Cloud de Confiance と Google Cloud の主な違い

Cloud de Confiance by S3NS は、Google Cloud をベースにしたローカルの分離されたクラウドです。Google Cloud で利用可能なプロダクト、機能、ワークフローのすべてをCloud de Confianceで使用できるわけではありません。このページでは、Google Cloud とCloud de Confianceの主な違いについて説明します。Cloud de Confiance とそのユースケースについて詳しくは、Cloud de Confiance 概要ページをご覧ください。

Google Cloud にすでに使い慣れている場合は、このガイドで違いを注意深く確認し、理解してください。また、使用するCloud de Confiance プロダクトごとに、詳細な違いに関するガイドを確認することをおすすめします。これらのガイドは、各プロダクトのドキュメント セットに記載されています。アプリケーションの設計、実行、管理方法は、Google Cloud で慣れているやり方とは異なる場合があります。

サービスと機能の提供状況

Cloud de Confiance のプロダクトとサービスは、Google Cloud のプロダクトとサービスと同じ名前で、Google が開発したコードとインフラストラクチャを使用します。ただし、必ずしもまったく同じ機能を提供するとは限りません。たとえば、Google Kubernetes Engine（GKE）では Autopilot モードのみが使用可能で、Compute Engine の古い VM タイプは使用できません。また、特定の Identity and Access Management（IAM）ポリシーも使用できません。一部のサービスはCloud de Confianceではまだご利用いただけません。

その他の違いは次のとおりです。

• Google Cloud でリリースされる新機能は、 Cloud de Confianceで同時にリリースされない場合があります。
• 機能のプレビュー リリースは通常、 Cloud de Confianceでは使用できません。
• サービスレベル契約（SLA）は、各Cloud de Confiance オペレーターによって管理されます。これらの SLA は、Google Cloud で提供される SLA とは異なる場合があります。SLA についてご不明な点がございましたら、Cloud de Confiance オペレーターまでお問い合わせください。

Cloud de Confianceで新しいサービスと機能がデプロイされたときに通知を受け取るには、リリースノートの配信にご登録ください。特定のサービスや機能が必要な場合は、サポートにお問い合わせください。

サービスとプラットフォームの管理

Cloud de Confiance の一部のプロダクト名や機能名に「Google 管理」と記載されている場合がありますが、これは Google が実際にデータを管理しているという意味ではありません。Cloud de Confiance オペレーターは、プロダクト、サービス、データを常に管理します。

代わりに、プロダクトや機能は「Google が提供した」ものと考えてください。わかりやすくするために、Cloud de Confiance の一部のプロダクト名や機能名が変更されました。たとえば、「Google が管理する暗号鍵」の名前が変更され、Google が管理またはアクセスしないことを明確にしました。代わりに、鍵の名前は「Google Cloud 提供の暗号鍵 /Cloud de Confiance で [オペレーター] によって管理」になります。この機能は Google Cloud と同じテクノロジーを使用しますが、Cloud de Confiance オペレーターが実装して管理します。

Cloud de Confiance には、環境をモニタリングして管理する独自のサイト信頼性エンジニアリング（SRE）チームがあります。SRE チームは、Google Cloud とは別の独立したモニタリング スタックとアラート スタックを使用します。

請求は Google ではなく、 Cloud de Confianceオペレーターが行います。詳しくは、Cloud de Confiance の請求をご覧ください。または、ご利用の Cloud de Confiance オペレーターにお問い合わせください。

サービスレベル契約

すべてのサービスレベル契約（SLA）は、ユニバースのオペレーターとの間で締結されます。Google Cloud SLA は、 Cloud de Confianceには適用されません。SLA の詳細については、ご利用のオペレーターにお問い合わせください。

