移行先オブジェクト・ストレージ費用が必要 データ転送サービス - Data Transfer Service Copyright © 2024, Oracle and/or its affiliates 27 Storage Data Transfer オンプレミス ディスク OCI オブジェクト ストレージ データ・ホスト
  23. 1. Oracle Cloud Infrastructure アーキテクチャー 2. Oracle Cloud Infrastructure 各サービスのご紹介

    • コンピュート • ストレージ • ネットワーク • そのほか • セキュリティ、ガバナンス • Edge Agenda Copyright © 2024, Oracle and/or its affiliates 28
  24. REGION : Tokyo プライベートな仮想クラウドネットワーク ユーザーが自由に定義しカスタマイズ可能なプライベート・ ネットワーク (SDN) オンプレミスのネットワークで実装していた構成をSDN(ソ フトウェア定義ネットワーク)として実現 •

    サブネット、IPアドレス、ルーティングテーブル、ゲートウェイ、 セキュリティリスト(ACL)などを定義 • コンソールやコマンドベースで簡単に実装可能 セキュリティの確保 • 物理ネットワーク空間から分離された、顧客専用のワークス ペース • 各顧客のトラフィックは Layer 3 Overlay Networkで完全に分離 ネットワーク: 仮想クラウドネットワーク (VCN) Network Copyright © 2024, Oracle and/or its affiliates 29 Virtual Cloud Network VCN Security Lists Route Table Fault Domain 1 Fault Domain 3 Fault Domain 2 Public Subnet サブネットA 10.0.1.0/24 Private Subnet サブネットB 10.0.0.0/24 Virtual Cloud Network : 10.0.0.0/16
  25. 負荷分散によるスケールアウトと高可用性 1つのエントリ・ポイントから複数サーバにトラフィックを自動配信 • パブリックもしくはプライベート・ロードバランサーを選択可能 高可用性 • AD内またはAD間での冗長化済み • コンピュートのスケーリングに応じて、動的に転送先を変更 フレキシブル・ロードバランサ:安定した性能の確保と、拡張性

    • 10 Mbps ~ 8000 Mbps で最小帯域幅と最大帯域幅を設定する • 最小のネットワーク帯域幅を確保し安定した性能を提供し、動的にスケール可能 サポートされるプロトコル • TCP, HTTP/1.0, HTTP/1.1, HTTP/2 高度な機能 • SSL処理のオフローディング • リクエスト・ルーティング • ルール・セット ネットワーク: フレキシブル・ロード・バランサ(FLB) Network Load Balancer Metric Load Balancer Base Load Balancer Hour ¥1.582 Load Balancer Bandwidth Mbps per Hour ¥0.014 例)10Mbpsの場合: ¥1.582 + ¥0.014 x 10 = ¥1.722/hour ロード・バランサ 最大帯域幅 最小帯域幅 を設定 Copyright © 2024, Oracle and/or its affiliates 30 Load Balancer
  26. 大量トラフィックの分散に最適なネットワーク・ロードバランサ フレキシブル・ネットワーク・ロードバランサ • パススルー型の、layer3, layer4 (TCP,UDP,ICMP) のロードバランサ • クライアントのトラフィックに合わせて柔軟にスケール •

    超低レイテンシーが求められる大量ネットワークトラフィックの分散に最適 • ソース/宛先のIPアドレスの保持が可能 • パブリック、プライベートから選択 • 無償 • サポートされるリスナーのプロトコル • TCP, UDP, ICMP • ロードバランシング・ポリシー • 5-Tuple Hash, 3-Tuple Hash, 2-Tuple Hash ネットワーク: フレキシブル・ネットワーク・ロードバランサ(NLB) Copyright © 2024, Oracle and/or its affiliates 31 従来から存在するロードバランサか、ネットワー クロードバランサーかを選択して作成開始 Network Load Balancer
  27. お客様 ネットワーク OCI VCN VCN お客様環境とOCIの接続方式とゲートウェイ お客様環境とVCNの接続パターン • インターネット •

