前回、K8s(GKE)採用の是非と、オンプレミスDBへのネットワーク接続設計の課題を解説しました。
今回は、ハイブリッドクラウド環境における「データ永続化」に焦点を当てます。クラウドストレージの適切な選定と、オンプレミスDBへの 具体的な接続方式(VPN, Interconnect, SASE)の比較検討 を通じて、性能、セキュリティ、コストを最適化する設計基準を提示します。
TL;DR — 大容量非構造化はCloud Storage(オブジェクト)、低遅延DBはPersistent Disk(ブロック)、共有ファイルは Filestore(NFS) を基本とする。
簡易チェック: ハイブリッド接続は「コスト対安定性」で選ぶ:低コストならVPN、高安定低遅延ならInterconnect、ゼロトラスト運用ならSASEを検討。
クラウドストレージのタイプと実用的な使い分け
この節を読めば:どのクラウドストレージがあなたのデータ種類とアクセスパターンに最適か判断できます。
クラウドにおけるストレージは、その特性から大きく「オブジェクト」「ブロック」「ファイル」の3つに分類されます。
| タイプ | Google Cloud 製品例 | 特徴と用途 | ハイブリッドでの活用例 |
|---|---|---|---|
| オブジェクト | Cloud Storage | 無限のスケール、非構造化データ、Webサイト静的コンテンツ、バックアップ、データレイク | オンプレDBバックアップ、ログ集約、アーカイブ |
| ブロック | Compute Engine Persistent Disk | VMに直接アタッチ、低レイテンシ、OSディスク、DBデータ、永続ボリューム(K8s) | GKE Podの永続データ、VMベースのレガシーアプリ |
| ファイル | Filestore (NFS) | 複数インスタンスから同時アクセス、既存アプリケーションのNFS共有置き換え | オンプレNFSからの移行、共有ストレージ |
- オブジェクト(Cloud Storage) = 非構造化、大容量、低コスト保存。配信用途はCDN併用、分析用途はデータレイク化。整合性モデル(最終一致や強整合)を確認して運用設計すること。
- ブロック(Persistent Disk) = VM/K8s用、低遅延が必要な構造化データ。
- ファイル(Filestore) = 共有アクセスが必要な従来のNFSワークロード。
IaC実践: 主要ストレージのTerraform最小定義
# 例: オブジェクトストレージ (Cloud Storage Bucket)
resource "google_storage_bucket" "static_assets" {
name = "my-hybrid-static-assets"
location = "ASIA-NORTHEAST1"
uniform_bucket_level_access = true
}
# 例: ブロックストレージ (Compute Engine Persistent Disk)
resource "google_compute_disk" "app_data_disk" {
name = "app-data-disk"
type = "pd-ssd"
zone = "asia-northeast1-a"
size = 50
project = var.project_id
}
— 補足(性能指標)
- ブロック(PD-SSD/PD-HDD):IOPS・スループットが重要。DB用途は
pd-ssd推奨。 - オブジェクト:整合性は最終的一貫性や強整合の違いに注意(ワークフロー依存)。
- Filestore:高IOPSが必要な共有ファイル用途向け。NFSのロック特性を理解する。
ハイブリッド環境におけるDB接続方式の選択とゼロトラスト
この節を読めば:オンプレミスDBとクラウドを繋ぐ最適な接続方式を選定し、ゼロトラストを適用できます。
クラウドVPCとオンプレミスネットワーク自体を繋ぐ接続方式には以下の選択肢があり、性能、安定性、コストのバランスで選定します。
SASE はネットワーク経路そのものではなく、アクセス自体にセキュリティを統合するアーキテクチャ(ZTNA + SWG + CASB 等)であり、VPN や Interconnect と併用されます。
| 方式 | 適合領域 | 速度/安定性 | コスト |
|---|---|---|---|
| VPN (IPsec) | 小〜中規模、開発/DR | ベストでない(公衆網経由) | 低 |
| Interconnect | 本番大規模、SLA必須 | 低遅延・高安定 | 高 |
| SASE | リモートワーク/ZTNA重視 | 中〜高(サービス依存) | 中〜高 |
判断基準(簡易版):
