applicationワークロードをパブリック クラウドに移行する

あらゆる業界や分野の企業や組織は、俊敏性の向上、市場投入までの時間の短縮、柔軟なユーティリティ支払いモデルを実現するために、新しいapplicationsをIaaS パブリック クラウド プロバイダーに移行または導入しています。 これらのapplicationsは、収益を生み出すアプリケーションであっても、重要なビジネス アプリケーションであっても、関連する可用性、パフォーマンス、セキュリティ サービスを含め、同じ優れたユーザー エクスペリエンスを保証する必要があります。 ただし、クラウド データ センターの固有の設計、各クラウド プロバイダのapplication配信とセキュリティの機能、全体的な可視性と制御の欠如により、どのワークロードがクラウドに適しているかを判断するなど、対処する必要がある課題があります。

これらの課題により、カスタマイズされたクラウドの実装が遅くなり、コストがかかり、クラウド ベンダーの選択とモビリティが妨げられ、セキュリティの脆弱性のリスクが増大する可能性があります。 このホワイト ペーパーでは、パブリック クラウドへのapplicationsの移行を成功させるための主な考慮事項と既知の阻害要因について確認し、主要なクラウド IaaS プロバイダーで柔軟なライセンス モデルで利用できる F5® BIG-IP®applicationおよびセキュリティ サービスの導入が、その成功に不可欠な要素となる理由について説明します。

パブリック クラウドの利点は誰もが認識していますが、実際には、複数のテナント向けに設計されたパブリック IaaS プロバイダー データ センターでapplicationが実行される方法と、プライベートなエンタープライズ データ センターでアプリケーションが実行される方法との間には大きな違いがあります。 パブリッククラウド プロバイダは、仮想化、コモディティ化、標準化を利用してコストを削減し、大規模なスケーラビリティを念頭に置いてデータ センターとネットワークを設計します。 ネットワーク制御のレベルが異なり、L2 機能 (マルチキャスト、802.1q VLAN タグ付けなど) へのアクセスが制限され、applicationごとに 1 つのパブリック IP しか取得できない場合があります。 コンピューティング能力の追加は、多数の小さなインスタンスをスケールアウトすることによって行われますが、高性能な専用ハードウェアを介してスケールアップすることは、特定の要素またはノードの状態の維持に直接影響します。

理想的な目標はパブリック クラウドへの「リフト アンド シフト」ですが、一部のapplicationsは設計変更や完全な再設計を行わないと移行できない場合があります。 どのapplicationsをパブリック クラウドに移行するか、どのような変更が必要かを決定することが重要です。 移動するアプリを決定するための質問と基準には、次のものが含まれます。

• applicationはすでに仮想化されており、クラウド プロバイダーのインフラストラクチャ上で実行できますか?
• クラウド プロバイダは厳格なデータ保護ポリシーを満たしていますか?
• applicationにはどのレベルのサービス レベル契約が必要ですか? クラウド プロバイダはどのような種類の稼働時間保証または高可用性機能を提供していますか?
• ネットワークと管理の要件は何ですか? クラウド環境で複製できますか?

すべてのapplicationには、場所に関係なくアプリとセキュリティ サービスが必要です。 各クラウド プロバイダーの可用性、パフォーマンス、セキュリティに関するツールセットとサービスは機能と管理が異なり、考慮する必要がある追加コストが発生する可能性があります。 要件に合わせてこれらの新しいサービスを学習し、構成するには、時間、テスト、およびトレーニングが必要になります。 これにより、複数のクラウド プロバイダー戦略を使用する場合に法外な切り替えコストが発生し、クラウド ベンダーのロックインが発生する可能性があります。 最も重要なことは、特定のapplication要件によっては、それらが十分でなかったり、現在使用しているものと同じ機能を提供できなかったりする可能性があることです。 これにより、クラウド プロバイダーを選択する際のビジネスの柔軟性が制限され、クラウド移行のリスクと複雑さが増す可能性があります。 主な課題は 3 つあります。