    IPSec VPN • FastConnect Internet Gateway • VCNとインターネット間のゲートウェイ Dynamic Routing Gateway(DRG) • VCNと別ネットワークの間のゲートウェイ • VPNやFastConnectによるお客様のオンプレミス・ネッ トワークとの接続を確立するのに使用 Oracle Cloud Infrastructureへのネットワーク接続 Internet 専用線 インターネット + SSL 閉域網 Network Copyright © 2024, Oracle and/or its affiliates 32 FastConnect VPN Internet Gateway Dynamic Routing Gateway
  28. お客様ネットワークとVCNをプライベートアドレスで接続 インターネットVPNでセキュアにオンプレミス・ネットワークを OCI VCNに接続 • OCI VPNサービスは無償 • 共有秘密鍵によるIKEv1, v2をサポート

    検証済みCPEベンダー(2022年12月現在) • ヤマハ、NEC、古河電気工業、Cisco Systems、Check Point Software Technologies、Fortinet、Juniper Networks、 Libreswan、 Palo Alto Networks、 WatchGuard Technologies ネットワーク: IPSec VPN(サイト間VPN) Network 検証済デバイスの最新のリストはドキュメント参照 https://docs.oracle.com/ja-jp/iaas/Content/Network/Reference/CPElist.htm Copyright © 2024, Oracle and/or its affiliates 33 VPN お客様 ネットワーク OCI VCN VCN VPN DRG Customer Premises Equipment (CPE) Route Table Destination Route Target 0.0.0.0/0 DRG
  29. お客様ネットワークを閉域網で接続 • 信頼性・安定性・セキュリティの高い閉域網(専用線やIP-VPNなど)で、インターネットを経由せずにオンプレミス・ ネットワークとOCIを接続 • Availability SLAの対象 • Private Peering

    と Public Peering の両方をサポート ネットワーク: FastConnect • Tokyoリージョンに接続可能なプロバイダー(2022 年12月現在) • アット東京*, BBIX, Chief Telecom, China Unicom CloudBond , Console Connect PCCWG , Colt Dedicated Cloud Access*, CTC Cloud Connect, Equinix Fabric*, IIJ*, KDDI*, Lumen, Megaport*, Microsoft Azure Express Route, NRI, NTTコミュニケーションズ マルチクラウ ド・コネクト*, NTTデータ, NTT東日本, SINET* , Tokaiコミュニケーションズ* Network *Osakaリージョンも対応済のプロバイダー 最新のリストは以下URL参照 https://www.oracle.com/cloud/networking/fastconnect-providers.html#apac Copyright © 2024, Oracle and/or its affiliates 34 FastConnect お客様 ネットワーク OCI VCN Provider’s Network DRG FastConnect Location Private Peering Public Peering
  30. 1. Oracle Cloud Infrastructure アーキテクチャー 2. Oracle Cloud Infrastructure 各サービスのご紹介

    • コンピュート • ストレージ • ネットワーク • そのほか • セキュリティ、ガバナンス • Edge Agenda Copyright © 2024, Oracle and/or its affiliates 35
  31. OCI上の様々なリソースのメトリックを監視、ダッシュボードで閲覧、および通知 Monitoring (モニタリング) ▪ 関連するOracle Cloud Service • Notifications(通知)、コンピュート、ネットワーク ストレージ、その他OCIサービス全般

