はじめに
こんにちは!エーピーコミュニケーションズ クラウド事業部の髙野です。
今までAWSを中心に勉強してきた私ですが、先日、OCIの認定資格 「OCI 2024 Architect Associate (1Z0-1072-24)」 を取得しました!
まだまだ勉強中の身ではありますが、本ブログでは、自分用のチートシートとして活用するためにも、OCIにおけるAWSからの代替サービスを一覧にまとめました。あわせて、各章でOCIサービスの簡単な説明もしています。
それぞれのサービスの機能が完全に一致するわけではなく、あくまで 「おおよそ似たようなことができる」「複数のサービスを組み合わせることで代替できる」 という観点でまとめているので、その点はご承知おきください。
本ブログはOracle公式が公開している以下の学習コンテンツを参考にしました。
目次
- グローバルインフラストラクチャ
- アイデンティティとアクセス管理(IAM)
- ネットワーク
- コンピュート
- ストレージ
- データベース
- セキュリティ
- アプリケーション開発
- モニタリングと可観測性
- 関連記事
- お知らせ
グローバルインフラストラクチャ
| AWS | OCI |
|---|---|
| Region | Region |
| Availability Zone(AZ) | Availability Domain(AD) |
| Placement Groups | Fault Domain |
Region
OCIにおけるRegion(リージョン)は、物理的に独立した地理的領域であり、それぞれが複数の可用性ゾーン(Availability Domain: AD)またはフォルトドメイン(Fault Domain: FD)を含んでいます。各Regionは、独立した電源、ネットワーク、および冷却設備を持ち、可用性と障害耐性を高めるように設計されています。ユーザーは、データ主権、規制要件、低レイテンシの要件に基づいて、アプリケーションやデータをデプロイするRegionを選択します。
Availability Domain(AD)
Availability Domain(AD)は、同一リージョン内に存在する物理的に独立したデータセンター群です。各ADは、独自の電源、冷却設備、ネットワークを備え、他のADと物理的にも論理的にも分離されています。これにより、あるADで障害が発生しても、同一リージョン内の他のADにデプロイされたサービスは影響を受けにくく、高可用性と耐障害性が実現されます。たとえば、東京リージョンは単一のADで構成されますが、複数のADを持つリージョンも存在します。
Fault Domain
Fault Domain(FD)は、Availability Domain(または単一ADリージョン内のリージョン)内に存在する、障害分離されたハードウェアおよびインフラストラクチャのグループです。各FDは、物理サーバー、ストレージ、ネットワーク機器などの独立した電源とハードウェアセットで構成されており、単一の障害点の影響を最小限に抑えます。これにより、同一Availability Domain内で複数のFDにリソースを分散することで、予測不可能なハードウェア障害やメンテナンスイベントによるサービス停止のリスクをさらに低減し、アプリケーションの可用性を向上させます。
アイデンティティとアクセス管理(IAM)
| AWS | OCI |
|---|---|
| Account | Tenancy |
| AWS IAM | OCI IAM |
| Policies | Policies |
| Resource Groups | Compartments |
| Tags | Free Form Tag & Defined Tags |
| Organizations | Organization Management |
OCI Tenancy
Tenancy(テナンシ)は、顧客ごとに割り当てられる、セキュアで独立したOCIのパーティションです。これは、組織や企業に相当し、クラウド上のすべてのリソース(仮想マシン、ネットワーク、ストレージ、データベースなど)を作成、整理、管理するための最上位の管理および請求単位となります。各テナンシは独自のルートコンパートメントを持ち、ユーザー、グループ、ポリシー、サービス制限、セキュリティ設定などが完全に分離されており、他のテナンシから独立して運用されます。
OCI IAM
OCI IAMは、OCIリソースへのアクセスをセキュアに管理するためのサービスです。IAMを使用すると、誰がどのリソースに、どのような条件で、どのようなアクションを実行できるかを詳細に制御できます。主要なコンポーネントには、ユーザー(アクセス主体)、グループ(ユーザーの集合)、ポリシー(アクセス権限を定義するルール)、コンパートメント(リソースの論理的な集合)があり、これらを組み合わせて柔軟かつ堅牢なアクセス制御を実現します。これにより、最小権限の原則に基づいたセキュリティ運用が可能です。
Policies
