従来のITインフラとコンテナではそもそも文化が違う
コンテナの登場でITを取り巻く状況が急激に変化しており、「ITシステム自体に対する考え方が変わってきています。それに合わせて、ITインフラに対する考え方も変えなければなりません」と言うのは、株式会社日立製作所 マネージドサービス事業部 クラウドマネージドサービス本部 クラウドプロフェッショナルサービス部 技師の加藤雄三氏だ。
オンプレミスの物理環境、仮想化やIaaSの運用において、ITインフラ担当者には信頼性や堅牢性の確保が求められていた。一方でコンテナを活用したDXでは、アプリケーション開発の柔軟性やスピードが重視される。そのため、ITインフラにも柔軟性やスピードなどが求められ、リソースを柔軟に変化させられるコンテナプラットフォーム「Kubernetes」を採用することになる。
このコンテナやアジャイル開発などの新しい技術への取り組みについては、ITインフラ担当者よりもアプリケーション開発者が積極的だ。そのため、コンテナやKubernetesについては、アプリケーション開発者のほうが良く知っている。一方、不慣れなITインフラ担当者は、コンテナやKubernetes環境をどのように提供し、どこまで責任をもって対処すれば良いのかに頭を悩ませているのだ。
コンテナ以前の時代、ITインフラ担当者は安定性のある環境を提供し、アプリケーション開発者はその上で開発を行うといったように、双方の責任の境界は比較的ハッキリとしていた。しかしながら、そこにコンテナという新たな管理層が生まれたことで状況は一変する。コンテナの設計図となるマニフェスト(Manifest)などは、アプリケーション開発側で用意することが多い。そうなると、実際にコンテナをオーケストレーションして管理するところまでは、アプリケーション開発者が行うことになるだろう。さらにKubernetesの運用や管理まで、先にノウハウを身に付けたアプリケーション開発者が担うことも珍しくない。
アプリケーション開発者は、俊敏性や柔軟性を得てアプリケーション開発を楽にしたくてコンテナを使い始めたはずだ。ところが、いつのまにかコンテナやKubernetesの管理まで担っているのが現状である。加えて、もし採用したものがOSS(オープンソースソフトウェア)のKubernetesであれば、運用管理や更新には大きな手間が余計にかかる。
もちろん「VMware Tanzu」や「Red Hat OpenShift」などを選んだとしても、それらが混在していたり、稼働環境にオンプレミスやクラウドが混在していたりすれば、ITインフラがばらばらで統制を効かせることはかなり難しくなる。そのような状況では、アプリケーション開発者は開発に注力できない。
コンテナで俊敏性を得たければ、アプリケーション開発者が自由にリソースを用意可能な状態にし、すぐに使えるようにすることが理想といえるだろう。それを実現できる点こそが、コンテナのメリットでもある。
一方、ITインフラ側から見れば、アプリケーション開発者に勝手にリソースを使われるとガバナンスが効かなくなり、組織全体として信頼性や安定性を担保することが難しくなる。
たとえば、セキュリティ面においても、コンテナイメージの脆弱性はITインフラとアプリケーション開発のどちらが担保すべきかの判断は迷いどころだ。「通常はイメージに作り上げるところまではアプリケーション開発側で、デプロイした後のコンテナの改ざんを防ぐなどの対策はITインフラ側でしょう」と加藤氏。本番運用のコンテナ環境については、不慣れであってもITインフラ側で責任を負うべきだと考えるケースは多いだろう。
コンテナ環境でセキュリティを担保するには、コンテナイメージのデプロイ後のルールを決め、あらかじめアプリケーション開発とITインフラでしっかりと調整する必要がある。アプリケーション開発者はルールを守ったコンテナイメージを作らなければならず、それを本番環境にデプロイする際にはセキュリティルールに合致しているかを、ITインフラ側でも確認する必要があるのだ。
本番環境では、ITインフラ担当者の責務増大
コンテナ環境に合わせて、ITインフラ側、アプリケーション開発側で新たに取り組むべきことがある。どちらがどこまでやるべきなのかは、組織の体制やコンテナ、Kubernetesに対する技術の習熟度などにより異なってくる。多くの場合、前述したようにKubernetesなどの技術やノウハウの習得は、アプリケーション開発者が先行しITインフラ側は出遅れているケースが多い。
それを踏まえた上で、コンテナに対する習熟度の違いなども考慮し「組織の状況に合わせた形でコンテナ活用の体制を作り、社内の開発、運用ルールを作る必要があります」と加藤氏。その際には開発サイクルを回して本番に適用し、継続的に運用するところまでを開発担当者とITインフラ担当者で一緒に考える必要があると説明する。