    ▪ ユースケース OCI上のサービスやリソースの状態監視、アプリケーションの性能監視、リアルタ イムでの異常検出 ▪ 特徴 アウトオブボックスでOCI上の各サービスやリソースのメトリックを自動的に取得 (コンピュート・インスタンス/VNIC/ブロック・ボリューム/ロードバランサーなど) 事前定義済のビジュアライゼーション・ダッシュボードの提供 カスタム・メトリックの定義も可能 メトリックに対し、あらかじめ指定した条件にメトリックが合致 した場合にアラームを作成することも可能 ▪ 価格 カスタム・メトリックの取り込み: 最初の5億データポイントは無料、以降100万データポイントごとに¥0.35 分析メトリック: 最初の5億データポイントは無料、以降100万データポイントごとに¥0.21 METRICS ALARMS CPU: 80 CPU: 90 CPU: 40 CPU: 50 Customer Applications, Services, Resources Oracle Cloud Infrastructure Console Customer Monitoring Tool Copyright © 2024, Oracle and/or its affiliates 36 Monitoring Monitoring Alarms Notifications Alarms Oracle Cloud Infrastructure
  32. 環境構築のリードタイム削減とテスト品質の向上を実現 Resource Manager (リソース・マネージャ) ▪ ユースケース 環境構築をコード化し、構築の自動化や同一環境を繰り返し再現 することで、本番やテスト環境などの差異を無くす Infrastructure as

    Codeの実現 ▪ 特徴 業界標準であるTerraformベースでコードを記述可能 チーム開発に適したマネージドなTerraform実行環境 • 構成・変数定義ファイルや状態ファイルを複数のチーム、 およびプラットフォーム間で共有および管理が可能 Identity and Access Management (IAM)との連携により、 アクセス制御のための追加設定不要 ▪ 価格 Resource Managerは無料 プロビジョニングしたOCIリソースに対する課金のみ ▪ 関連するOracle Cloud Service • Oracle Cloud Infrastructureすべてのリソース・サービス .tfs Zip 構成・変数定義 ファイルを作成し、Zipファイ ルをアップロード Customer plan apply destroy ユーザーや環境固有の変 数値はResource Managerが自動で設定 構成・変数定義から環 境のPlan(計画)、 apply(適用)、 destroy(破棄)が可能 Copyright © 2024, Oracle and/or its affiliates 37 Oracle Cloud Infrastructure Resource Manager Resource Manager
  33. ログを一元的に収集する、スケーラブルで完全マネージド型なロギング・サービス ログの種類 • 監査ログ • Oracle Cloud Infrastructureの監査ログがデフォルトで収集されている • 従来の「監査」メニューで表示できるログと同等の内容

    • サービス・ログ • Oracle Cloud Infrastructureのネイティブなサービスから生成されるログ • APIゲートウェイ、イベント、ファンクション、ロードバランサー、オブジェクト・スト レージ、VCN Flow Logsなど • 各リソースに対して有効化、無効化を設定 • カスタム・ログ • カスタムのアプリケーションや他のクラウド、オンプレミス環境などから生成される ログ • APIを通じて発行、または、監視エージェントを構成することでログを収集 ロギング・サービス アプリケーション OCIネイティブ サービス https://blogs.oracle.com/cloud-infrastructure/announcing-the-general-availability-of-oracle- cloud-infrastructure-logging Copyright © 2024, Oracle and/or its affiliates 38 Logging ロギング ロードバランサ VCN Flow Log オブジェクト・ ストレージ 監査
  34. Oracle Cloud VMware Solution ....... セキュアでお客様による制御が可能な、 仮想プライベート・ネットワーク空間 エラスティックなキャパシティ VMware Software