OCIにおけるPolicies(ポリシー)は、IAMサービスにおいて、グループに特定のOCIリソースへのアクセス権限を付与するルールを定義するドキュメントです。ポリシーはAllow group <グループ名> to <動詞> <リソースタイプ> in compartment <コンパートメント名> where <条件>のようなステートメントで構成され、これにより「誰が(グループ)、何を(動詞)、どのリソースタイプに、どこで(コンパートメント)、どのような条件で」アクセスできるかを厳密に制御します。テナンシ全体または特定のコンパートメントに適用でき、セキュリティと運用の柔軟性を提供します。
Compartments
Compartments(コンパートメント)は、リソース(仮想マシン、ストレージ、データベースなど)を論理的に整理し、アクセスを分離するためのコレクションです。テナンシ(ルートコンパートメント)の下に階層的に作成でき、ネストすることも可能です。各コンパートメントは、特定のプロジェクト、部署、または環境(開発、テスト、本番など)に合わせてリソースをグループ化するために利用されます。IAMポリシーはコンパートメント単位で定義されるため、これによりきめ細やかなアクセス制御とリソース管理を実現し、セキュリティと運用の効率性を高めます。
Free Form Tag & Defined Tags
OCIにおけるFree Form Tag(フリーフォーマットタグ)、事前に定義なしで自由に設定できるキーと値のペアです(例: Project: Alpha)。柔軟性が高い一方で、スペルミスなどによる不整合が生じる可能性があります。
対してDefined Tags(定義済みタグ)は、ガバナンスと管理を強化するために設計された、事前に定義されたタグ・ネームスペース、タグ・キー、および値タイプを持つタグです。タグ・ネームスペースは、組織内でタグのセットをグループ化し、タグ・キーと値の形式を強制します。これにより、一貫したタグ付けポリシーが適用され、コスト管理や自動化などの大規模な運用が容易になります。両者はリソースの識別と管理に用いられます。
Organization Management
Organization Management(組織管理)は、複数のOCIテナンシを一元的に管理するための機能群を指します。これは主にOCI Organizationsサービスを通じて実現され、企業が複数の部門やプロジェクトに対して独立したテナンシを運用しながらも、統合された請求、共通のサービス共有、および中央集権的なガバナンスを確立することを可能にします。これにより、大規模なクラウド環境における管理の複雑さを軽減し、リソースの可視性を高め、コスト管理とコンプライアンスの遵守を効率化します。
ネットワーク
| AWS | OCI |
|---|---|
| VPC | VCN |
| Security Groups | Security Lists |
| Network Access Control List | Network Security Groups |
| Site-to-site VPN Connections | Site-to-site VPN |
| Direct Connect | FastConnect |
| Route 53 | DNS Management |
| Application Load Balancer | Load Balancer |
| Network Load Balancer | Network Load Balancer |
VCN
VCNは、データセンターの従来のネットワークをクラウド内にソフトウェア定義で再現した、カスタマイズ可能なプライベートネットワークです。VCNは、インスタンス、データベース、ファンクションなどのOCIリソースが相互に通信し、インターネットやオンプレミスネットワークと接続するための基盤を提供します。サブネット、ルート表、セキュリティ・リスト、ネットワーク・セキュリティ・グループ(NSG)などのコンポーネントを含み、リソースのネットワーク分離とセキュリティを高度に制御できます。各VCNはIPアドレス空間が重複しないように設計されます。
Security Lists
Security Lists(セキュリティリスト)は、VCN内の各サブネットに対して適用される仮想ファイアウォール・ルールセットです。これらはステートフルまたはステートレスなイングレス(受信)およびエグレス(送信)ルールで構成され、特定のIPアドレス、ポート、プロトコルに基づいてトラフィックを許可または拒否します。サブネット内のすべてのインスタンスに自動的に適用されるため、ネットワーク全体のセキュリティを広範囲に制御するのに適しています。
Network Security Groups