90%の組織がセキュリティ上の懸念を抱いている

パブリック クラウドでapplicationsが安全であることを確認することは、ほとんどの組織にとって最大の関心事です。 複数の種類のボリューム型 DDoS 攻撃とアプリ層攻撃 (OWASP Top Ten、クロスサイト スクリプティング、SQL インジェクションなど) が組み合わされた、高度で混合された L3～7 セキュリティ脅威から保護することが重要です。 もう 1 つの考慮事項は、クラウド プロバイダーの基本的なセキュリティ ツールを使用する場合のアクセスとapplicationのセキュリティ ポリシーの不一致です。 これにより、攻撃対象領域が拡大し、ユーザー、特に悪意のある人物のプロビジョニングおよびプロビジョニング解除アクセスに関連する脆弱性が露出する可能性があります。 組織には、プライベート データ センタとクラウド全体で一貫性のある実証済みのセキュリティ ポリシーとアクセスを複製して適用する機能が必要です。

基本的なロードバランシングを超えた高度なトラフィック管理は、通常、ビジネスクリティカルな主要なエンタープライズapplicationsに導入されます。 クラウド プロバイダーは基本的なロードバランシングサービスを提供する場合がありますが、HTTP/HTTPS および TCP 以外にどのようなプロトコル サポートが必要になるかを検討する必要があります。 基本的なヘルスチェックとロードバランシングアルゴリズムのハッシュベースとラウンドロビンで十分ですか? applicationデータの操作が必要になることが多く、URL 検査/書き換えなどの完全な L7 プロキシ機能が必要になります。

クラウド プロバイダは、インフラストラクチャの稼働時間と回復力をどのように管理していますか? 大規模なプロバイダーの場合、一般的なインフラストラクチャの可用性の目標は 99.95% ですが、これは必要な値よりも低い可能性があります。 さらに重要なのは、リスクを理解し、停止の影響を軽減する方法を見つけることです。 一部のプロバイダーは、自然災害などの重大な障害が発生した場合でも可用性を維持するために、複数の地理的地域に冗長データ センターと拠点を持っています。 冗長性を活用するには、特定の実装の詳細、遅延、フェイルオーバー/リカバリ時間を考慮した慎重な計画が必要です。

エンドユーザーのエクスペリエンスと生産性は今後も重要であり、クラウドに移行したapplicationのパフォーマンスに依存します。 データ センターがユーザーから遠く離れている場合、エンド ユーザーとapplication間の待ち時間が増加し、パフォーマンスに影響します。 キャッシュ、圧縮、TCP 最適化など、通常使用される一部の方法は利用できない場合があります。 ユーザーが最も近い場所に誘導されるようにすることも、もう 1 つの要件です。

パブリック クラウドに移行する主な理由の 1 つは、事前定義されたしきい値に基づいて、計画的および計画外の需要の急増に対処するために、柔軟でオンデマンドのリソース割り当てを実現することです。 容量の一時的な急増や需要の大幅な変動が予想されるapplicationsは、パブリッククラウド プロバイダへの一時的な移行に適した候補となる可能性があります。

データセンターからクラウドまでのapplicationsに追従しないapplicationおよびセキュリティ サービスとポリシーでは、クラウド プロバイダごとにカスタマイズされた実装が必要になります。 組織は、ワークロードをある場所から別の場所にいつ移動する必要があるかを判断するために、applicationのパフォーマンス、セキュリティ、およびユーザーによるapplicationアクセスに関する洞察を必要とします。 これには、applicationsとユーザーのやり取り、およびすべての展開インフラストラクチャにわたるユーザー エクスペリエンスの可視性が必要です。 アプリごと、プロバイダーごとのポリシーの拡散、変動性、複雑さ、および一貫した可視性の欠如により、OPEX の増加、サービス速度の低下、顧客エクスペリエンスの低下につながる可能性があります。

F5 BIG-IP 仮想エディション (VE) は、高速化、最適化、インテリジェントなトラフィック管理(ローカルとグローバルの両方) から DNS、高度なapplicationアクセス、ネットワーク セキュリティまで、幅広いインテリジェントapplicationおよびネットワーク サービスを提供します。 これらのサービスは、applicationスタックの一部として完全に統合され、自動的に構成されます。 ハードウェアと仮想application配信コントローラ (ADC) の両方の市場リーダーとして、これらのサービスは既にデータセンターに導入されている可能性があり、F5 のクラウド ライセンス プログラムを通じて主要なクラウド プロバイダーから利用できるようになりました。

