Oracle Cloud Infrastructure 管理者のためのファーストステップガイド【サービス管理業務の概要編】

Transcript

1. Oracle Cloud Infrastructure 管理者のためのファーストステップガイド サービス管理業務の概要編 日本オラクル株式会社 捨田利沙羅 2021年5月

2. はじめに Introduction Copyright © 2021, Oracle and/or its affiliates 2

3. テナンシとは？ ▶お客様のアカウント空間のこと コンパートメントとは？ ▶テナンシを論理的に仕切ることができる仕組みのこと テナンシ管理者 ▶テナンシの管理を行う、いわゆるクラウドアカウント管理者のこと • Oracle Identity Cloud

   Serviceで管理される他のサービスとともに、 OCIのすべてのリソースを作成・管理可能 ⇒ 最も強い管理権限を持つスーパーユーザ • すべてのコンパートメントに対する完全なアクセス権を所有 ⇒ コンパートメントの設計者 はじめに 本資料は、Oracle Cloud Infrastructureのテナンシ管理者を対象とした資料です。 テナンシの管理で行うべきことや、テナンシの管理に使用するOCIサービスのご紹介など、管理者業務の概要が主な内 容となっています。 テナンシをご契約いただいた後に、管理者として行うべきことのファーストステップを確認するのにお役立てください。 Tenancy Compartment A Compartment B Policy Policy Policy Policyとは？ ▶「どの範囲に対して」、「なんの権限を」、「誰に対して許可するのか」を定めるルールのこと テナンシ管理者には、「Tenant Admin Policy」という、テナンシ内のすべてのリソースへのア クセスを許可するポリシーがデフォルトで適用されている Copyright © 2021, Oracle and/or its affiliates 3

4. テナンシ管理者の役目は、次の４つのカテゴリに分類することができます。 本資料では、このうちの 「サービス管理」 についての内容を扱います。 テナンシ管理者のタスク概要 契約・課金管理 サービス管理 ユーザの管理 サポート管理 •

   クラウドサービス自体の購入 • 購入したサービスの確認 • 課金 バジェット • テナンシ内のサービスの稼働状況の確認 • リソースの運用 • サービスの監視 • メンテナンス通知の受け取り • ユーザの作成・削除 • ユーザロールの管理 • コンパートメントの作成・削除 • オラクル提供のサポートサービスの管理 • サポートサービスを受けるユーザの追加 Copyright © 2021, Oracle and/or its affiliates 4

5. サービス管理では、サービスの開始後に契約したテナンシを運用する上で、作成したリソースの作成・監視・最適化を含むリソースの管理、 またクラウド環境そのものが正常稼働しているかどうかの管理 などを行います。 テナンシの管理者として、サービス管理 で行うこと ② リソースの監視 作成したリソースが正常稼働している かどうか・セキュリティに問題がないかど うか・コストは最適化されているかどうか

   などのリソースの監視を行います。 ③ クラウド環境のサービス正常 性の確認 クラウド環境そのものが正常稼働して いるかを確認する・メンテナンス時期を 把握し、メンテナンスに備えるといったこ とを行います。 ① リソースの操作 クラウド環境に必要なリソースを作成 および削除する、または作成したリソー スの起動および停止などを含む、リソー スの操作を行います。 • リソースの作成・削除、起動・停止 などの操作 – Web コンソール – CLI • 自動化およびオーケストレーション • キャパシティとリソースの最適化 – Resource Manager • クラウド環境で行われる、お客様 サービスに影響する可能性のある イベントを閲覧・通知を受け取る – Webコンソール「お知らせ」機 能 • OCIの全リージョンのサービスのヘ ルスチェック状態を閲覧・通知を 受け取る – OCI status • リソースの死活監視 – Monitoring Service • 問題が発生した際のログの監視 – Logging – Logging Analytics • セキュリティ実装状態の監視 – Oracle Cloud Guard – Audit • コストの監視 – Compartmentモデル – Budget – Oracle Cloud Advisor Copyright © 2021, Oracle and/or its affiliates 5

6. リソースの操作 1 Copyright © 2021, Oracle and/or its affiliates 6

   Operate Resources

7. リソースの作成・操作 クラウド環境およびリソースを操作する OCIでは、環境内のリソースの作成・削除、起動・停止などの操作（【EX】ネットワーク構成、インスタンスの起動および停止、ストレー ジの管理など）などのリソースの管理をさまざまな方法で行うことができます。基本的にはこちらの２つの方法で操作を行います。 • CLI（コマンドライン・インターフェース） (docs) OCIリソースをコマンドラインベースで操作できるサービス。 Webコンソールと同じコア機能+追加のコマンドが利用可能。 CLIを任意の環境にインストールして使用します。