デベロッパーにとっての主な違い

デベロッパーは、 Cloud de Confianceで実行されるアプリを構築する際に、次の大まかな違いを参考にしてください。

• デフォルトの API サービス名は、Google Cloud と同じです（bigquery.googleapis.com など）。これらのサービス名は、API を有効または無効にするときなどに表示されます。サービス エンドポイントの FQDN は、Cloud de Confiance ホスト名によって異なります。たとえば、bigquery.googleapis.com は bigquery.s3nsapis.fr になります。
• OAuth スコープ名は、Google Cloud とCloud de Confianceで同じです。Google Cloud で OAuth スコープに googleapis が含まれている場合、Cloud de Confianceでも含まれます。
• Google Cloud CLI やクライアント ライブラリなどのデベロッパー ツールを設定して使用する際は、Google Cloud での設定とは異なり、ターゲット ユニバース（この場合は Cloud de Confiance）を指定する必要があります。たとえば、クライアント ライブラリを使用するコードサンプルを実行する前に、GOOGLE_CLOUD_UNIVERSE_DOMAIN 環境変数を設定する必要があります。詳細については、 Cloud de Confiance用に gcloud CLI を設定すると Cloud de Confianceでクライアント ライブラリを使用するをご覧ください。
• プロジェクトを識別するには、適切なCloud de Confiance 接頭辞（s3ns: など）を指定する必要があります。この接頭辞は、 Cloud de Confianceで作成するプロジェクトの名前に自動的に追加されます。たとえば、example-project という ID は s3ns:example-project として参照する必要があります。
• Cloud de Confianceには Cloud Shell がないため、コマンドライン ツールをローカルに、またはCloud de Confianceで実行される VM にインストールする必要があります。Cloud Shell へのアクセスを想定しているワークフローまたはツールがある場合は、クライアント ライブラリまたは Google Cloud CLI を使用して、ローカルにインストールされたアクセス用に更新します。

Google Cloud と Cloud de Confianceのその他の違いについては、各プロダクト固有の違いのページをご覧ください。

アーキテクトとオペレーターにとっての主な違い

Google Cloud で使用する既存のアーキテクチャ手法と設計を慎重に確認します。同じ設計がCloud de Confianceで適切に機能しない場合があります。管理者、アーキテクト、オペレーターにとって重要な違いは次のとおりです。

• Cloud de Confiance にはリージョン間の冗長性はなく、複数のゾーンを含む単一のリージョンのみがあります。アーキテクチャとアプリケーションが冗長性またはロード バランシングのためにマルチリージョン アプローチで構築されている場合は、単一リージョン Cloud de Confianceに対応するように設計を変更します。
• Compute Engine では、Google Cloud と比較してCloud de Confiance の VM タイプの選択が制限されています。ワークロードがCloud de Confianceで使用できない特定のサイズまたは VM ファミリー用に設計されている場合は、アプリケーションを更新します。これには、Terraform ファイルやスクリプトなどの Infrastructure as Code（IaC）リソースも含まれます。
• Cloud de Confianceで認証と承認に使用できる外部 ID は、Workforce Identity 連携またはサービス アカウントを介してのみ使用できます。Google アカウントはサポートされていません。ID プロバイダの構成の詳細については、ID プロバイダを設定するをご覧ください。
• Cloud de Confianceには Cloud Shell がないため、コマンドライン ツールをローカルに、またはCloud de Confianceで実行される VM にインストールする必要があります。Cloud Shell へのアクセスを想定しているワークフローやツールは、クライアント ライブラリまたは Google Cloud CLI を使用して、ローカルにインストールされたアクセス用に更新してください。

Google Cloud と Cloud de Confianceのその他の違いについては、各プロダクト固有の違いのページをご覧ください。

全般的な違い

以降のセクションでは、Cloud de Confiance と Google Cloud のトップレベルの主な違いについて説明します。これらの違いに加えて、サポートされている各プロダクトのドキュメントには、Cloud de Confianceでのプロダクトの動作について詳しく説明する、プロダクト固有の違いのページがあります。Cloud de Confianceでプロダクトやサービスを利用する場合は、このガイドとともにこれらのページをよく確認してください。

