オラクルの「第二世代クラウド」はなにが新しい？ 高いレベルの分離を実現したことでセキュアかつ高性能を実現［PR］

オラクルの創業者兼CTOであるラリー・エリソン氏が現在、同社のクラウドの特徴として強調しているキーワードが「Cloud Computing Generation 2」、第二世代のクラウドです。

今年10月にサンフランシスコで行われた「Oracle OpenWorld 2018」の基調講演でも、エリソン氏は、この第二世代クラウドこそ同社のクラウドの強みであるとしました。

エリソン氏によると、オラクルの第二世代クラウドはアーキテクチャを基本的なところから再設計し、最初から組み込まれた強固なセキュリティと高いコストパフォーマンスを実現。

そしてこの第二世代クラウドは同社のAutonomous DatabaseなどをはじめとするSaaS、PaaS、IaaSのすべての基盤となると説明しています。

そして2019年には、この第二世代クラウドのデータセンターが東京と大阪で稼働を開始することも正式に発表されました。

オラクルの第二世代のクラウドとはどのようなものなのでしょうか？ 公開されている資料などから見ていきましょう。

最新のプロセッサに、オーバーサブスクリプションなしの物理ネットワークなど

第二世代のOracle Cloud Infrastructureには、当然ながら最新の要素技術が投入されています。

例えばインテルのXeonに加えてAMDの最新サーバ向けプロセッサであるAMD EPYCをクラウドベンダとして初めて採用したベアメタルサーバ、高速なNVMe SSDを採用したブロックストレージ、どの接続に対しても最短経路でつながるフラットでノンブロッキングな物理ネットワーク。

しかもこの物理ネットワークはオーバーサブスクリプションなしに構成されているため、同時にすべてのノードが必要な帯域を完全に確保できて、高速で安定した通信を実現します。

そしてリージョンごとに備えているのが、データセンターのレベルで分離され、相互に高速なネットワークで接続された3つのアベイラブルドメイン（AD）です。

万が一あるデータセンターの施設がまるごと障害に襲われたとしても、リージョン内の別のデータセンターへ処理を引き継ぐような冗長構成を容易にしています。

分離して存在するクラウドコントロールコンピュータがカギ

エリソン氏がもっとも強調していた第二世代クラウドの重要なアーキテクチャが、クラウドコントロールコンピュータが顧客が利用するマシンと完全に分離されており、しかもそれはx86サーバではない、という点です。

クラウドコントロールコンピュータとは、プロビジョニングによってベアメタルや仮想マシン、ストレージなどのリソースを割りわりあて、あるいはネットワークのトラフィックをテナントごとに分離コントロールするといった役割を持っています。

これが顧客が利用するマシンと完全に分離されており、しかもx86系のプロセッサを積んだコンピュータでもないというのです。

これにより顧客のマシンからクラウドコントロールコンピュータへアクセスすることもできず、ましてやメモリの内容を見るといった悪意のある操作も、不正なコードを送り込んで操作することも困難になっています。

さらに、ネットワーク内を流れるトラフィックは、このクラウドコントロールコンピュータによって構成された仮想クラウドネットワーク（VCN）機能によってテナントごとに完全に分離されるようになっています。あるテナントに属するベアメタルサーバやインスタンスのネットワークインターフェイスに、ほかのテナントのネットワークトラフィックが到着することはありません。

このおかげで万が一、ネットワークインターフェイスが不正に操作されたとしても、ほかのテナントのネットワークを盗聴したり、ほかのテナントのトラフィックに影響を引き起こすことはできないのです。

こうした仕組みによってクラウド外部からの脅威を侵入させないだけでなく、万が一侵入されたとしてもその影響が拡散しないようになっています。

と同時に、クラウドコントロールコンピュータから顧客が利用しているマシンの内容を参照することもできない仕組みとなっているため、たとえオラクルのクラウド内部に悪意のある者が潜り込んだとしても、顧客のデータを盗んだりすることはできないと説明されています。

顧客がサーバの能力を徹底的に使い切れる

クラウドコントロールコンピュータが顧客が利用するマシンと完全に分離されていることのもう1つのメリットは、顧客がそのマシンの性能を徹底的に利用できることです。

顧客が利用するサーバ側にクラウド関連のコントロール機構が埋め込まれている場合、サーバの性能の何％かはクラウドコントロールに用いられるため、顧客はサーバの性能を100％利用することができません。

しかしオラクルの第二世代クラウドではクラウドコントロールコンピュータが分離されているため、オンプレミスでは当然だったサーバの性能を徹底的に利用することが、クラウドでも実現されるようになったわけです。

特にこれは顧客がクラウド内でマシンを専有するベアメタルサーバの利用において重要なポイントでしょう。

ベアメタルサーバはほかのテナントのサーバリソースとも物理的に分離されるセキュリティの高いクラウドの利用方法でもあります。利用者はベアメタルサーバの性能を徹底的に引き出せると同時に、前述のネットワークレイヤにおけるテナントごとの完全なトラフィックの分離とオーバーサブスクリプションのないネットワーク性能が組み合わされることで、高い分離レベルによるセキュアな環境と同時に、サーバからネットワークまでその性能を徹底的に引き出せる環境を利用できることになります。

専有環境で自律型のデータウェアハウスとトランザクション処理が利用可能に

さらに2019年にはベアメタルサーバのように専有できる「Dedicated Exadata Cloud Infrastructure」が登場します。

これは、現在Oracle Cloudで提供されている自律型データベースサービスであるAutonomous Data WarehouseとAutonomous Transaction Prosessingを、ほかの顧客とは物理的に分離されたExadataのうえで利用可能になるというものです。

これが登場すると、オラクルの第二世代クラウドによってテナントが完全に分離されたセキュアな環境で、Exadataの能力を使い切るまで自律型データベースであるAutonomous Databaseの実行が可能になるわけです。

高度な分離が第二世代クラウドの最大の特徴

まとめましょう。オラクルの第二世代クラウドでは、クラウドコントロールコンピュータが独立し、さらにクラウドネットワークもテナントごとに分離されて構成されています。これによってベアメタルサーバやExadataはサーバ本体からネットワークまでテナントが分離されたセキュアな環境で、顧客が徹底的にその能力を使い尽くすことが可能になっています。

こうした高度な分離の実現こそ、セキュアで高い性能と安定性を要求されるエンタープライズ市場におけるオラクル第二世代クラウドの大きな特徴だといえるでしょう。

≫Oracle Cloud 3500時間分の無料トライアルはこちら

（本記事は日本オラクル提供のタイアップ記事です）