Cross-Cloud Network の紹介: 新たな形のネットワーク
Google Cloud Japan Team
※この投稿は米国時間 2023 年 8 月 30 日に、Google Cloud blog に投稿されたものの抄訳です。
組織がトランスフォーメーションを推進し、ビジネス上の成果を達成できるかは、ネットワークによって決まります。しかし、組織がワークロードを移行し、最新の分散アプリケーション(多くの場合、オンプレミスと複数のクラウドにまたがります)を集約して、データがどこに保存されているかにかかわらず本格的に基盤モデルを運用し、トレーニングと推論を実行するために高性能なネットワークが必要となる生成 AI のような新しいイノベーションを採用するにつれ、ネットワークは信じられないほど複雑になっています。同時に、組織はかつてないほど大規模なハイブリッド ワークフォースを管理するようになっており、どこからでもアプリケーションにアクセスできるネットワークとセキュリティが求められています。
昨今、ネットワークは、さまざまなユースケースに合わせて構築する必要があります。たとえば、組織は複数のクラウドに接続するために、複雑な設定が不要なセキュリティ機能を備えた特注のネットワークを運用しています。また、クラウドとオンプレミスのリソースにアクセスするハイブリッド ワークフォースを接続、保護するためにプライベート データセンターを設置し、ウェブ アプリケーション、ショート動画、ストリーミングなどを高速化するために複数の CDN クラウドを管理しています。複数のネットワークとセキュリティ スタックを運用することで、運用の複雑さが増し、セキュリティ対策に一貫性がなくなり、総所有コストが押し上げられます。
ネットワークに関する要望についてお客様と会話するにつれ、こうした課題が各組織に共通するものであることがわかりました。世界各地の情報源から得られるデータによると、組織は同じ課題に直面しています。以下に例を示します。
「Gartner の 2020 Cloud End-User Buying Behavior Survey によると、回答者の間でマルチクラウド インフラストラクチャの採用が広がっている(76%)」1。
「2022 年の Gartner の調査によると、66% の組織がすでにハイブリッド ワークプレイス モデルを採用しており、30% が 2022 年末までにハイブリッド ワークプレイス モデルを採用する予定となっている」2。
「サイバーセキュリティが取締役会の議論にのぼり、セキュリティ侵害に伴う平均費用が 350 万ドルを超える今日の業務環境において、組織はエッジ コンピューティング参照モデルの各レベルにおけるリスクを理解し、これに対処する計画を立てなければならない」3。
Forrester によると、調査対象組織の 74% が 2022 年に少なくとも 1 件のセキュリティ侵害を報告している。4 1 日あたり 56 万種類の新しいマルウェアが検出されているという Dataproc の報告を考えると、これは驚くべきことではない5。
Google Cloud は、ネットワークの簡素化と保護のための包括的かつ最新のアプローチを採用して、ネットワーキングの課題に対処し、総所有コストを削減しながらアプリケーションとユーザーのためにシンプルなクラウド間接続とセキュリティを確保したいという組織の要望に応えています。このたび、Google Cloud Next において、Google は Cross-Cloud Network の導入と Google Cloud ネットワーキング ポートフォリオの多くの追加機能により、この目標達成に向けて大きく前進しました。
Cross-Cloud Network の導入
Google は、クラウドとオンプレミス拠点間のシンプルな接続を実現するオープンでプログラム可能なグローバル クラウド ネットワーキング プラットフォーム、Cross-Cloud Network を発表いたします。
Cross-Cloud Network は、Google Cloud とパートナー様が提供する既存および新規のプロダクトで構成され、これらすべてが連携して主要なユースケースのデプロイを簡素化、高速化します。Cross-Cloud Network は、以下の 3 つの信条に基づいて構築されています。
オープン - Cross-Cloud Network の導入により、パートナー様のプロダクトとサービスのインテグレーションが簡素化され、選択肢が増え、製品化までの時間が短縮されます。プログラム可能なため、ビジネスに必要なサービスをカスタマイズできます。
安全 - Cloud Armor のような ML を活用したセキュリティ プロダクトを構築し、Palo Alto Networks などの企業と提携することで、セキュリティ対策によって高い脅威耐性を確保できる高度なセキュリティ技術を実装しています。
最適 - Cross-Cloud Network を導入することで、レイテンシが短縮され、スループットと帯域幅が向上し、ワークロードのパフォーマンスを最適化できます。組織が生成 AI を採用するなか、最適化は、エンドツーエンドのパフォーマンス確保に欠かせません。
Cross-Cloud Network を導入すると、クラウド全体で最も一般的な以下の 3 つのユースケースで求められるネットワーキング要件に対応しやすくなります。
分散型アプリケーションの構築
インターネットに接続するアプリケーションの配信
ハイブリッド ワークフォースによるアクセスの保護