Network Security Groups(NSG)は、特定のVNIC(Virtual Network Interface Card)レベルでセキュリティ・ルールを適用できる仮想ファイアウォールです。セキュリティ・リストとは異なり、NSGはサブネット全体ではなく、個々のインスタンスやリソースに紐付けられます。これにより、アプリケーションのティア(層)や個別のワークロードに対して、よりきめ細かく、かつ分離されたセキュリティ・ポリシーを適用することが可能となり、セキュリティ・リストと組み合わせて多層的な防御を実現します。
Site-to-site VPN
Site-to-site VPNは、お客様のオンプレミス・ネットワークとOCIのVCNとの間に、IPSecプロトコルを使用して暗号化された安全な接続を確立するサービスです。この接続により、オンプレミスのリソースとOCI上のリソースがプライベートに通信できるようになり、インターネット経由でのデータ漏洩リスクを低減します。柔軟なルーティング設定が可能で、ハイブリッド・クラウド環境におけるセキュアなデータ連携やアプリケーションの利用に貢献します。
FastConnect
FastConnectは、お客様のオンプレミス・ネットワークとOCIとの間に専用のプライベート接続を確立するサービスです。インターネットを経由しないため、Site-to-site VPNと比較して、より安定した高帯域幅と低レイテンシを実現します。パートナーとの相互接続を通じて利用でき、大量のデータ転送、リアルタイム・アプリケーション、ミッションクリティカルなワークロードなど、パフォーマンス要件が高いハイブリッドクラウド環境に適しています。
DNS Management
DNS Management(DNS管理)は、ドメイン名とIPアドレスのマッピングを管理するサービスです。このサービスにより、ドメイン(例: example.com)のDNSレコード(Aレコード、CNAMEレコードなど)をOCI上でホストし、ウェブサイトやアプリケーションがインターネットからアクセス可能になります。世界中に分散されたネームサーバーを活用し、高可用性と低レイテンシでDNS解決を提供します。複雑なルーティング・ポリシーやヘルス・チェックに基づいたトラフィック管理もサポートします。
Load Balancer
OCIにおけるLoad Balancer(ロードバランサー)は、受信したトラフィックを複数のバックエンドサーバーに分散し、アプリケーションの可用性とスケーラビリティを向上させるサービスです。トラフィックの分散に加え、ヘルス・チェック機能により異常なサーバーを自動的に検出し、健全なサーバーにのみトラフィックをルーティングすることで、サービスの中断を防ぎます。L7(アプリケーション層)で動作し、SSL終端やURLベースのルーティングなどの高度な機能を提供します。
Network Load Balancer
OCIにおけるNetwork Load Balancer(ネットワークロードバランサー)は、主にTCP/UDPなどのL4(トランスポート層)プロトコルに基づいてトラフィックを分散するロードバランシングサービスです。L7ロードバランサーと比較して、より高いスループットと低レイテンシを提供し、ミリ秒単位の応答性が求められるゲーム、IoT、ストリーミングなどのワークロードに適しています。SSL終端機能は持たず、よりシンプルな負荷分散に特化しており、プライベート・エンドポイントにも対応し、内部ネットワークからのアクセスも可能です。
コンピュート
| AWS | OCI |
|---|---|
| EC2 | Instance |
| Dedicated Host | Dedicated Virtual Machine Host |
| EC2 Bare Metal Instances | Bare Metal Instance |
| Auto Scaling | Instance Configuration Instance Pool AutoScaling Configuration |
Instance
OCIにおけるInstance(インスタンス)は、OCIで動作する仮想マシンまたはベアメタルサーバーを指します。これらはクラウド上でアプリケーションやワークロードを実行するための基本的なコンピューティング単位です。ユーザーは、CPU数、メモリ、ストレージ、ネットワーク帯域幅など、多様なシェイプ(構成)から選択し、オペレーティングシステムをデプロイできます。インスタンスは、オンデマンドでプロビジョニングされ、必要に応じてスケールアップ/ダウン、起動/停止が可能で、柔軟なコンピューティングリソースを提供します。
Dedicated Virtual Machine Host
Dedicated Virtual Machine Host(専用仮想マシンホスト)は、お客様専用に割り当てられた物理サーバー上で仮想マシンインスタンスを実行できるサービスです。このホストは、他のOCI顧客のVMとリソースを共有しないため、厳格なセキュリティ、規制遵守、またはライセンス要件を持つワークロードに適しています。ホストレベルでの完全な分離が提供されることで、予測可能なパフォーマンスと、特定のソフトウェアライセンス要件(例:Oracle Databaseのプロセッサ・ライセンスなど)への対応が可能になります。