日立では、VMware TanzuやKubernetes環境構築のサービスを提供している。その上でコンテナ環境のセキュリティ担保を含め、体制作りや運用ルールの設定などまでサポートするという。「コンテナ、Kubernetesを活用するための“日立のナレッジ”を詰め込んだサービスを、顧客に合わせレディーメードで提供します」と加藤氏。これを日立では「コンテナ環境構築・運用サービス」として提供している。それに加えて、アプリケーションをコンテナ化する「プラットフォーム向けモダナイゼーション支援サービス」もあり、アプリケーション開発段階からセキュリティを担保できるようにも支援するという。
このとき、CI/CDを含め「DevSecOps」の実現を容易にするのが「VMware Tanzu Application Platform」だ。「特にVMware Tanzuは、OSSを組み合わせているため、ベンダーロックインを避けやすいという特徴があり、我々が提案する際の一つのポイントになります」と加藤氏は言う。
また、VMware Tanzuはアプリケーション開発者が楽になるように「ITインフラ担当者がここまでやるべき」という範囲をわかりやすく設定できる構成になっている。たとえば、ITインフラ側でKubernetesクラスタの管理まで行うことがVMware Tanzuなら容易に実現できるという。これは、ITインフラ担当者に「VMware vSphere」で仮想化環境を管理してきた経験があり、その延長線上の感覚でVMware Tanzuを使ったKubernetesクラスタの管理が可能なためだ。
組織全体として本番環境でコンテナ環境を活用する場合には、ガバナンスの確保やセキュリティ担保の面からもITインフラ担当者が集約してコンテナ環境の管理、運用ができる体制を構築するほうが効率的といえる。このアプローチをVMware Tanzuでは実現しやすく、それが日立の考え方ともマッチしている。「Kubernetesの技術者がなかなか確保できない中、アプリケーション開発側でそれを用意することは大変です。そのため、ITインフラ側に専門的な人材を集めて効率化すれば、コストメリットも発揮できます」と加藤氏は言う。
実際に日立における事例としては、通信業界の新たなビジネス展開の際に、サービス提供部門からの依頼で「コンテナ環境構築・運用サービス」でサポートをしている。同ケースでは、VMware Tanzuを用いてコンテナ環境の構築、運用の体制作り、アプリケーション開発者がKubernetesの環境を使いこなせるよう支援しているという。これは、現場からもかなり好評を得ていると加藤氏は述べる。
注目を集める「オブザーバビリティ」にも対応
もう一つ、コンテナ環境の活用において重要なのが、稼働後のアプリケーションの分析だ。これは「オブザーバビリティ」という言葉で、ここ最近特に注目を集めている領域だ。クラウドネイティブ環境の新しい運用監視の在り方として、オブザーバビリティを備えた「VMware Tanzu Observability」のような監視サービスを用いて、ITインフラが安定して動いているかだけでなく、コンテナで動いているアプリケーションの目的が達成できているかを見ていく。
たとえば、「顧客接点を強化することで顧客満足度を向上させる」という目的を達成するためには、アプリケーションにどのくらいのレスポンスが必要となるのか。その観点でアプリケーションの稼働状況を見て、サービスがどのように使われて、ユーザー体験をどう改善すれば良いのかをチェックしていくのだ。
日立では、このような運用管理を、パブリッククラウドやオンプレミス、ハイブリッドでもマルチクラウドでも対応できるように支援している。「日立ではクラウドネイティブな新しい監視も、既存の監視と組み合わせてトータルに監視できるようにしています。たとえば、『JP1』を既に利用している場合でも、JP1の運用監視は変えずに新しいクラウドネイティブと組み合わせられるようにしています」と説明するのは、株式会社日立製作所 マネージドサービス事業部 クラウドマネージドサービス本部 クラウドプロフェッショナルサービス部 技師の田村賢司氏。基盤監視とアプリケーションの目的に合わせた監視が並行してできるよう日立は提案している。
今後、DXのためにコンテナを活用するようになれば、ITインフラ担当者に求められることはさらに増える。アプリケーション開発者のためにコンテナ環境を提供するだけなく、提供したものを使いこなし、サービス目的を達成するためのサポートまで求められるのだ。その際にアプリケーション開発者とITインフラ担当者でどのように役割分担すべきか、さらにツールを活用することで、どこまで開発自体を楽にできるかなど多様な観点が求められる。
それを現状のITインフラ担当者だけで実践することが難しければ、日立が提供しているサービスを活用して欲しいと加藤氏。さらに日立では、PoCなどでコンテナを気軽に使える環境も用意しており、そこから本番での体制作りや運用ルール作りまで、トータルにサポートできる。実際に、同社には既にそれら一連のコンテナの活用を、自社で実践してきた経験とノウハウがある。「だからこそ、日立は“多様でリアル”なコンテナの活用のニーズに応えられます」と加藤氏は自信をのぞかせる。