BIG-IP VE は、制御、柔軟性、可視性を犠牲にすることなくクラウド アプリを保護する、インテリジェントで包括的な L3～7 セキュリティ サービスを提供します。 これらのサービスは、各クラウド プロバイダが提供するサービスを補完し、あらゆる種類の DDoS ベクトル、ゼロデイ脅威、多層 Web ベースapplication攻撃、データ盗難、漏洩に対する徹底的な防御を提供します。 各applicationのファイアウォール ルールとポリシーの調整と構成にかかる労力と専門知識は、クラウド プロバイダで活用および再利用できます。

F5 は、完全なユーザー、デバイス、環境、application、およびネットワーク コンテキスト認識に基づく ID およびアクセス管理アーキテクチャにより、データセンター全体およびクラウドへのapplicationアクセスに対する ID フェデレーションとシングル サインオンを実現します。同時に、コンテキストに基づく安全で差別化されたアクセス、Web ベースのマルウェアや持続的な脅威からの保護、包括的なエンドポイント デバイス検査により、applicationsのセキュリティとデータの整合性を維持します。

IT インフラストラクチャ全体にわたる一貫したセキュリティと継続的な保護は、クラウド環境を保護するための最も重要な要素です。

BIG-IP の高度なローカル トラフィック管理サービスは、単一障害点を排除するための静的および動的負荷分散、HTTP/TCP を超える幅広いプロトコル (HTTP2.0、SPDY、UDP など)、および高度なapplicationフローをサポートします。 完全なapplicationプロキシである BIG-IP プラットフォームは、コンテンツ スイッチングによる多重化を可能にし、限られた数の外部 IP を軽減します。 また、グループ内のサーバーの動的なパフォーマンス レベルを追跡し、詳細なヘルス監視と接続状態の管理も提供します。

BIG-IPapplication配信最適化サービスを使用すると、applicationの応答時間を短縮し、待ち時間と遅延を最小限に抑え、モバイル デバイスからの Web 要求を完了するために必要なデータの往復回数を減らすことができます。

DNS とグローバル サーバー ロード バランシング サービスを備えた BIG-IP プラットフォームは、ユーザーの近接性、地理的位置、ネットワークの状態、applicationの可用性を考慮した最適なapplicationエクスペリエンスと DR/フェイルオーバー ポリシーに基づいて、ユーザーを最も近いクラウド データ センターに誘導します。 このプラットフォームは、さまざまなグローバルロードバランシング方法と、各applicationおよびユーザーに固有のインテリジェントな監視を採用しています。 F5 は DNS DDoS 保護も提供し、悪意のある IP へのアクセスをブロックし、DNSSEC で応答を保護します。何よりも優れているのは、DNS クエリとヘルス チェックは、DNS DDoS 攻撃時に非常にコストがかかる可能性がある一部のクラウド プロバイダの課金方法とは異なり、使用量に応じて課金されないことです。

クラウド バーストなどの操作により、企業はapplicationリソースをオンデマンドで拡張し、こうした突発的な急増時に利用されるリソースに対して一時的に料金を支払うことが可能になります。 クラウドへの効率的なバーストには、BIG-IP ローカル トラフィック管理、グローバル サーバー負荷分散サービス、およびエンド ユーザーには透過的な、非常に厳密に調整された多数の操作を自動的に実行する BIG-IQ クラウド オーケストレーションが必要です。

• 事前に設定されたしきい値に達すると、リソースがプロビジョニングされ、クラウドにデプロイされます。
• 新しいapplicationサーバ リソースは、リソース プールに自動的に追加されます。
• ユーザーはクラウド内のapplicationリソースにリダイレクトされます。
• applicationの負荷が事前に設定されたしきい値を下回ると、クラウド インフラストラクチャ リソースがプロビジョニング解除され、すべての接続がデータ センターにリダイレクトされます。

F5 iApps® テンプレートを使用すると、企業はapplicationsのサポートに必要なapplication配信サービスを数分で導入できます。iApps テンプレートは、各applicationのトラフィック管理、暗号化、ファイアウォール、パフォーマンス最適化などのサービスの構成とポリシーを定義します。iApps とインライン分析により、applicationsを完全に制御および可視化できるため、一貫性が保たれ、トラブルシューティングが向上します。

