Google Cloud への移行: 基盤の構築

このドキュメントは、ワークロードを処理する基本的なクラウド インフラストラクチャを構築する際に利用できます。また、このインフラストラクチャでアプリケーションをどのようにサポートするかを計画する際にも役立ちます。これには、ID の管理、組織とプロジェクトの構造、ネットワーク構成などが含まれます。

このドキュメントは、Google Cloud への移行に関する複数のパートからなるシリーズの一部です。シリーズの概要については、Google Cloud への移行: 移行パスの選択をご覧ください。

このドキュメントはシリーズの一部です。

次の図は、移行の過程を示しています。

4 フェーズの移行パス

このドキュメントでは、オンプレミス環境、非公開のホスティング環境、または別のクラウド プロバイダから Google Cloud への移行を計画する際に役立つ情報を提供します。また、移行について検討している場合、その概要を把握するためにも利用できます。このドキュメントは、移行のユースケースに焦点を当てた基盤を構築する際に、利用可能なプロダクトと決定事項を理解するうえで役立ちます。

事前作成された実装可能なオプションについては、以下をご覧ください。

基盤の設計に関するその他のベスト プラクティスのガイダンスについては、以下をご覧ください。

Google Cloud への移行を計画する際には、クラウド アーキテクチャに関するトピックスとコンセプトを一通り理解する必要があります。基盤の計画が不十分であると、ビジネスの遅れ、混乱、中断が生じ、クラウド移行が失敗してしまう可能性が生じます。このガイドでは、Google Cloud 基盤のコンセプトと判断事項の概要を説明します。

このドキュメントの各セクションでは、Google Cloud の基盤構築の前に、お客様の組織において明確にしておくべき課題事項を提示しています。すべての課題事項を網羅しているわけではありません。お客様の組織にとって何が適切かについて、アーキテクチャ チームと経営陣との間の意見交換を促進にすることを目的としています。インフラストラクチャ、ツール、セキュリティ、アカウント管理の計画は、お客様のビジネスに応じた固有のものであり、綿密な検討が必要となります。このドキュメントを読み終え、お客様の組織向けの課題事項に回答した時点で、Google Cloud への移行をサポートするクラウド インフラストラクチャとサービスの正式な計画を開始する準備が整います。

エンタープライズ向けの検討事項

次の課題事項について、お客様の組織における状況を検討してください。

  • Google Cloud への移行に際して、お客様の組織とインフラストラクチャ プロバイダとの間で IT に関する責任分担のどの部分に変更が生じるか。
  • Google Cloud への移行中、および移行後の定期的なコンプライアンス適合のニーズ(HIPAA や GDPR など)をどのように満たすか。
  • データの保存場所と処理場所を、データ所在地の要件に従いつつどのように管理するか。

共有責任モデル

お客様の組織と Google Cloud との間の共有責任モデルは、従来のものとは異なる可能性があり、それらのビジネスへの影響を把握する必要があります。リソースのプロビジョニング、構成、利用において過去に適用していたプロセスは、変更される可能性があります。

利用規約Google セキュリティ モデルを参照して、お客様の組織と Google との間の契約関係、およびパブリック クラウド プロバイダを利用する影響の概要を理解してください。

コンプライアンス、セキュリティ、プライバシー

多くの組織には、業界と政府の標準、規制、認証に関するコンプライアンス要件があります。エンタープライズ ワークロードの多くは規制当局による調査の対象であり、お客様組織とクラウド プロバイダによるコンプライアンスの証明が求められることがあります。HIPAA や HITECH の下でビジネスが規制されている場合は、ユーザーの責務と、Google Cloud サービスが規制を受ける範囲について必ず把握しておいてください。Google Cloud が取得している認証と満たしているコンプライアンス基準については、コンプライアンス リソース センターをご覧ください。地域固有または業界固有の規制の詳細については、Google Cloud と一般データ保護規則(GDPR)をご覧ください。

信頼とセキュリティは、すべての組織にとって重要です。Google Cloud は、さまざまなサービス向けのセキュリティの責任共有モデルを採用しています。

お客様のデータ、およびお客様の顧客のデータのプライバシー保護に関する Google の取り組みは、Google Cloud の信頼原則でご確認いただけます。Google のセキュリティとプライバシーの設計方法の詳細については、Google インフラストラクチャのセキュリティ設計の概要をご覧ください。

