Comments
Description
Transcript
Bluemix
IBM Bluemix www.bluemix.net IBM Bluemix テクニカル・セミナー 基盤設計 2016年7月25日 日本アイ・ビー・エム 株式会社 クラウド事業本部 クラウド・テクニカル・サービス 宇藤 岬 IBM Bluemix www.bluemix.net Disclaimer ワークショップ、セッション、および資料は、IBMまたはセッション発表者によって準備され、それぞれ独自の見解を反映したものです。それらは情報提供の 目的のみで提供されており、いかなる参加者に対しても法律的またはその他の指導や助言を意図したものではなく、またそのような結果を生むものでもあ りません。本講演資料に含まれている情報については、完全性と正確性を期するよう努力しましたが、「現状のまま」提供され、明示または暗示にかかわら ずいかなる保証も伴わないものとします。本講演資料またはその他の資料の使用によって、あるいはその他の関連によって、いかなる損害が生じた場合も、 IBMは責任を負わないものとします。 本講演資料に含まれている内容は、IBMまたはそのサプライヤーやライセンス交付者からいかなる保証または表明 を引きだすことを意図したものでも、IBMソフトウェアの使用を規定する適用ライセンス契約の条項を変更することを意図したものでもなく、またそのような 結果を生むものでもありません。 本講演資料でIBM製品、プログラム、またはサービスに言及していても、IBMが営業活動を行っているすべての国でそれらが使用可能であることを暗示す るものではありません。本講演資料で言及している製品リリース日付や製品機能は、市場機会またはその他の要因に基づいてIBM独自の決定権をもって いつでも変更できるものとし、いかなる方法においても将来の製品または機能が使用可能になると確約することを意図したものではありません。本講演資 料に含まれている内容は、参加者が開始する活動によって特定の販売、売上高の向上、またはその他の結果が生じると述べる、または暗示することを意 図したものでも、またそのような結果を生むものでもありません。 パフォーマンスは、管理された環境において標準的なIBMベンチマークを使用した測定と 予測に基づいています。ユーザーが経験する実際のスループットやパフォーマンスは、ユーザーのジョブ・ストリームにおけるマルチプログラミングの量、入 出力構成、ストレージ構成、および処理されるワークロードなどの考慮事項を含む、数多くの要因に応じて変化します。したがって、個々のユーザーがここ で述べられているものと同様の結果を得られると確約するものではありません。 記述されているすべてのお客様事例は、それらのお客様がどのようにIBM製品を使用したか、またそれらのお客様が達成した結果の実例として示されたも のです。実際の環境コストおよびパフォーマンス特性は、お客様ごとに異なる場合があります。 IBM、IBM ロゴ、ibm.com、Bluemix、IBM MobileFirst は、世界の多くの国で登録されたInternational Business Machines Corporationの商標です。 他の製品名およびサービス名等は、それぞれIBMまたは各社の商標である場合があります。 現時点での IBM の商標リストについては、www.ibm.com/legal/copytrade.shtmlをご覧ください。 Windowsは Microsoft Corporationの米国およびその他の国における商標です。 JavaおよびすべてのJava関連の商標は Oracleやその関連会社の米国およびその他の国における商標または登録商標です。 2 © 2016 IBM Corporation IBM Bluemix www.bluemix.net 本セッションの内容 Bluemix 全体アーキテクチャー アプリケーション稼働環境 Bluemix アカウント管理 プラットフォーム・セキュリティー デプロイメント・モデル ネットワーク関連のサービス セキュリティー関連のサービス ストレージ関連のサービス 可用性を高めるAutoScale 3 © 2016 IBM Corporation IBM Bluemix www.bluemix.net Bluemix 全体アーキテクチャー 4 API・データ連携 セキュア通信 VPN CDN Bluemix UI サービス イベント駆動型 Bluemix Public 仮想サーバー コンテナー CFランタイム Bluemix Dedicated アメリカ・ダラス/英国・ロンドン/豪州・シドニー Bluemix Local IBM SoftLayer お客様データセンター Transformation &Connectivity 認証サービス 認証・認可 Eege Service ルーター ファイアウォール アプリユーザー 開発者 管理者 IBM DataPower Gateway リバース・ プロキシー SSL終端処理 IPS 他クラウド or オンプレミス セキュリティー Application Security © 2016 IBM Corporation IBM Bluemix www.bluemix.net IBM Bluemix におけるアプリ稼働環境 5 © 2016 IBM Corporation IBM Bluemix www.bluemix.net Bluemix 全体アーキテクチャー 6 API・データ連携 セキュア通信 VPN CDN Bluemix UI サービス イベント駆動型 Bluemix Public 仮想サーバー コンテナー CFランタイム Bluemix Dedicated アメリカ・ダラス/英国・ロンドン/豪州・シドニー Bluemix Local IBM SoftLayer お客様データセンター Transformation &Connectivity 認証サービス 認証・認可 Eege Service ルーター ファイアウォール アプリユーザー 開発者 管理者 IBM DataPower Gateway リバース・ プロキシー SSL終端処理 IPS 他クラウド or オンプレミス セキュリティー Application Security © 2016 IBM Corporation IBM Bluemix www.bluemix.net Bluemixのアプリケーション稼働環境 ランタイム 仮想サーバー (ベータ) Cloud Foundry 準拠のアプリケーション稼働環境 アプリケーション稼働環境は、Buildpackの形態で提供 コンテナー (IBM Containers) OpenStack準拠 オーケストレーション・サービス OpenWhisk (試験サービス) Dockerコンテナ互換のアプリケーション稼働環境 アプリケーション稼働環境は、コンテナの形態で提供 非同期・イベント駆動型 オープンソースとして公開・提供 Bluemix アプリケーション稼働環境 コンテナー Buildpack IBM Containers 仮想サーバー (Cloud Foundry) OpenWhisk サービス ブローカー ランタイム サービス 仮想化層 7 © 2016 IBM Corporation IBM Bluemix www.bluemix.net 稼働環境の選択肢 お客様、またはシステム固有の要件に合わせて、 最適な稼働環境の選択が可能 OpenWhisk Cloud Foundry アプリケーション Docker コンテナ 仮想マシン 要件を許容する 柔軟性 プラットフォーム の抽象性 8 共通機能 • アプリケーションとサービスのバインド • 従量課金モデル • ユーザーアカウントと認可モデル • ルーティング © 2016 IBM Corporation IBM Bluemix www.bluemix.net 各実行環境の比較 OpenWhisk Cloud Foundry イベント・ドリブン・ラ ランタイム インタイム Docker コンテナー OpenStack 仮想サーバー オンプレミス データセンター プロビジョンまでの 時間 ミリ秒 秒〜分 秒〜分 数分 週〜月 稼働率 最も高い 高い 高い やや高い 低い 既存アプリからの 再利用性 低い 低い 中 高い 最も高い 課金対象単位 ミリ秒実行時間 時間 時間 時間 CapEx 資本的支 出 開発者視点 アプリケーション・ コード アプリケーション・ コード コンテナー 仮想サーバー N/A ワークロードの特徴 ワークロード例 • ステートレス • 短期 • 複数の言語に よって定義 • ステートレス • HTTP(S) • webソケット • カスタムOSバイ ナリー • オープン • OSレベルでの • H/W要件で制限 管理、カスタマイ • コンプライアンス ズが必要 対応 • 分離に対する高 • セキュリティー い要件 • 規制上、オンプレ • 既存の仮想サー 利用が前提 バーイメージに • メインフレームの アプリ パッケージされ たアプリ • API、マイクロ サービス、Web アプリにおける 一機能 9 • 高負荷のWebア プリ、API処理 © 2016 IBM Corporation IBM Bluemix www.bluemix.net Cloud Foundry ランタイム 10 © 2016 IBM Corporation IBM Bluemix www.bluemix.net Bluemix 全体アーキテクチャー 11 API・データ連携 セキュア通信 VPN CDN Bluemix UI サービス イベント駆動型 Bluemix Public 仮想サーバー コンテナー CFランタイム Bluemix Dedicated アメリカ・ダラス/英国・ロンドン/豪州・シドニー Bluemix Local IBM SoftLayer お客様データセンター Transformation &Connectivity 認証サービス 認証・認可 Eege Service ルーター ファイアウォール アプリユーザー 開発者 管理者 IBM DataPower Gateway リバース・ プロキシー SSL終端処理 IPS 他クラウド or オンプレミス セキュリティー Application Security © 2016 IBM Corporation IBM Bluemix www.bluemix.net Cloud Foundry 概要 PaaSを実現するためのフレームワークを提供する オープンソース・プロジェクト 多言語、複数サービス、複数クラウドをサポートする仕組みを提供 IBMは積極的にコミュニティーに参画し活動を推進 Cloud Foundry CAB (Community Advisory Board)で コード拡張のロードマップや健全性の管理に貢献 Cloud Foundry Foundationのプラチナ・スポンサー Cloud Foundry Certified Provider IBM has been the #2 contributor since the community was established, behind only Pivotal. 