Bare Metal Instance
Bare Metal Instance(ベアメタルインスタンス)は、仮想化レイヤーを介さず、お客様が物理サーバー全体を専有して利用できるコンピューティングサービスです。仮想化によるオーバーヘッドがないため、非常に高いパフォーマンスと、基盤となるハードウェアへのフルアクセスを提供します。データベース、ハイパフォーマンス・コンピューティング(HPC)、ビッグデータ分析、または独自のハイパーバイザーを実行したいなど、最大の処理能力と制御が求められるワークロードに最適です。
Instance Configuration
Instance Configuration(インスタンス構成)は、インスタンス(VMまたはベアメタル)を作成するためのテンプレートです。これには、使用するイメージ、シェイプ(CPU/メモリ)、VCNとサブネット、ストレージ、SSHキー、ブートボリュームのサイズなど、インスタンスをプロビジョニングするために必要なすべての設定が含まれます。インスタンス構成は、一貫性のある方法で複数のインスタンスをデプロイしたり、インスタンス・プールや自動スケーリングなどの機能で利用したりする際に、効率的かつ正確なリソース作成を可能にします。
Instance Pool
Instance Pool(インスタンスプール)は、同じインスタンス構成を持つ複数のインスタンスをグループ化し、まとめて管理するための機能です。インスタンスプールを使用すると、単一のエンティティとしてインスタンスの集合をデプロイ、管理、および監視できます。これにより、ロードバランサーのバックエンドセットとの統合が容易になり、オートスケーリングのターゲットとしても機能することで、アプリケーションの高可用性とスケーラビリティを効率的に実現します。
AutoScaling Configuration
AutoScaling Configuration(自動スケーリング構成)は、定義されたパフォーマンスメトリック(CPU使用率など)に基づいて、インスタンスプール内のインスタンス数を自動的に増減させる設定です。これにより、トラフィックの変動やワークロードの変化に柔軟に対応し、最適なリソース利用とコスト効率を実現します。自動スケーリング構成には、スケーリングポリシー(例:メトリックベース、スケジュールベース)、インスタンスの最小/最大数、クールダウン期間などが含まれ、アプリケーションの可用性と応答性を維持します。
ストレージ
| AWS | OCI |
|---|---|
| S3 | Object Storage |
| S3 Glacier | Archive Storage |
| EBS | Block Volumes |
| EFS FSx |
File Storage |
| Snow Family | Data Transfer Appliance |
Object Storage
Object Storage(オブジェクトストレージ)は、非構造化データ(画像、動画、バックアップ、ログファイルなど)を保存するための、高スケーラブルかつ耐久性の高いストレージサービスです。データはオブジェクトとして保存され、バケットと呼ばれる論理コンテナに整理されます。RESTful APIを通じてアクセス可能で、無限に近い容量拡張性と99.999999999%(イレブンナイン)の耐久性を持ち、データ量に応じて自動的にスケールします。標準(Standard)とアーカイブ(Archive)の2つのティアがあります。
Archive Storage
Archive Storage(アーカイブストレージ)は、長期間にわたってほとんどアクセスされないデータの保存に特化した、非常にコスト効率の高いオブジェクトストレージティアです。データの読み出しには、数時間(通常は4時間以内)のリストア時間が必要となりますが、その分、保存コストが大幅に抑えられています。法的要件、規制遵守、災害復旧用バックアップなど、長期保存が必要なアーカイブデータやコールドデータに適しており、高い耐久性も備えています。
Block Volumes
Block Volumes(ブロックボリューム)は、インスタンスにアタッチして使用する、永続的で高性能なストレージデバイスです。従来の物理サーバーに接続するハードディスクのように機能し、オペレーティングシステムからローカルストレージとして認識されます。インスタンスとは独立してライフサイクルを持つため、インスタンスが終了してもデータは保持されます。データベース、ファイルシステム、ブートボリュームなど、低レイテンシと高IOPSが求められるワークロードに適しています。
File Storage
File Storage(ファイルストレージ)は、ネットワークファイルシステム(NFSv3)プロトコルを介してアクセスできる、マネージド型の共有ファイルストレージサービスです。複数のインスタンスから同時にアクセス可能であり、ファイル共有、分散アプリケーション、Webコンテンツ・リポジトリなど、共通のファイルシステムが必要なワークロードに適しています。高可用性と耐久性を備え、データは自動的にレプリケートされます。ストレージは必要に応じてペタバイト規模までシームレスに拡張できます。
