[この記事はクラウドエース Yunyi によって構成されています]
Cloud Run 上でアプリケーションを構築する組織が増えています。Cloud Run は、 Google のインフラストラクチャ上でコンテナ化されたアプリケーションを実行できるフルマネージド コンピューティング プラットフォームです。Web アプリケーション、リアルタイム ダッシュボード、API、マイクロサービス、バッチ データ処理、テストおよび監視ツール、データ サイエンス推論モデルなどを考えてみましょう。最近 Google は、Cloud Run で社内アプリケーションを構築することがこれまでより簡単になったと発表しました。この記事では、3 つの一般的な設計パターンと、それらの実装に役立つ Cloud Run の新機能を紹介します。
1. 内部 Web アプリケーション - Identity-Aware Proxy の GA リリースによって有効化
2. 内部 API - リージョン内部 HTTP(S) ロード バランサの GA リリースによって有効になります
3. 共有 VPC 全体のマイクロサービス - 共有 VPC Ingress のパブリック プレビュー経由で有効化
1. 社内 Web アプリケーション
多くのお客様の一般的な使用例は、従業員のみがアクセスできる社内 Web アプリケーションを構築することです。以前は、VPN とカスタム認証プロセスを利用する必要がありましたが、これは理想的ではありませんでした。一般公開された Cloud Run の Identity Aware Proxy (IAP) サポートにより、ログイン エクスペリエンスを簡素化し、一元的なアクセス制御を実現できるようになりました。
Identity-Aware Proxy は、OAuth 2.0 および OpenID Connect 標準を使用してユーザーの認証と認可を行い、Google Cloud または他のクラウド プラットフォームで実行されているアプリケーションへの安全なアクセスを提供することで、ゼロ トラスト原則の実装を支援します。Cloud Run でウェブ アプリケーションを実行している場合は、IAP を使用して、クライアントのユーザー ID とコンテキストに基づいてアプリケーションへのアクセスを承認できるようになりました。このアーキテクチャにより、ログイン エクスペリエンスが簡素化され、セキュリティ管理者に企業の内部 Web アプリケーションへの一元的なアクセス制御が提供されます。セキュリティに敏感な組織は、ユーザーやデバイスのコンテキストを含む Cloud Run アプリケーションへの完全なコンテキスト認識型アクセスのために IAP を使用して BeyondCorp Enterprise にアップグレードすることもできます。
この統合のユニークな点は、IAP サービス自体が Cloud Run の組み込み IAM システムに対して認証できることです。具体的には、IAP がリクエストを Cloud Run に転送するとき、X-Serverless-Authorization ヘッダーに独自のサービス アカウントの OpenID Connect ID トークンが含まれます。Cloud Run 側では、Cloud Run 起動者ロールを「allUsers」に付与する必要がなくなりました。これは、ドメイン制限付きの共有組織ポリシーを使用している顧客にとって障害でした。現在 GA では、Cloud Run Invoker ロールを IAP のサービス アカウントに付与するだけで済みます。
2. 内部 API
Cloud Run はシンプルで安全、コスト効率が高いため、API を構築するのにも最適な選択肢です。公開 API の場合、カスタム ドメイン、高度なトラフィック管理、および多くのセキュリティ機能をサポートする外部 HTTP(S) ロード バランサを使用できます。内部向け API の場合は、リージョン内部 HTTP(S) ロード バランサを使用できます。これも現在一般提供されています。リージョン内部 HTTP(S) ロード バランサは、複数のプロジェクトにまたがるワークロードを含む内部ワークロードに対して外部 HTTP(S) ロード バランサの最良の機能を使用します。
外部ロードバランサーとは異なり、内部 HTTP(S) ロードバランサーは VPC 上の他のリソースからのみアクセスできます。このアーキテクチャにより、すべてのトラフィックが VPC 内に保持されるため、お客様はパブリック IP を通じて Cloud Run サービスを呼び出す必要がなくなりました。アクセスをさらにロックダウンするには、上り(内向き)を内部に設定して、パブリック インターネットからのトラフィックが Cloud Run サービスに到達できないようにします。
3. 共有 VPC 間のマイクロサービス
共有 VPC 全体でマイクロサービス モデルを使用している場合は、すべてのトラフィックがプライベート ネットワーク内にあることを保証しながら、サービス間の直接呼び出しを簡単に実行できるアーキテクチャを探しているでしょう。
Google は、Cloud Run の共有 VPC Ingress がパブリック プレビュー段階に入ったことを発表しました。このリリースでは、共有 VPC で Cloud Run を使用するために必要な設定が簡素化されています。以前は、Cloud Run の Ingress を「内部」に制限すると、共有 VPC 内のサービス プロジェクトからのトラフィックがブロックされていました。このリリースでは、Cloud Run サービス リビジョンは、Ingress が「内部」または「内部およびクラウド負荷分散」として構成されている場合を含め、接続されている共有 VPC ネットワークからのリクエストを受け入れるようになりました。
Cloud Run と共有 VPC は、組織がアプリケーションをより迅速かつ簡単に構築してデプロイできるようにします。一元化されたネットワーク管理、セキュリティの向上、拡張性の強化によるメリットが得られます。
【クラウドエースは、Google Cloud のグローバル戦略パートナーです。300 名を超えるエンジニアを擁し、Google Cloud Partner Award を何度も受賞している、Google の最高レベルのパートナーでもあります。Google ホスティング サービス プロバイダーとして、Google Cloud、Google マップ、Google Office Suite、Google Cloud 認定トレーニング サービスを提供しています。】