問題が発生した場合は、サポートにお問い合わせください。

ハードウェアと OS

• Cloud de Confiance は、Google Cloud と同じハードウェアと OS のサポートを提供していません。たとえば、Compute Engine は ARM ベースのイメージをサポートしておらず、TPU は使用できません。詳細については、Compute Engine の違いのページをご覧ください。
• Google Cloud で新しいマシンタイプまたはオペレーティング システムが一般リリースされた場合、Cloud de Confianceで今後サポートされることを意味するものではありません。

可用性と障害復旧

• Cloud de Confiance には複数のリージョンがありません。代わりに、 Cloud de Confiance は 3 つのゾーンがある 1 つのリージョン、u-france-east1 で実行されます。冗長性を確保するために、複数のリージョンではなく複数のゾーンを使用して、異なるロケーションにリソースを複製します。マルチリージョンの Google Cloud 機能は使用できません。マルチリージョン冗長性またはロード バランシングを前提とする既存のアプリケーションまたはアーキテクチャを、Cloud de Confianceにデプロイする前に確認して更新します。

• Cloud de Confiance に複数のリージョンがない場合でも、global リソース（global Cloud Key Management Service のロケーションや Secret Manager のグローバル Secret リソースなど）は引き続き使用できます。Google Cloud と同様に、これらのリソースはユニバース全体を対象範囲とします。ただし、Google Cloud とは異なり、ユニバースにはリージョンが 1 つしかないため、結果は u-france-east1 を対象範囲とするリソースを使用した場合と同じになります。

  たとえば、グローバル エンドポイントを処理する既存の Google Cloud コードを再利用する場合や、Cloud KMS で CMEK を使用して global ロケーションで作成されたリソースを保護する場合は、global を使用します。

費用管理

• Cloud de Confiance のプロダクトと機能の料金は、Google Cloud の料金と異なる場合があります。料金に関するご質問は、 Cloud de Confiance オペレーターにお問い合わせください。
• Cloud de Confianceには無料トライアル枠はありません。
• Cloud de Confiance 割り当ては、Google Cloud で慣れているものと異なる場合があります。割り当ての増加調整が必要な場合は、Cloud de Confiance のサポートにお問い合わせください。
• 確約利用割引（CUD）は、Cloud de Confianceでは利用できません。

統合

• Cloud de Confianceで利用できない他のプロダクトとやり取りする一部のプロダクトや機能は、ご利用いただけない場合があります。プロダクト固有の違いのページで、 Cloud de Confianceで利用できない統合を確認してください。

セキュリティとアクセス制御

• Cloud de Confianceでの認証と認可に、Workforce Identity 連携を介したサードパーティの ID（Microsoft プラットフォームや Okta プラットフォームなど）またはサービス アカウントを使用します。Cloud de Confianceの Identity and Access Management（IAM）では、Google アカウントとグループを使用できません。
• OAuth スコープ名は、Google Cloud とCloud de Confianceで同じです。Google Cloud で OAuth スコープに googleapis が含まれている場合、Cloud de Confianceでも含まれます。

ネットワーク

• Cloud de Confiance は、Google Cloud から分離された個別のネットワークを実行します。 Cloud de Confiance のデータセンター インフラストラクチャは Google Cloud と共有されません。
  • データセンター間のネットワーク トラフィックは、Google Cloud と共有されない別の WAN を使用します。
  • インターネットへの接続も、ピアリングまたはトランジットを使用した独立した経路で提供されます。
• Cloud de Confianceでプロジェクトを作成するときに、アプリケーションが使用する Virtual Private Cloud（VPC）を作成または割り当てます。Google Cloud とは異なり、プロジェクトのデフォルト ネットワークは自動的に作成されません。

ネットワーキングの主な違いと利用可能な機能については、以下のガイドをご覧ください。

• Virtual Private Cloud
• Cloud NAT
• Network Service Tiers
• Cloud VPN
• Cloud Interconnect
• Cloud Router
• Cloud DNS
• Cloud Load Balancing
• Cloud Next Generation Firewall
• VPC Service Controls
• Google Cloud Armor