ここでは、これらのユースケースと、Cross-Cloud Network これらのユースケースをどのように実現するかを見ていきます。また、組織がこれらの環境を無事デプロイするのに役立つ Cross-Cloud Network ファミリーの新プロダクトや拡張機能についても紹介します。
1. 分散型アプリケーションを効率的に構築する
Cross-Cloud Network を導入することで、クラウド間での分散型アプリケーションの構築と集約が容易になると同時に、総所有コストを最大 40% 削減できます。これは、Google が 5 月に発表した、99.99% の SLA に裏付けされた帯域幅 10 Gbps または 100 Gbps のマネージド相互接続サービスである Cross-Cloud Interconnect などのプロダクトによって実現できます。また、Alibaba Cloud、Amazon Web Services、Microsoft Azure、Oracle Cloud Infrastructure に対応し、Google の全リージョンで利用可能なため、より迅速にビジネス上の成果を上げることができます。
「Yahoo Mail は、バックエンドの Google Cloud への移行を進めており、Google のデータサービスに便利かつ安全にアクセスできるよう、世界規模のネットワークを活用しています。Spanner と BigQuery に、大規模かつ高いパフォーマンスで安全にアクセスするための Cross-Cloud Network と Cross-Cloud Interconnect のおかげで、Yahoo が何億ものメールボックスを安全に提供できる環境を確保できます。」- Yahoo、シニア バイス プレジデント兼 CIO、Aaron Lake 氏
「Priceline は、お客様にとって重要な「瞬間」を作り出しているため、革新のスピードを競争上の強みと考えています。Cross-Cloud Network は、Google Cloud 上で AI や ML などの新たな機能を活用する際に、接続性、スケーラビリティ、セキュリティを簡単かつ迅速に確保するために利用しています。」- Priceline エンタープライズ アーキテクチャ担当シニア ディレクター、Ken Kirchoff 氏
Google は、BT などのパートナーと協力し、お客様が Google Cloud に接続するためのグローバルな接続ファブリックの実現を進めています。
「BT は、Google Cloud と提携し、お客様が BT Global Fabric を使用して Google Cloud の Cross-Cloud Network に接続できるようになることを嬉しく思っています。Google のグローバル WAN と BT のネットワークが世界各地で相互接続されることで、企業の支社やユーザーが最も確実かつ快適にクラウドベースのアプリケーションに接続できるようになります。」- BT Global Services、最高技術責任者、Colin Bannon 氏
ハイブリッド環境やマルチクラウド環境を活用する企業が増えるなか、Cross-Cloud Network を導入することで、運用要件を緩和でき、企業がネットワークよりビジネスに集中できるようになります。
「組織はビジネス上の成果を上げることに注力しており、ビジネス変革を加速するために業界最高のテクノロジーを組み合わせたクラウド サービスを必要としています。Cross-Cloud Network は、パートナーやお客様が利用できるプログラム可能なプラットフォームで、接続性とセキュリティを簡単に確保できる革新的なアプローチです。クラウドをまたいでクラウド ネイティブ アプリ、生成 AI、SaaS、データ、分析の利用に乗り出す組織をサポートします。」 - IDC、クラウド ネットワーキング担当バイス プレジデント、Vijay Bhagavath 氏
AI / ML 用に最適化したネットワーキング
AI / ML と生成 AI のワークロードには、高性能なネットワーキングが求められます。Google は昨年、200 Gbps のネットワーキングとラインレート暗号化を備えた C3 VM ファミリーを発表しました。C3 VM は、Google のオフロードの Titanium システムの一部である Titanium Network Adapter を搭載しています。これにより、従来世代の VM の最大 2 倍のスループットと 3 倍のパケット処理速度を実現できます。また、Google が最近発表した A3 VM は、AI / ML ワークロード向けに合計ネットワーク帯域幅を 10 倍に拡大した Titanium Network Adapter により、大幅なスループットの向上、レイテンシの削減、スケールの拡大を実現します。
接続とサービス ネットワーキングの簡素化
クラウドをまたいで SaaS アプリケーションを利用するお客様が増えています。Private Service Connect を利用すると、Google Cloud のネットワークを離れることなく、必要に応じた規模で簡単にマネージド サービスに接続できます。現在 20 種類以上の Google とパートナーのマネージド サービスに対応している Private Service Connect は、複数の VPC や企業間のサービス接続のための一貫したプラットフォームを備えています。現在、以下の複数の独自機能の導入を進めています。
リージョンをまたいだサービスへのアクセスを実現するグローバル アクセス
非公開で安全なマネージド サービスのための PSC インターフェース