   • Webコンソール (docs) リソースの作成・変更などの様々な変更をGUI上か ら行うことができるツール。コンソール上でコマンドを 実行することも可能 下記の環境へのインストールが可能 ・LinuxおよびUNIX ・Oracle Linux ・Mac OS ・Windows ① リソースの操作 Copyright © 2021, Oracle and/or its affiliates 7

8. • Resource Manager (docs) すべてのOracle Cloud Infrastructureリソースのプロビジョニング処理や操作を自動化するOracleマネージドサービス。 TerraformをベースとしたInfrastructure-as-Code（IaC）を実現します。 操作の自動化・オーケストレーション クラウド環境およびリソースを操作する

   前スライドのような手動での操作の他、OCIでは「infrastructure-as-code」モデルを使用したツールがあります。大量のリソースの 操作を行うとき・操作を自動化したいときなどに有効な手段です。 1. コンソールを使用したアクセス 2. APIを使用したアクセス – リソースマネージャAPIを使用 – コマンドライン・インタフェース(CLI)を使用してこのAPIにアク セスするには、oci resource-manager 指定を使用 【インターフェース】 ① リソースの操作 Copyright © 2021, Oracle and/or its affiliates 8 ▷ コンパートメント ▷ バケット ▷ テンプレート ▷ .zip ▷ フォルダ ▷ Git 【Resource Managerを使用したプロビジョニング】 スタック スタック： Resource Manager上で定義する、OCIリソースのまとまり。 リソースのプロビジョニングおよび管理に使用できるTerraform 構成。 OCI上のインフラ構成をスタック単位で定義し、スタックを元に適 切なジョブを決定します。ジョブに従ってリソースを自動プロビジョニ ングします。 ジョブ Terraform 構成ソース プロビジョニング ジョブ： スタック上でTerraformアクションを実行すると作成される。 これらのTerraformアクションを使用して、構成に従って OCIリソースの計画、プロビジョニングおよび破棄を行う。

9. リソースの監視 2 Copyright © 2021, Oracle and/or its affiliates 9

   Monitor Resources

10. クラウド環境の監視に使用するOCIサービス OCIでは、さまざまなツールを使用してリソースの状態を可視化、監視することができます。監視対象に応じたツールをご紹介します。 • 死活監視・稼働状況可視化 – リソースの死活と正常稼働を監視 – CPUなどのリソース使用量を計測 • ログ監視

    – ログやメトリック情報を収集し、状態の変化を分析 • セキュリティ監視 – クラウド環境全体のセキュリティ実装状態をチェック • コスト監視 – クラウド環境全体のリソースの利用状況をチェック Monitoring Service Logging Analytics Logging Oracle Cloud Guard Logging - Audit Compartment Budget Oracle Cloud Advisor Monitoring Logging Auditing Compartments Cloud Guard ② リソースの監視 Copyright © 2021, Oracle and/or its affiliates 10

11. OCIで提供されているモニタリング機能を使うことで、OCI上の各種リソースの性能や状態の監視、また、 カスタムのメトリック監視を行うことが可能です。 さらに、メトリックおよびアラーム機能を使用してクラウド・リソースを積極的および受動的にモニターできま す。 死活監視/稼働状況の可視化を行うサービス 【死活監視】OCI Monitoring Service を使用して、リソースの死活監視をする Monitoring

    Service OCIコンソールのメトリックの監視画面 ・CPU使用率 ・メモリー使用率 ・ディスク読み取りI/O ・ディスク書き込みI/O を視覚的に監視できる ・「メトリック・ネームスペース」「コンパートメント」を指定し、 対象のサービスを絞ることができます。 ・表示させたいメトリックの範囲を指定できます。 (docs) • メトリック機能 クラウド・リソースのヘルス、容量およびパフォーマンスに関するメトリッ ク・データをリレー。 共通メトリックには、次に関連したデータが反映されます: – 可用性および待機時間 – アプリケーションの稼働時間と停止時間 – 完了済トランザクション – 失敗した操作と成功した操作 – 売上数量やエンゲージメント数量などのキー・パフォーマンス・ インジケータ(KPI) ② リソースの監視 Copyright © 2021, Oracle and/or its affiliates 11

12. 死活監視/稼働状況の可視化を行うサービス 【死活監視】OCI Monitoring Service と連携可能なOCIサービス OCIではさまざまな方法でリソースの状態を通知することができます。モニタリングのアラーム機能では、事前定義した条件に合致した際には管 理者に通知を行うことで管理者はタイムリーに適切な対処を行うことができます。さらに通知サービスを利用すると通知をサブスクライブすること も可能です。 メトリックデータ OCIリソース