遅延 < 10ms が必須 → Interconnect
遅延は妥協できる/DR用途 → VPN (HA構成)
ZT運用の一貫性強化 → VPN/IC + SASE
IaC実践: Cloud HA VPNのTerraform最小定義
HA VPNは高可用性を担保する選択肢です。VPNゲートウェイとCloud Routerを連携させます。
# 例: Cloud HA VPN (高可用性VPN) の定義 (概念)
resource "google_compute_ha_vpn_gateway" "ha_gateway" {
name = "hybrid-ha-gateway"
network = google_compute_network.hybrid_vpc.id
region = "asia-northeast1"
}
# ルーティング設定に必要な Cloud Router (AS番号の定義など)
resource "google_compute_router" "router" {
name = "hybrid-ha-router"
network = google_compute_network.hybrid_vpc.id
region = "asia-northeast1"
asn = 64512
}
# VPNトンネル定義 (HA Gatewayを参照)
resource "google_compute_vpn_tunnel" "ha_tunnel_0" {
name = "to-onprem-tunnel-0"
vpn_gateway = google_compute_ha_vpn_gateway.ha_gateway.id
vpn_gateway_interface = 0 # ゲートウェイインターフェース 0番
peer_ip = "203.0.113.1"
shared_secret = "a-very-secret-key"
router = google_compute_router.router.name
}
ゼロトラスト原則の適用
どの接続方式を選んでも、**「決して信頼せず、常に検証する」**ゼロトラスト原則を適用します。
- 接続の最小化: 必要なポートとプロトコルのみを許可するファイアウォールルールを設定。
- IDベースの認証: 接続元がGKE Podのサービスアカウントであっても、オンプレDBへのアクセスには必ず認証を要求。
監視・アラート設計の3行メモ
- 監視の必須メトリクス: RTT(Pod→DB)、DB接続数、IOPS/スループット、リトライ率。
- アラート例: RTT>10ms(5分継続)/DB接続数>70%/リトライ率>1%。
ハイブリッドDBのデータ連携とレジリエンス設計
この節を読めば:オンプレDBとクラウドを跨ぐデータ連携戦略と、障害時の対応を設計できます。
-
レプリケーション戦略
- 一方向レプリケーション: オンプレからクラウドへのデータ連携(分析目的、DRサイト構築)。
- 双方向レプリケーション: 複雑で推奨度は低い。データ競合リスク大。
- ツール選定: Google Cloud Database Migration Service、またはオープンソースのレプリケーションツール。
— コンフリクト解決の基本パターン
- ソース優先(single-writer):単純で安全
- タイムスタンプ(last-write):分散システムで簡便だが注意
- カスタムマージ:アプリで整合化が可能な場合のみ(高難度)
-
フェールオーバーとDR(災害復旧)設計
- オンプレミスDBが障害を起こした場合、クラウド上のデータ(レプリカ、キャッシュ)でアプリケーションを継続できるか。
- フェールオーバー時のIPアドレス変更、DNS切り替え、アプリケーション設定変更を自動化する計画。
- RTO (Recovery Time Objective): 許容できる停止時間。
- RPO (Recovery Point Objective): 許容できるデータ損失量。
まとめと次回予告
第4回では、クラウドストレージの適切な使い分け、ハイブリッド環境におけるオンプレミスDBへの接続方式の比較、そしてデータ連携とレジリエンス設計について解説しました。
これで、データ永続化と、オンプレミスDBへの「繋ぎ方」の基礎が固まりました。次回は、より高度なセキュリティ設計へと進みます。
次回予告
次回は、ゼロトラストネットワークの深化とポリシー設計をテーマに扱います。
IDaaS(Identity as a Service)連携による認証基盤、VPC Service Controlsによるデータ漏洩対策、そして多層防御としてのファイアウォール設計を解説します。
ハイブリッドクラウド × ゼロトラスト × IaC の実践アーキテクチャ設計