12 © 2016 IBM Corporation 13 IBM Bluemix www.bluemix.net Cloud Foundryの全体構成 Web Browser App Storage & Execution Routing Services Blob Store ・・・ Router cf-tool binding Appl Service Broker DEA Appl ・・・ Warden Eclipse+Plugin Service Instance 0 Warden ・・・ VM VM IaaS Layer Service Instance N Service Backend NATS (Messaging Bus) UAA (OAuth2) 13 Login Server Authentication Cloud Controller CCDB Health Manager App Lifecycle Metrics Collector App Log Aggregater Metrics & Loggings © 2016 IBM Corporation IBM Bluemix www.bluemix.net Cloud Foundryのコンポーネント(1/3) Cloud Controller 構成管理、制御コントローラー 水平スケーリング可能、Cloud ControllerであるCCDB (Cloud Controller Database)はRDBで冗長化 Router URL(L7)ロードバランサー Routerを冗長化させたい場合、フロントに負荷分散装置を立てる NATS (Messaging Bus) コンポーネント間のメッセージング処理基盤 落ちると全サービスに影響が出る gnatsd (go言語実装)によるクラスタリングで冗長化(ができるといわれている) UUA(User Account and Authentication) Cloud Foundryの認証基盤、OAuth 2.0の仕様に則った実装 水平スケーリング可能、UUAが使用するUUA DBは使用するRDBで冗長化 Login Server UUAと共に動作することで、ユーザー認証・認可を実施 14 冗長化にはまだ制限事項がある模様 © 2016 IBM Corporation IBM Bluemix www.bluemix.net Cloud Foundryのコンポーネント(2/3) Droplet Execution Agent (DEA) ユーザー・アプリケーションを動かすエージェント Cloud Foundryでは1VMあたり1~のDEAを動作 Warden DEAでアプリケーションを隔離する仕組み ユーザー・アプリケーションはこのコンテナー上で稼動する Go言語で実装されたGardenも存在する Blobstore アプリケーション・コード、Buildpack、ドロップレットの保管庫 Service Broker アプリケーション(ランタイム)に対しサービスをバインドするための仕組み サービスはサービスで冗長化、Service Brokerの冗長化は要調査 15 © 2016 IBM Corporation IBM Bluemix www.bluemix.net Cloud Foundryのコンポーネント(3/3) Health Manager (HM9000) CloudFoundry全体を監視するマネージャー 一定期間ごとにDEAからアプリケーションの実行状態(State)を収集し、 CCDB (Cloud Controller Database) に格納された、アプリケーションのあるべき状態と比較し、 あるべき状態と収集した状態に齟齬がある時は,それを修正するようCloud Controller に要求する インスタンス数が足りない場合 ⇒ 起動要求を出すよう Cloud Controller に要求 インスタンス数が多すぎる場合 ⇒ 停止要求を出すよう Cloud Controller に要求 バックエンドのデータストアとして、etcd (ZooKeeper)による複数間データ共有で冗長化 Metrics Collector 各コンポーネントからメトリックを収集する 運用者がCloud Foundryのインスタンスをモニターする目的で利用する 現時点ではSPOF Application Log Aggregator ユーザー(アプリケーション開発者)にアプリケーション・ログを配信(Stream)する 水平スケーリングにて冗長化 16 © 2016 IBM Corporation IBM Bluemix www.bluemix.net Cloud Foundry ランタイム・アーキテクチャー Droplet Execution Agent (DEA) Droplet Execution Agent (DEA) Droplet Execution Agent (DEA) コンテナ コンテナ Droplet Execution Agent (DEA) コンテナ コンテナ コンテナ コンテナ コンテナ コンテナ コンテナ コンテナ コンテナ コンテナ コンテナ コンテナ コンテナ Droplet コンテナ コンテナ Droplet コンテナ Droplet コンテナ Droplet アプリケーション Droplet Droplet コンテナ Droplet アプリケーション Droplet アプリケーション Droplet Droplet アプリケーション Droplet Droplet プログラム アプリケーション Droplet アプリケーション Droplet アプリケーション Droplet プログラム アプリケーション Droplet プログラム アプリケーション アプリケーション Droplet プログラム アプリケーション Droplet アプリケーション プログラム Buildpack アプリケーション Droplet プログラム プログラム アプリケーション アプリケーション プログラム Buildpack プログラム Droplet アプリケーション プログラム プログラム アプリケーション Buildpack プログラム アプリケーション Buildpack プログラム プログラム アプリケーション Buildpack プログラム Buildpack Buildpack プログラム プログラム アプリケーション Buildpack Buildpack Buildpack プログラム プログラム Buildpack プログラム Buildpack Buildpack Buildpack Buildpack Buildpack Buildpack Buildpack Buildpack Buildpack 17 Buildpack アプリケーション稼動に必要な ランタイムやフレームワークを 提供 Droplet アプリケーションの実行単位 Buildpackとアプリケーション・ プログラムから構成される Droplet Execution Agent (DEA) Linuxコンテナの稼働環境 各コンテナ上でアプリケーショ ンが稼動 © 2016 IBM Corporation IBM Bluemix www.bluemix.net Bluemix ランタイム(Cloud Foundryアプリケーション)一覧 Buildpackとして下記10個のランタイムを提供 Cloud Foundry互換Buildpackもサポート https://github.com/cloudfoundry-community/cf-docs-contrib/wiki/Buildpacks 名称 説明 リリース 提供元 (2016年7月) Liberty for Java Java Webアプリケーションのランタイム。 IBM WebSphere Liberty ProfileのBluemix版。 2.x IBM SDK for Node.js サーバー・サイドJavaScriptアプリケーションのランタ イム。 3.x IBM XPages IBM XPagesアプリケーションのランタイム。 1.0 IBM ASP.NET Core ASP.NET Core Webアプリケーションのランタイム。 Beta コミュニティ Go Go Webアプリケーションのランタイム。 1.7.5 コミュニティ PHP PHP Webアプリケーションのランタイム。 4.3.10 コミュニティ Python Python Webアプリケーションのランタイム。 1.5.5 コミュニティ Ruby Ruby on Rails Webアプリケーションのランタイム。 1.6.16 コミュニティ Swift Swift Webアプリケーションのランタイム。 0.0.1 コミュニティ Tomcat Tomcat Webアプリケーションのランタイム。 1.0 コミュニティ 18 © 2016 IBM Corporation IBM Bluemix www.bluemix.net ビルドパックとは コミュニティーのビル ドパック 使用したいランタイムがカタログにない場合、外部ビルドパックを Bluemix に 持ち込むことができます。 cf push コマンドを使用してアプリをデプロイするときに、 Cloud Foundryと互換のカスタム・ビルドパックを指定することができます。 外部ビルドパックは、ユーザーが独自のビルドパックとして使用できるよう、 Cloud Foundry コミュニティーによって提供されます。 注: 外部ビルドバックは IBM によって提供されるものではないため、サポート が必要な場合は Cloud Foundry コミュニティーに連絡を取る必要があります。 https://docs.cloudfoundry.org/buildpacks/ 19 © 2016 IBM Corporation IBM Bluemix www.bluemix.net Bluemix Public ランタイム課金体系 課金単位 (日本) ¥7.35 GB時間 1GBのメモリーを1時間消費した場合、¥7.35課金される 無料枠あり 30日間あたり375GB時間消費分は無料 計算例(無料枠適用なし) プロフィール Buildpack : 任意 インスタンス数:2インスタンス メモリー : 1GB 1ヶ月の利用時間:30日 (720時間) 1ヶ月の使用料金:¥10,584 計算式 ¥7.35 x 2 (インスタンス) x 1 (GBメモリー) x 720 (時間) = ¥10,584 参照 https://new-console.ng.bluemix.net/pricing/ 20 © 2016 IBM Corporation IBM Bluemix www.bluemix.net サービスとは アプリケーションが利用する多様な機能コンポーネント IBM製だけではなくサードパーティ製のサービスも数多く提供されています 21 © 2016 IBM Corporation IBM Bluemix www.bluemix.net Bluemix 上で利用可能なサービス Bluemix で使用可能なサービスは下記の方法にて確認 Bluemix ユーザー・インターフェースから。 Bluemix 「カタログ」を表示 cf コマンド・ライン・インターフェースから。 cf marketplace コマンド実行 ご使用のアプリケーションから。 GET /v2/services Services API を使用 参考URL : Bluemix カタログからの Bluemix サービスのバインド https://new-console.ng.bluemix.net/docs/containers/container_integrations_binding.html 22 © 2016 IBM Corporation IBM Bluemix www.bluemix.net ボイラープレートとは アプリケーションとその関連するランタイム環境、および 特定のドメイン用の事前定義サービスのためのコンテナーです。 ボイラープレートを使用すると、迅速に稼働中の状態にすることが できます。 