Data Transfer Appliance
Data Transfer Appliance(データ転送アプライアンス)は、大量のデータをオフラインでOCIに転送するための物理デバイスです。数テラバイトからペタバイト規模のデータをインターネット回線を介さずに安全かつ効率的に移動する必要がある場合に利用されます。お客様はOracleから提供される専用アプライアンスにデータをロードし、それをOracleに返送します。OracleがデータをOCI Object StorageまたはArchive Storageにアップロードするため、ネットワーク帯域幅の制約や高コストなしに、迅速な初期データ移行が可能です。
データベース
| AWS | OCI |
|---|---|
| RDS Aurora |
Oracle Autonomous Transaction Processing Co-managed DBCS Oracle MySQL Database Service |
| DynamoDB | Oracle Autonomous JSON Database Oracle NoSQL Database Cloud Service |
| Redshift | Oracle Autonomous Data Warehouse MySQL Heatwave |
Oracle Autonomous Transaction Processing
Oracle Autonomous Transaction Processing (ATP) は、トランザクション処理(OLTP)および混合ワークロード向けに完全に自動化されたOCIのデータベースサービスです。データベース管理のすべての側面(プロビジョニング、パッチ適用、バックアップ、スケーリング、チューニング、セキュリティ)をOracleが自律的に実行し、ヒューマンエラーを排除し、運用コストを削減します。自動チューニングにより、複雑なクエリやトランザクションでも一貫して高いパフォーマンスを提供し、ミッションクリティカルなアプリケーションに最適です。
Co-managed DBCS
Co-managed DBCS(Database Cloud Service)は、OCI上で稼働するOracle Databaseのマネージドサービスの1つで、Oracleがデータベースインフラストラクチャ(ハードウェア、OS、仮想化)の管理を担当し、お客様がデータベースソフトウェアのパッチ適用、バックアップ、チューニング、セキュリティなどの管理を行うモデルです。お客様はIaaS環境にOracle Databaseを構築するよりも運用負担が少なく、Autonomous Databaseよりも細かいデータベース管理の自由度を維持したい場合に適しています。
Oracle MySQL Database Service
OCIにおけるOracle MySQL Database Serviceは、MySQL Enterprise Editionをベースにしたフルマネージド型のデータベースサービスです。データベースのプロビジョニング、パッチ適用、バックアップ、リカバリ、監視などの管理タスクはOracleによって自動化されており、ユーザーはアプリケーション開発とデータ利用に集中できます。高可用性、セキュリティ、拡張性に優れ、とくにMySQL HeatWaveと組み合わせることで、トランザクション処理と分析処理の両方に対応できる高速なインメモリ・クエリ機能を提供します。
Oracle Autonomous JSON Database
OCIにおけるOracle Autonomous JSON Databaseは、半構造化データであるJSONドキュメントの管理に特化したフルマネージドの自律型データベース・サービスです。Oracle Databaseの堅牢性とスケーラビリティを基盤としつつ、JSONデータのネイティブな格納、クエリ、管理をサポートします。パッチ適用、バックアップ、チューニングなどの運用タスクは自動化されており、開発者はJSONを中心としたモダンなアプリケーションを迅速に構築・デプロイできます。リレーショナルデータとJSONデータを混在させることも可能です。
Oracle NoSQL Database Cloud Service
OCIにおけるOracle NoSQL Database Cloud Serviceは、大量の非構造化データや半構造化データを扱うためのフルマネージドなNoSQLデータベースサービスです。ミリ秒以下の低レイテンシでの読み書き、予測可能なパフォーマンス、高いスケーラビリティが特徴で、データの整合性を維持しながら柔軟なデータモデルをサポートします。開発者は、プロビジョニングされたスループットとストレージ容量に基づいて、複雑な運用を意識せずにIoT、Webアプリケーション、モバイルアプリケーションなどのワークロードを構築できます。