    と Oracle Cloud Infrastructureの統合されたソリューション Oracle Cloud VMware Solution Copyright © 2024, Oracle and/or its affiliates 39 迅速なアプリ開発環境 既存VMware資産の活用 スケーラブルでセキュアなインフラ • 豊富なクラウド・サービスと連携 (IaaS / PaaS / SaaS) • 高速・低遅延でセキュアなクラウド・ サービスとの通信 • Azure Interconnectによるマルチ・ クラウド構成 • オンプレと同じVMware vSphere®環境 • アプリの変更無く、クラウドに移行 • オンプレミスと同じ運用、セキュリティが可能 • 完全なアクセス権限・制御 • 同じツールの使用 • 同じセキュリティ構成、ポリシーの設定 • バージョン、パッチ、アップグレードの制御 • エラスティックで自動化されたインフラ • 世界中で30のリージョンを使用可能 • ハイブリッド / マルチ・クラウド構成 • セキュアなアーキテクチャ ハイブリッド構成 パッケージ ミドルウェア アプリ DB DB アプリ パッケージ ミドルウェア アプリ DB DB アプリ ミドルウェア アプリ Oracle Cloud Infrastructure オンプレミス DB DB Oracle Cloud Services
  35. オンプレミスからOCIへの移行を行うためのOCIネイティブなサービス オンプレミスの仮想マシンをOCIのコンピュート・インスタンスに移行するためのOCIネイティブなサービス OCIコンソールやCLI,APIから利用可能 現時点では以下の環境で利用可能(2023年11月現在) • ソース:VMware vSphere 6.5, 6.7, 7.0

    の Windows / Linux 仮想マシン • ターゲット:OCIコンピュートVMインスタンス(x86) • ブートボリュームとデータボリュームのフルもしくは増分のVMスナップショット・レプリケーションでOCIにデータ移行される 価格 • Oracle Cloud Migrationsサービスとしての課金項目はないが、移行に際して一時的に必要となるOCI上のリソース費用が必要 (コンピュート、オブジェクト・ストレージ、VCN、ブロック・ボリューム) Oracle Cloud Migrations サービス Copyright © 2024, Oracle and/or its affiliates 40 検出 インベントリ アセットと計画 レプリケーション 移行
  36. OCI Secure Desktops - セキュア・デスクトップ・サービス • OCI上でデスクトップ環境を迅速にデプロイし、セキュアに利用可能なマネージド・サービス • クライアント端末のローカルにデータを持たせず、OCI側で管理することでセキュリティを向上 •

    OCIテナンシ内のコンピュート、ネットワーク、ストレージ・サービス上で動作 • OCIコンソールから作成、管理。デスクトップ利用ユーザの認証、認可もOCI IAMに統合 • ブラウザのみでデスクトップ・アクセスが可能。クライアントアプリも利用可能。 • サポートOS:Oracle Linux 7, 8、 Windows 10, 11 • 価格 • Oracle Cloud Infrastructure - Secure Desktop : ¥700 / Desktop per Month (最小10) • 利用するコンピュート、ストレージ課金 • (必要に応じてOS費用。Windowsの場合はBYOLが必要) OCI OCI上で迅速かつセキュアに利用できる仮想デスクトップのサービス OCI セキュア・デスクトップ Copyright © 2024, Oracle and/or its affiliates 41 ユーザ ブラウザ データ セキュア・デスクトップ (on Compute VM) アプリケーション 認証 No Data, No Apps 2023年11月現在、Tokyoを含む18のリージョンで利用可能
  37. 1. Oracle Cloud Infrastructure アーキテクチャー 2. Oracle Cloud Infrastructure 各サービスのご紹介

    • コンピュート • ストレージ • ネットワーク • そのほか • セキュリティ、ガバナンス • Edge Agenda Copyright © 2024, Oracle and/or its affiliates 42
  38. 柔軟なアクセス制御 OCIアカウント内のセキュリティ • IAMユーザーの認証 • ポリシー設定によるアクセス制御 ポリシーの設定により複雑なルールも簡単に定義可能 • 誰がOCIアカウントにアクセス可能か、どのクラウド・リソー スへのアクセス権を持つか、どのようにサービスやリソース

