コンテンツに移動
Public Sector

ガバメントクラウドのセキュリティと効率性を向上させる IaC 利用

2024年11月12日
https://storage.googleapis.com/gweb-cloudblog-publish/images/gcp_security.max-2600x2600.jpg
Google Cloud Japan パブリックセクター本部

Infrastructure as a Code (IaC) とは、グラフィカルユーザーインターフェースやコマンドラインスクリプトの代わりにコードを使用して、イミュータブルなインフラストラクチャ環境のプロビジョニングおよび管理するプロセスです。

Google では、IaC を使用してシステムを管理しており、標準プラクティスとして確立されています。

ガバメントクラウド上でシステム構築を行う場面においても、IaC の利用は必須と定義されています。

ガバメントクラウドにおける IaC の考え方については、以下の記事をご参照ください。

https://digital-gov.note.jp/n/nbd6ff8cadf63

各府省庁のガバメントクラウド利用環境として Google Cloud を採用頂くにあたり、Google Cloud パートナーである株式会社G-gen が Google Cloud をベースとした一般的なアプリケーション環境の IaC テンプレートの開発支援を行っています。

https://g-gen.co.jp/news/digital_agency_order_received.html

https://storage.googleapis.com/gweb-cloudblog-publish/images/image1_kNUZkZm.max-1000x1000.png

#

サンプルテンプレート

概要

1

web_app

Managed および Serverless サービスで構成された Web 3 層アーキテクチャ環境テンプレート

  • 前段の LB に Cloud Loadbalancing とともに、DDoS / WAF 対応の Cloud Armor と ID 認証を行う Identity-Aware Proxy

  • Application 稼働環境として Serverless Container 稼働環境の Cloud Run

  • データストアとして Managed RDB の Cloud SQL およびコンテンツストレージとして Cloud Storage

2

batch

Managed および Serverless サービスで構成されたバッチ実行環境テンプレート

  • コンテナ化されたバッチプログラムの実行環境としてServerless Containe r稼働環境の Cloud Run Jobs

  • バッチジョブの実行スケジュールを管理する Cloud Scheduler

  • バッチの実行ログを管理する Cloud Logging

3

cicdcicd(component)

Managed サービスによるコンテナイメージのビルドとデプロイの実行環境テンプレート

  • ソースは GitHub で管理し、ソースコードの変更をトリガーに Cloud Build にてコンテナイメージをビルド

  • ビルドされたコンテナイメージは Artifact Registry で管理

  • Cloud Build より Web もしくはバッチの Cloud Run にコンテナイメージをデプロイ

  • CICD の実行ログを Pub/Sub 経由で Slack に通知

4

logsink

各種システムおよびアプリケーションログをデータウェアハウスもしくは保管ストレージに同期する環境テンプレート

  • Cloud Logging で受信したログをフィルタリングし、DWH の Big Query もしくはオブジェクトストレージの Cloud Storage にログデータを中継

※ ログの中継は、同一もしくは外部プロジェクトに対しても送信が可能

5

malwarescan

コンテンツストレージに格納されたファイルのマルウェアスキャンの実行環境テンプレート

  • Serverless Container 稼働環境の Cloud Run 上でコンテナ化されたスキャンソフトウェアを稼働

  • Cloud Storage へのアップロードをキッカケとしたEventarc トリガーにより Cloud Run を実行

  • スキャン結果を Cloud Monitoring に通知

6

monitoring_alert

監視アラートと通知チャネルを構成するテンプレート

  • Cloud Monitoring によるアラート設定

  • Cloud Monitoring からの Slack およびメール等への通知チャンネル設定

7

hasura_on_cloudrun

HASURA (GraphQL サーバ) の Severless 実行環境テンプレート

  • コンテナ化された HASURA を Cloud Run 環境で構成

8

personalized_service_health

Personalized Service Health でプロジェクトに影響するインシデントを検知して通知するテンプレート

  • プロジェクトごとに、関連するサービスにインシデントが発生した場合、Slack および Emailでアラート通知

  • 利用しているサービスやリージョンなどでフィルタ可能

  • Cloud Logging のログとして長期保管も可能

この取り組みによって、迅速かつ効率的なインフラストラクチャー運用が実現され、日本の行政サービスのデジタル化が加速されることを目指します。

ガバメントクラウドのテンプレートに関してはこちらを参照ください。

また現在デジタル庁ではシステムの利用目的ごとのリファレンスアーキテクチャの作成を進めており、近日中にリファレンスアーキテクチャのサンプルテンプレートも提供予定です。詳細はこちらをご参照ください。

Google Cloud は、今後もパートナー企業との連携を通じて、日本のデジタルトランスフォーメーションを力強く推進してまいります。

投稿先