この記事では、金融サービス業界 (FSI) 向けに Azure Red Hat OpenShift ランディング ゾーン アーキテクチャを実装する方法について説明します。 このガイダンスでは、ハイブリッド クラウド環境で Azure Red Hat OpenShift を使用して、FSI 向けにセキュリティで保護され、回復性があり、コンプライアンスに準拠したソリューションを作成する方法について説明します。
Azure Red Hat OpenShift を使用して本番環境を構築する前に、Azure 向けのクラウド導入フレームワークの「Azure Red Hat OpenShift ランディング ゾーン」ガイダンスをお読みください。
Architecture
このアーキテクチャの Visio ファイルをダウンロードします。
データフロー
このシナリオでは、Azure Red Hat OpenShift クラスターで実行されるアプリケーションを使用します。 アプリケーションは、Azure Firewall が保護する Azure 上のオンプレミス リソースとハブ仮想ネットワークに接続します。 次のデータフローは、前の図に対応しています。
開発者は、会社のネットワーク内にコードを記述し、GitHub Enterprise にコードをプッシュします。 シナリオには任意のコード リポジトリを使用できます。
顧客のデプロイ パイプラインによってコードがコンテナー化され、オンプレミスのコンテナー レジストリにデプロイされます。
その後、オンプレミスの OpenShift クラスターと Azure 上の Azure Red Hat OpenShift クラスターにイメージをデプロイできます。 また、このイメージは Azure ExpressRoute 経由で Azure Red Hat OpenShift にデプロイされます。これにより、Azure ハブ仮想ネットワーク経由のトラフィックが、スポーク仮想ネットワーク内のプライベート Azure Red Hat OpenShift クラスターにルーティングされます。 これら 2 つのネットワークがピアリングされます。
Azure Red Hat OpenShift クラスターから送信されるトラフィックは、まずピアリングされたハブ仮想ネットワークを経由し、次に Azure Firewall インスタンスを介してルーティングされます。
アプリケーションにアクセスするために、顧客は Azure Front Door 経由でトラフィックをルーティングする Web アドレスに移動できます。
Azure Front Door では、Azure Private Link サービスを使用して、プライベート Azure Red Hat OpenShift クラスターに接続します。
コンポーネント
Azure Red Hat OpenShift により、可用性の高いフル マネージド OpenShift クラスターがオンデマンドで提供されます。 これらのクラスターは、このアーキテクチャのプライマリ コンピューティング プラットフォームとして機能します。 クラスターは Microsoft と Red Hat によって共同で監視および運用されます。
Microsoft Entra ID (旧称 Azure Active Directory) は、従業員が外部リソースにアクセスするために使用できるクラウドベースの ID およびアクセス管理サービスです。 このアーキテクチャでは、Microsoft Entra ID が外部リソースへのセキュリティで保護されたきめ細かいアクセスを顧客に提供します。
ExpressRoute と接続プロバイダーを併用することで、プライベート接続を介して、オンプレミスのネットワークを Microsoft クラウドに拡張できます。 このアーキテクチャでは、ExpressRoute を使用して、オンプレミスのリソースと Azure の間にプライベートな高帯域幅の接続を実現します。
Azure Key Vault は、シークレット、キー、証明書を格納および管理するキー管理ソリューションです。 このアーキテクチャでは、Key Vault を使用して、プライベート Azure Red Hat OpenShift クラスターで実行されるアプリケーションのシークレットを安全に格納します。
Azure Bastion は、プライベート IP アドレスを介して仮想マシン (VM) に安全に接続するためにデプロイできる、フル マネージドのサービスとしてのプラットフォーム (PaaS) です。 このシナリオによってプライベート クラスターが実装されるため、このアーキテクチャでは Azure Bastion を使用してプライベート ネットワーク内の Azure VM に接続します。
Azure Firewall は、Azure で実行されるクラウド ワークロードに脅威保護を提供する、クラウドネイティブでインテリジェントなネットワーク ファイアウォールのセキュリティ サービスです。 このアーキテクチャでは、Azure Firewall を使用して、Azure Red Hat OpenShift 環境との間で送受信されるネットワーク トラフィックを監視およびフィルター処理します。
代替
Azure Red Hat OpenShift を使用して、OpenShift エコシステムにアクセスできます。 オンプレミスで OpenShift を実行すると、含まれるプラットフォーム サービスのほとんどが Azure Red Hat OpenShift に適用されます。 これらのプラットフォーム サービスは、この記事で説明されている一部の Azure サービスの代替手段として使用できます。
Microsoft 以外の代替手段を利用できます。 たとえば、コンテナー レジストリをオンプレミスでホストしたり、GitHub Actions ではなく OpenShift GitOps を使用したりできます。 Azure Red Hat OpenShift 環境とシームレスに連携する Microsoft 以外の監視ソリューションを使用することもできます。 この記事では、お客様が Azure Red Hat OpenShift でソリューションを構築するためによく使用する Azure の代替手段について説明します。