データ所在地に関する検討事項

コンプライアンスにおいて、地理的事項も重要な考慮事項となります。データ所在地に関する要件を把握し、新しいリージョンにワークロードをデプロイしてデータの保存場所と処理場所を管理するためのポリシーを実装していることを確認します。リソースの場所に関する制約の使用方法を把握して、事前承認されたリージョンにのみワークロードをデプロイできるようにします。ワークロードのデプロイ ターゲットを選択する際は、各 Google Cloud サービスの地域性について把握する必要があります。法規制のコンプライアンス要件と、コンプライアンスの確保に役立つガバナンス戦略の実装方法を確実に理解します。

リソース階層

次の課題事項について、お客様の組織における状況を検討してください。

  • 既存のビジネスと組織構造を Google Cloud にどうマッピングするか。
  • リソース階層の変更はどのくらいの頻度で発生するか。
  • プロジェクトの割り当てがクラウドでリソースを作成する能力にどの程度影響を与えるか。
  • 既存のクラウド デプロイメントと移行したワークロードを統合するにはどのようにすればよいか。
  • 複数のチームを複数の Google Cloud プロジェクトで同時に管理するためのベストな手段は何か。

現行のビジネス プロセス、コミュニケーションのライン、レポート構造は、Google Cloud リソース階層の設計に反映されます。リソース階層により、クラウド環境に必要な構造を規定し、リソース消費の請求方法を決定して、ロールと権限を付与するセキュリティ モデルを確立します。これらの側面を現在のビジネスに適用する方法を理解し、これらのプロセスを Google Cloud に移行する方法を計画する必要があります。

Google Cloud リソースについて

リソースは、すべての Google Cloud サービスを構成する基本要素です。組織リソースは、Google Cloud リソース階層の頂点になります。組織に属するすべてのリソースは組織ノード下でグループ化されます。この構造により、組織に属するすべてのリソースを集中管理できます。

組織には 1 つ以上のフォルダを含めることができ、各フォルダには 1 つ以上のプロジェクトを含めることができます。フォルダを使用すると、関連プロジェクトをグループ化できます。

Google Cloud プロジェクトには、Compute Engine、仮想マシン(VM)、Pub/Sub トピック、Cloud Storage バケット、Cloud VPN エンドポイント、その他の Google Cloud サービスなどのサービス リソースがあります。Google Cloud コンソール、Cloud Shell、Cloud APIs を使用して、リソースを作成できます。環境が頻繁に変更されることが予想される場合は、リソース管理の効率化のために Infrastructure as a Code(IaC)の採用を検討してください。

Google Cloud プロジェクトの管理

Google Cloud リソース階層の計画と管理について詳しくは、Google Cloud ランディング ゾーンのリソース階層を決定するをご覧ください。すでに Google Cloud を利用しており、テストや概念実証用に独立したプロジェクトを作成している場合は、既存の Google Cloud プロジェクトを組織に移行できます。

Identity and Access Management

次の課題事項について、お客様の組織における状況を検討してください。

  • Google Cloud リソースへのアクセスの制御、管理、監査はどこが担当するか。
  • Google Cloud への移行時に、既存のセキュリティ ポリシーとアクセス ポリシーをどのように変更するか。
  • ユーザーとアプリを Google Cloud サービスと安全に連携させるにはどうすればよいか。

Identity and Access Management(IAM)により、Google Cloud リソースに対するアクセスを詳細に設定できます。Cloud Identity は、別のサービスであるものの関連するサービスで、ID の移行と管理に役立ちます。大局的にみると、Google Cloud リソースへのアクセスをどのように管理するのかを理解することで、IAM のプロビジョニング、構成、維持の内容が自ずと決まります。

ID について

Google Cloud では、認証とアクセス管理に ID が使用されます。Google Cloud リソースにアクセスするには、組織のメンバーが Google Cloud で認識される ID を保有している必要があります。Cloud Identity は IDaaS(Identity as a Service)プラットフォームであり、Google Cloud リソースにアクセスできるユーザーとグループの中央管理ができます。Cloud Identity のユーザーを設定することで、何千ものサードパーティ SaaS(Software as a Service)アプリケーションを使用したシングル サインオン(SSO)を設定できます。Cloud Identity の設定方法は、現在の ID の管理方法によって異なります。

Google Cloud の ID プロビジョニングのオプションについて詳しくは、Google Cloud に ID をオンボーディングする方法を決定するをご覧ください。

アクセス管理について

アクセス管理のモデルは、次の 4 つの基本コンセプトで構成されています。

  • プリンシパル: リソースへのアクセスが許可されている Google アカウント(エンドユーザーの場合)、サービス アカウント(Google Cloud プロダクトの場合)、Google グループ、Google Workspace アカウント、Cloud Identity アカウントを使用できます。プリンシパルは、許可されていない操作を行うことはできません。