全社的なプライベート接続を幅広く保護するための組織ポリシー
ネットワーク層を簡素化するため、Network Connectivity Center の VPC スポークのサポートにより、VPC 接続をスムーズにスケールでき、多数の VPC スポーク間でのネットワーク到達性が確保されるようになりました。RFC1918 アドレスが重複する VPC スポークのピアリングにより、Cloud NAT の Inter-VPC NAT 機能を利用できるようになります。これにより、VPC 間のネットワーク トラフィックがインターネットを経由せずに Google Cloud ネットワーク内に留まり、プライバシーとセキュリティを確保できるようになります。
「世界有数の不動産グループである Lendlease は、ネットワークでつながったコミュニティを構築し、世界各地で未来の職場を実現しています。当社は、Google Cloud と提携し、その世界規模のネットワークを活用しています。Network Connectivity Center を導入したことで、何百もの拠点とのネットワーキングを簡素化、スケールし、当社のチームがビジネスを加速させ、あらゆる場所で最適な体験を提供できるようにしています。」 - Lendlease、ネットワーク ドメイン アーキテクト、Martin Hogan 氏
また、世界各地に分散したワークロードを処理するために、新しいアプリケーション ロードバランサ最適化機能も追加しました。こういった機能により、分散したクライアントとバックエンド サービス間のトラフィックを最適化し、内部アプリケーションのトラフィック フローと全体的な復元力を向上できます。具体的には、内部アプリケーション ロードバランサは現在、以下をサポートしています。
グローバル アクセス。これにより、いずれの Google Cloud リージョンのプライベート クライアントでも、他の Google Cloud リージョンにある内部ロードバランサにアクセスできます。
グローバル バックエンド。これにより、内部アプリケーション ロードバランサがトラフィックの健全性を確認して、トラフィックを世界各地に分散したバックエンド サービスに送信できます。
有効性を 20 倍高めて保護を支援
本日、Google の新サービスである Cloud NGFW のプレビュー版を紹介いたします。これは、Mandiant および Palo Alto Networks と共同開発したクラウド ファーストの次世代ファイアウォール(NGFW)で、以下を通じたネットワーク セキュリティ対策のための統合アプローチを含め、高度な脅威対策と運用の簡素化を実現するサービスです。
Palo Alto Networks の脅威対策により実現され、Ixia Breakingpoint のベンチマークを使用して検証された、他のクラウド ファイアウォールと比較して 20 倍の有効性を誇るインライン脅威対策
トラフィックの再ルーティングやクラウド ネットワークの再設計を行うことなく、クラウド全体の簡素さ、スケール、カバレッジを確保するための、組み込みの分散型ファイアウォール アーキテクチャ
組織全体のポリシーを設定したり、IAM を実装したタグベースのポリシーを設定したりして、ネットワーク層とアプリケーション層にわたるワークロードの追跡を可能にする、境界とワークロードをまたいだ統合ネットワーク セキュリティ対策
セキュリティ インシデントに迅速に対処するために組織全体に適用される簡素化された、単一ポリシーの脅威対策
「当社のワークロードのクラウドへの移行が進むなか、包括的な脅威対策をワークロードのより近くで導入したいと考えていました。Cloud NGFW 機能を備える Google の Firewall Plus を使用することで、当社のネットワーク アーキテクチャの簡素化に成功しました。また、より詳細なアクセス管理と高度なポリシー適用が可能となり、結果として当社全体のセキュリティ対策を改善して運用費用を削減できました。」- McKesson CoverMyMeds、ネットワーク セキュリティ アーキテクト、Richard Persaud 氏
自社のオンプレミス環境との運用の一貫性を求めるお客様もいます。Google は、Cloud NGFW アーキテクチャを拡張して、パートナーの NGFW を SaaS のように利用できるようにし、運用の簡素化と、ポリシー駆動型のファイアウォール挿入によるネットワーク ベースの脅威への広範な対応を実現しています。ネットワーク サービス インテグレーション マネージャーにより、Checkpoint、Cisco、Fortinet、Palo Alto Networks からのパートナー NGFW のセットアップと運用を簡素化しています。
2. インターネットに接続するアプリケーションの配信を加速する
ゲーム、ショッピング、ショート動画、ライブ ストリーミング、スーパーアプリなど、インターネットに接続するアプリケーションにとって、体験の質は非常に重要です。Cross-Cloud Network を導入した Google のグローバル フロントエンドは、40% 低い総所有コスト(TCO)でパフォーマンスと信頼性を確保し、世界各地での配信を実現します。
「1 か月のアクティブ ユーザーが 1 億人を超える Moj アプリを所有するインドの大手ショート動画プラットフォーム ShareChat は、即座にスケーラビリティを確保できるインフラストラクチャ パートナーを必要としています。Google Cloud のフロントエンドは、より低い TCO でパフォーマンスとユーザー エクスペリエンスを保証し、当社の急速な事業拡大を支援してくれています。」- Sharechat、エンジニアリング ディレクター、Chhaya Sharma 氏
