Trusted Cloud と Google Cloud の主な違い

Trusted Cloud by S3NS は、Google Cloud をベースにしたローカルの分離されたクラウドです。Google Cloud で利用可能なプロダクト、機能、ワークフローのすべてをTrusted Cloudで使用できるわけではありません。このページでは、Google Cloud とTrusted Cloudの主な違いについて説明します。Trusted Cloud とそのユースケースについて詳しくは、Trusted Cloud 概要ページをご覧ください。

Google Cloud をすでに使い慣れている場合は、このガイドで違いをよく読んで理解する必要があります。また、使用するTrusted Cloud プロダクトごとに、詳細な違いに関するガイドを確認することをおすすめします。これらのガイドは、各プロダクトのドキュメント セットに記載されています。アプリケーションの設計、実行、管理方法は、Google Cloud で慣れている方法とは異なる場合があります。

サービスと機能の提供状況

Trusted Cloud のプロダクトとサービスは、Google Cloud のプロダクトとサービスと同じ名前で、Google が開発したコードとインフラストラクチャを使用します。ただし、必ずしもまったく同じ機能を提供するとは限りません。たとえば、Google Kubernetes Engine（GKE）では Autopilot モードのみが使用可能で、Compute Engine の古い VM タイプは使用できません。また、特定の Identity and Access Management（IAM）ポリシーも使用できません。一部のサービスはTrusted Cloudではまだご利用いただけません。

その他の違いは次のとおりです。

• Google Cloud でリリースされる新機能は、 Trusted Cloudで同時にリリースされない場合があります。
• サービスレベル契約（SLA）は、各Trusted Cloud オペレーターによって管理されます。これらの SLA は、Google Cloud で提供される SLA とは異なる場合があります。SLA についてご不明な点がございましたら、Trusted Cloud オペレーターまでお問い合わせください。

Trusted Cloudで新しいサービスと機能がデプロイされたときに通知を受け取るには、リリースノートをご購読ください。特定のサービスや機能が必要な場合は、サポートにお問い合わせください。

サービスとプラットフォームの管理

Trusted Cloud の一部のプロダクト名や機能名に「Google 管理」と記載されている場合がありますが、これは Google が実際にデータを管理しているという意味ではありません。Trusted Cloud オペレーターは、プロダクト、サービス、データを常に管理します。

代わりに、プロダクトや機能は「Google が提供した」ものと考えてください。わかりやすくするために、Trusted Cloud の一部のプロダクト名や機能名が変更されました。たとえば、「Google が管理する暗号鍵」の名前が変更され、Google が管理またはアクセスしないことを明確にしました。代わりに、鍵の名前は「Google Cloud 提供の暗号鍵 /Trusted Cloud で [オペレーター] によって管理」になります。この機能は Google Cloud と同じテクノロジーを使用しますが、Trusted Cloud オペレーターが実装して管理します。

Trusted Cloud には、環境をモニタリングして管理する独自のサイト信頼性エンジニアリング（SRE）チームがあります。SRE チームは、Google Cloud とは別の独立したモニタリング スタックとアラート スタックを使用します。

請求は Google ではなく、 Trusted Cloudオペレーターが行います。詳しくは、Trusted Cloud の請求をご覧ください。または、 Trusted Cloud オペレーターにお問い合わせください。