23 © 2016 IBM Corporation IBM Bluemix www.bluemix.net Bluemix / Cloud Foundryアプリケーションのコンセプト プッシュ 作成したアプリケーションのランタイムを要求・生成する操作 アプリ開発者 サービス作成 バインド ランタイムからサービスに接続すること プッシュ アプリケーション 開発者が実際に開発し、 アップロードコード IBM Bluemix バインド Appl Appl Conrainer Conrainer 24 Appl Conrainer ランタイム サービス Java, Node.js, Ruby, PHP, Python, Go等の 実行言語 「コンテナー」単位で実行環境を提供 アプリケーションが必要とする機能を提供する ランタイムとの組み合わせ可否に要注意 いつでも好きなタイミングで作成・削除可能 © 2016 IBM Corporation IBM Bluemix www.bluemix.net Docker コンテナー 25 © 2016 IBM Corporation IBM Bluemix www.bluemix.net Bluemix 全体アーキテクチャー 26 API・データ連携 セキュア通信 VPN CDN Bluemix UI サービス イベント駆動型 Bluemix Public 仮想サーバー コンテナー CFランタイム Bluemix Dedicated アメリカ・ダラス/英国・ロンドン/豪州・シドニー Bluemix Local IBM SoftLayer お客様データセンター Transformation &Connectivity 認証サービス 認証・認可 Eege Service ルーター ファイアウォール アプリユーザー 開発者 管理者 IBM DataPower Gateway リバース・ プロキシー SSL終端処理 IPS 他クラウド or オンプレミス セキュリティー Application Security © 2016 IBM Corporation IBM Bluemix www.bluemix.net コンテナーの概要 Linux OS上の軽量で隔離されたユーザー空間 各コンテナは、ホストOSのカーネルを共有 Linuxのnamespaceとcgroupにより実装される ハイパーバイザー型仮想化 VM アプリA アプリB1 アプリB2 アプリA Bins & Libs Bins & Libs Bins & Libs Bins & Libs ゲストOS (RHEL) ゲストOS (RHEL) アプリB1 アプリB2 コンテナー Bins & Libs ホストOS (RHEL) ハイパーバイザー ハイパーバイザー(オプション) サーバー サーバー ●HWレベルの仮想化 ●OSカーネルを専有 ●仮想マシンごとに隔離 27 コンテナ型仮想化 ●OSレベルの仮想化 ●OSカーネルを共有 ●プロセスをグループ化して隔離 (=コンテナー) © 2016 IBM Corporation IBM Bluemix www.bluemix.net Dockerとは Dockerは、『スピード』、『ポータビリティ』、『エコシステム』を 備えたオープンなプラットフォームです 特徴① スピード 超軽量・高速な コンテナ 28 特徴② ポータビリティ どこでも動かせる イメージ 特徴③ エコシステム オープンな プラットフォーム © 2016 IBM Corporation IBM Bluemix www.bluemix.net 再起動に要する時間 特徴① スピード Cloudy Performance: Serial VM Reboot Average Server Reboot Time (Round 2) 140 124.4525079 120 Time In Seconds 100 docker KVM 80 60 40 20 2.541945305 0 docker 29 KVM (出典)Performance characteristics of traditional v ms vs docker containers (dockercon14) http://www.slideshare.net/BodenRussell/performance-characteristics-of-traditional-v-ms-vs-docker-containers-dockercon14 © 2016 IBM Corporation IBM Bluemix www.bluemix.net マルチプラットフォームに対応 Linux環境 (Ubuntuなど) Windows環境 (boot2docker) Mac (boot2docker) Linux OS Windows OS Mac OSX docker-client VirtualBox VM/Tiny Core Linux docker-client 特徴② ポータビリティ Windows/Mac (仮想マシン) Native OS VirtualBox/VMWare/Ubuntu VM docker-client docker-client VirtualBox VM/Tiny Core Linux 30 docker-daemon docker-daemon docker-daemon docker-daemon Container Container Container Container Container Container Container Container Container Container Container Container © 2016 IBM Corporation IBM Bluemix www.bluemix.net Dockerを推進する企業・団体 31 特徴③ エコシステム © 2016 IBM Corporation IBM Bluemix www.bluemix.net コンテナー(IBM Containers) Docker準拠のコンテナー・サービス Bluemix Publicで提供 (2016年7月時点) 特徴 コンテナー・グループ スケーラビリティ コンテナー・インスタンス障害への備え Docker Compose対応 Dockerコンテナーのオーケストレーション機能 IBM提供のコンテナー・イメージの提供 Bluemix サービスとのバインドのサポート 32 © 2016 IBM Corporation IBM Bluemix www.bluemix.net コンテナー・グループ コンテナーの水平クラスター機能 スループット増強 コンテナー・インスタンス障害への備え 自動リカバリー HTTPパス“/”に対するTCP GETリクエストでヘルス・チェック を実行 90秒間隔のヘルス・チェックに2回連続で応答しない場合 無応答のコンテナー・インスタンスは削除 コンテナー・インスタンスを新規作成し、置き換え 30分以内に、コンテナー総数がコンテナー・グループの 最大サイズの3倍に達した場合 コンテナー・グループの自動リカバリー機能は永久に無効化 自動リカバリー機能を有効化するには、コンテナー・グループの再作成 が必要 参考URL https://new-console.ng.bluemix.net/docs/containers/container_group_cli.html 33 © 2016 IBM Corporation IBM Bluemix www.bluemix.net コンテナー一覧 Bluemixは下記4個のコンテナー・イメージを提供 Docker互換の独自コンテナーもサポート https://docs.docker.com/engine/reference/builder/ 34 名称 説明 提供元 ibmliberty Java Webアプリケーションのランタイム。 IBM WebSphere Liberty ProfileのBluemix版。 IBM ibmnode サーバー・サイドJavaScriptアプリケーションのランタイム。 IBM ibm-mobilefirststarter モバイル・アプリケーションのランタイム。 IBM MobileFirst Platform FoundationのBluemix コンテナー版。 IBM ibm-node-strongpm StrongLoopのStrong Process Manager (クラスター・モードで 稼動するアプリケーションを管理するソフトウェア・コンポーネ ント)が稼動するNodeベースのランタイム。 IBM © 2016 IBM Corporation IBM Bluemix www.bluemix.net OpenStack 仮想サーバー 35 © 2016 IBM Corporation IBM Bluemix www.bluemix.net Bluemix 全体アーキテクチャー 36 API・データ連携 セキュア通信 VPN CDN Bluemix UI サービス イベント駆動型 Bluemix Public 仮想サーバー コンテナー CFランタイム Bluemix Dedicated アメリカ・ダラス/英国・ロンドン/豪州・シドニー Bluemix Local IBM SoftLayer お客様データセンター Transformation &Connectivity 認証サービス 認証・認可 Eege Service ルーター ファイアウォール アプリユーザー 開発者 管理者 IBM DataPower Gateway リバース・ プロキシー SSL終端処理 IPS 他クラウド or オンプレミス セキュリティー Application Security © 2016 IBM Corporation IBM Bluemix www.bluemix.net OpenStackとは 2010年 Rackspace社とNASAによって始められたプロジェクト オープンソースのIaaSクラウド基盤管理スタック IaaSやストレージサービスを提供するための管理機能を提供 KVMやXen、VMware、Hyper-V等のハイパーバイザー対応 2012年 開発やライセンスの管理はOpenStack Foundationに移管 特定ベンダーの技術に偏らないオープンな開発 https://www.openstack.org/ 37 © 2016 IBM Corporation IBM Bluemix www.bluemix.net Linux と OpenStack 「OS」のオープンソースはLinuxです。 「クラウド管理ツール」のオープンソースはOpenStackです。 仮想化しない場合 OpenStack アプリケーション VM-1 VM-2 VM-3 VM-4 VM-5 ミドルウェア HTTP Web AP Web AP Web AP DB2 Linux Linux Linux Linux Linux OS : Linux ハイパーバイザー 38 ハイパーバイザー ハイパーバイザー © 2016 IBM Corporation IBM Bluemix www.bluemix.net 仮想サーバー (IBM Virtual Machines) OpenStack 準拠の仮想サーバー ベータ版 (2016年7月現在) ホストされたクラウド環境においてアプリケーションの作成、 実行、管理、およびモニターを行うことができる 特徴 IBM 提供のイメージ Cent OS Debian 仮想サーバーのタイプ シングル仮想サーバー 仮想サーバー・グループ : アプリケーションの実行およびテスト向け : 拡張容易性や可用性など実働向けの機能、本番環境向け 構成方法 IBM 提供のイメージ アップロードしたカスタム・イメージ 実行中の既存インスタンスからのスナップショット 39 © 2016 IBM Corporation IBM Bluemix www.bluemix.net 仮想サーバーの運用 データの永続化 Bluemix内の一時的なオブジェクトのため、再始動後もデータが必要な場 合、 ブロック・ストレージ・オブジェクトを使用してデータを永続化できます。 ロギング デフォルト : 仮想サーバーのロギング機能は無効 mt-logstash-forwarder エージェントをインストールして構成することで ロギング機能を有効にできます。/var/log/ ディレクトリー内の syslog が モニターされます。 モニタリング IBM によって提供されている仮想サーバー・イメージから作成された仮想 サーバーに対して自動的に有効化されます。 より多くのシステム・データを収集するために、 collectd メトリック・プラグインを手動でインストールおよび構成できま す。 