概要
メディア制作では、ゴールドイメージとは、すべての編集やミキシングが完了した後の、最終カットのアルバムまたはフィルムのことを言います。最終の完璧な状態なので、「ゴールド」と呼ばれます。
この意味合いがシステム管理にも移入されました。この場合、ゴールデンイメージとは意図的に構成したシステム (サーバー、仮想デスクトップ環境、さらにはディスクドライブ) のスナップショットで、新しいインスタンスのデプロイに使用できるもののことを言います。ネットワーク仮想化では、このゴールデンイメージ (またはゴールドイメージ) を使用して新しいシステムを作成することからマスターイメージまたはクローンイメージと呼ばれることもあります。ベースラインイメージという呼び方をされることもありますが、この呼び方はゴールデンイメージがいかに有益かを端的に示しています。つまり、システム構成に対する一貫した信頼できるベースラインを作成することで、ライフサイクルを通じてこれらのシステムのメンテナンスを容易にできるというわけです。
ベースラインがクラウド管理作業を補強
ゴールデンイメージのコンセプトは仮想マシンから始まります。仮想マシン自体も、テンプレートから特別に構成され、起動されます。仮想環境では、ゴールデンイメージは主に利便性と一貫性という 2 つのメリットをもたらします。事前定義されたテンプレートイメージを使用すると、管理者は明確な既知の構成を利用してシステムを一貫してデプロイできます。
クラウド・コンピューティングは事実上、大規模な仮想環境です。基盤となる概念とテクノロジーは非常によく似ており、違いはハードウェア管理とユーザーエクスペリエンスです。クラウド・コンピューティングとの主な違いはボリュームです。リソース消費やアクセスに制約されることなく、インスタンスをすばやくデプロイ、変更、削除できます。
クラウド・コンピューティングではゴールデンイメージは重要な IT 管理ツールです。管理者はスケーリングの能力を利用できるので、一貫性を維持しながら多数のインスタンスをきわめて迅速にデプロイできます。
クラウド・コンピューティングによってインフラストラクチャの複雑性が高まります。システム間 (実際には SOE と呼ばれる標準運用環境) で一貫性を確保することにより、システムへのパッチ適用、パッケージのアップグレード、さらには必要なサービスへのユーザーアクセスの付与まで、管理者は共通管理タスクを広範にわたって実行できます。
ゴールデンイメージを使用する理由
ゴールデンイメージを環境で使用する理由は、システムライフサイクルのあらゆる段階に存在します。
- より迅速なデプロイメント:ゴールデンイメージを使用すると、スクリプトを使用して自動化する場合でもアドホックに処理する場合でも、クラウド環境でのデプロイが迅速になります。
- 人的ミスの削減:IBM Cyber Security Intelligence Index によると、95% の侵害が、構成ミス、パッチが適用されていないシステム、不十分なアクセス制御といった人的ミスによるものです。事前定義済みでテスト済みのテンプレートを使用すると、人的ミスによってシステムが脆弱になるリスクを低減できます。
- パッチ管理とアップグレードの高速化:定義済みのテンプレートがあると、どのシステムにパッチやアップデートされたパッケージが必要で、どれがセキュリティの脆弱性の影響を受けるかをすばやく確認できるので、可視性と監視に役立ちます。また、自動化を効果的に使用できるので、各システムを個別にアップデートしなければならない状況や、システムの構成漏れや構成ミスが発生する危険性を回避できます。
- 構成の維持:「構成ドリフト」は比較的よく知られている用語ですが、それでもまだ多くの混乱があります。ドリフトとは、アプリケーションの追加や変更、セキュリティ設定の変更、データセンターとリカバリーシステム間でのシステム構成の変更のいずれかによって、システムが理想的なベースラインから変更されていることを意味します。ベースラインがなければ、システムがいつどのように修正されたのか判別が非常に困難になります。このことから、規制および業界標準に対するコンプライアンスシステムの維持が重要になります。ベースラインを使用すると、ドリフトを監視できます (Red Hat Insights を通じて Red Hat® Enterprise Linux® および Red Hat OpenShift® システムに対して実行できます)。
