仮想プライベートクラウド

仮想プライベートクラウドとは

仮想プライベートクラウド (VPC) は、ユーザーごとに分離されたリソースとともに、サービスプロバイダーのパブリックアーキテクチャーにホストされているクラウドです。このモデルを利用すれば、企業はパブリッククラウドとプライベートクラウドの両方のメリットを活用できます。

企業が仮想プライベートクラウドを利用する理由

仮想プライベートクラウドは、パブリッククラウドの領域内で分離された環境として機能します。VPCの多くは、Webサーバーを他のクラウドホスト型リソースから分離するか、多層アプリケーションで仮想サーバーを分離しておくために利用されています。

企業は、クラウド環境内のこうしたリソースを活用して、仮想ネットワークの完全な制御性を維持し、機密性が高いワークロードを保護するとともに、DIY型パブリッククラウドのアジリティ、柔軟性、拡張性をリスクなしに得ることができます。

多くの組織では、両者を最大限に活用するのが理にかなっています。VPCでは、企業がパブリッククラウドインフラストラクチャを活用しながら、同時にプライベートクラウドのセキュリティと法令遵守のメリットを得ることができます。

関連するHPEのソリューション、製品、サービス

仮想プライベートクラウドの課題

VPC環境には、組織がこのモデルに移行する前に検討すべき課題がいくつかあります。まず、社内のITチームでは、仮想プライベートネットワーク (VPN) を設定、管理、監視して準備を整えることが難しい場合があります。また、仮想プライベートクラウドは、組織のデータセンターの外にホストされるため、規制の厳しい一部の業界では、分離が不十分となる可能性もあります。

仮想プライベートクラウドの仕組み

仮想プライベートクラウドのサブスクライバー/テナントは、基本的には、常に (クラウドプロバイダーのネットワーク内および転送時) 他のすべての顧客のデータから完全に切り離され、自社のデータが隔離された環境を購入しています。

また、パブリッククラウドのサブスクライバーは、パブリッククラウドにあるものの、クラウド上の他のサブスクライバーにはアクセスできないリソースを作成できます。サブスクライバーが作成した仮想マシン、データベース、またはゲートウェイのインスタンスには、そのサブスクライバーしかアクセスできません。

ただし、テナントがネットワークコンポーネント (IPアドレス、サブネット、ネットワークゲートウェイ、アクセス制御ポリシーなど) を制御し続ける一方で、VPCのセキュリティは、サブスクライバーのIT部門ではなく、サービスプロバイダーの責任となります。そうした制御を手放すことで生じるリスクを軽減するため、テナントはプロバイダーに対し、セキュリティポリシー (暗号化、トンネリング、プライベートIPアドレッシング、または各顧客への一意の仮想ローカルエリアネットワーク (VLAN) の割り当てなど) の利用を求めることで、オンプレミスのクラウドとほぼ同等の保護をデータに適用できます。

 

仮想プライベートクラウドとプライベートクラウドの違い

従来のオンプレミスプライベートクラウドとVPCには、リソースの提供方法やプロバイダーとテナントの関係など、いくつかの違いあります。プライベートクラウドでは、事業部門がITリソースを制御するのに対し、VPCではある程度分離されており、多少侵入しやすくなっています。

ただし、主な違いは、データオーナーとサービスプロバイダーとの関係にあります。オンプレミスクラウドでは各事業部門がテナントであり、社内のIT部門がサービスプロバイダーの役割を果たします。それに対してVPCは、サービスプロバイダーであるパブリッククラウドプロバイダー、そしてテナントであるサブスクライバー (通常はIT部門) と連携します。つまり、仮想モデルでは、IT部門がすべてのテクノロジーを管理できなくなっています。 

VPCを使用する組織は、社内のIT部門を経て新しいアプリケーションやサービスを展開するのではなく、アプリケーションやサービスをサービスプロバイダーに送る必要があります。