40 © 2016 IBM Corporation IBM Bluemix www.bluemix.net イベント駆動型ランタイム OpenWhisk 41 © 2016 IBM Corporation IBM Bluemix www.bluemix.net Bluemix 全体アーキテクチャー 42 API・データ連携 セキュア通信 VPN CDN Bluemix UI サービス イベント駆動型 Bluemix Public 仮想サーバー コンテナー CFランタイム Bluemix Dedicated アメリカ・ダラス/英国・ロンドン/豪州・シドニー Bluemix Local IBM SoftLayer お客様データセンター Transformation &Connectivity 認証サービス 認証・認可 Eege Service ルーター ファイアウォール アプリユーザー 開発者 管理者 IBM DataPower Gateway リバース・ プロキシー SSL終端処理 IPS 他クラウド or オンプレミス セキュリティー Application Security © 2016 IBM Corporation IBM Bluemix www.bluemix.net イベント駆動型ランタイム OpenWhisk の概要 イベント駆動型のアプリケーション・ランタイム Bluemixの新たなコア Cloud Foundryやコンテナ同様、アプリケーションのランタイムとして機能 特徴 イベント駆動型 サーバーレス・アーキテクチャ Polyglot – JavaScript, Swift, Dockerコンテナ オープンソース ※試験サービス (2016年7月現在) アプリケーション開発者にとってのメリット 低コスト ビジネス・ロジック開発に専念可能 スピーディなアプリケーション開発 適用分野 43 マイクロサービス・スタイルのアプリケーション モバイル・バックエンド データ加工処理 IoT © 2016 IBM Corporation IBM Bluemix www.bluemix.net OpenWhisk アーキテクチャー概要 構成要素 44 フィード:トリガーのイベント・ソース トリガー:イベント アクション:イベント・リスナー パッケージ:フィードとアクションを束ねたモノ © 2016 IBM Corporation IBM Bluemix www.bluemix.net Bluemix アカウント管理 45 © 2016 IBM Corporation IBM Bluemix www.bluemix.net Bluemix 全体アーキテクチャー 46 API・データ連携 セキュア通信 VPN CDN Bluemix UI サービス イベント駆動型 Bluemix Public 仮想サーバー コンテナー CFランタイム Bluemix Dedicated アメリカ・ダラス/英国・ロンドン/豪州・シドニー Bluemix Local IBM SoftLayer お客様データセンター Transformation &Connectivity 認証サービス 認証・認可 Eege Service ルーター ファイアウォール アプリユーザー 開発者 管理者 IBM DataPower Gateway リバース・ プロキシー SSL終端処理 IPS 他クラウド or オンプレミス セキュリティー Application Security © 2016 IBM Corporation IBM Bluemix www.bluemix.net IBM Bluemixのアカウント管理機能 (1/5) IBM Bluemixを組織的に利用するためには以下の“概念” を理解する必要があります ①組織(Organization) 「組織」は以下の4つで構成されます ②スペース(Spaces) ③ユーザー(Users) ④ドメイン(Domains) ⑤割り当て量(Quota) *これらは、Bluemix のダッシュボードの右上のユーザー アイコンをクリック → ”組織の管理”から管理可能です。 47 © 2016 IBM Corporation IBM Bluemix www.bluemix.net IBM Bluemixのアカウント管理機能 (2/5) ①組織(Organization) 従量課金ユーザーの場合、ログインで 利用している“IBM ID”名称そのものが 組織名になります この名称は自由に変更が可能ですが、 Bluemix環境でユニークでなければなり ません ②スペース(Spaces) ”dev”がデフォルトで作成されています “dev”以外に、”test”や”production”など 必要に応じたスペースを複数作成し、 利用することが可能です これらは全て独立した環境となっており、 それぞれの環境にRuntimeや開発した アプリケーション等をデプロイする必要が あります 48 © 2016 IBM Corporation IBM Bluemix www.bluemix.net IBM Bluemixのアカウント管理機能 (3/5) ③ユーザー(Users) チーム・ディレクトリーにて、“組織”や“スペース”でのユーザーの役割を指定すること ができます 従量課金ユーザーの場合、デフォルトで自分自身のIBM IDがアカウント所有者に設定 されています ※ユーザーの追加 チーム・ディレクトリーの「チームメンバーの招待」によって、メールアドレスを把握 している他のユーザーを“組織“へ追加することが可能です 49 © 2016 IBM Corporation IBM Bluemix www.bluemix.net IBM Bluemixのアカウント管理機能 (4/5) ④ドメイン(Domains) Bluemixが利用するドメイン名(米国南部: mybluemix.net、英国:eu-gb.bluemix.net、豪州:ausyd.bluemix.net)がデフォルトで設定されて います 作成するRuntimeに指定する名称(例: java-test01)との組み合わせで、アプリ ケーションのURLとなります 例)java-test01.mybluemix.net 企業あるいは個人が所有しているドメイン 名を追加で指定し利用することが可能です* 右図例)java-test01.abcd-test-corp.com *別途DNSの設定が必要です ⑤割り当て量(Quota) “組織”へのリソース割当を確認することが できます 割り当てられるリソース容量は、”組織”の 作成時に定義されます 50 © 2016 IBM Corporation IBM Bluemix www.bluemix.net ドメインの追加と証明書の追加 ドメインの追加 デフォルトではBluemixシステム・ドメインをアプリケーションのURLに使用 米国南部 : mybluemix.net 英国 : eu-gb.mybluemix.net 豪州 : au-syd.mybluemix.net 任意のカスタム・ドメインを設定することも可能 各地域につき、一意であることが求められます(ほかの人との重複は×) 2015年3月時点、異なる地域で同一のカスタム・ドメインを使用することは可能です DNS サーバーを構成するかローカル hosts ファイルを編集することで、そのカスタム・ドメインを Bluemix システム・ドメインにマップする必要があります SSL証明書の追加 設定したカスタム・ドメインに対し、証明書をアップロードすることが可能 アップロードする証明書はワイルドカード証明書である必要があります 無料アカウントの場合、組織ごとに1回のみアップロードが許容されています 有償アカウントの場合、組織ごとに4回までアップロードは無料で実施できます 51 © 2016 IBM Corporation IBM Bluemix www.bluemix.net IBM Bluemixのアカウント管理機能 (5/5) リソースおよびアカウントの管理のイメージ例 Region : 米国南部 Region : 英国 組織 : abc-corp (デフォルトはIBM ID) 組織:xxxx 割り当て量 (組織で利用可能なリソースと利用状況) スペース “dev” Application スペース “test” Service Service Region : シドニー Service Application Application User 2 (管理・開発 担当者) 組織 :xxxx 組織 :xxxx service 組織:xxxx 組織 :xxxx 組織 :xxxx ユーザーと役割 組織:xxxx User 3 User 2 User 1 (テストユーザー) (開発担当者) (管理担当者) 組織 :xxxx 組織 :xxxx *ユーザーの権限については”ユーザーの役割と権限”を参照 利用可能なドメイン mybluemix.net (デフォルト)、 abc-corp.com 52 *ユーザーはRegionを越えて複数 の組織に所属可能 *スペースをまたいでServiceをバ インドすることは不可 © 2016 IBM Corporation IBM Bluemix www.bluemix.net ユーザーの役割と権限 組織に対する役割、ならびに各スペースに対する役割を 指定可能 各ユーザーに組織の役割を付与(複数選択可) 組織管理者 組織請求管理者 組織監査員 :スペースの作成およびユーザーの追加が可能 :組織の課金情報の表示が可能 :全てのスペースの内容を表示可能 スペース毎に各ユーザーの役割を付与(複数選択可) スペース管理者 : スペースにユーザーを追加可能 スペース開発者 : スペース内のアプリケーションとサービスの追加・構成可能 スペース監査員: スペースの内容のみを表示可能 役割の例) アプリを開発するユーザーの追加 組織の役割:なし 該当するスペースの役割:開発者 課金管理をするユーザーの追加 53 組織の役割:請求管理者・組織監査員 スペースの役割:なし © 2016 IBM Corporation IBM Bluemix www.bluemix.net ユーザーの種類と制約 組織のアカウント所有者 従量課金/サブスクリプション契約のユーザー IBM IDの登録(無料)が必要 クレジットカードの登録が必要(サブスクリプション契約の場合は契約内容による) 機能上の制約は特になし トライアルのユーザー IBM IDの登録(無料)が必要 クレジットカードの登録は不要 無料のSSL証明書のアップロードは1回のみ(通常ユーザーは4回まで) 組織に追加されたユーザー 組織のメンバー Bluemix アカウントを持っておらず、別のユーザーからの招待で組織に追加されたユーザー IBM IDの登録(無料)が必要 クレジットカードの登録は不要。リソースの追加/利用などにより発生した課金は組織に課される 追加される際に付与された役割の制限に従う(前ページ”ユーザーの役割と権限”参照) 既にBluemixアカウントを持っており、別のユーザーから組織に招待されたユーザー リソースの追加/利用などにより発生した課金は組織に課される 追加される際に付与された役割の制限に従う(前ページ”ユーザーの役割と権限”参照) 組織管理者に任命されていても、組織へのユーザーの招待は不可 コラボレーター 54 © 2016 IBM Corporation IBM Bluemix www.bluemix.net Bluemix プラットフォームにおけるセキュリティー 55 © 2016 IBM Corporation IBM Bluemix www.bluemix.net Bluemix 全体アーキテクチャー 56 API・データ連携 セキュア通信 VPN CDN Bluemix UI サービス イベント駆動型 Bluemix Public 仮想サーバー コンテナー CFランタイム Bluemix Dedicated アメリカ・ダラス/英国・ロンドン/豪州・シドニー Bluemix Local IBM SoftLayer お客様データセンター セキュリティー Transformation &Connectivity 認証サービス 認証・認可 Eege Service ルーター ファイアウォール アプリユーザー 開発者 管理者 IBM DataPower Gateway リバース・ プロキシー SSL終端処理 IPS 他クラウド or オンプレミス Application Security © 2016 IBM Corporation IBM Bluemix www.bluemix.net Bluemixのセキュリティ攻撃対策 侵入防止システム (IPS:Intrusion Prevention System) Webアプリケーション・ ファイアウォール (WAF:Web Application Firewall) 様々な機器への攻撃を防御 ブラックリストを利用すること が多い Webアプリケーションへの攻撃 を防御 ブラックリストに加えてホワイ トリストを利用することが多い Bluemix Public Bluemixが提供 ただしIBMが管理 お客様の責任で設置? Bluemix Dedicated VPN/DirectLink Bluemixが提供 ただしIBMが管理 お客様の責任で設置 Hardware Firewall Option Bluemixが提供 ただしIBMが管理 お客様の責任で設置 お客様の責任で設置 お客様の責任で設置 Bluemix Local Bluemix PublicとBluemix DedicatedではIPSがデプロイされる BluemixのIPSは、IBMが管理 BluemixはWAFを提供しない 57 © 2016 IBM Corporation IBM Bluemix www.bluemix.net セキュリティー・コンプライアンス EU モデル契約条項 • EU または欧州経済地域 (EEA) から第三国に転送される個人データを保護する取り決め • EU または EEA にデータ・エクスポーターとして位置するクライアントと、第三国にデータ・ インポーターとして位置する IBM データ・プロセッサーとの間で署名 • 第三国で個人データの処理が行われる際に、その個人データに対して EU または EEA 内で使用 可能な保護に似た保護を実行することを保証します。 