Oracle Autonomous Data Warehouse
OCIにおけるOracle Autonomous Data Warehouseは、分析ワークロードに特化したフルマネージドの自律型データベースサービスです。データウェアハウジングに最適化されたパフォーマンスと、パッチ適用、バックアップ、チューニング、スケーリングなどの管理タスクの完全自動化が特徴です。複雑なクエリ処理、大量データのロード、分析、レポート作成などを、専門的なデータベース管理スキルなしに高速で実行できます。コスト効率も高く、ビジネスインテリジェンス(BI)やデータ分析のニーズに最適です。
MySQL Heatwave
OCIにおけるMySQL HeatWaveは、Oracle MySQL Database Serviceのインメモリ・クエリ・アクセラレータであり、単一のMySQLデータベースでトランザクション処理(OLTP)と分析処理(OLAP)の両方を高速に実行できる統合されたソリューションです。分析ワークロード用に最適化された専用のインメモリエンジンを使用し、数百GBから数十TBのデータに対して、従来のMySQL単体や他のクラウドDWHと比較して数倍から数千倍のクエリパフォーマンスを提供します。ETL(抽出、変換、ロード)なしでリアルタイム分析が可能です。
セキュリティ
| AWS | OCI |
|---|---|
| Shield | DDoS Protection |
| WAF | WAF |
| KMS | OCI Vault |
| Secrets Manager | OCI Vault |
| Certificate Manager | Certificates |
| Security Hub GuardDuty Inspector Config |
Cloud Guard Security Zones Vulnerability Scanning Security Advisor |
| CloudTrail | Audit |
| Systems Manager | OS Management |
DDoS Protection
DDoS Protection(DDoS防御)は、分散型サービス拒否(DDoS)攻撃からアプリケーションとネットワークを保護するための組み込み機能です。OCIは、広範なネットワーク容量と高度な検出・緩和技術を活用して、レイヤー3(ネットワーク層)、レイヤー4(トランスポート層)、およびレイヤー7(アプリケーション層)でのさまざまなDDoS攻撃を自動的に検知しブロックします。これにより、大規模なトラフィック攻撃によってサービスが中断されるのを防ぎ、アプリケーションの可用性と正常な稼働を維持します。
WAF
OCIにおけるWAF(Web Application Firewall)は、Webアプリケーションを一般的なWebベースの脅威から保護するサービスです。OWASP Top 10などの脆弱性を悪用する攻撃(SQLインジェクション、クロスサイトスクリプティングなど)を検知・ブロックし、悪意のあるボットやDDoS攻撃からも保護します。WAFは、アプリケーションの前に配置され、不正なトラフィックをフィルタリングすることで、Webアプリケーションのセキュリティを強化し、データの漏洩やサービスの中断を防ぎます。
OCI Vault
OCI Vaultは、暗号化キーとシークレット(パスワード、APIキー、認証トークンなど)を一元的に管理および保護するためのサービスです。ハードウェア・セキュリティ・モジュール(HSM)によって保護された環境でキーを生成、保存、管理し、最高レベルのセキュリティを提供します。シークレットは暗号化されて保存され、IAMポリシーによってアクセスが厳密に制御されます。これにより、機密情報の漏洩リスクを低減し、コンプライアンス要件を満たしながら、アプリケーションのセキュリティを強化できます。
Certificates
OCIにおけるCertificates(証明書)は、SSL/TLS証明書をセキュアに管理するためのサービスです。ウェブサイトやアプリケーションがHTTPS接続を介して安全な通信を行うために必要なデジタル証明書(X.509証明書)のライフサイクル(生成、発行、管理、更新、失効)を一元的に管理できます。OCI Vaultと連携し、証明書の秘密鍵をHSMで保護することが可能です。これにより、通信の暗号化と身元確認が容易になり、Webサービスのセキュリティと信頼性を向上させます。
Cloud Guard
Cloud Guardは、OCIテナンシ全体のセキュリティ体制を継続的に監視し、セキュリティの脆弱性やリスクの高いアクティビティを自動的に検出・評価するサービスです。疑わしい構成、悪意のあるアクティビティ、オープンなポート、過剰な権限などを特定し、具体的な推奨事項や修正アクションを提示します。これにより、お客様はセキュリティ上の問題を迅速に特定し、対処することができ、全体的なセキュリティを継続的に改善し、コンプライアンスを維持するのに役立ちます。
