マルチクラウド時代のAlibaba Cloud活用事例と最新技術
アーカイブ動画
※画像をクリックすると動画ページに遷移します
2016年にアリババグループとの合弁で設立されたSBクラウド
オープニングを務めたのはSBクラウド 技術部 部長のサール・エルハジバシル氏だ。サール氏はソフトバンクでITインフラの運用を10年以上経験した後、2016年、SBクラウドの立ち上げに参画。日本におけるAlibaba Cloudのローカライズ、プロダクトを企画開発などの責任者を歴任し、現在は技術部全体をリードしている立場を担っている。サール氏はAlibaba CloudとSBクラウドの概要について簡単に説明した。
SBクラウドは設立されて4年のクラウドサービスのプロフェッショナル集団である。最先端の技術領域を専門とした多様な専門性を持つプロフェッショナルなエンジニアが、顧客の課題を解決することをミッションとしている。
ソフトバンクとのシナジーを効かせ、コアのAlibaba Cloudを活かしたソリューションを展開するだけではなく、国内のソリューションを開発されているパートナーとも連携し、総合的にサービスを提供するエコシステムを構築している。
Alibaba CloudはIaaS、PaaS領域でサービスを提供しているが、中でも創業時からこだわっているのは高いパフォーマンスのコンピューティングを提供すること。そして、もう一つの特徴はグローバルネットワーク。Alibaba Cloudは世界22の地域に67カ所のアベイラビリティゾーンを展開しており、世界で数百万を超えるユーザーが利用している。
データベースやビッグデータを支えるプラットフォームにも、非常に力を入れている。Alibaba CloudではのEC事業などの多数の自社サービスを支えるインフラ基盤として、様々なプロダクトを開発してきた。それらのプロダクトを日本企業に届けることが、SBクラウドの役割でもある。
すでに日本で事業を開始して4年目となるが、中国進出企業に限らず大手企業を中心に国内でビジネスを展開している企業にも利用されている。例えば小売企業の場合、クラウド基盤やAIのプロダクトを活用している。オンラインゲーム会社はIaaSの特徴やメリットを活かし、ゲームのプラットフォームをAlibaba Cloudで構築している。
次からのセッションでは、ユースケースをもとにAlibaba Cloudについて紹介していく。
SBクラウドのエンジニア組織と提供ソリューション
続いて登壇したのは、技術部 副部長の西澤和正氏。西澤氏は大手SIerで約20年間、公共系の基盤の設計・構築、およびSDNソリューションの企画導入に従事してきた。2019年にSBクラウドに入社。以来、クラウドソリューションの企画・開発を担当。またセキュリティをテーマとしたコラムも執筆している。
SBクラウドのエンジニアサービスは、Alibaba Cloudの導入支援するためのアーキテクチャー提案やソリューション提案、設計・構築支援するプロフェッショナルサービスやソリューションデリバリ、導入後運用サポートのためのマネージドサービス(MSP)、テクニカルサポートサービスを用意。サポートはすべて日本語で対応している。
これらのサービスは、技術部に所属する約40名のエンジニアに加え、SIやサポートに携わるパートナー企業と共にAlibaba Cloudのソリューションを提供している。
すでにAlibaba Cloudは、様々な業種・規模の企業1,000社以上に対する導入実績がある。例えばサイボウズでは中国向けのオンラインイベント「CYBOZU DAYS CHINA 2020」を開催。Alibaba Cloudのライブ配信プラットフォーム「ApsaraVideo Live」とCDN機能を活用し、日本で撮影したライブ映像を中国のユーザーにクロスボーダーで配信することを実現した。
また、ある保険会社の申込みシステムの導入事例ではでは、個人情報取り扱いのため閉域環境に適したマルウェア対策が必要になり、Alibaba Cloudの「Security Center」を活用。インターネットに接続することなく、パターンアップデートが可能だ。
また、ゼロデイ攻撃に向けに一般のディストリビューターやOSベンダーよりも早くカスタムパッチを配布されるので、非常に高いセキュリティが担保できるのだ。
AI領域でも多数の導入実績があり、共同研究も行っている。1つは梓設計の建材・家具検索アプリ「Pic Archi」への活用。Alibaba Cloudでは「Image Search」という画像検索のAPIを提供しており、それを活用すれば比較的低コストで画像検索システムの開発ができる。