さらに、F5 のトラフィック スクリプト インターフェイスである F5 iRules® スクリプト言語により、applicationトラフィックのプログラムによる分析、操作、検出が可能になり、ゼロデイ脅威、ネットワーク状態、ビジネス要件に対するカスタマイズと迅速な対応が可能になります。 iApps と iRules の移植性により、クラウド プロバイダー間およびクラウド プロバイダー間でのapplicationのモビリティが可能になります。

パブリック環境とプライベート環境間の管理ツールと接続を統合することで、両者間でシームレスなエクスペリエンスが実現し、データセンター環境への透過的な拡張が実現し、管理サイロが回避されます。

F5 ソリューションは、クラウド プロバイダに統合された自動化されたapplication配信機能を提供し、applicationネットワーキング サービスのプロビジョニングと展開にかかる時間を大幅に短縮します。 これは次の方法で実現されます:

• エンタープライズ データ センターをサードパーティのクラウド管理ツールに統合します。
• application配信サービスのプロビジョニングの自動化。
• 展開時間を短縮するオーケストレーション。
• REST API による拡張性と比類のない柔軟性。

BIG-IQ® は、F5 のインテリジェントな管理およびオーケストレーション プラットフォームであり、プライベート クラウドとパブリック クラウド全体の物理および仮想 BIG-IP ソリューションを管理するためのオープンでプログラム可能なフレームワークを提供します。 BIG-IQ は、基盤となるインフラストラクチャに関係なく、組織がapplicationおよびセキュリティ サービスを高速かつ一貫性のある繰り返し可能な方法で導入および管理できるように支援します。 さらに、BIG-IQ は、REST API とクラウド コネクタを通じて、主要なクラウド オーケストレーション エンジンやクラウド プロバイダーと統合またはインターフェイスします。

BIG-IQ は iApps のライフサイクル管理を提供し、application配信サービスのプロビジョニングを迅速に簡素化および自動化します。 IT 組織は、カスタマイズされたサービスや多層サービスなど、利用可能なapplication配信サービスのカタログを定義できます。管理者やapplicationマネージャーは、必要に応じてそこから迅速に選択できます。

BIG-IP 仮想エディションは、ユーティリティ課金 (時間単位、日単位、月単位)、年間サブスクリプション、ライセンス持ち込み (BYOL)、ボリューム ライセンス サブスクリプション モデルの Good-Better-Best バンドルで利用できます。 テスト/開発のプリプロダクション ワークロードや一時的なクラウド バーストおよびスケーラビリティの使用事例向けに、F5 は柔軟性とオンデマンド使用 (使用した分だけ使用後に支払う) を実現するユーティリティ ライセンスを提供しています。

年間サブスクリプションは、安定したトラフィックを持つ本番環境のワークロードに最適です。 BYOL は、既存の BIG-IP VE ライセンスをプライベート データ センターからパブリック クラウドに直接移行するハイブリッド クラウド環境に最適です。 VLS サービスは、大量の仮想applicationとセキュリティ サービスを必要とする企業向けに設計されています。 VLS は、プレミアム サポートとソフトウェア アップデートが含まれた 1 年および 3 年のサブスクリプションを割引価格で提供します。

パブリック クラウド サービスの導入はここ数年で飛躍的に増加しました。 多くの IT スタートアップ企業や一部の成熟したメディア企業は、パブリック IaaS クラウド プロバイダーに完全に導入し、大きな成功を収めています。 企業がより重要なapplicationsをクラウドに移行する計画を立てるにつれて、BIG-IP プラットフォームを使用したapplication配信の実証済みの利点をクラウドapplicationワークロードに簡単に移植できるようになります。 そうすることで、すべてのapplicationインフラストラクチャにわたる一貫したセキュリティなど、パブリック クラウドの導入に関して企業顧客が抱える多くの課題や懸念に対処できるようになります。

F5 クラウド移行ソリューションは、F5 の BIG-IPapplicationサービスと BIG-IQ 製品を活用して、場所に関係なく重要なapplicationの可用性、パフォーマンス、セキュリティを実現します。 主要なクラウド マーケットプレイスで利用できる柔軟なライセンス モデルにより、企業はこれらのサービスを計画、段階的に展開し、パブリック クラウドに展開できます。 F5 を使用すると、企業や組織は可視性、セキュリティ、制御を維持しながら、ワークロードを単一クラウド環境やマルチクラウド環境に自信を持って移行できます。