リソースの提供に関しては、従来のプライベートクラウドでは、各事業部門がセルフサービスポータルを使用してリソースを展開できます。そうしたポータルが使用できる場合、IT部門はプロジェクトに一切関与しないため、相当な時間を節約できます。しかし、一部のVPCは何層にも分離されているため、同じように自らニーズを満たすことはできません。

仮想プライベートクラウドの機能

一般的な仮想プライベートクラウドには次の5つの主要機能があり、セットアップの際にカスタマイズできます。詳細は以下のとおりです。

  1. サブネット: 組織は、VPCで使用するネットワークをサブネットに分割して、より詳細にアクセスを制御できます。サブネットは、パブリック向けかプライベート向けかのいずれかになります (インターネットを使用するリソースによって異なります)。プロバイダーによって異なりますが、最大200個のサブネットを作成できます。
  2. 仮想通信機器: これは、VPC上のリソースへのアクセスとリソースからのアクセスを制御するゲートウェイです。ゲートウェイには次の5種類があります。

    a.       インターネットゲートウェイ: 公共のインターネットに接続

    b.       NATゲートウェイ: プライベートサブネットでリソースがインターネットにアクセスするためのNetwork Address Translation (NAT)

    c.       仮想プライベートゲートウェイ: VPN接続のサービスプロバイダー側

    d.       Egress-onlyインターネットゲートウェイ: IPv6のトラフィックにイーグレスに限定されたアクセスを提供

    e.       VPCエンドポイント: VPC内のAWSにホストされているサービスが、他のゲートウェイやファイアウォールを使用することなく、プライベートに接続可能

3. VPN: 仮想プライベートネットワークは通常、VPC上のリソースへのアクセスを制御するために使用されます。

4. リージョンとゾーン: プロバイダーが、アベイラビリティゾーン、ローカルゾーン、波長ゾーンと呼ばれる、複数の分離された拠点に分割されたさまざま地理的リージョンでVPCをホストするため、組織はリソースをエンドユーザーにより近い場所に配置できます。

5. ルートテーブル: ルーターが受け取ったデータパケットの送信先を確認する際に使用するデータテーブルです。ルーターは、(必要に応じて関連する評価基準とともに) 特定のネットワークの宛先に割り当てられます。これをルーターがマップのように参照します。

一部のプロバイダーは、サブスクライバーがセキュリティとアクセスを強化するのに役立つ次のような機能も提供しており、それによって継続的な監視と診断が可能になります。

  • 診断ツール: このタイプのツールは、VPC内の個々のリソース間の仮想パスを分析して、経路を塞いでいるコンポーネントを特定します。
  • フローログ: VPCを通過するトラフィックの監視により、組織が異常を検知してデータ漏洩を回避し、ネットワークの依存関係とトラフィックのパターンを調査して、接続や構成の問題のトラブルシューティングを行えるようにします。
  • トラフィックミラーリング: この機能を使用すれば、組織がエラスティックネットワークトラフィックをアウトオブバンドセキュリティにコピーし、アプライアンスをミラーリングすることで、ディープパケットインスペクションを実行できます。それによってネットワークやセキュリティの異常を検知し、運用に関する有益な情報を提供してコンプライアンスとセキュリティを制御するとともに、通常のトラブルシューティングをサポートすることができます。
  • イングレスルーティング: ビジネスワークロードに到達する前に、特定のゲートウェイまたはマシンからトラフィックを送信できるようにします。
  • セキュリティグループ: 各仮想マシンのインスタンスを異なるセキュリティグループと関連付けることで、それらの間にファイアウォールを追加してインスタンスレベルでトラフィックを制御できます。
  • ネットワークアクセス制御リスト: このオプションのセキュリティレイヤーもトラフィックを制御しますが、この場合はサブネットレベルでの制御となります。組織は、追加のセキュリティレイヤーとして、ネットワークのルールを定義できます。