デベロッパーにとっての主な違い

デベロッパーは、 Trusted Cloudで実行されるアプリを構築する際に、次の大まかな違いを参考にしてください。

• デフォルトの API サービス名は、Google Cloud と同じです（bigquery.googleapis.com など）。これらのサービス名は、API を有効または無効にするときなどに表示されます。サービス エンドポイントの FQDN は、Trusted Cloud ホスト名によって異なります。たとえば、bigquery.googleapis.com は bigquery.s3nsapis.fr になります。
• OAuth スコープは、Google Cloud とTrusted Cloudで同じです。OAuth スコープに「Google」という用語が含まれている場合、Trusted Cloud内で実行しても引き続き含まれます。
• Google Cloud とは異なり、Google Cloud CLI やクライアント ライブラリなどのデベロッパー ツールを設定して使用する場合は、ターゲット ユニバース（この場合は Trusted Cloud）を指定する必要があります。たとえば、クライアント ライブラリを使用するコードサンプルを実行する前に、GOOGLE_CLOUD_UNIVERSE_DOMAIN 環境変数を設定する必要があります。詳細については、 Trusted Cloud用に gcloud CLI を設定すると Trusted Cloudでクライアント ライブラリを使用するをご覧ください。
• プロジェクトを識別するには、適切なTrusted Cloud 接頭辞（s3ns: など）を指定する必要があります。この接頭辞は、 Trusted Cloudで作成するプロジェクトの名前に自動的に追加されます。たとえば、example-project という名前のプロジェクトは s3ns:example-project として参照する必要があります。
• Trusted Cloudには Cloud Shell がないため、コマンドライン ツールをローカルに、またはTrusted Cloudで実行される VM にインストールする必要があります。Cloud Shell へのアクセスを想定しているワークフローまたはツールがある場合は、クライアント ライブラリまたは Google Cloud CLI を使用して、ローカルにインストールされたアクセス用に更新します。

Google Cloud と Trusted Cloudのその他の違いについては、各プロダクトのプロダクト固有の違いのページをご覧ください。

アーキテクトとオペレーターにとっての主な違い

Google Cloud で使用する既存のアーキテクチャ手法と設計を慎重に確認します。同じ設計がTrusted Cloudで適切に機能しない場合があります。管理者、アーキテクト、オペレーターにとって重要な違いは次のとおりです。

• Trusted Cloud にはリージョン間の冗長性はなく、複数のゾーンを含む単一のリージョンのみがあります。アーキテクチャとアプリケーションが冗長性またはロード バランシングのためにマルチリージョン アプローチで構築されている場合は、単一リージョン Trusted Cloudに対応するように設計を変更します。
• Compute Engine では、Google Cloud と比較してTrusted Cloud の VM タイプの選択が制限されています。ワークロードがTrusted Cloudで使用できない特定のサイズまたは VM ファミリー用に設計されている場合は、アプリケーションを更新します。これには、Terraform ファイルやスクリプトなどの Infrastructure as Code（IaC）リソースも含まれます。
• Trusted Cloudで認証と承認に使用できる外部 ID は、Workforce Identity 連携またはサービス アカウントを介してのみ使用できます。Google アカウントはサポートされていません。ID プロバイダの構成の詳細については、ID プロバイダを設定するをご覧ください。
• Trusted Cloudには Cloud Shell がないため、コマンドライン ツールをローカルに、またはTrusted Cloudで実行される VM にインストールする必要があります。クライアント ライブラリまたは Google Cloud CLI を使用してローカルにインストールされたアクセス用に Cloud Shell へのアクセスを想定しているワークフローまたはツールを更新します。

Google Cloud と Trusted Cloudのその他の違いについては、各プロダクトのプロダクト固有の違いのページをご覧ください。

全般的な違い

以降のセクションでは、Trusted Cloud と Google Cloud のトップレベルの主な違いについて説明します。これらの違いに加えて、サポートされている各プロダクトのドキュメントには、Trusted Cloudでのプロダクトの動作について詳しく説明する、プロダクト固有の違いのページがあります。Trusted Cloudでプロダクトやサービスを利用する場合は、このガイドとともにこれらのページをよく確認してください。

問題が発生した場合は、サポートにお問い合わせください。

ハードウェアと OS

• Trusted Cloud は、Google Cloud と同じハードウェアと OS のサポートを提供していません。たとえば、Compute Engine は ARM ベースのイメージをサポートしておらず、TPU は使用できません。詳細については、Compute Engine の違いのページをご覧ください。
• Google Cloud で新しいマシンタイプまたはオペレーティング システムが一般リリースされた場合、Trusted Cloudで今後サポートされることを意味するものではありません。