スクウェア・エニックスとはカードゲームアプリ「ドラゴンクエスト ライバルズ」において、機会学習を活用しゲームの膨大なログを活用するための共同研究を実施した。
SBクラウドはコワーキングスペース「WeWork」を拠点としている。本社はWeWork DAIWA 晴海に構えており、専用のワークゾーンではフリーアドレスを採用。ラボゾーンでは他社サービスとの比較ができるよう、ネットワーク機器などの検証環境があり、ネットワークエンジニアにとって居心地がよい場所となっている。
もちろんシェアオフィスエリアも使えるほか、会議室や電話用のブースなども用意されているため、オフィスの満足度は高い。このような場所をうまく活用してコラボレーションすることで、新しい事例やソリューションを創り出している。
激しいビジネス変化に対応するAlibaba Cloudのクラウドネイティブ基盤
Alibaba Cloudの技術に関するLTのトップバッターを務めたのは、ソリューションアーキテクトの有馬茂人氏。Alibaba Cloudを利用したシステムの提案や導入支援に携わっている。
Kubernetesはコンテナを管理するためのオーケストレーションツールである。Alibaba CloudではKubernetesのマネージドで利用できる「Container Service for Kubernetes(ACK)」というプロダクトを提供している。
同プロダクトはAlibaba Cloudの各プロダクト(IaaSやネットワーク、ストレージ)とシームレスに連携でき、豊富なクラスタータイプを選択することが可能。Alibaba CloudのIaaSである「Elastic Computing Service(ECS)」、ベアメタルサーバー「ECS Bare Metal Instance」、GPUインスタンス「Elastic GPU Service」に、フルマネージドでコンテナを実行できるほか、「Elastic Container Instance(ECI)」などのプロダクトが選択できるようになっている。
ECIの特徴は、IaaSを管理する必要がなく、クラウド上で直接コンテナを実行できること。ACKからPODの起動先として実行することや、ECI単体でもコンテナを実行することも可能だ。またCPUやメモリもIaaS同様に柔軟に指定できる。
ACKでは5つのクラスター構成をサポートしている。各クラスターは、Kubernetesのコントロールプレインとコンテナが実行されるワーカーノードの排出先、利用されるプロダクトが異なる。専用クラスターはすべてのクラスターをユーザー自身が運用するケースに活用される。
マネージドクラスターはKubernetesのコントロールプレインはAlibaba Cloud側で管理、ワーカーノードをユーザーが自由にインスタンスを選択して利用できる。サーバーレスクラスタはKubernetesのコントロールプレインはAlibaba Cloud、コンテナの実行先はECI上に作成されるためIaaSが不要となり、ノードレスの状態でコンテナを実行できる。
マネージドエッジクラスターとクラスター接続プロキシはAlibaba Cloudから、オンプレミスや他のクラウド上に構築されているノードやKubernetesのクラスターを、Alibaba Cloudから一元管理する。ハイブリッド環境やマルチクラウド環境に対応したKubernetesのクラスター構成を選択できる。
ACKではアプリケーション開発を支援するサービスとしてアプリケーションセンターという機能を提供している。これを利用するところで、GitOpsでのデリバリーが可能になる。開発者はKubernetesの構成を管理するマニュフェストファイルをgitにプッシュすれば、リポジトリの内容はアプリケーションセンターに同期される。
変更されたマニュフェストのリソースは各クラスターに自動的にデプロイされるため、Git上でKubernetesのリソースを管理できる。Alibaba Cloudでは、ArgoCDというオープンソースの継続的デリバリツールを、コンソールのアドオン管理からデプロイすることで実現している。
GitOpsの環境で開発を行うことで、CLIなどでデプロイする場合と異なり、クレデンシャルを各端末で持つ必要がなくなるため、非常にセキュリティが向上するのだ。
Alibaba Cloudが提供する主な機能
主な機能としては、イメージの自動ビルドやイメージに対する脆弱性のスキャン、異なるリージョンへのイメージの同期、作成されたイメージのデプロイが挙げられる。またデリバリチェーンの機能も有しており、ビルドやセキュリティスキャンをパイプラインとして定義することで、継続して実行できるようになっている。