インターネットに接続するアプリケーションの配信をさらに加速できるよう、Cross-Cloud Network ポートフォリオのプロダクトと機能に以下のとおり多くの拡張機能を加えました。
アプリケーション配信のプログラム機能拡張
オープン プラットフォームである Cross-Cloud Network は、プログラム機能を実装しており、Google はその拡張を続けています。Google は昨年、Service Extensions を発表し、Media CDN のデータパスに WebAssembly(Wasm)プラグインを挿入できるようにしました。そして今回は、クラウド ロードバランサの Service Extensions コールアウトを発表します。これで、特別なモニタリング、ロギング、トラフィック ステアリング、認証などのサービスをカスタマイズできます。Service Extensions コールアウトを使用することで、アプリケーション固有の要件に対応できます。
「Replit は、世界中の何百万人もの開発者がアプリの構築とデプロイに使用している優れたプラットフォームを提供しています。Google Cloud と当社のカスタム ソフトウェアを組み合わせることで、当社のプラットフォームに低レイテンシで信頼性の高いインフラストラクチャを提供し、ユーザーに最高のパフォーマンスとスケールを保証できます。当社は、ソフトウェアのインテグレーションとスケーリングを支援し、将来のデータプレーンのカスタマイズを可能にして、開発者が AI 搭載アプリケーションをデプロイできるようにしてくれる Service Extensions コールアウトを大変気に入っています。」- Replit、インフラストラクチャ責任者、Scott Kennedy 氏
クラウド ロードバランサ用の Service Extensions コールアウトを使用することで、API セキュリティ、Bot 管理、ロギング、モニタリングなど、さまざまなユースケースのためのパートナー ソリューションも統合できます。Human Security と Traceable は、そのサービスと Google Cloud のロードバランサのインテグレーションを進めている、早い段階からのパートナーです。
グローバル フロントエンドは、Cloud Armor、Cloud Load Balancing、Cloud CDN などのアプリケーション配信および保護のための統合サービスを、広く使用されている CI / CD プラットフォームに迅速に統合して自動化できる新しい自動化ソリューション ツールキットによってさらに簡素化されています。このソリューションでは、一般的な操作のために事前作成されたタスクとワークフロー、およびベスト プラクティスが組み込まれた独自の自動化アプローチを使用できます。この自動化ツールキットには、Jenkins、Gitlab、Cloud Build など、広く使用されている CI / CD DevOps 自動化プラットフォームとのインテグレーションがあらかじめ組み込まれています。完全なリポジトリは、こちらからご覧ください。
安全なプロジェクト横断アプリケーション配信
このたび、Google は、多数のクラウド プロジェクトを抱えるチームのための追加のデプロイ オプションに対応し、トラフィックのエンドツーエンドのセキュリティを強化するために、Cloud Load Balancing に新機能を導入しました。
クラウド アプリケーション ロードバランサがプロジェクト間のサービス参照に対応するようになりました。この機能は、Google のリージョンのアプリケーション ロードバランサで利用可能でしたが、グローバル アプリケーション ロードバランサにも追加されました。組織は、プロジェクト間のサービス参照により、複数のクラウド プロジェクトのサービスにトラフィックをルーティングでき、組織の要望に最も適合するプロジェクトにサービスを柔軟にデプロイできます。
さらに、グローバルな外部アプリケーション ロードバランサでは、mTLS クライアント側認証によってセキュリティが強化されています。この機能により、標準的な TLS 認証時にクライアントがサーバーの身元を確認するのと同じ方法で、サーバーがクライアントの身元を確認できます。
ML を活用したセキュリティ対策による DDoS 対応の迅速化
DDoS 攻撃を検出し、防御するための ML ベースのメカニズムである Cloud Armor Adaptive Protection を発表して以来、お客様から好評をいただいており、攻撃により迅速に対応するための自動化のご要望もいただいています。このたび、Cloud Armor Adaptive Protection の自動デプロイの一般提供を発表いたします。これにより、Adaptive Protection を構成して、Google の ML モデルによって提案されたカスタマイズ済みルールを自動的にデプロイし、DDoS 攻撃がビジネスに影響を及ぼす前に迅速に攻撃を緩和できます。
3. ハイブリッド ワークフォースによるアクセスの保護
セキュリティ サービスエッジ(SSE)ソリューションは、エンタープライズ アプリケーションや SaaS への安全なアクセスを保証し、分散型ワークフォースを保護するために組織によって採用されています。ただし、SSE ソリューションは、クラウドをまたぐプライベート アプリケーションに到達するために、ベスト エフォート型インターネット リンク上の固定トンネルを利用するため、SSE に接続するユーザーにとっては、プライベート アプリケーションのレイテンシが長くなります。