Security Zones
Security Zones(セキュリティゾーン)は、組織の厳格なセキュリティポリシーをOCIリソースに強制適用するためのサービスです。セキュリティゾーン内で作成されるすべてのリソースは、Oracleが定義した一連のセキュリティ要件(例:パブリックIPを持つリソースの禁止、インターネットからのSSHアクセス禁止、暗号化されていないストレージの禁止など)を自動的に遵守しなければなりません。これにより、人為的な設定ミスによるセキュリティギャップを防ぎ、特定の規制要件を満たす高セキュリティな環境を簡単に構築・維持できます。
Vulnerability Scanning
Vulnerability Scanning(脆弱性スキャン)は、OCIリソース(Computeインスタンスなど)のセキュリティ脆弱性を自動的に検出するサービスです。このサービスは、ホスト上のオープン・ポート、OSの既知の脆弱性、パッケージの弱点などをスキャンし、リスクのある領域を特定します。検出された脆弱性に対しては、優先度付きのレポートと具体的な修正推奨事項が提供されるため、お客様はセキュリティリスクを能動的に管理し、攻撃を受ける前にシステムの脆弱性を修正することが可能です。
Security Advisor
Security Advisorは、Oracleセキュリティのベストプラクティスをサポートし、強化するサービスです。セキュリティ・ゾーンのリソース構成要件を満たすことを目的としています。このサービスは、よりセキュアなオプションのみを提供し、リソース作成時に顧客管理の暗号化キーを自動割り当てするなど、ベースラインのセキュリティ要件を満たすリソースを効率的に作成できるよう支援します。これにより、お客様はセキュリティの複雑さを軽減し、堅牢なクラウド環境を構築・維持できます。
Audit
Audit(監査)サービスは、OCIリソースに対して行われたすべてのAPIコール(管理イベント)のログを自動的に記録・保存するサービスです。これには、誰が、いつ、どこから、どのリソースに対して、どのような変更を行ったかという詳細な情報が含まれます。監査ログはOCI Object Storageに保存され、セキュリティ分析、コンプライアンス監査、問題のトラブルシューティング、および不正アクセスや異常なアクティビティの検出に利用できます。ログは不変であり、最大1年間の保持が可能です。
OS Management
OS Management(OS管理)は、OCIで動作するComputeインスタンスのオペレーティングシステム(OS)に対して、パッチ適用、パッケージ管理、セキュリティ更新、OSの設定管理などを自動化・簡素化するサービスです。これにより、数百から数千のインスタンスにわたるOSの健全性とセキュリティを一元的に維持し、手動での管理負担を大幅に削減できます。Linuxディストリビューション(Oracle Linux, CentOS, Ubuntuなど)をサポートし、脆弱性への対応を迅速に行うのに役立ちます。
アプリケーション開発
| AWS | OCI |
|---|---|
| ECR | OCIR |
| EKS | OKE |
| Lambda | Oracle Functions |
| API Gateway | API Gateway |
| CodePipeline CodeBuild CodeDeploy CodeStar |
OCI DevOps |
| CloudFormation | OCI Resource Manager |
OCIR
OCIR (Oracle Cloud Infrastructure Registry) は、コンテナイメージ(Dockerイメージ)を保存、管理、共有するためのOCIのレジストリサービスです。これは、プライベートなDockerレジストリとして機能し、開発者はCI/CDパイプラインと統合して、アプリケーションのコンテナイメージをセキュアにプッシュおよびプルできます。OCI上のKubernetesサービス(OKE)やOracle Functionsといったコンテナベースのサービスとシームレスに連携し、アプリケーションのデプロイと管理を効率化します。
OKE
OKE (Oracle Container Engine for Kubernetes) は、OCI上でKubernetesクラスタをデプロイ、管理、運用するためのフルマネージドサービスです。これにより、コンテナ化されたアプリケーションを高い可用性とスケーラビリティで実行できます。OKEはKubernetesのマスターノード管理をOracleが担当し、お客様はワーカーノードとアプリケーションに集中できます。開発者はOCIのさまざまなサービスと連携させ、複雑なコンテナオーケストレーションを簡素化し、アプリケーション開発とデプロイを加速できます。
Oracle Functions