セキュリティ対策をCI/CDのパイプラインに実装することで、開発の初期段階からセキュリティ対策を行い、DevSecOpsのアプローチでコンテナイメージのリリースサイクルを回すことができる。
コンテナレジストリを利用したコンテナイメージのCI/CDパイプラインは、次のようなプロセスで実現する。開発者はDockerファイルのコードをリポジトリにプッシュすると、リポジトリからWebhookが実行されてコンテナレジストリでビルドが開始される。
必要に応じてセキュリティスキャンやイメージの同期、各クラスターへのデプロイが実行される。イメージのスキャンについても、脆弱性が発見された場合はデプロイを中止するブロッキングの機能も持っている。
メトリクスを収集するための仕組みとしては、Prometheusをマネージドで利用可能な「Application Real-Time Monitoring Service(AMRS)」が利用できる。Prometheusはオープンソースのモニタリングツールとして、Kubernetesを利用した環境でも利用が進んでいるツールである。
Alibaba CloudではPrometheusのサーバー機能やストレージ、ビジュアライズするためのコンポーネントをマネージドで提供。ユーザーはエージェントをインストールするだけでAMRSと連携して利用することができる。。
また「ApsaraDB for PolarDB(PolarDB)」という大容量でハイパフォーマンスなクラウドネイティブデータベースも提供している。PolarDBの最大の特徴は高性能アーキテクチャー。コンピューティングとストレージのレイヤーが分離されていて、非常に短時間にスケールさせることが可能だ。
ユースケースとしてはゲームのバックエンドに利用されている。PolarDBの活用により、運用コストの削減、開発工数の短縮、コスト最適化が実現。PolarDBの詳細な内容はSBクラウドのSlideShareにてスライドが公開されている。
このようにAlibaba Cloudのプロダクトを組み合わせることで、クラウドネイティブな環境の構築が実現する。
日本から中国ネットワークの運用を実現する「Smart Access Gateway(SAG)」とは
続いて登壇したのは、技術部 SA課 ネットワークグループの斎藤貴広氏。斎藤氏は2020年6月にジョイン。ソリューションアーキテクトとしてネットワークのプロダクトの検証、ソリューション開発に従事している。
WANの仮想化技術である「SD-WAN」は、厳密に定義された内容はなく、技術とコンセプトの総称。Alibaba Cloudの提案するSD-WANソリューションが「Smart Access Gateway(SAG)」である。SAGのラインナップにはオンプレミス型のSAGデバイス、クラウド型のSAG-APP、クラウド型のvCPE SAGがあるが、ここではSAGデバイスとSAG-APPについて説明する。
SAGデバイスはAlibaba Cloudへ接続するためのパブリッククラウドベンダー謹製のカスタマーゲートウェイデバイスである。AWSやAzureでも、OutpostやAzureStackというデバイスがあり、いずれもパブリッククラウドのリソースをオンプレミスで実現する思想の基に生まれたデバイスである。
一方のSAGデバイスは、オンプレミスネットワークに特化したデバイス。特徴としてAlibaba Cloudコンソールで機器の設定が可能でゼロタッチでVPN接続ができる(ゼロタッチプロビジョニング)。
またエントリーモデルのASG-100WNとSAG-1000のミドルモデルとも低価格な本体料金になっている。エントリーモデルは1万7000円程度、ミドルモデルは6万円程度で購入できる。
SAGデバイスの最大の特徴は、運用負担は小さく、SD-WANメリットが大きくなること。 これを裏付ける理由が3つある。1つ目は展開力のあるアーキテクチャー、2つ目は運用が簡単なデバイス、3つ目が高可用性。それぞれの3つの理由を詳しく紹介する。
まずは展開力のあるアーキテクチャーについて。SAGはCloud Connect Network(CCN)を経由してAlibaba Cloud上のリソースへアクセスする仕様になっている。CCNはハブのような機能で、多数のアクセスポイント(POP)で構成されており、SAGデバイスは最寄りのPOPに自動接続するため低レイテンシーを実現する。
