- Oracle Cloud
管理者ユーザー必見!OCI IAMポリシーでwhere句を使い条件式を設定する方法
OCI IAMポリシーは、where句を使った条件式を使用することで、柔軟な権限付与が可能になります。今回は、where句による条件式の設定例およびwhere句の有無による違いについてご紹介します。
|
2023年11月21日(米国現地時間)にVMware社がBroadcom社に買収されてから、Broadcom社より様々なアナウンスがありました。
特にVMware製品をご利用のお客様にインパクトが大きかったのは、ライセンスの変更やOEMの供給終了だと思います。永続ライセンスの販売を取り止めたことに加え、ライセンスを買い切り型からサブスクリプション型への変更も実施されました。
また、VMware製品のOEMの供給も終了したため、日系のハードウェアベンダーがVMware製品をカスタムした製品を販売できなくなるなど、大きな変化により不安をお持ちの方も多いと思います。
そのようなお客様へ今回お伝えしたいのが、Oracle Cloud VMware Solution(以下OCVS)です!
OCVSは、Oracle Cloud上でVMwareをご利用いただけるサービスです。今後VMware製品を利用するための選択肢の一つとしてOCVSがあることを認識いただくためにも、本記事ではOCVS・SDDCの概要や、オンプレミスと比較したOCVSのメリットをお伝えします!
また、オンプレミスのVMware環境からOCVSへ移行する際に、OCVSで検討しておく必要があるサイジングやシェイプといったポイントもご紹介します。
Index
OCVSはどのようなサービスかご存じでしょうか?
そのご質問に対しては、「オンプレミスとほとんど変わらず、Oracle Cloud上でVMware環境を提供するサービス」という答えになります。
オンプレミスのVMware環境では、vSphere(vCenter Server・ESXi)、vSANなど多岐にわたるサービスが提供されますが、OCVSはそれらをそのままクラウド上で使用できます。具体的には、ESXiの管理者権限がお客様にあることや、OCVS環境のパッチ適用やアップグレードがお客様の任意のタイミングで実施可能なことなどがあります。
そのため、クラウド上で稼働しているものの、オンプレミス時の操作や使用感は変わらないままでVMwareサービスを利用できることが最大の特徴です。
オンプレミスからOCVSへの移行時には、以下のような不安をお伺いします。
しかしOCVSでは、上記を全て気にしていただく必要がありません!
このように、OCVSはオンプレミスとほとんど変わらずにご利用いただけるサービスです。
続いて、SDDCの概要を説明します。
SDDCとはSoftware-Defined Data Centerの略で、OCVSにおいて提供するコンピュートやストレージ、ネットワークを一元管理する仮想的なデータセンターを示します。簡単に言えば、物理サーバーやストレージ、ネットワークをOCVS上(ソフトウェア)で管理しよう!というサービスです。
OCVSでは以下サービスが提供されておりますが、それらを全て管理するのがSDDCです。
OCVSを利用するためには、このSDDCを作成します。
(実際にSDDCを作成する手順は、別の記事で掲載予定なのでお楽しみに!)
これまでの説明でOCVSやSDDCとは何かをお分かりいただけたと思いますが、同時に以下のような疑問も生まれていることでしょう。
OCVSに移行することで、どのようなメリットがあるのか?
上記の疑問に以下の観点でお答えします!
1. 利用料
2. 柔軟性
3. 管理性
4. セキュリティ
オンプレミスでは、ピーク時のリソース利用量を踏まえたサイジングが必要となり、負荷が低い場合には使用しないリソース分が無駄になってしまいます。しかし、OCVSではワークロードに合わせてサイジングを変更でき、コストを最適化できます。
また、OCVSを含めたOracle Cloudでは、アウトバウンド通信(Oracle
Cloud内から外部への通信)での利用料が月10TBまで無料といった特徴や、オンプレミスとOCVS間で専用線を引いた場合のデータ転送量も無料といったメリットもあります。
クラウドサービスでの最大の特徴である、リソースを自由に変更できる柔軟性もメリットの一つです。使用状況により負荷が高まった際に、Oracle Cloudの管理コンソールから簡単にリソースを拡張できます。
ハードウェアの調達から必要となるオンプレミスと比較し、圧倒的に手間がかからないことがお分かりいただけると思います。
OCVSはオンプレミスよりも管理性が各段に高くなっています。
OCVSではESXiホストの管理者権限はユーザー自身にあります。そのため、オンプレミスと同様に任意のタイミング・任意のバージョンでアップデートするといったバージョン管理が可能です。
アップデート以外にも、アプリケーションとの連携などで管理者権限が必要となった場合にユーザー側で解決できます。また、ネットワークの観点でもオンプレミスよりも管理が容易です。
オンプレミス-OCVS間の接続やOCVS-インターネット間の接続の確立などを、OCIの管理コンソールから簡単に行える点も魅力の一つです!