FISC 安全対策基準 • 日本国内の銀行業界および関連する金融業界の場合、コンピューター・システムは、金融情報 システムセンター (FISC) の安全対策基準に基づいた安全対策手順を実施する必要があります。 • Bluemix の自己評価文書は、下記URLのIBM Bluemix リスク調査結果から入手できます。 https://www.ibm.com/cloudcomputing/jp/ja/bluemix_fisc.html?cm_mc_uid=60780130575014683816389&cm_mc_sid_50200000=1468820554 国際標準化機構 (ISO) 27001 および 27002 の規格 • サード・パーティーのセキュリティー会社によって監査されており、ISO 27001 のすべての条 件 (Bluemix ISO 27001:2013 Certificate of Registration) を満たしています。 ftp://public.dhe.ibm.com/cloud/bluemix/compliance/Bluemix_ISO27K1_WWCert_2016.pdf?cm_mc_uid=607801305750146 83816389&cm_mc_sid_50200000=1468820554 Service Organization Controls (SOC) 2 タイプ 1 • サービス組織でのセキュリティー、可用性、処理の完全性、機密性、およびプライバシーに関 連した、主要な内部制御実施の評価を定義 • 米国公認会計士協会 (AICPA) ガイドを使用して生成されたこれらのレポートには、組織の監督、 ベンダー管理プログラム、社内のコーポレート・ガバナンスおよびリスク管理プロセス、規制 の監督の4項目が含まれています。 ※ Bluemixサービスによって準拠している標準が異なります。詳細は、下記URLの『プラットフォームとサービスの準拠』参照 58 https://new-console.ng.bluemix.net/docs/security/index.html#compliance © 2016 IBM Corporation IBM Bluemix www.bluemix.net Bluemix デプロイメント・モデル 59 © 2016 IBM Corporation IBM Bluemix www.bluemix.net Bluemix 全体アーキテクチャー 60 API・データ連携 セキュア通信 VPN CDN Bluemix UI サービス イベント駆動型 Bluemix Public 仮想サーバー コンテナー CFランタイム Bluemix Dedicated アメリカ・ダラス/英国・ロンドン/豪州・シドニー Bluemix Local IBM SoftLayer お客様データセンター Transformation &Connectivity 認証サービス 認証・認可 Eege Service ルーター ファイアウォール アプリユーザー 開発者 管理者 IBM DataPower Gateway リバース・ プロキシー SSL終端処理 IPS 他クラウド or オンプレミス セキュリティー Application Security © 2016 IBM Corporation IBM Bluemix www.bluemix.net Bluemix のご提供形態 パブリック、プライベート、ハイブリッドに対応 全て同一のユーザーエクスペリエンス 1 | Public 2 | Dedicated パブリッククラウドの 経済性と迅速性を 最大限に活用 パブリッククラウドの迅速性 を保ちながら、お客様の専有 環境を提供 Seamless Experience どの形態を選んでも、 単一でシームレスな環境を提供 3 | Local お客様環境内にて 重要なワークロードを実行 61 © 2016 IBM Corporation IBM Bluemix www.bluemix.net Bluemix 3つのご提供形態の比較 Public リソースの共有 支払い方法 62 マルチテナント Pay as you go サブスクリプション Dedicated Local シングルテナント シングルテナント サブスクリプション サブスクリプション インフラストラクチャ IBM が提供 IBM が提供 お客様が提供 PaaSレイヤーの管理 IBMが実施 IBMが実施 IBMが実施(リモート) 環境構築 すぐに (最短)1か月~ お客様に依存 IaaS SoftLayer SoftLayer VMware ロケーション 米国南部(ダラス) 英国(ロンドン) 豪州(シドニー) 全てのセンターから サービスカタログ パブリックカタログ 選択可能 (OpenStack:今後提供予定) (お客様環境) Syndication - 統合 Syndication - 統合 (Dedicated用+パブリック) (Local用+パブリック) © 2016 IBM Corporation IBM Bluemix www.bluemix.net シングルテナントのプライベート・クラウド 任意のSoftLayerデータセンターで稼働できる Bluemix Dedicated、 お客様のデータセンター内で稼働させる Bluemix Localの2種類の提供形態 Bluemix Dedicated 63 Bluemix Local お客様の専有環境 シングル・テナントの環境は物理的に もお客様の専有環境です。イントラ ネットと同じようにご利用いただけ、 法規制の準拠にも適しています デプロイメントの選択 アプリの開発にフォーカス アプリケーションやサービスの開発に 注力いただけます。IBMはお客様専有 のプラットフォーム管理します。 アプリケーションやサービスの可搬 高パフォーマンスを要求される場合や 法規制への対応のためのアプリケーション を稼働できます 世界中のロケーションから選択 世界中の任意のSoftLayerデータセン ターで稼働できます。東京データセン ターもご利用可能です。 24時間体制でのサポート お客様の問題を解決するための専門家に よるサポートをうけられます。オプション プレミアム・サポートによりお客様の細か な要件にもご対応いたします。 Bluemix Local はVMwareをベースにした インフラストラクチャで稼働します © 2016 IBM Corporation IBM Bluemix www.bluemix.net Bluemix Public のアーキテクチャー オンプレミス IBM Bluemix™ DevOps Services DB コミット LDAP Cloud Integration Service アプリ開発者 モバイル REST HTTP PC等 cfツール Bluemix UI アプリ開発者 64 DataPower Router REST HTTP VM VM Contain er アプリ Contain er External 外部サービス Services バインド ・・・ Application Manager DEA (Droplet Execution Agent) Bluemix ( BlueMix Bluemixホスト hosted service サービス ) ダラス / ロンドン / シドニー © 2016 IBM Corporation IBM Bluemix www.bluemix.net Bluemix Dedicated のアーキテクチャー 必要に応じてパブリック のサービスを使用可能 Public Bluemix サービス サービス アプリケーション Syndication アプリケーション ランタイム ランタイム [Option] エンドユーザーからアプ リケーションへ直接 HTTP(S)アクセス可能 リソースを専有 Dedicated Bluemix エンドユーザーからアプ リケーションへHTTP(S) アクセス VPN接続 or ダイレクト・リンク LDAP 既存システム アプリ開発者 エンド・ユーザーの端末 65 オンプレミス © 2016 IBM Corporation IBM Bluemix www.bluemix.net Bluemix Local のアーキテクチャー Public Bluemix 必要に応じてパブリック のサービスを使用可能 サービス サービス アプリケーション リソースを専有 Local Bluemix Syndication アプリケーション ランタイム ランタイム エンドユーザーからアプ リケーションへHTTP(S) アクセス LDAP 既存システム アプリ開発者 エンド・ユーザーの端末 66 オンプレミス © 2016 IBM Corporation IBM Bluemix www.bluemix.net Bluemix Dedicatedの価格 Data Session & Cache 50GB Cloudant DB per instance DEDICATED $22,000 / 64GB of Compute Single Tenant SoftLayer Infrastructure $50,000 Activation AdminFee Console Access Choice of 29 Locations monthly requires $500 of Bluemix Public Scale it per increment $5,500 67 16GB Compute $8,340 1.6TB API Management per instance with 250GB of storage $3,860 API Management 500 API Calls $4,000 MQ Light - Base 30 instances $14,400 per instance with 500GB of storage 1000 $7,730 API Calls Additional Secure Gateway Secure Gateway 1000 active connections Capacity $5,050 Compute 1000 1000 active connections Connection s $1,000 1000 Connection s MQ Light Increment per instances 30 Instance s $3,090 30 Instance s DB2 on Cloud DB2 on Cloud DB2 on Cloud DB2 on Cloud Small Medium Large X-Large $1,340 $1,650 Standard