Oracle Functionsは、サーバーレスの関数実行環境を提供するサービスです。開発者はアプリケーションを関数として記述し、インフラストラクチャのプロビジョニングや管理を一切意識することなくデプロイできます。関数はイベント(例: オブジェクト・ストレージへのファイルアップロード、データベースの変更、HTTPリクエストなど)に応じて自動的に実行され、必要なリソースが動的に割り当てられます。実行時間とリソース消費量に基づいてのみ課金されるため、高いコスト効率とスケーラビリティを実現します。
API Gateway
API Gatewayは、マイクロサービスやサーバーレス関数、その他のWebサービスへの統一されたアクセス・ポイントを提供するサービスです。これにより、開発者はセキュアでスケーラブルなRESTful APIを公開し、管理できます。API Gatewayは、認証、承認、レート制限、モニタリング、キャッシュ、リクエスト/レスポンス変換など、API管理に必要なさまざまな機能を提供します。これにより、バックエンドサービスの複雑さを抽象化し、フロントエンドの開発を簡素化するとともに、APIのセキュリティと信頼性を向上させます。
OCI DevOps
OCI DevOpsは、ソフトウェア開発ライフサイクル(SDLC)全体を自動化し、統合するためのサービスです。ソースコード管理(Gitリポジトリ)、ビルド、テスト、デプロイメントなどのプロセスを効率化します。ビルド・パイプラインとデプロイ・パイプラインを定義でき、OCIのさまざまなサービス(OKE、Functions、Computeなど)への継続的デリバリーをサポートします。これにより、開発チームはアプリケーションのリリースサイクルを加速し、品質を向上させながら、手動での作業を削減し、一貫性のあるデプロイメントを実現します。
OCI Resource Manager
OCI Resource Managerは、Terraformを使用してOCIインフラストラクチャをコードとして管理(Infrastructure as Code: IaC)するためのサービスです。これにより、OCIリソース(VCN、Computeインスタンス、データベースなど)のプロビジョニング、構成、更新、削除を自動化し、バージョン管理されたテンプレートとして管理できます。手動によるエラーを減らし、インフラストラクチャのデプロイを一貫性のある、反復可能なプロセスに変えます。チームでの共同作業や、複雑な環境の効率的な管理にとくに有効です。
モニタリングと可観測性
| AWS | OCI |
|---|---|
| CloudWatch | OCI Monitoring |
| CloudWatch Logs | OCI Logging |
| CloudWatch Application Monitoring X-Ray |
Application Performance Monitoring |
| CloudWatch Alarms | OCI Monitoring(Alarm) |
OCI Monitoring
OCI Monitoring(モニタリング)は、OCIリソースのパフォーマンスと健全性を可視化するためのサービスです。CPU使用率、ネットワークI/O、ディスク使用量、データベース接続数など、さまざまなメトリック(指標)を収集・表示し、グラフやダッシュボードで視覚化します。また、メトリックが閾値を超えた場合に通知(アラーム)を送信する機能も提供し、異常を早期に検知して対応を促します。これにより、システムの安定稼働を維持し、パフォーマンスの問題を迅速に特定・解決できます。
OCI Logging
OCI Logging(ロギング)は、OCIのサービス、アプリケーション、およびカスタム・リソースから生成されるすべてのログを一元的に収集、管理、保存、分析するためのサービスです。Auditログ、VCNフローログ、OSログなど、多様な種類のログに対応し、セキュリティ分析、トラブルシューティング、コンプライアンス要件への対応に活用できます。ログはリアルタイムでストリーミングされ、フィルタリング、集約、アラートの設定も可能です。これにより、運用上の可視性を高め、問題の原因特定を迅速化します。
Application Performance Monitoring
Application Performance Monitoring(APM)は、OCI上で稼働するアプリケーションのパフォーマンスとユーザーエクスペリエンスを深く可視化するためのサービスです。エンドユーザーからのリクエストの開始から、アプリケーション内部の処理、データベースへのアクセス、外部サービスとの連携に至るまで、トランザクションの完全なパスを追跡(分散トレーシング)します。これにより、レイテンシの原因特定、エラーの検出、ボトルネックの識別、およびコードレベルでのパフォーマンス問題の診断が可能となり、アプリケーションの健全性と応答性を継続的に最適化できます。
関連記事
お知らせ
私達クラウド事業部はクラウド技術を活用したSI/SESのご支援をしております。
また、一緒に働いていただける仲間も募集中です!
今年もまだまだ組織規模拡大中なので、ご興味持っていただけましたらぜひお声がけください。