    コンソール上で確認 Monitoring Alarming 閾値（〇％） Notifications Events Email Delivery Monitoring Service ・通知サービス (docs) メトリックが閾値に達すると通知 ・イベントサービス (docs) メトリックが閾値に達するとイベントをトリガー▶オートメーションに有効 • アラーム機能 通知サービスと連携し、メトリックがアラーム指定のトリガーを 満たしたときに通知する機能 • モニタリングサービスと連携可能なサービス アラーム機能 通知のサブスクリプション 連携可能なサービス 通知サービス イベントサービス などのサービスと連携 Autoscaling Functions ② リソースの監視 Copyright © 2021, Oracle and/or its affiliates 12

13. 【ログ監視】Loggingサービスを使用して、OCI上からログを監視・分析する Logging Oracle Cloud Infrastructure Loggingは、ユーザーが関与するスタック構成全体からのログの取り込み ／管理／分析を簡単にする、Cloud Nativeのフル・マネージドな分散ロギング・プラットフォームです。 検索欄にて、対象のテナンシおよびコン パートメント、時間を絞って閲覧可能

    ▲コンソール画面よりログ・分析結果を視覚的に閲覧できる ログの種類 (docs) • OCIの監査ログを定期的に監視し、セキュリティポリシーに違反 する操作がないかを確認 • Load BalancerやVNC Flow Logsといったネットワークのロ グから不正アクセスの兆候を検出 • オブジェクト・ストレージにある機密ファイルへのアクセスが適切に 行われているかをチェック • fluentdエージェントを使用してミドルウェアやデータベースのアク セスログを収集し、一元的にログ管理 主なユースケース • 監査ログ：デフォルトで収集されるOCIコンソールやAPIの操作ログ • サービスログ：OCIの各サービスから生成されるログ。 • カスタムログ：OS上で生成されるソフトウェアやアプリケーションのログ ② リソースの監視 Copyright © 2021, Oracle and/or its affiliates 13

14. 収集したログを集約するサービス 【ログ監視】OCI Logging Analytics サービスを使用して、ログを詳細に分析する Logging Analyticsでは、システムのログを収集・分析し、脅威や新しい知見を検出します。 検知された内容は、ビジュアライズされた管理画面より詳細を確認することが可能です。 Logging Analytics

    クラスタ分析によるパターン検出・例外検出 • Management Agentインストール直後からログ分析が可能 • GUIベースでインタラクティブにログ分析 • すべてのログを横断した検索＆可視化が可能 • 機械学習を活用した大量ログの高速分析 • OCIサービスとシームレスな統合 • ポリシーでアクセスを制限 ビジュアライズによる新たな知見や脅威を検出 (docs) ② リソースの監視 Copyright © 2021, Oracle and/or its affiliates 14

15. 【セキュリティ監視】Oracle Cloud Guardを使用して、環境のセキュリティ状態を管理する Oracle Cloudの強力なセキュリティ状況の監視、識別、達成および維持を支援するOracle Cloud Infrastructureサービス、 Oracle Cloud Guardについてご紹介します。

    Oracle Cloud Guard ▲トップページでは検出された様々なタイプの問題のサマリー情報を表示 セキュリティ評価スコア リスクのスコア セキュリティ推奨 問題のスナップショット 問題 (docs) • Oracle Cloud Infrastructure内の様々なサービ スの設定やアクティビティを継続的に監視し、即座 に通知・是正することで安全なクラウドの利用をサ ポート • Oracle Cloudを設定する際に脆弱な設定になりが ちな項目をチェックする検出ルールをOracleマネージ ドで提供 • ユーザーの疑わしいアクティビティも常に監視 • 検出された問題の修正方法の提供 • すべてのリージョン、コンパートメントは一元的なビュー から管理・監視が可能 ② リソースの監視 Copyright © 2021, Oracle and/or its affiliates 15

16. 【セキュリティ監視】Oracle Cloud Guardを使用して、環境のセキュリティ状態を管理する 指定したテナンシおよびコンパートメント内のセキュリティ上の問題を一覧表示することができます。 問題の詳細を表示すると、問題に対する対処（判断・アクション）を行うことができます。 リスクレベル リスク順に表示され、クリティカルな問題 が一目でわかります。 ▼詳細 詳細で実行できる対処