Advanced $2,370 $2,990 Standard Advanced $4,220 $5,560 Standard Advanced $8,650 Standard $11,500 Advanced Dash DB Dash DB Dash DB Dash DB 64.1 Virtual Machine 256.4 Bare Metal 4TB Bare Metal 256.12 Bare Metal $2,370 $7,310 $8,500 $10,800 © 2016 IBM Corporation IBM Bluemix www.bluemix.net Bluemix Localの価格 API Management per instance with 250GB of storage LOCAL $22,000 / 64Gb of Compute Single Tenant Your Infrastructure $50,000 Activation AdminFee Console Access via Fully managed Relay $4,500 500 API Calls monthly requires $500 of Bluemix Public Scale it per increment $5,500 68 16GB Compute Data Session & Cache 50GB $6,060 New Service $0,000 New Service $0,000 New Service $0,000 Capacity GB Capacity GB Capacity GB Capacity New Service $0,000 New Service $0,000 New Service $0,000 GB Capacity GB Capacity GB Capacity © 2016 IBM Corporation IBM Bluemix www.bluemix.net Bluemix Local のデリバリーの進め方 Bluemix Garage Methodにのっとり、以下の3フェーズでデリバリーを進めます。 Inception • • • • • 69 構築チームからDeployment Manager (DM)のアサイン お客様による環境構築用のヒ アリングシート記入 DMがお客様とネットワーク、 認証など環境構築に必要な要 素について調整 構築チームによる環境構築の 開始 サポートチームからClient Success Manager (CSM)の アサイン Deployment • • • お客様に環境の引き渡し (引き渡し後課金が開始) DMの離任 お客様に1時間程度の Bluemix Localの基礎・運用 等をお伝えするセッションを 実施。CSMがセッションを コーディネート。 Progression • • 定期的にお客様と利用状況に関する 打ち合わせを実施 お客様の利用状況に合わせた ご提案なども可能な範囲で実施 © 2016 IBM Corporation IBM Bluemix www.bluemix.net Bluemix 全体アーキテクチャー 70 API・データ連携 セキュア通信 VPN CDN Bluemix UI サービス イベント駆動型 Bluemix Public 仮想サーバー コンテナー CFランタイム Bluemix Dedicated アメリカ・ダラス/英国・ロンドン/豪州・シドニー Bluemix Local IBM SoftLayer お客様データセンター Transformation &Connectivity 認証サービス 認証・認可 Eege Service ルーター ファイアウォール アプリユーザー 開発者 管理者 IBM DataPower Gateway リバース・ プロキシー SSL終端処理 IPS 他クラウド or オンプレミス セキュリティー Application Security © 2016 IBM Corporation IBM Bluemix www.bluemix.net Dedicated/Localの管理コンソール Bluemix自体の管理コンソール OpsConsole Bluemix Local/Dedicatedでは管理コンソールから お客様にご利用いただき、Bluemix Platformの管理に 使用します Bluemix Local/Dedicatedを利用するために必要な機能 を提供 リソースの使用量の把握 ログとレポート ユーザー管理 組織管理 カタログ管理 71 © 2016 IBM Corporation IBM Bluemix www.bluemix.net OpsConsole のメニュー 72 システム情報 使用状況 レポートとログ ユーザー管理 組織管理 カタログ管理 © 2016 IBM Corporation IBM Bluemix www.bluemix.net OpsConsole - システム情報 73 © 2016 IBM Corporation IBM Bluemix www.bluemix.net OpsConsole - 使用状況 74 © 2016 IBM Corporation IBM Bluemix www.bluemix.net OpsConsole - レポートとログ 75 © 2016 IBM Corporation IBM Bluemix www.bluemix.net OpsConsole - ユーザー管理 76 © 2016 IBM Corporation IBM Bluemix www.bluemix.net OpsConsole - 組織の管理 77 © 2016 IBM Corporation IBM Bluemix www.bluemix.net OpsConsole - カタログの管理 78 © 2016 IBM Corporation IBM Bluemix www.bluemix.net OpsConsole - メンテナンス日時の調整 79 © 2016 IBM Corporation IBM Bluemix www.bluemix.net ネットワーク関連のサービス 80 © 2016 IBM Corporation IBM Bluemix www.bluemix.net Bluemix 全体アーキテクチャー 81 認証サービス VPN CDN Bluemix UI サービス イベント駆動型 Bluemix Public 仮想サーバー コンテナー CFランタイム Bluemix Dedicated アメリカ・ダラス/英国・ロンドン/豪州・シドニー Bluemix Local IBM SoftLayer お客様データセンター セキュリティー Transformation &Connectivity API・データ連携 セキュア通信 認証・認可 Eege Service ルーター ファイアウォール アプリユーザー 開発者 管理者 IBM DataPower Gateway リバース・ プロキシー SSL終端処理 IPS 他クラウド or オンプレミス Application Security © 2016 IBM Corporation IBM Bluemix www.bluemix.net Secure Gateway 概要 他クラウド/オンプレミス上のリソースとセキュアに通信するための連携サービス セキュア・トンネル(websocketトンネル)で安全かつ容易に拠点間を接続できる 接続したい拠点にSecure Gatewayクライアントを導入/構成し、Bluemixと接続 提供タイプは3種類 (Docker, DataPower, ネイティブ・クライアント) ネットワーク・レイテンシーや通信の暗号化にかかるコストにより、アプリのパフォーマンス に多少の影響が出る点に注意が必要 Bluemix 他クラウド or オンプレミス 関係ないアプリの 通信の遮断が可能 Port 443 9000で通信 SGゲートウェイ SGクライアント app ランタイム プロトコル指定 で暗号化 82 セキュア・トンネル セキュアな 通信を保証 既存リソース Client TLS 設定で暗号化 © 2016 IBM Corporation IBM Bluemix www.bluemix.net Secure Gateway の提供形態 プラン Standard(標準) アウトバウンド通信に対し1GBあたり¥10.50 毎月 1GBのアウトバウンド通信分は無料 提供地域 米国南部 英国 シドニー すべての地域で 利用可能 サービス作成に対する制約 スペースあたり1インスタンスまで 83 © 2016 IBM Corporation IBM Bluemix www.bluemix.net クライアントの種類 Secure Gatewayのクライアントは、以下の3種類が提供 されている 1. Docker https://console.ng.bluemix.net/docs/services/SecureGateway/sg_021.html#sg_035 バージョン 1.7.0以上 (OSはDockerでサポートされているものであればOK) Docker Toolbox 1.8.0以上はサポートしない 2. IBMインストーラー(v1.3.0~) https://console.ng.bluemix.net/docs/services/SecureGateway/sg_021.html#sg_036 Ubuntu Linux (x86_64, Power): 14.04 (LTS)以上のバージョン RHEL (x86_64): 6.5以上 SuSE Linux: 11.0以上 Windows: [Desktop] 8.1, 10以上, [Server] 2012 R2以上 Mac OS X: Yosemite 10.10以上 3. IBM DataPower 84 https://console.ng.bluemix.net/docs/services/SecureGateway/sg_021.html#sg_008 バージョン 7.2以上 ※ クライアントの種類による機能差はマニュアル上はない © 2016 IBM Corporation IBM Bluemix www.bluemix.net IPテーブルによる通信の許可/ブロック Secure GatewayのエンドポイントはBluemix外部からもアクセスが可能 オンプレミス/他クラウドのリソースを守るためには、通信のブロックも検討すべき Secure Gatewayの場合、IPテーブルによる通信の許可/ブロックを設定可能 IPテーブルに許可するIP,ポートを指定 Bluemix外 からのアクセス Bluemix SGゲートウェイ 登録済み app ランタイム 再起動 再デプロイ 他クラウド or オンプレミス app ランタイム 再起動/デプロイ 度にIPテーブルの 更新が必要 SGクライアント 85 既存リソース © 2016 IBM Corporation IBM Bluemix www.bluemix.net クライアントの高可用性サポート v1.4.0よりクライアントの高可用性(冗長性)構成を取ることが可能 1つのゲートウェイに対し、複数のクライアントを接続させることができる • それぞれのクライアントでセキュア・トンネルを構成 リクエストは各クライアントにラウンドロビンで振り分ける(2016年3月現在) • クライアント障害時のリクエストの再送制御はゲートウェイにはないため注意 Bluemix 他クラウド or オンプレミス ラウンドロビンで 通信を振り分け SGクライアント#1 SGゲートウェイ app ランタイム 既存リソース セキュア・トンネル SGクライアント#2 86 © 2016 IBM Corporation IBM Bluemix www.bluemix.net マルチ・ゲートウェイ構成のサポート v1.4.0より1つのクライアントで複数のゲートウェイに接続することが可能 各地域のSecure Gatewayクライアントからアクセスする場合など、1つのクライアント で複数のゲートウェイと接続する必要がある場合にマルチ・ゲートウェイ構成を利用 ACL設定はゲートウェイ毎に分けて設定できる Bluemix (米国南部) 他クラウド or オンプレミス SGゲートウェイ クライアント は1つに集約 app ランタイム 既存リソース#1 Bluemix (英国) SGゲートウェイ SGクライアント app ランタイム 87 既存リソース #2 © 2016 IBM Corporation IBM Bluemix www.bluemix.net 双方向通信のサポート v1.4.0より双方向通信(Bidirectional connection)機能が追加 v1.3.2まではオンプレミス方向への通信(On-premise destination)のみ v1.4.0からクラウド方向への通信(Cloud destination)もサポート • Bluemix内部のランタイム/サービスおよびインターネット接続可能な他クラウド と連携 • ACLによる通信の許可設定はサービスとして未実装であることに注意 XXサービス 他クラウド YYサービス Cloud Destination の処理の向き Bluemix 他クラウド or オンプレミス SGクライアント app ランタイム サービス 88 SGゲートウェイ Destination Authentication で暗号化を指定 セキュア・トンネル 通信プロトコル で暗号化を指定 © 2016 IBM Corporation IBM Bluemix www.bluemix.net Virtual Private Network (VPN) 概要 社内データ・センターと Bluemix 環境内リソースの間のセキュアな 通信チャネルを提供します。 