    を利用可能か 組織構造にも対応 • コンパートメント Oracle Cloud Infrastructure – Identity and Access Management Tenancy CompartmentA CompartmentB Groups GroupX Users User1 User2 Policies PolicyA: allow group GroupX to manage all- resources in compartment CompartmentA PolicyB: allow group GroupY to manage all- resources in compartment CompartmentB PolicyA PolicyB Security IAM Copyright © 2024, Oracle and/or its affiliates 43 Block Storage Object Storage Virtual Machine VPN/ FastConnect DRG
  39. アカウント内セキュリティ分離をネイティブに実装 コンパートメント・モデルによる階層型アカウント管理 課題 部署をまたいで使用 するシステムの構築 が困難 部署ごとのアクセス権 限設定が複雑 部署ごとのコスト制 御が困難

    • Compartmentを部署ごとに分けることで、 部署ごとの権限設定を実現 • Compartment間のリソースアクセスが可能なため部署 をまたいだシステム構築も容易 • Compartmentごとの課金表示やクオータ設定によるコ スト管理 アカウント空間 アカウント空間 アカウント空間 部署-A 部署-B 部署-A 部署-B 全部署で共通のアカ ウントを作成 部署ごとに アカウントを作成 or 従来型のアカウントの作成方法 Tenancy Compartment A Compartment B Users Groups 部署ごとにCompartment(サブアカウント)を作成 部署-A 部署-B 「コンパートメント」モデル Security Compartments Copyright © 2024, Oracle and/or its affiliates 44 Policy Policy Policy
  40. 追加コストなしでOCIサービスの包括的な監査を提供 OCIの全てのアクティビティログを記録するサービス • コンソール、CLI、SDKを含む すべてのAPIコール を自動的に記録 • 一部の例外を除く全サービスが対応 • オブジェクト・ストレージのオブジェクト関連操作のみが監査記録対象外(2020年

    1月現在) • コンソール、APIから閲覧・検索可能 • テナンシー単位で365日分保持 • 利用料は無料 • SR申請によりオブジェクト・ストレージに一括エクスポート設定も可能 • ロギング・サービスとの連携 • ロギング・サービスの仕組みを使って監査ログを検索、管理することも可能。 • サービス・コネクタ・ハブを利用してログデータを他のサービスに連携 Oracle Cloud Infrastructure – 監査 Security Audit Copyright © 2024, Oracle and/or its affiliates 45
  41. お客様専用の暗号鍵でストレージの暗号化が可能、お客様のシークレットを管理 OCIのストレージサービスはデフォルトで暗号化されている ボールトを利用することにより、暗号化キーの管理をお客様自身で実施 することが可能 • 暗号鍵の集中管理 • OCIサービスの各サービスとシームレスに連携 • 鍵のインポート(BYOI)も可能

    FIPS 140-2 Security Level 3 のHSMを利用 ボールトの暗号鍵管理の種類 • 仮想プライベート・ボールト • お客様ごとに完全に分離されたセキュアな専用パーティションを作成可能。 • 仮想ボールト • 共有パーティション内で仮想的にお客様ごとのVaultを分離 • ソフトウェア保護キー 暗号化キーだけでなく、シークレット(パスワード、認証トークンなど)も ボールト内で管理可能 Oracle Cloud Infrastructure – Vault (ボールト) Security お客様用 Vault Key A Key B 暗号化 暗号化 ・VaultとKey, Secretの作成 ・Keyを各ストレージリソースへアサインし て暗号化 お客様 Secret A コード Vault Copyright © 2024, Oracle and/or its affiliates 46 Block Storage Object Storage File Storage
  42. CAや証明書の作成やライフサイクル管理を実現するマネージド・サービス • Oracle Cloud Infrastructure 証明書サービス(OCI Certificates Service)は、証明書の発行、保管、 管理機能を提供するサービス •