    ・修正：問題に対する対処をCloud Guardに代行させる場合に選択 ・解決済みとしてマーク： - 既に解決済の場合に選択 - Cloud Guardに代行させずに、自分で直接で問題に対処する場 合にも選択 ・終了：対処は何も行わず、内容確認のみの場合に選択 ② リソースの監視 Copyright © 2021, Oracle and/or its affiliates 16

17. 【セキュリティ監視】Loggingの監査機能を使って、 セキュリティポリシーに違反する操作がないかを確認 Loggingサービスで記録されるログのうち、監査ログというログがあります。 監査ログを定期的に監視することで、セキュリティポリシーに違反する操作がないかを確認することができます。 監査ログでは、OCIでサポートされるすべてのAPIエンドポイント(※)へのコールがログ・イベントとして自動的に記録 されます。 ※Webコンソール、CLI、ソフトウェア開発キット(SDK)、ユーザー独自のクライアント、または他のOCIサービスに よって行われるAPIコール • APIアクティビティが発生した時間

    • アクティビティのソース • アクティビティのターゲット • アクションのタイプ • レスポンスのタイプ 監査ログに含まれる情報 Logging - Audit (docs) 特定のコンパートメント・テナンシ内で、 下記項目でフィルタリングが可能 ・ユーザ ・リソース ・リクエスト・アクション・タイプ ・イベント・タイプ ・カスタム・フィルタ ・時間によるフィルタ ② リソースの監視 Copyright © 2021, Oracle and/or its affiliates 17

18. 【コスト監視】コンパートメントを活用した予算管理を行う • 予算ごとにコンパートメントを分ける OCIでは、テナンシ内を論理的に分割する「コンパートメン ト」と呼ばれる、論理空間があります。 予算を設定する際の範囲の設定は、コンパートメントおよ びコンパートメントごとに設定可能な「コストトラッキング・タ グ」から選ぶことができます。 ※予算サービス (docs)：テナンシおよびコンパートメント内

    のコスト追跡を可能にする機能 • コンパートメント割り当て制限を利用する コンパートメントごとに割り当てることのできるリソースの上限 を設定することができます。これにより、管理者にとってコン パートメントごとのリソースの配分制御が容易になります。 割り当て制限ポリシーを記述して作成します。 ※コンパートメント割り当て機能 (docs) サービス制限との違い サービス制限：Oracleによって設定される 割当て制限：管理者が設定する set compute quota /*bm*/ to 10 in compartment sales_department where request.region = ap-tokyo-1 ▲ステートメント例 コンパートメント単位で予算の管理をする ② リソースの監視 Copyright © 2021, Oracle and/or its affiliates 18

19. 【コスト監視】予算を設定する / コストを最適化する • 予算の設定 (docs) 予算を使用して、テナンシ内のコスト追跡できます。コン パートメントの予算を作成したら、予算の超過が予測され る場合または支出が特定の金額を上回る場合に通知する アラートを設定できます。

    • リソースの利用状況の確認 テナンシ・エクスプローラ (docs)を使用すると、テナンシ内の すべてのリージョンにわたって、コンパートメント内のすべてのリ ソースを表示できます。この機能により、余分なリソースがな いかをチェックします。 閾値を設定します。 閾値を上回ったときにアラートで通 知する設定にすることができます。 リソースタイプによる フィルタ リソースタイプで表示 するリソースを絞り込 むことも可能 対象のテナンシ・コンパートメント内の、すべてのリージョンの リソースを表示できる 予算からわかること ・名前 ・予算範囲 ・ターゲット ・閾値内の％支出 ・予測 ・金額 ・支出 ② リソースの監視 Copyright © 2021, Oracle and/or its affiliates 19

20. • コストを発生させる操作の検知 イベント・サービス と、通知サービス を連携すると、コストの発 生と同時に通知するような設定が可能です。 • 節約可能なリソースがないかのチェック Oracle Cloud

    Advisor (docs) は「コスト」と「セキュリ ティ」の2面からアドバイスをしてくれます。 Cost Management機能でコスト削減に向けた、提案 をしてくれます。 【コスト監視】コストを最適化する Oracle Cloud Advisor 節約可能な金額を表示 ※223462円の節約が可能の意味 Cost Management機能の Recommendation コストの節約のため、使っていない リソースの停止・削除を提案 OCIリソース Notifications Events Email Delivery イベントをトリガー コストに影響するリソースの変化 が発生 【EX】 ・インスタンスの起動・終了 ・ブロックストレージの追加・終了 通知サービスを起動 検知した変化を、任意の手段でサブスク ライブします。 サブスクリプションのタイプ ・Email ・ファンクション ・HTTPS (Custom URL) ・PagerDuty ・Slack ・SMS トピックをサブスクライブ ② リソースの監視 Copyright © 2021, Oracle and/or its affiliates 20