しかも、1カ国内に最大500インスタンスを展開可能。SAGデバイスインスタンスだけではなく、SAG-APPのインスタンスもバインド可能なので、様々なユースケースや規模に対応できる。また同一エリア、1つの国の中であればSAGデバイス間通信が追加コストなしで仮想専用線が利用可能だ。
第二に運用が簡単なデバイスであること。設定はAlibaba Cloudコンソールから設定が可能で、日本からリモートで運用や設定が可能になる。また4GLTEにも対応しており、有線環境に左右されずにモビリティ性のある拠点設営が可能になる。
自動でVPN接続するので、煩わしいVPN設定や設計が必要ない。最後の特徴は高可用性。デバイスレベルでも回線レベルでも論理レベルでも高可用性が担保されている。これらの特徴で運用負担は小さく、SD-WANによりメリットはより大きく得られるというわけだ。
SAGのアーキテクチャー、CCNとは分散アクセスポイントで構成される基盤コンポーネントである。CCNとVPCのリージョンの定義が異なる。CCNは1リージョン、VPCは10リージョンとリージョンの数字だけ見るとCCNが不利に見えるが、CCNは例えば中国国内には数十ものPOPがある。
つまりAlibaba Cloudと通信できる出入り口は、CCNの方がVPCと比べても多いことがわかる。またCCNとVPCのエリアは、1つの国の中で同一であれば、仮想専用線CENのサービスが無償で受けられる。
SAGのユースケースを紹介
SAGのユースケースも紹介された。SAGはCCNの特徴である最寄りのPOPへ自動で接続し、Alibaba Cloudに自動的にVPN接続する。この特徴により低遅延のVPN接続が実現する。同一CCN内であれば、SAGデバイスおよびSAG-APPも追加コストなしに相互接続できる。最後に他のAlibaba Cloudのリソースにアクセスする場合はCCNに仮想専用線CENのアタッチが必要になる。
これは先述したように、同一CCN内のSAGデバイス間においても必要となる。CENのインスタンスは作成するだけであれば料金は発生しない。同一CCN内のSAGデバイス間通信においては、ルーターの代わりとして導入することになる。SAGデバイスは中国に複数拠点にある場合に、メリットを発揮しやすい。
SAGデバイスも簡単だ。まずコンソールからデバイスを購入し、中国国内の住所を入力する。すると中国国内から2営業日以内に発送、届いたらデバイスの設置を行う。あとは既存環境の接続性を確認するだけ。機器のやり取りは中国国内で完結する。
あとはコンソールからインスタンスの設定を行い、ワンクリックでSAGデバイスに配信する。これは日本から行うことも可能である。SAGは運用監視面でも強みがある。
SAGコンソールからトラフィック量やレイテンシー、パケットロスの確認がグラフィカルな表示で確認できる。Alibaba Cloudの総合監視サービスである「CloudMonitor」からSAGデバイスのイベント確認も行える。
SD-WANに何を求めるのか。アンケートを実施したところ、運用の容易さがトップで59%。続いてパフォーマンス、価格の順に続く。これらの課題をすべて解決できるのがSAG-APPである。
SAG-APPはSAGデバイスと同じアーキテクチャー(CCN)を採用しており、簡単な運用や操作、低価格という特徴を持つ。東京リージョンにも対応している。対応OSもLinux以外、Windows、MacOS、iOS、Androidに対応。導入もSAGデバイス同様に簡単だ。
まずはコンソールからSAG-APPインスタンスを購入し、展開するエリアやユーザー数や購入期間などを入力。次にコンソールからネットワーク設定する。ここでも煩わしいVPN設計は一切ない。
続いて、コンソールからユーザーを作成する。接続に必要な情報がメールで届くので、クライアントアプリを入手してログイン。入力する情報はユーザー名とパスワード、SAG-APPのインスタンス名である。
MacOSとiOSはApp Storeで公開されているので、クライアントアプリの入手も簡単だ。ユーザー側でプロファイルのインストール不要なのも運用面で大きなメリットである。現在、無料トライアルを実施している。
SAGを導入すると、導入から運用まで日本からオペレーションが可能になる。つまり現地の専任管理者が不要になり、人件費および負担が削減できる。複数の冗長化方式で中国拠点のBCP対策にも役立つ。
テレワークを安全かつ性能良く実現するアリババのDaaS
最後に登壇したのは、技術部PS&SD課でデリバリーチームリーダーを務める須山公夫さん。2020年にSBクラウドにジョイン。現在はAlibaba Cloudのソリューションデリバリー業務を担当している。