セキュリティとは構成の設定ではありません。良いセキュリティとは実践です。多数の異なる管理およびプロセスが選択され、それらが積み重なった結果です。特定のセキュリティ要件とプラクティスをベースラインイメージに取り込んで、異なるクラウド環境やフットプリントでもセキュリティ体制の維持を支援できます。
ゴールデンイメージのベストプラクティスの例
メディア制作とは異なり、IT システムに「完了」はありません。優れた IT プラクティスにはシステムのライフサイクル全体の維持が必要で、ゴールデンイメージにより、イメージカタログと、テンプレートを使用して開発されたシステムの両方の維持が必要になります。
- 新しいイメージを作成するための仮想環境を別に用意する:Red Hat Enterprise Linux Image Builder などのツールを使用して新しいベースイメージを作成するとき、システムには固有のセキュリティ要件があることから、専用の仮想マシンを使用することを強く推奨します。
- システム構成内でロール、グループ、サービスのセットアップを検討する:クラウドデプロイメントのボトルネックの 1 つは、新しいインスタンスをデプロイすることではなく、新しいインスタンスに適切なユーザーアクセスやサービスアクセスを付与することです。システムセキュリティ構成を使用すれば、デプロイプロセスの一環として必要なグループやロールを設定し、全体的な認証/承認プロセスの効率を向上させられます。
- 稼働前にテストする:QA プロセスを確立して構成が要件を満たすことをテストします (特にアプリケーションおよびセキュリティ関連)。パフォーマンスをテストします。使用されることになる特定のクラウド環境に向けてパッケージが最適化されていなければなりません。
- 新しいパッケージがリリースされたらイメージを更新する:Image Builder などのツールを使用すると、新しいイメージの作成やイメージの編集は簡単に行えます。イメージのセキュリティや機能を維持するため、含まれるパッケージの新しいバージョンがリリースされたらイメージを更新します。
- デプロイされたシステムを監視する:Red Hat Insights などのサービスはインフラストラクチャ全体に対する可視性を提供し、一連のベースラインイメージを使用すると、脆弱なシステムの特定、自動化の Playbook の作成、システム内のドリフトの追跡が簡単になります。
- イメージとシステムを廃棄するプロセスを用意する:カタログ内のシステムを更新および廃止する場合や、イメージが変更および廃棄されたときのシステムの管理方法に対する明確なポリシーを作成します。
- 特定の目的にイメージを作成する:環境内で使用する各種のプロファイルを特定し、これらの異なる目的に固有のベースラインイメージを作成します。万能のイメージを持つ理由はなく、カスタムイメージを多く使用するとパフォーマンスやセキュリティに関する要件を満たしやすくなります。
ゴールデンイメージと Red Hat のポートフォリオ
独自のイメージを構築するために、Red Hat Enterprise Linux には Image Builder と呼ばれるツールがあります。このツールはローカルで実行することも、ホスト型サービスとして Red Hat Hybrid Cloud Console を通じて実行することもできます。Image Builder はカスタムイメージの作成をシンプルな数ステップに分解します。各ステップではパッケージを選択し、構成を設定し、基盤のオペレーティングシステムを特定のクラウド環境向けに最適化します。
Red Hat では Cloud Access というプログラムも用意しており、組織はパブリッククラウド・プロバイダーとのサブスクリプションを使用できます。Cloud Access プログラムの一環として、Red Hat は認定済みで事前構築済みのイメージを、Amazon Web Services (AWS)、Microsoft Azure、そして Red Hat Enterprise Linux、ミドルウェア、ストレージを含む Red Hat のすべての主要製品向けの Google クラウドに対して作成しました。
さらに Red Hat では、最適化された OCI 準拠のコンテナイメージを Universal Base Image Catalog の一部として用意しています。