シナリオの詳細
FSI やその他の規制対象業界の Azure Red Hat OpenShift のお客様には、多くの場合、環境に対する厳しい要件があります。 このアーキテクチャでは、金融機関がハイブリッド クラウド環境で Azure Red Hat OpenShift を使用するときに、独自の要件を満たすソリューションを設計するために使用できる包括的な基準とガイドラインの概要を示します。
このシナリオではセキュリティ対策に重点を置いています。 たとえば、オンプレミス環境からのプライベート接続の有効化、プライベート リンクの使用に対する厳格な制御の実装、プライベート レジストリの確立、ネットワーク分離の確保、保存データや転送中のデータに対する堅牢な暗号化プロトコルのデプロイを実行できます。 ID およびアクセス管理とロールベースのアクセス制御 (RBAC) の両方により、Azure Red Hat OpenShift クラスター内のユーザー管理がセキュリティで保護されます。
回復性を上げるには、フォールト トレランスのために可用性ゾーン間でリソースを分散します。 コンプライアンスの義務には、Microsoft 以外のリスク評価、規制遵守、ディザスター リカバリー プロトコルが含まれます。 可観測性を向上させるには、ログ記録、監視、バックアップのメカニズムを追加して、運用効率と規制コンプライアンスを維持します。 この記事のガイドラインでは、金融サービス業界のニーズに合わせて特別に調整された Azure Red Hat OpenShift ソリューションのデプロイと管理に使用できる包括的なフレームワークを提供します。
考えられるユース ケース
このシナリオは、金融や医療など、規制対象の業界のお客様に最も適しています。 このシナリオは、厳密なデータ ガバナンス要件を持つソリューションなど、セキュリティ要件が高い顧客にも適用されます。
考慮事項
これらの推奨事項は、ワークロードの品質向上に使用できる一連の基本原則である Azure Well-Architected Framework の要素を組み込んでいます。 詳細については、「Microsoft Azure Well-Architected Framework」を参照してください。
[信頼性]
信頼性により、顧客に確約したことをアプリケーションで確実に満たせるようにします。 詳細については、「信頼性の設計レビュー チェックリスト」を参照してください。
回復性は、ミッション クリティカルなアプリケーションの中断のない運用を維持するために、Microsoft Azure Red Hat OpenShift にとって不可欠です。 次の信頼性に関する推奨事項に従ってください。
可用性ゾーン: Azure リージョン内の 3 つの可用性ゾーンにコントロール プレーンとワーカー ノードを分散します。 このセットアップにより、コントロール プレーン クラスターがクォーラムを維持し、可用性ゾーン全体で潜在的な障害が軽減されます。 この分散を標準のプラクティスとして実装します。
複数リージョンのデプロイ: Azure Red Hat OpenShift クラスターを複数のリージョンにデプロイして、リージョン全体の障害から保護します。 回復性を向上させるために、Azure Front Door を使用してこれらのクラスターにトラフィックをルーティングします。
ディザスター リカバリー: 顧客データを保護し、継続的なビジネス運用を確保するために、厳格なディザスター リカバリー標準を実装します。 これらの標準を効果的に満たすために、「ディザスター リカバリーへの配慮」のガイドラインに従ってください。
バックアップ: 機密性の高い顧客データを保護するには、厳格なバックアップ要件に準拠していることを確認します。 既定で Azure Storage にアタッチするように Azure Red Hat OpenShift を構成し、復元操作後に自動的に再アタッチされるようにします。 この機能を有効にするには、「 Azure Red Hat OpenShift クラスター アプリケーション バックアップの作成」の手順に従います。
セキュリティ
セキュリティは、重要なデータやシステムの意図的な攻撃や悪用に対する保証を提供します。 詳細については、「セキュリティの設計レビュー チェックリスト」を参照してください。
金融業界ではセキュリティが最も重要です。 機密データを保護し、規制コンプライアンスを確保するには、厳格なセキュリティ対策が必要です。
ネットワーク
オンプレミス環境からのプライベート接続: 金融業界のユース ケースでは、パブリック インターネット アクセスなしの排他的なプライベート ネットワーク接続が必要です。 セキュリティを強化するには、インターネットからアクセスできないプライベート IP アドレスの Azure プライベート リンクを実装し、オンプレミスのデータセンターからの接続に ExpressRoute を使用します。 詳細については、「Azure Red Hat OpenShift プライベート クラスターを作成する」を参照してください。
プッシュ専用のプライベート リンク: 多くの場合、金融企業では Azure ワークロード トラフィックによるデータセンターへの接続を制限しています。 プライベート データセンターから Azure への受信専用アクセス用にプライベート リンク ゲートウェイを構成します。 プライベート データセンターのシステム依存関係がデータを Azure にプッシュしていることを確認します。 プライベート リンクと Azure Firewall を使用して、最小限の特権の原則に従ってファイアウォール ポリシーの例外を個別に適用します。
プライベート レジストリ: イメージをスキャンし、脆弱なイメージを使用しないようにするには、境界内で一元化されたコンテナー リポジトリを使用します。 コンテナー イメージをランタイムの場所に配布します。 この目的のために、Azure Container Registry とサポートされている外部レジストリを実装します。 詳細については、「プライベート Azure Red Hat OpenShift クラスターでコンテナー レジストリを使用する」を参照してください。