ワークフローとツール

• Cloud Shell はCloud de Confianceでは使用できません。代わりに、コマンドライン ツールをローカルにインストールする必要があります。Cloud Shell へのアクセスを想定しているワークフローやツールを更新または適応します。これには、統合された Cloud Shell の使用方法を示すドキュメントの例も含まれます。
• デフォルトでは、gcloud CLI は Google Cloud と連携し、認証と認可に Google アカウントを使用します。 Cloud de Confianceで gcloud CLI を使用するには、Cloud de Confiance をターゲットに設定し、外部 ID を使用するように追加の設定が必要です。詳細については、Cloud de Confiance用に gcloud CLI を設定するをご覧ください。
  • ワークフローまたはプロセスを更新して、gcloud CLI が Cloud de Confianceをターゲットにするようにします。
  • Cloud de Confianceで機能またはプロダクトを使用できない場合、対応する gcloud CLI コマンドとパラメータも使用できません。
• クライアント ライブラリを使用する場合は、ターゲットの GOOGLE_CLOUD_UNIVERSE_DOMAIN 環境変数を設定していることを確認してください。
• Cloud de Confianceでプロジェクトを識別するために、適切な Cloud de Confiance接頭辞（s3ns など）を指定します。たとえば、example-project という名前のプロジェクトは s3ns:example-project として参照する必要があります。
• Cloud de Confianceでは、オペレーターが空の組織を作成して提供します。Google Cloud とは異なり、新しい組織を自分で作成することはできません。

サービス名、エンドポイント、リソース

Cloud de Confianceサービスをプログラムまたはコマンドラインから使用する場合、特に既存の Google Cloud コードまたはスクリプトを再利用する場合は、以下の違いに注意してください。

• サービス名: bigquery.googleapis.com などのサービス名は、 Cloud de Confiance と Google Cloud で同じです。これは、プロジェクトで API を有効または無効にする際などに表示される名前です。

• サービス エンドポイント: サービス エンドポイント（API エンドポイントとも呼ばれます）は、Discovery サービスなどの Cloud de ConfianceAPI へのリクエストを行うために使用される URL です。サービス名の場合とは違い、 Cloud de Confianceでは異なるサービス エンドポイントが使用され、これには別のユニバース固有のドメインが含まれます。たとえば、bigquery.googleapis.com は bigquery.s3nsapis.fr になります。

• サービス リソース: サービス リソースは複数の方法で指定できます。サービス リソースを指定する際は、 Cloud de Confianceのすべてのプロジェクト ID に Cloud de Confiance接頭辞（s3ns:）が付いていることを忘れないでください。プロジェクトをリソース名または URL の一部として指定する場合には、この接頭辞を含める必要があります。

  • 一意の完全リソース名（FRN）を使用してサービス リソースを指定する場合、その FRN は Google Cloud で使用するものと同じで、googleapis が含まれます。たとえば、//bigquery.googleapis.com/projects/my-project/datasets/my-dataset は両方のユニバースで同じです。

  • 親 API のないリソース名（projects/my-project/dataset/my-dataset など）を使用する場合も同様で、その名前は Google Cloud で使用するものと同じです。

  • URL を使用する場合、その URL にはユニバース固有のサービス エンドポイント ドメインが含まれるため、Google Cloud で使用するものとは異なります。たとえば、https://bigquery.googleapis.com/bigquery/v2/projects/my-project/datasets/my-dataset は、 Cloud de Confianceでは https://bigquery.s3nsapis.fr/bigquery/v2/projects/my-project/datasets/my-dataset になります。

ドキュメント

Cloud de Confiance のドキュメントは Google Cloud のドキュメントを基に作成されていますが、一部違いがあります。たとえば、 Cloud de Confianceで利用できない Google Cloud サービスに関するページは、このドキュメント サイトには含まれていません。

詳しくは、 Cloud de Confiance by S3NS のドキュメントについてをご覧ください。

次のステップ

Google Cloud とCloud de Confianceのその他の違いについては、各プロダクト固有の違いのページをご覧ください。

Cloud de Confianceの使用を開始するには、次のページをご覧ください。

• Cloud de Confianceの gcloud CLI を設定する
• ID プロバイダを設定する