組織は、ネットワーキングが複雑なため、帯域幅の広いオンプレミスのユーザー トラフィックを SSE に取り込んでセキュリティ検査を行うことは難しいとも考えています。このため、組織は多くの場合、ファイアウォールを代わりにオンプレミスに導入します。
企業がすべてのハイブリッド ワークフォースのアクセスを保護し、最適なユーザー エクスペリエンスを実現するために、独自に選択した共通 SSE スタックを標準化できるよう、Google は、Prisma Access を活用する Palo Alto Networks、および Secure Web Gateway を活用する Broadcom との提携を発表し、Google Cloud でネイティブにソリューションを提供します。
Cross-Cloud Network は、オンプレミスのすべてのユーザー トラフィックを Google Cloud でホストされているこれらの SSE ソリューションに誘導できます。セキュリティ検査後、トラフィックが Google Cloud のアプリケーション、または Cross-Cloud Interconnect を介して他のクラウドにルーティングされます。セキュリティ スタックが Google Cloud にネイティブにデプロイされているため、トンネルやオーバーレイ ネットワークは必要なく、セキュリティ スタックが最高のパフォーマンスを発揮できます。これらの SSE ソリューションが Cross-Cloud Network にネイティブに統合された結果、企業は、セキュリティ対策を活用でき、ネットワークのレイテンシを最大 35% 短縮できます。
クラウド間の接続とセキュリティの簡素化
Cross-Cloud Network では、Google が取り揃えているプロダクトとパートナーのプロダクトを基に、シンプルで反復可能なネットワーキングのユースケースを構築し、お客様がネットワークのレイテンシを最大 35% 短縮して、他のクラウド プロダクトより 20 倍高い脅威耐性による保護を実現できるよう支援し、総所有コストを最大 40% 削減することで、トランスフォーメーションの加速を可能にします。
「ビジネス上の成果とユースケースによってクラウドの採用が引き続き進んでいますが、その逆の動きは起こっていません。経営幹部がクラウドの導入を進めることにより期待する代表的な成果は、IT のモダナイゼーション、効率の向上、データ保護です6。」- Gartner、調査担当バイス プレジデント、Sid Nag 氏
Cross-Cloud Network の詳細については、Google Cloud Next のブレイクアウト セッション ARC201「What's new in cloud networking: AI-optimized infrastructure, ML-powered security, and more(クラウド ネットワーキングの新機能: AI に最適化されたインフラストラクチャ、ML を活用したセキュリティなど)」、ARC202「Design secure enterprise networks for a multi-cloud world(マルチクラウドの世界に向けた安全な企業ネットワークの設計)」、ARC203「Elevate end user experience with planet scale Google Cloud CDN(地球規模の Google Cloud CDN でエンドユーザー エクスペリエンスを向上)」をご覧ください。皆様のご参加をお待ちしております。
1. Gartner®、Quick Answer: Who Is Adopting Multicloud Infrastructure? Michael Warrilow、Hank Barnes(2022 年 9 月)。Gartner は、Gartner, Inc. またはその関係会社の米国およびその他の国における登録商標およびサービスマークであり、同社の許可を得て使用されているものです。すべての権利は同社に帰属します。
2. Gartner、Forecast Analysis: Knowledge Employees, Hybrid, Fully Remote and On-site Work Styles, Worldwide、Ranjit Atwal、Anna Griffen、Rishi Padhi、Namrata Banerjee(2023 年 1 月 6 日)
3. Gartner、Use Our Edge Computing Reference Model to Reduce Complexity and Risk、Tim Zimmerman、Mohini Dukes(2023 年 8 月 16 日)
4. Forrester、The State of Application Security、Janet Worthington、Sandy Carielli(2023 年 6 月)
5. Dataproc、A Not-So-Common Cold: Malware Statistics in 2023(2023 年 7 月)
6. Gartner、How Should Executive Leaders Navigate the Cloud Market?、Sid Nag(2023 年 7 月 24 日)