ネットワークのセグメント化: セキュリティとネットワークの分離のために既定のサブネットをセグメント化します。 Azure ネットワークを使用して、Azure Red Hat OpenShift のコントロール プレーン、ワーカー プレーン、データ プレーン、Azure Front Door、Azure Firewall、Azure Bastion、Azure Application Gateway 用の個別のサブネットを作成します。
データ
保存データの暗号化: 既定のストレージ ポリシーと構成を使用して、保存データの暗号化を確保します。 コントロール プレーンの背後にある etcd を暗号化し、各ワーカー ノード上のストレージを暗号化します。 永続ボリュームのファイル、ブロック、BLOB ストレージなど、Azure Storage への Container Storage Interface (CSI) アクセスを構成します。 顧客または Azure を介してキーを管理するには、etcd と Azure Red Hat OpenShift 機能であるストレージ データ暗号化を使用します。 詳細については、「Azure Red Hat OpenShift のセキュリティ」を参照してください。
転送中のデータの暗号化: 既定の Azure Red Hat OpenShift クラスター内のサービス間の相互接続を暗号化します。 サービス間のトラフィックに対してトランスポート層セキュリティ (TLS) を有効にします。 証明書ストレージにネットワーク ポリシー、サービス メッシュ、Key Vault を使用します。 詳細については、「Azure Red Hat OpenShift クラスター証明書の更新」を参照してください。
キー管理サービス: シークレットを安全に格納し、サービスを提供するには、Key Vault を使用します。 その他のオプションについては、Hashicorp Vault や CyberArk Concur などのパートナーに依存しないソフトウェア ベンダーを検討してください。 Key Vault で証明書とシークレットを処理し、Bring Your Own Key (BYOK) モデルを検討します。 Key Vault をメイン コンポーネントとして使用します。 詳細については、「Azure Storage 暗号化のカスタマー マネージド キー」を参照してください。
認証と権限承認
ID およびアクセス管理: Azure Red Hat OpenShift クラスターの一元的な ID 管理に Microsoft Entra ID を使用します。 詳細については、「Microsoft Entra ID グループ要求を使用するように Azure Red Hat OpenShift を構成する」を参照してください。
RBAC: Azure Red Hat OpenShift に RBAC を実装して、ユーザー アクションとアクセス レベルの詳細な承認を提供します。 FSI シナリオで RBAC を使用して、クラウド環境への最小限の特権アクセスを確保します。 詳細については、「RBAC の管理」を参照してください。
コンプライアンス
Microsoft 以外のリスク評価: 財務コンプライアンス規制に従うために、最小限の特権アクセスに従い、エスカレートされた特権の期間を制限し、サイト信頼性エンジニア (SRE) のリソース アクセスを監査します。 SRE 共有責任モデルとアクセス エスカレーション手順については、「Azure Red Hat OpenShift の責任の概要」と「Azure Red Hat OpenShift への SRE アクセス」を参照してください。
規制コンプライアンス: Azure Policy を使用して、FSI シナリオでのコンプライアンスに関連するさまざまな規制要件に対処します。 詳細については、「Azure Policy」と「Azure Policy の組み込みイニシアチブの定義」を参照してください。
オペレーショナル エクセレンス
オペレーショナル エクセレンスは、アプリケーションをデプロイし、それを運用環境で実行し続ける運用プロセスをカバーします。 詳細については、「オペレーショナル エクセレンスのデザイン レビュー チェック一覧」を参照してください。
FSI 企業では、堅牢な監視ツールとプラクティスを使用して、問題を先回りで検出して対処し、リソースの使用状況を最適化できます。 オペレーショナル エクセレンスに関する以下の推奨事項に従います。
効果的なログ記録と監視を実装する: Azure Monitor と Microsoft Sentinel を使用してアクションを追跡し、Azure Red Hat OpenShift 環境内でシステムの整合性を確保します。 可観測性と監視のプラクティスを補完するには、Dynatrace、Datadog、Splunk などの Microsoft 以外のツールを使用します。 Prometheus または Azure Managed Grafana のマネージド サービスが Azure Red Hat OpenShift で使用できることを確認します。
Azure Arc 対応 Kubernetes の使用: Azure Arc 対応 Kubernetes を Azure Red Hat OpenShift 環境と統合して、ログ記録と監視機能を強化します。 提供されているツールを使用して、リソースの使用を最適化し、業界の規制への準拠を維持します。 包括的な監視と可観測性を有効にします。 詳細については、「Azure Arc 対応 Kubernetes」と「Azure Arc 対応クラスターの監視を有効にする」を参照してください。
共同作成者
この記事は、Microsoft によって保守されています。 当初の寄稿者は以下のとおりです。
プリンシパル作成者:
- Ayobami Ayodeji | シニア プログラム マネージャー
公開されていない LinkedIn プロフィールを見るには、LinkedIn にサインインしてください。
次のステップ
Azure Red Hat OpenShift ランディング ゾーン アクセラレータ は、Azure CLI リファレンス実装と重要な設計領域の推奨事項で構成されるオープンソースのリポジトリです。