    管理者は手動での証明書の更新や期限管理などの作業から解放される • 証明書(Certificate)、認証局(CA)、CAバンドルのライフサイクルを管理 • CA/証明書/CAバンドルの作成、メタデータ更新、削除、自動更新、有効期間、バージョン管理とローテーション、証明書の 外部からのインポートなど • CA作成にはボールトのHSM非対称キー(公開鍵+秘密鍵)が必要(20個までは無償) • 証明書を必要とするOCIリソースにシームレスに関連付けが可能 • 例:OCI ロード・バランサーからの利用 • 無償で利用可能 • Blog:Automating To A More Secure Connection 証明書サービス(OCI Certificates) Copyright © 2024, Oracle and/or its affiliates 47 Security
  43. • 重要な資産を非常に安全場所に配置 • セキュリティは選択ではなく、常時オン • 初期段階からリソースの安全性を確保することで、 セキュリティ問題を軽減 • 機密性の高いワークロードのための厳格な セキュリティ対策を実施

    • 無償で提供 Maximum Security Zones 事前定義のルール パブリックアクセス不可、 安全でないストレージなし 軽減 セキュリティの問題; リソース作成時にルールを強制的に適用 Security Maximum Security Zone Copyright © 2024, Oracle and/or its affiliates 49
  44. OSの脆弱性スキャンを行うサービス 潜在的な脆弱性、オープン・ポート、アップデートの必要な パッケージなどを定期的にチェック ターゲットOSに対する業界標準のCenter for Internet Security (CIS) によって公開されたベンチマークの実行 Cloud

    Guardとの連携も可能 特定のインスタンスや、コンパートメント内にすべてのインスタ ンスに対して実行可能 対象OS • Oracle Linux • CentOS • Ubuntu • Windows (CISベンチマークは対象外) 脆弱性スキャン(Vulnerability Scanning) Copyright © 2024, Oracle and/or its affiliates 51 Security
  45. Oracle Cloud Infrastructure VCN Bastion クライアント Oracle Cloud Infrastructure Bastionサービスは、パブリック・エンドポイントを持たないターゲット・リソースに対するセキュ

    アなアクセス制御を実現するサービス。 • これまで、プライベート・サブネットで特定のユーザーやクライアントからのみにアクセスさせるためには手動で踏み台サー バー用のインスタンスを用意する必要があったが、Bastionサービスによってサービスとして提供可能 • Bastionは権限のあるユーザーに特定のIPアドレスからSSHセッションでターゲット・リソースへの接続を許可 • ユーザーはSSHがサポートされるソフトウェアやプロトコルを使用してターゲットにアクセスすることが可能。 • 例)Windowsインスタンスに接続するための Remote Desktop Protocol (RDP) 、データベースに接続するためのOracle Net Service。 Oracle Cloud Infrastructure Bastion (要塞) サービス Private Subnet インスタンス sshクライアント sshトンネル データベース セッション セッション DBクライアント Copyright © 2024, Oracle and/or its affiliates 52 Security
  46. Oracle Cloud Infrastructure: PaaS/IaaS コンプライアンス対応一覧 2020年7月現在 区分 基準 適用業種 OCI

    国際基準 ISO/IEC 27001認証 官民学全て ◦ ISO/IEC 27017認証 官民学全て ◦ ISO/IEC 27018認証 官民学全て ◦ SOC1, 2, 3レポート 官民学全て ◦ PCI-DSS認証 クレジットカード ◦ HIPAA 米国ヘルスケア ◦ FedRAMP 米国政府機関 ◦ 国内基準 - 業界固有 FISCガイドライン第9版 金融 ◦ NISC 政府統一基準 日本国官公庁 ◦ 3省3ガイドライン ヘルスケア(含製薬) ◦ 国内基準 – その他 プライバシーマーク 官民学全て ◦ 最新の対応状況: https://www.oracle.com/jp/cloud/cloud-infrastructure-compliance/ コンプライアンス関連のホワイトペーパー:https://docs.oracle.com/cd/E97706_01/Content/General/Reference/aqswhitepapers.htm Copyright © 2024, Oracle and/or its affiliates 53
  47. 1. Oracle Cloud Infrastructure アーキテクチャー 2. Oracle Cloud Infrastructure 各サービスのご紹介