クラウドサービスで気になる声が多いのがセキュリティかと思います。
OCVSでは、Oracle Cloudのサービスであるファイルストレージ・ブロックボリュームの暗号化やVault(データ保護の暗号化キー、リソースへのアクセス時のシークレットな証明を管理するサービス)といったサービスをご利用いただけます。
これらのサービスとも容易に連携できますので、セキュリティの面で安心してご利用いただけます。
OCVSへ移行する際には、様々な点を検討いただく必要があります。
ここでは、OCVSへの移行前に検討しておくポイントをお伝えします。
1. 利用料
2. ネットワーク
3. サイジング
4. 環境情報
まずは利用料を決める項目とその概要を説明します。
OCVSでは、ESXiホストのシェイプ(Standard or DenseIO)や価格設定間隔コミットメント(毎時 or 月次 or 1年 or 3年)、OCPU数などによって必要な利用料が変わってきます。
ここでは、利用料に大きく関連するシェイプ、価格設定コミットメントの概要を表を用いて説明します。
OCVSではDense、Standard、GPUの三つのシェイプが提供されており、シェイプのバージョンによっても利用料が変わります。
それぞれのリソース情報は以下のとおりですので、表をもとにシェイプをご検討ください。
・全ての価格設定間隔コミットメント、全てのHCXのライセンスタイプをご利用可能です。
・単一ESXiホスト、複数ESXiホストのどちらでも構成可能です。
プロセッサタイプ | シェイプ | OCPU | 利用可能なコア数 | メモリ(GB) | ネットワーク帯域制限(Gbps) |
Intel | BM.DenseIO2.52 | 52 | 52 | 768 | 50 |
AMD | BM.DenseIO.E4.128 | 128 | 32,64,128 | 2048 | 100 |
・毎月(Monthly)設定間隔コミットメントは利用できません。
・複数ESXiホストのみ構成可能です。
プロセッサタイプ | シェイプ | OCPU | 利用可能なコア数 | メモリ(GB) | ネットワーク帯域制限(Gbps) |
Intel | BM.Standard2.52 | 52 | 52 | 768 | 50 |
Intel | BM.Standard3.64 | 64 | 16,32,48,64 | 1024 | 100 |
AMD | BM.Standard.E4.128 | 128 | 32,64,96,128 | 2048 | 100 |
・毎時(Hourly)設定間隔コミットメントは利用できません。
・全てのHCXのライセンスタイプを利用可能です。
・単一ESXiホスト、複数ESXiホストのどちらでも構成可能です。
プロセッサタイプ | シェイプ | OCPU | OCPU RAM (GB) |
GPU | GPU RAM |
利用可能なコア数 | ネットワーク帯域制限 (Gbps) |
最大VNIC制限(Linuxのみ) |
Intel X9 | BM.GPU.A10.4 | 64 | 1024 | 4×A10 | 96GB (各24GB) |
64 | 100 | 256 |
価格設定間隔コミットメントとは、ESXiホストの最低起動時間を指します。毎時、月次、1年、3年から選択可能で、用途や利用時間によって柔軟な価格設定が可能です。
以下に価格設定間隔コミットメントの情報を記載します。
価格設定間隔が長期になるほど、時間あたりの利用料は安価となります。
価格設定間隔 | 必要コミットメント | 備考 |
毎時(Hourly) | 最低8時間のホスト起動時間 | テスト環境や短期利用が目的の場合に利用されます。 |
毎月(Monthly) | 最低1か月のホスト起動時間 | 一般的な価格設定間隔となります。 |
1年(Yearly) | 最低1年のホスト起動時間 | Oracle Cloudへのワークロードやアプリケーションの移行などの長期プロジェクトで利用されます。 |
3年ごと(Every Three Years) | 最低3年のホスト起動時間 | 移行が困難な長期的なプロジェクトやミッションクリティカルなワークロードで利用されます。 |
想定している構成や利用時間での利用料を見積もりたい場合には、Cost Estimator(https://www.oracle.com/jp/cloud/costestimator.html)が便利です。