可用性と障害復旧

• Trusted Cloud には複数のリージョンがありません。代わりに、 Trusted Cloud は 3 つのゾーンがある 1 つのリージョンで実行されます。冗長性を確保するために、複数のリージョンではなく複数のゾーンを使用して、異なるロケーションにリソースを複製します。マルチリージョンの Google Cloud 機能は使用できません。マルチリージョン冗長性またはロード バランシングを前提とする既存のアプリケーションまたはアーキテクチャを、Trusted Cloudにデプロイする前に確認して更新します。

費用管理

• Trusted Cloud のプロダクトと機能の料金は、Google Cloud の料金と異なる場合があります。料金に関するご質問は、 Trusted Cloud オペレーターにお問い合わせください。
• Trusted Cloudには無料トライアル枠はありません。
• Trusted Cloud 割り当ては、Google Cloud で慣れているものと異なる場合があります。割り当ての増加調整が必要な場合は、Trusted Cloud サポートにお問い合わせください。

統合

• Trusted Cloudで利用できない他のプロダクトとやり取りする一部のプロダクトや機能は、ご利用いただけない場合があります。プロダクト固有の違いのページで、 Trusted Cloudで利用できない統合を確認してください。

セキュリティとアクセス制御

• Trusted Cloudでの認証と認可に、Workforce Identity 連携を介したサードパーティの ID（Microsoft プラットフォームや Okta プラットフォームなど）またはサービス アカウントを使用します。Trusted Cloudの Identity and Access Management（IAM）では、Google アカウントとグループを使用できません。

ネットワーク

• Trusted Cloud は、Google Cloud から分離された個別のネットワークを実行します。 Trusted Cloud のデータセンター インフラストラクチャは Google Cloud と共有されません。
  • データセンター間のネットワーク トラフィックは、Google Cloud と共有されない別の WAN を使用します。
  • ピアリングまたはトランジットを使用して、インターネットへの個別の接続があります。
• Trusted Cloudでプロジェクトを作成するときに、アプリケーションが使用する Virtual Private Cloud（VPC）を作成または割り当てます。Google Cloud とは異なり、プロジェクトのデフォルト ネットワークは自動的に作成されません。

ワークフローとツール

• Cloud Shell はTrusted Cloudでは使用できません。代わりに、コマンドライン ツールをローカルにインストールする必要があります。Cloud Shell へのアクセスを想定しているワークフローやツールを更新または適応します。これには、統合された Cloud Shell の使用方法を示すドキュメントの例も含まれます。
• デフォルトでは、gcloud CLI は Google Cloud と連携し、認証と認可に Google アカウントを使用します。 Trusted Cloudで gcloud CLI を使用するには、Trusted Cloud をターゲットに設定し、外部 ID を使用するように追加の設定が必要です。詳細については、Trusted Cloud用に gcloud CLI を設定するをご覧ください。
  • ワークフローまたはプロセスを更新して、gcloud CLI が Trusted Cloudをターゲットにするようにします。
  • Trusted Cloudで機能またはプロダクトを使用できない場合、対応する gcloud CLI コマンドとパラメータも使用できません。
• クライアント ライブラリを使用する場合は、ターゲットの GOOGLE_CLOUD_UNIVERSE_DOMAIN 環境変数を設定していることを確認してください。
• Trusted Cloudでプロジェクトを識別するために、適切な Trusted Cloud接頭辞（s3ns など）を指定します。たとえば、example-project という名前のプロジェクトは s3ns:example-project として参照する必要があります。
• Trusted Cloudでは、オペレーターが空の組織を作成して提供します。Google Cloud とは異なり、新しい組織を自分で作成することはできません。

次のステップ

Google Cloud とTrusted Cloudのその他の違いについては、各プロダクトのプロダクト固有の違いのページをご覧ください。

Trusted Cloudの使用を開始するには、次のページをご覧ください。

• Trusted Cloudの gcloud CLI を設定する
• ID プロバイダを設定する