    • コンピュート • ストレージ • ネットワーク • そのほか • セキュリティ、ガバナンス • Edge Agenda Copyright © 2024, Oracle and/or its affiliates 54
  48. Core and Edge Create a Complete Cloud Users [Customers, Partners,

    Employees, Things] IT [DevOps, Administrators, Architects] Expectation [High quality experience] Identity Compute Block Storage Database Networking Object Storage Edge Name Resolution Distributed Content Traffic Steering Internet Monitoring Availability Performance Security Control Edge Networking Edge Security Core + End-to-End SLA No Single Point of Failure Common Console Across Functionality Email Delivery Edge Copyright © 2024, Oracle and/or its affiliates 55
  49. OCIと統合されたグローバル・エニキャストDNSサービス 様々なシステムに対するDNSサービスを提供 • OCI、OCI-C、他クラウド、CDN、オンプレミス OCIのインフラに統合 • 課金(Universal Credit) • コンソール、管理

    • VCN内のプライベートDNSの管理も可能 Dyn.comの既存サービスも存続 DNS Traffic Management • DNSクエリに対するインテリジェントな応答を提供することにより、 インターネットトラフィック制御も可能 • ステアリングポリシー: Load Balancer, Failover, Geolocation Steering, ASN Steering, IP Prefix Steering OCI DNS Cloud1 Datacenter1 ユーザー IP Group A IP Group B IP Group C Cloud2 CDN ISP IP Group D DNS参照 Edge DNS DNS Copyright © 2024, Oracle and/or its affiliates 56
  50. メール配信サービス 迅速・高信頼性・低コストなメール配信サービス • メール受信機能を必要とする場合は別途用意 10年以上にわたり、高い稼働実績のあるDyn Email DeliveryサービスをOCIに統合 高品質なメールを配信するための機能 既存システムとの容易な連携が可能 •

    既存SMTPサーバやアプリケーションサーバよりSMTPエンドポイントを指定することにより、メール配信可能 OCI 電子メール配信 • App Generated • Marketing Automation • Content and Creative Email Application • Reporting • Speed • Delivery Assurance OCI Email Delivery via SMTP Recipient Delivery to Mailbox Providers Internet Edge Email Delivery Copyright © 2024, Oracle and/or its affiliates 57
  51. エンタープライズクラスのクラウドベースエッジセキュリティソリューション 完全なクラウドベースのWAFサービス • 250を超える事前定義されたOWASP、アプリケーション、およびコンプライアンス固有ルール • 複数ソースからのThreat Intelligenceを集約 • Botトラフィックに対する容易な制御 高性能、高可用性

    • DNSと連動し、最適なアクセスポイントに誘導 • レイヤ7に対するDDoS攻撃を軽減し、オリジンサーバの可用性を維持 ハイブリッドおよびマルチクラウド保護 • 環境を問わず、インターネットに面しているアプリケーション、APIを保護 24時間365日でのセキュリティ運用 • 専門のITセキュリティチームがインターネットの脅威を常時監視、対応 OCI Web Application Firewall(WAF) WAF (xxx.waas.oci.or aclecloud.net) Webサーバ (オリジン) 顧客 DC / Cloud Edge PoP ✔ ✖ 1. DNSサーバに 「www.example.com」の 名前解決を問い合わせ 2. 「www.example.com」の別名と して定義したWAFのエンドポイント 「xxx.waas.oci.oraclecloud.net( 例)」を応答 3. 「xxx.waas.oci.oraclecloud.net(例)」 にアクセス。WAFでトラフィックが分析さ れ、不正なトラフィックを防御 4. 正常なトラフィックのみオ リジンサーバへ転送 Welcomed Users / Good Bots Bad Actors / Bad Bots Edge DNS WAF Copyright © 2024, Oracle and/or its affiliates 58
  52. Our mission is to help people see data in new

    ways, discover insights, unlock endless possibilities. Our mission is to help people see data in new ways, discover insights, unlock endless possibilities.