21. ログの監視・分析、アプリケーションの監視、環境の稼働状況の可視化・監視など、さまざまな管理をまとめて行うことがで きるOCIサービス 【補足】Oracle Management Cloudを利用して統合的に管理する Oracle Management Cloud Oracle Management

    Cloudは、マルチクラウド・マルチシステム環境より様々なデータ（メトリッ クデータ、ログファイル）を収集。収集されたデータは、機械学習を用いた横断的な分析を行い、運 用担当者のワークロードを軽減する。 Application Performance Monitoring アプリケーションの性能やユーザー 体験を可視化し、ボトルネックとなっ ている個所のパフォーマンス改善を 支援 Infrastructure Monitoring クラウド環境やオンプレミス環境の システム稼働状況を可視化し、パ フォーマンス低下となっている要因の 特定を支援 Log Analytics あらゆるシステムのログを収集・分析 し、システム障害やサイバー攻撃など の脅威を検知。検知内容は、ビジュ アライズされた管理画面より詳細を 確認することが可能 IT Analytics APM, IMのデータを基に、将来予 想されるITリソース状況（CPU, Memory, etc）を算出し、キャパ シティ計画を支援 ▶ 運用データセット全体に対して機械学習と大規模データ技術を活用する、次世代の統合モニタリング、管理、アナリティクス・クラウド・サービス ② リソースの監視 Copyright © 2021, Oracle and/or its affiliates 21

22. クラウド環境の サービス正常性の確認 3 Copyright © 2021, Oracle and/or its affiliates

    22 Check Service Health

23. 環境が正常稼働しているかどうかの確認、メンテナンス情報の確認を行う方法 【メンテナンス管理】環境のメンテナンス情報を管理する • メンテナンス情報の確認 Webコンソールの「お知らせ」機能では、サービス・ステータス に関するタイムリかつ重要な情報を通知します。 メンテナンスの情報など、お客様のサービスに影響する可能 性のあるイベントをお知らせします。 • メンテナンス通知の受け取り

    テナンシ管理者は、「お知らせ」で通知される情報を、電子 メールで受け取るように設定することができます。 お知らせの受信はいつでも停止、再開することができます。 お知らせで通知される情報 • 必須アクション • 緊急変更 • 推奨アクション • 計画的変更 • 計画的変更延長 • 計画的変更スケジュール変更 • 本番イベント • 計画的変更完了 • 情報 ③ クラウド環境のサービス正常性の確認 Copyright © 2021, Oracle and/or its affiliates 23 受信するお知らせのタイプを、 ・テナンシ固有のお知らせのみ ・すべてのお知らせ から選ぶことができます。

24. 【メンテナンス管理】環境のサービスステータスを確認する ステータスチェックでは、OCI上の各サービスの稼働状況・ヘルスチェックを一覧することができます。OCIのサービスが正常か どうかを確認したいときに利用します。 縦軸：サービス 横軸：リージョン • ステータスチェックへのアクセス方法 OCIコンソールの「ヘルスチェックダッシュボードの表示」 から、またはhttps://ocistatus.oraclecloud.com/ にアクセス

    ※OCIコンソール自体にログインできないときでもヘルスチェックの確認 ができるよう、別のサイトでの閲覧が可能です。 • サブスクライブ ヘルスチェック情報のサブスクライブが可能です。 電子メールアドレス・SMSなどお好きな方法を選べます。 Normal Performance Degraded Performance Partial Outage Major Outage ステータス別に、４つのアイコンで表示されます。 ③ クラウド環境のサービス正常性の確認 Copyright © 2021, Oracle and/or its affiliates 24

25. まとめ 本資料では、テナンシの管理者が行うべき管理者業務のうち、「サービス管理」の概要をご紹介しました。 OCIのテナンシ管理者としての一歩を踏み出す一助となれば幸いです。 契約・課金管理 サービス管理 ユーザの管理 サポート管理 • クラウドサービス自体の購入 •

    購入したサービスの確認 • 課金 バジェット • テナンシ内のサービスの稼働状況の確認 • リソースの運用 • サービスの監視 • メンテナンス通知の受け取り • ユーザの作成・削除 • ユーザロールの管理 • コンパートメントの作成・削除 • オラクル提供のサポートサービスの管理 • サポートサービスを受けるユーザの追加 Copyright © 2021, Oracle and/or its affiliates 25

26. Thank you Copyright © 2021, Oracle and/or its affiliates 26

27. None

28. Our mission is to help people see data in new

    ways, discover insights, unlock endless possibilities.