仮想プライベートクラウドを使用するメリット

仮想プライベートクラウドを選択する理由は数多くありますが、企業は自社のリソースを評価し、メリットがリスクを上回るかどうかを十分に見極める必要があります。主なメリットは次のとおりです。
  • 拡張性: 柔軟なパブリッククラウドプラットフォームを活用しながら、誰でもアクセスできる場所にリソースを置くことで生じるリスクを回避できます。
  • 制御性の向上: VPCにより、接続を保護してトラフィックを検査し、VPN内のインスタンスのアクセスを制限できます。
  • 生産性の向上: VPCにより、社内のIT部門によって生じる生産性のボトルネックを排除できます。VPCでは、IT部門による新規プロジェクトの承認またはスコープの変更を待つ必要がなくなります。そのため、生産サイクルで数週間または数か月間もの時間を短縮できます。
  • コスト削減: リソースを仮想的に作成してパブリッククラウドに送れば、アクセスやメンテナンスが簡単に行えるようになり、ITインフラストラクチャへの大規模な初期投資を回避できます。この方法なら、所有コストが発生することなく、柔軟でセキュアかつスケーラブルなインフラストラクチャを確保できます。
  • 管理の簡素化: 企業のIT部門は、仮想ネットワークのセットアップ、管理、検証に費やす時間を減らし、ビジネス全体の収益力向上につながるアプリケーションやサービスの構築に注力できます。
  • リソースの拡充: オンプレミスプライベートクラウドの構築に必要な時間やリソースがなくても、ハイブリッドクラウド環境内でVPCをデータセンターの延長として利用できます。

HPEと仮想プライベートクラウド

デジタルトランスフォーメーションが急務となるなかで、多くの組織はクラウドに飛び付いてモダナイゼーションを実現しようとしました。しかし、社内でクラウド導入のスキルが不足していたことや、データとアプリケーションのコンプライアンスとセキュリティの確保が困難だったことから、多くの課題に直面することになりました。Frost & Sullivan社によると、38%の企業が、最初のクラウド移行を中断して、クラウドのアプリケーションをオンプレミスに送り返した大きな理由として、自社の能力では対応できない技術的な課題を挙げていました。

企業主体のクラウド移行の取り組みを数百件も成功に導き、業界をリードする経験と専門知識を培ってきたHPEは、コンサルティングを実施しながら、戦略的なクラウド移行の基盤構築に役立つリソースを提供します。 HPE Transformation Program for Cloudサービスは、組織の評価をサポートして成熟度ギャップを特定し、包括的なクラウド移行に必要な人員、プロセス、テクノロジーを準備するためのクラウドロードマップを作成します。実績のあるCloud Transformation Maturity (CTM) Frameworkを活用して、複数のドメインにおけるクラウドの成熟度を分析したうえで、Cloud Business Office (CBO) を設置して、主要なガバナンスの役割をお客様のチームにスムーズに移行させます。このフレームワークには、現在のクラウド成熟度を分析して、CTMの各ドメインで期待される成熟度を達成するためのロードマップを作成するサービスも含まれています。

HPE GreenLakeクラウドサービスは、オンプレミス、エッジ、またはコロケーション施設で運用できる、柔軟なas a service型プラットフォームを通じて、デジタルトランスフォーメーションを推進するための強固な基盤を提供します。HPE GreenLake Edge-to-Cloudプラットフォームは、クラウドのシンプルさとアジリティに加えて、ハイブリッドITのガバナンス、コンプライアンス、可視性も兼ね備えています。HPE GreenLakeプラットフォームでは、エッジ、コロケーション、データセンターなどの場所を問わず、お客様のアプリケーションとデータに直接クラウドのエクスペリエンスがもたらされます。また、コンピュート、コンテナ管理、データ保護、HPC、機械学習運用、ネットワーク、SAP HANA®、ストレージ、VDI、ベアメタル、VMなど、イノベーションの推進に役立つさまざまなクラウドサービスを利用できます。HPE GreenLakeプラットフォームなら、データ移動やイーグレスコスト、ロックインを回避しつつ、ビジネスの価値実現時間を短縮して現金と資本を温存し、既存のIT投資を最適化できます。