Cost Estimatorの使用方法ですが、初めにCost Estimatorのページのカテゴリ検索欄に「vmware」と入力します。
その後、ESXiのシェイプやクラスタ内のESXiの台数、シェイプシリーズ、OCPU数、価格設定間隔コミットメントなどを設定することで、月次での見積り金額が表示されます。
以下のスクリーンショットの例では、744時間/月の利用時間で1,500,000円ほどの課金が発生することとなります。
当然ですが、VCNやCIDR、サブネットといったネットワークの構成も検討する必要があります。
OCVSでは、vSphereやvSAN、vMotionといった用途ごとに10個のVLAN(Virtual LAN)が必要となります。
SDDCの構築時にサブネットやVLANを作成することも、既存のサブネットやVLANを指定することも可能です。SDDCクラスタのCIDRは最小サイズが/24となっているため、仮想マシンの台数や今後の拡張性を考慮したCIDRを設定してください。
オンプレミスと同様に、OCVSでは主に仮想マシンのスペックや台数によって、サイジングが変わってきます。
膨大な数の仮想マシンを運用する際には、ESXiのOCPU数を多くしたり、VMware環境でのデータストアのディスクにあたるブロックボリュームのサイズを大きくしたりする対応が必要となります。
SDDCの作成時にESXiのOPCU数やメモリは設定しますので、環境に応じて事前にご検討ください。
※追加でデータストアが必要となった場合には、ESXiに追加のブロックボリュームをアタッチすることでご対応いただけます。
OCVSを使用する際に、どのような目的で使用するのかによって構成が変わってきます。
オンプレミスで使用している本番環境をそのままOCVSで運用するのか、検証環境のみをOCVSで利用するのか、オンプレミスのDR環境としてOCVSを利用するのかなど、様々考えられます。
OCVSを利用する目的をまずは設定いただき、その目的に基づいて構成をご検討いただければと思います。
オンプレミスからOCVSへ移行した際のメリットや、OCVSへの移行前に検討しておくポイントをお伝えしました。
本記事により、OCVSのメリットをご認識いただき、OCVSへの移行を検討いただくきっかけとなりましたら幸いです。オンプレミスのVMware環境からOCVSへの移行をお考えのお客様は、弊社へぜひお気軽にご相談ください。
次回は、実際にOCVSを構築する手順をお伝えいたします。どうぞお楽しみに!
2024年アシストに参画。以前はオンプレミスのVMware HorizonやvSphereのサポート業務に従事。現在はOCIのポストセールス業務を担当する傍ら、OCVSのサポートに関連する業務も担当している。趣味は居酒屋巡りとテニス。
■本記事の内容について
本記事に示した定義及び条件は変更される場合があります。あらかじめご了承ください。
■商標に関して
・Oracle®、Java、MySQL及びNetSuiteは、Oracle、その子会社及び関連会社の米国及びその他の国における登録商標です。
・Amazon Web Services、AWS、Powered by AWS ロゴ、[およびかかる資料で使用されるその他の AWS 商標] は、Amazon.com, Inc. またはその関連会社の商標です。
文中の社名、商品名等は各社の商標または登録商標である場合があります。
OCI IAMポリシーは、where句を使った条件式を使用することで、柔軟な権限付与が可能になります。今回は、where句による条件式の設定例およびwhere句の有無による違いについてご紹介します。
2024年5月のアップデートで、Computeインスタンスを再作成せずにブートボリュームをリストアできるブートボリューム置き換えの機能が追加されました。この機能追加により、従来のリストア方法よりも手順が少なくなり、障害発生時にも迅速な復旧が可能になりました。
Oracle Cloudで構築したComputeインスタンスは、ハードウェア等インフラ周りはオラクル社が管理しますが、OSやアプリケーションはお客様が管理する必要があります。今回は、事前準備不要で簡単に操作可能なCloud Shellによるコンソール接続をご紹介します。