ガバメントクラウドのセキュリティと効率性を向上させる IaC 利用

#

サンプルテンプレート

概要

1

web_app

Managed および Serverless サービスで構成された Web 3 層アーキテクチャ環境テンプレート

• 前段の LB に Cloud Loadbalancing とともに、DDoS / WAF 対応の Cloud Armor と ID 認証を行う Identity-Aware Proxy

• Application 稼働環境として Serverless Container 稼働環境の Cloud Run

• データストアとして Managed RDB の Cloud SQL およびコンテンツストレージとして Cloud Storage

2

batch

Managed および Serverless サービスで構成されたバッチ実行環境テンプレート

• コンテナ化されたバッチプログラムの実行環境としてServerless Containe r稼働環境の Cloud Run Jobs

• バッチジョブの実行スケジュールを管理する Cloud Scheduler

• バッチの実行ログを管理する Cloud Logging

3

cicdcicd(component)

Managed サービスによるコンテナイメージのビルドとデプロイの実行環境テンプレート

• ソースは GitHub で管理し、ソースコードの変更をトリガーに Cloud Build にてコンテナイメージをビルド

• ビルドされたコンテナイメージは Artifact Registry で管理

• Cloud Build より Web もしくはバッチの Cloud Run にコンテナイメージをデプロイ

• CICD の実行ログを Pub/Sub 経由で Slack に通知

4

logsink

各種システムおよびアプリケーションログをデータウェアハウスもしくは保管ストレージに同期する環境テンプレート

• Cloud Logging で受信したログをフィルタリングし、DWH の Big Query もしくはオブジェクトストレージの Cloud Storage にログデータを中継

※ ログの中継は、同一もしくは外部プロジェクトに対しても送信が可能

5

malwarescan

コンテンツストレージに格納されたファイルのマルウェアスキャンの実行環境テンプレート

• Serverless Container 稼働環境の Cloud Run 上でコンテナ化されたスキャンソフトウェアを稼働

• Cloud Storage へのアップロードをキッカケとしたEventarc トリガーにより Cloud Run を実行

• スキャン結果を Cloud Monitoring に通知

6

monitoring_alert

監視アラートと通知チャネルを構成するテンプレート

• Cloud Monitoring によるアラート設定

• Cloud Monitoring からの Slack およびメール等への通知チャンネル設定

7

hasura_on_cloudrun

HASURA (GraphQL サーバ) の Severless 実行環境テンプレート

• コンテナ化された HASURA を Cloud Run 環境で構成

8

personalized_service_health

Personalized Service Health でプロジェクトに影響するインシデントを検知して通知するテンプレート

• プロジェクトごとに、関連するサービスにインシデントが発生した場合、Slack および Emailでアラート通知

• 利用しているサービスやリージョンなどでフィルタ可能

• Cloud Logging のログとして長期保管も可能