接続方式 IPSec(Internet Protocol Security) 提供されているプラン Standard (無料枠 : 1GB Outbound) 課金体系:従量課金 接続時間とOutboundの転送量に応じてGB当の単価が変動 接続時間 :¥4.20 JPY / 接続時間(hour) Outbound転送量 1~1000GB 1001~10000GB 10001GB~ 89 : ¥9.13 / GB Outbound : ¥8.93 / GB Outbound : ¥8.40 / GB Outbound © 2016 IBM Corporation IBM Bluemix www.bluemix.net Virtual Private Network (VPN) 概要 Bluemixアプリケーションの接続先 Bluemix上のIBMコンテナーのみ Cloud Foundry ランタイム、OpenStack 仮想サーバーは構成不可 VPN ゲートウェイ・デバイス Cisco Adaptive Security Appliance (ASA) Software バージョン 8.2(1) Brocade Vyatta 5415 vRouter 6.7 R7 Linux StrongSwan U5.1.2/K3.13.0-55-generic Linux StrongSwan U5.2.2/K3.13.0-55-generic ※他のすべてのベンダーによる IPSec 規格に準拠した VPN ゲートウェイ・デバイスは、IBM VPN サービスと共に良好に機能すると考えられます。 VPN 接続を開始するには、データ・パケットが IBM VPN ゲートウェイから オンプレミス・データ・センターまたは SoftLayer サーバーに向かって流れる 必要があります。 VPN 接続の確立後は、VPN 接続のエンドポイント間で双方向の通信が可能に。 90 © 2016 IBM Corporation IBM Bluemix www.bluemix.net VPNとSecure Gatewayサービスの使い分け コンテナーは、VPNも利用可能。 ラインタイム、仮想サーバーはSecure Gatewayのみ Bluemix 他クラウド or オンプレミス SGゲートウェイ SGクライアント app セキュア・トンネル ランタイム、コンテナー、 仮想サーバー Bluemix 既存リソース 他クラウド or オンプレミス VPN VPNゲートウェイ app コンテナー 91 VPNトンネル 既存リソース © 2016 IBM Corporation IBM Bluemix www.bluemix.net Content Delivery (CDN) 概要 アプリケーションへの接続のレイテンシー向上、 ネットワークの転送量、コストの削減を目的 提供されているプラン、課金体系 ベータ版のため無料 接続形式 HTTPのみ (HTTPSは未サポート ※2016年7月現在) OSSのFastyがベース $ nslookup cdn.bluemix.net Server: 9.0.142.50 Address: 9.0.142.50#53 Non-authoritative answer: cdn.bluemix.net canonical name = prod.nonssl.global.fastly.net. prod.nonssl.global.fastly.net canonical name = prod.nonssl.global.fastlylb.net. Name: prod.nonssl.global.fastlylb.net Address: 151.101.72.204 92 © 2016 IBM Corporation IBM Bluemix www.bluemix.net CDNサービスの利用手順 1. 2. 3. 4. 5. 93 カスタムドメインの設定 アプリケーションの作成 アプリケーションの経路の追加 CDNサービスのバインド DNS設定 © 2016 IBM Corporation IBM Bluemix www.bluemix.net セキュリティー関連のサービス 94 © 2016 IBM Corporation IBM Bluemix www.bluemix.net Bluemix 全体アーキテクチャー 95 Bluemix UI サービス イベント駆動型 Bluemix Public 仮想サーバー コンテナー CFランタイム Bluemix Dedicated アメリカ・ダラス/英国・ロンドン/豪州・シドニー Bluemix Local IBM SoftLayer お客様データセンター セキュリティー Transformation &Connectivity 認証サービス VPN CDN API・データ連携 セキュア通信 認証・認可 Eege Service ルーター ファイアウォール アプリユーザー 開発者 管理者 IBM DataPower Gateway リバース・ プロキシー SSL終端処理 IPS 他クラウド or オンプレミス Application Security © 2016 IBM Corporation IBM Bluemix www.bluemix.net Application Security on Cloud 概要 アプリケーションのセキュリティー脆弱性有無を確認 セキュリティー・レポートには、検出されたセキュリティー問題に 関する詳細情報が表示されます。 Web アプリの場合は、アプリが特定の規制および法的基準に準拠している かどうかを確認するために使用できる規制準拠レポートも使用できます。 チェック対象 モバイル・アプリ、Web アプリ、デスクトップ・アプリ スキャン可能なアプリのサイズの上限は 2 GB プラン 無料 (1ヶ月に最大10回、サマリーレポートのみ) 標準 1 つのアプリケーションに対して、1種類のスキャンは1 カ月間、回数無制限 スキャン対象のアプリ数によって変動。ボリュームディスカント有。 1~10アプリ : 43,800円/月・アプリ、11~50アプリ : 39,400円/月・アプリ) 96 © 2016 IBM Corporation IBM Bluemix www.bluemix.net 脆弱性チェックのテスト例 97 © 2016 IBM Corporation IBM Bluemix www.bluemix.net Single Sign On 概要 ポリシー・ベースの認証サービスでアプリケーションに シングル・サインオン機能を組み込むことができます。 対象 Node.js または Liberty for Java アプリケーション プラン 標準 : 210円/アプリケーション・ユーザー (無料枠 10 アプリケーション・ユーザー) 98 © 2016 IBM Corporation IBM Bluemix www.bluemix.net Single Sign On 概要 ユーザーの資格情報の保管場所 下記の ID ソースをサポート SAML Enterprise SAML トークン交換が行われるユーザー・レジストリー。 Cloud Directory IBM Cloud においてホストされるユーザー・レジストリー。 ソーシャル ID ソース GitHub、Google、Facebook、および LinkedIn ユーザーによるセルフケアもサポート ユーザーが、登録、プロファイルの更新、パスワードの変更、パスワードと ユーザー名を忘れた場合の管理などのさまざまなユーザー管理タスクを実行 できます。 99 © 2016 IBM Corporation IBM Bluemix www.bluemix.net Access Trail 概要 アプリケーションへのAPI 呼び出しに関する ロギング機能およびモニタリング機能を提供 対象となるBluemixアプリケーション環境 Bluemix上のIBMコンテナーのみ Cloud Foundry ランタイム、OpenStack 仮想サーバーは構成不可 提供されているプラン、課金体系 ベータ版のため無料 規制の監査要件への準拠が可能 Cloud Auditing Data Federation (CADF) 標準に準拠 100 © 2016 IBM Corporation IBM Bluemix www.bluemix.net Access Trail 概要 Access Trail ログの管理方法 Access Trail サービスのダッシュボード cURL コマンド 101 © 2016 IBM Corporation IBM Bluemix www.bluemix.net ストレージ関連のサービス 102 © 2016 IBM Corporation IBM Bluemix www.bluemix.net Bluemix 全体アーキテクチャー 103 API・データ連携 セキュア通信 VPN CDN Bluemix UI サービス イベント駆動型 Bluemix Public 仮想サーバー コンテナー CFランタイム Bluemix Dedicated アメリカ・ダラス/英国・ロンドン/豪州・シドニー Bluemix Local IBM SoftLayer お客様データセンター Transformation &Connectivity 認証サービス 認証・認可 Eege Service ルーター ファイアウォール アプリユーザー 開発者 管理者 IBM DataPower Gateway リバース・ プロキシー SSL終端処理 IPS 他クラウド or オンプレミス セキュリティー Application Security © 2016 IBM Corporation IBM Bluemix www.bluemix.net Object Storage 概要 ファイルの保管などに利用可能なデータストアを提供するサービス アプリケーション, サービス, コンソールなどから容易にアクセスし、利用可能 OpenStack Swiftベースでサービスを提供、SwiftのAPI/SDKが使用可能 オブジェクトに対する暗号化はプロバイダー側では保証されていないため注意 提供されているプラン Free : 組織につき1サービス・インスタンスのみ作成・利用可能、上限5GBまで Standard : 組織につき複数サービス・インスタンスを作成・利用可能 課金体系:従量課金(Standardのみ) データ量 :¥4.20 JPY/GB 通信量 :¥9.45 JPY/Outbound GB 104 © 2016 IBM Corporation IBM Bluemix www.bluemix.net Object Storageでできること Object Storageサービスは大きく分けて2つの機能を提供する ① 永続的なストレージ領域の提供 ユーザー app ユーザー 105 CFアプリ ② Web公開機能によるファイルの共有 Object Storage ユーザー ここがポイント!! ここがポイント!! ユーザーあるいはCFアプリから非構造のデー タ・ファイルを保管/取得することが可能 ログなどのデータのバックアップ先として利用 可能(要コーディング) CFアプリのファイルシステム上限が2GBのた め、個々の静的コンテンツの利用頻度が低いが、 合計容量が大きい場合なども利用を検討 一時的にファイルを共有させたい場合、有効期 限が定められた一時URLを発行することで対応 することが可能 認証なしでファイルのダウンロードを許可し、 CDNサービスと連携することで、静的ファイル のキャッシングが可能 © 2016 IBM Corporation IBM Bluemix www.bluemix.net 用語説明 ストレージ ストレージ オブジェクトを保管するデータ領域 HTTP REST APIで通信 コンテナー /sub1 オブジェクト 保管する「ファイル」を指す オブジェクトのサイズ上限は5GB オブジェクト 擬似階層化 ディレクトリー コンテナー オブジェクトを保管する「ディレクトリー/フォルダー」 擬似階層化ディレクトリー/フォルダー( or 擬似ディレクトリー/フォルダー) 単一のコンテナー内に階層構造を持たせるための仕組み オブジェクトの名前に「/」を含めることで容易に擬似的な階層化を実現できる 106 © 2016 IBM Corporation IBM Bluemix www.bluemix.net Object Storageの構成 (*1)https://new-console.eugb.bluemix.net/docs/services/ObjectStorage/i ndex.html#getting-started-with-object-storage より抜粋 以下の図のようにインフラは構成(*1)されている 米国南部, 英国で二重化されているが、以下の点には注意が必要 地域間のストレージの同期はサポートされていない(2016年3月時点) 認証アクセス・ポイント(Keystoneエンドポイント)に関して、地域によりURLが異なる 107 © 2016 IBM Corporation IBM Bluemix www.bluemix.net Object Storageへのファイルのアップロード ファイルのアップロード方法は3種類 数KB~数MB程度のファイルを保管するユースケースであれば方法1で問題ないが、 ファイルサイズが100MBを超える場合などは、ファイルを分割して保管することも検討 1. ファイルに手を加えずにアップロード ファイルを加工せず、そのままアップロードできる ファイルサイズにより転送時間がかかること、サイズ上限が5GBであることに注意 2. DLO (Dynamic Large Object)形式でのアップロード ファイルを指定したサイズに分割し、Object Storage上で1つのファイルに見せる方式 アップロード手順がシンプルだが、データ更新の一貫性は保証されない 3. SLO (Static Large Object)形式でのアップロード DLO形式と同じく、ファイルを任意のサイズに分割し、管理する方式 マニフェスト・ファイル(分割オブジェクトのサイズとmd5値の一覧)の作成が必要 マニフェストの作成が面倒だが、データの完全性やコンテナー間で分散してオブジェクトを配置 できる点に優れる 108 © 2016 IBM Corporation IBM Bluemix www.bluemix.net Object Storageサービスのアクセス・ポイント 認証およびオブジェクトにアクセスするためのアクセス・ポイントは以下の通り: 認証アクセス・ポイント(Keystoneエンドポイント) 認証トークンを取得する際にアクセスするエンドポイント 米国南部, 英国でActive-Activeで稼働しているため、認証のエンドポイントはSPOFとはなって いないが、自動でエンドポイントは切り替わらないため、注意 パブリック・アクセス・ポイント Bluemix上のアプリケーション、およびBluemix外部からオブジェクトにアクセスする ためのエンドポイント 内部アクセス・ポイント SoftLayerのPrivate Networkからオブジェクトにアクセスするためのエンドポイント 109 地域 認証アクセス・ポイント パブリック・アクセス・ポイント 内部アクセス・ポイント 米国南部 https://identity.open.softla yer.com https://dal.objectstorage.open.s oftlayer.com/ https://dal.objectstorage.s ervice.open.networklayer.c om/ 英国 https://lonidentity.open.softlayer.com https://lon.objectstorage.open.s oftlayer.com/ https://lon.objectstorage.s ervice.open.networklayer.c om/ シドニー - - © 2016 IBM Corporation IBM Bluemix www.bluemix.net SoftLayer上のサーバーとの連携 SoftLayer上のサーバーからObject Storageを利用することが可能 Object Storageの認証エンドポイントはパブリック側(Public Network)を利用する必要 があるが、ファイルの転送などはプライベート側(Private Network)経由で実施可能 Public Network 認証はこちらで実施 eth1 /sub1 サーバー eth0 Private Network 110 SoftLayer環境 Bluemix環境 ファイル転送は こちらで実施 © 2016 IBM Corporation IBM Bluemix www.bluemix.net Block Storage 概要 仮想マシンに接続可能な Block Storage ボリューム ブロック・ストレージ・ボリュームに格納されたデータは、 仮想マシンの有無にかかわらず存続が可能 OpenStack Cinder を使用してボリュームのライフサイクルを管理 スナップショット作成機能 提供されているプラン、課金体系 ベータ版のため無料 10ボリューム、10スナップショット、500GB 111 © 2016 IBM Corporation IBM Bluemix www.bluemix.net 可用性を高めるサービス AutoScale 112 © 2016 IBM Corporation IBM Bluemix www.bluemix.net Bluemix 全体アーキテクチャー 113 API・データ連携 セキュア通信 VPN CDN Bluemix UI サービス イベント駆動型 Bluemix Public 仮想サーバー コンテナー CFランタイム Bluemix Dedicated アメリカ・ダラス/英国・ロンドン/豪州・シドニー Bluemix Local IBM SoftLayer お客様データセンター Transformation &Connectivity 認証サービス 認証・認可 Eege Service ルーター ファイアウォール アプリユーザー 開発者 管理者 IBM DataPower Gateway リバース・ プロキシー SSL終端処理 IPS 他クラウド or オンプレミス セキュリティー Application Security © 2016 IBM Corporation IBM Bluemix www.bluemix.net IBM Auto-Scaling for Bluemix アプリケーションを動かすインスタンスに対し、自動スケール・アウト/インを行うため のサービス(アドオン) 指定したルールにあわせて動的に水平スケーリング 1地域(米国南部, 英国)に対し、1サービスのみ利用可能 ポリシーはバインドするアプリケーション毎に設定 ポリシー内でスケーリング・ルールを設定 複数設定することもできるが、メトリック(5種類)が重複しないことが条件 スケーリング・ルールに関して、互いに干渉/矛盾する設定のチェックは行われない点に注意 スケーリング・ルールを複数設定した場合、AND条件ではなくOR条件で評価される いずれかのうちの1つのルールに抵触すると、スケーリング・アクションがトリガーされる スケーリング制御ノード バックエンド で連携 ポリシーの定義 ポリシーにあわせて スケーリング実施 Bluemix UI 114 © 2016 IBM Corporation IBM Bluemix www.bluemix.net スケーリング・ポリシー 自動スケーリングを行うための動作目標 何をメトリック(モニター項目)として、どのようなトリガーで実施するかを指定 115 © 2016 IBM Corporation IBM Bluemix www.bluemix.net スケーリング・ポリシーの設定項目 フィールド名 116 説明 アプリケーション・インスタンスの 最小数 最小インスタンス数 アプリケーション・インスタンスの 最大数 最大インスタンス数 メトリック・タイプ モニター可能なサポートされるメトリック・タイプ 統計ウィンドウ (statWindow) 受け取ったメトリック値が有効であると認識された過去の期間の長さ 秒(second)単位で指定 ブリーチ(違反)期間 (Breach duration) スケーリング・アクションがトリガーされるまでの猶予期間 秒(second)単位で指定 スケールアウト スケールアウト・アクションをトリガーするしきい値、およびトリガーされる際のイン スタンスの増加数を指定するための項目 スケールイン スケールイン・アクションをトリガーするしきい値、およびトリガーされる際のインス タンスの減少数を指定するための項目 スケールインのクールダウン期間 (Cooldown period for scaling in) スケールイン・イベントの発生後、次のスケーリング要求を受け入れるまでの期間 秒(second)単位で指定 スケールアウトのクールダウン期間 (Cooldown period for scaling out) スケールアウト・イベントの発生後、次のスケーリング要求を受け入れるまでの期間 秒(second)単位で指定 © 2016 IBM Corporation IBM Bluemix www.bluemix.net メトリックの選択項目 2015年3月現在, 以下の5種類が提供されている 117 メトリック名 説明 サポートされるランタイム CPU CPU の使用率 Liberty for Java Node.js JVM のヒープ JVM のヒープ・メモリーの使用率 Liberty for Java メモリー メモリーの使用率 Liberty for Java Node.js Ruby スループット 1 秒当たりに処理される要求の数 Liberty for Java 応答時間 要求に対する平均応答時間 Liberty for Java © 2016 IBM Corporation IBM Bluemix www.bluemix.net メトリック統計 リアルタイムにCPU使用率などを表示 メーターと過去30分のヒストリカル・グラフで表示 メトリック項目のみ閲覧可能 118 © 2016 IBM Corporation IBM Bluemix www.bluemix.net スケーリング履歴 スケーリングの実行履歴は「スケーリング履歴」から確認可能 119 © 2016 IBM Corporation IBM Bluemix www.bluemix.net 120 © 2016 IBM Corporation