スマートワークやニューノーマルなど、働き方は変わりつつある一方で、まだまだDaaS製品とVDIを利用していない企業も多い。だが、子育てや介護、パンデミックの対策としてもテレワークの環境整備は必要なため、テレワーク環境を整備することが企業のステータスにもなりつつある。テレワークの実現に貢献するのが、Alibaba CloudのDaaS製品である。
だが、DaaS製品の課題として挙げられるのがコストや性能への不満。Alibaba Cloudでは2つのプロダクトを用意している。1つは「Cloud Desktop Enterprise」。Citrixベースの低価格な高機能エディションになる。
もう1つが「Remote Desktop on Cloud」で、圧倒的に低価格でシンプルなソリューション。両者とも1ユーザーから利用できるのも特徴だ。
「Cloud Desktop Enterprise」は、自宅やシェアオフィス環境からインターネット経由でクラウドデスクトップ環境に接続できる。セキュリティは二要素認証を採用。クラウドデスクトップ上の仮想デスクトップから、インターネットや他社クラウドサービス利用が可能である。 ※「Cloud Desktop Enterprise」は現在中国国内でのみ利用可能となっているが、今後日本からも利用可能になる予定。
その他にクリップボードの制御、すかし表示など、きめ細かいセキュリティ性能を提供しており、幅広い活用法が考えられる。
セキュリティ面のユースケースとしてはインターネット分離。この機能を使えば、利用する端末から「Cloud Desktop Enterprise」に接続し、インターネットを経由せずに安全なWebアクセスを実現する。
DaaS製品の仮想デスクトップ上にマルウェアが感染した場合は、削除してマスターイメージから仮想ストップを再構築する。ウィンドウ単位、デスクトップ全画面の転送を選択可能である。
「Cloud Desktop Enterprise」はコンソールからクラスターと呼ばれるグループ単位で仮想デスクトップを管理することになる。DaaSを利用することで、情報システム部門の運用負荷もかなり軽減されるはずだ。
「Remote Desktop on Cloud」は、簡易的なデスクトップサービス。端末からSSL-VPN経由で仮想デスクトップに繋ぐ。メリットは、非常に安価でIOPS(Input/Output Per Second。1秒あたりにディスクが処理できる読み込み・書き込み数のこと)が高いこと。軽微なWebアプリケーションによる業務やオフィス業務であれば、十分なパフォーマンスを提供する。
すでに導入事例もある。個人情報を取り扱う国内企業では、インターネット分離が要件にマッチしたことで導入。「Remote Desktop on Cloud」からプロキシサーバー経由で送信元と送信先を絞って、アクセスしている。また、1ユーザーからスモールスタートで利用できることも採用のポイントになった。
イベント参加者からの質問に答える「Q&A」
最後に質疑応答の時間が設けられた。
Q.AWSやAzureをメインで使っている中で、Alibaba Cloudに切り替える利点は?
A:日中間のネットワークの課題に影響されないサービスがあることが強みですが、国内ユーザー企業の目的は大きく3つあります。
1つはコストダウン。2つ目はマルチクラウド性があること。3つ目はセキュリティ性が高いこと。その他に「Image Search」など、アリババグループの独自技術を活用したサービスを利用できるメリットもあります。例えば、ニトリホールディングスではスマートフォンアプリにAlibaba Cloudの「Image Search」を活用した画像検索サービスを提供しています
Q.マルチクラウドの導入に当たり、学習コストの課題がある。他のクラウドと比べて習得しやすい、習得しにくいなどの特徴はあるか。
A:クラウドの特徴は各社それぞれあるが、AWSなど主要なクラウドサービスの経験があれば、1カ月ぐらいで基本的なスキルは習得できるため、。学習コストの心配はないと考えています。
多様なAlibaba Cloud活用事例が紹介され、充実したLTとなった今回の勉強会。Alibaba Cloudに関心のある人は、ぜひSBクラウドのコラムを読んでみてほしい。世界有数のeコマースを支えているインフラならではのすごさが実感できるかもしれない。
最後に
SBクラウドではソリューションアーキテクト、クラウドエンジニアを中心に仲間を募集しています!
詳細は以下ページよりご確認ください。
募集職種はこちら ※中国語は必須ではありません