Trusted Cloud by S3NS の概要

Trusted Cloud by S3NS は Franceに拠点を置くクラウドプラットフォームで、Google のクラウドテクノロジーとサービスのメリットを享受しながら、データと運用の完全な主権を保証します。 Trusted Cloudは Google Cloud とは別のプロダクトであり、 Trusted Cloudの地方の管轄外にデータが送信されることはありません。サービスとインフラストラクチャの管理とサポートは、Google Cloud ではなく S3NSが担当します。

このため、 Trusted Cloud by S3NS は SecNumCloud 準拠環境でホストする必要があるプロジェクトやワークロードなど、規制要件が強化されているプロジェクトやワークロードに適しています。

このページでは、 Trusted Cloudとその機能とサービスについて概要を説明します。また、ドキュメントの次のステップの参照先も示します。

Google Cloud との違い

Trusted Cloud は Google Cloud とまったく同じテクノロジーに基づいていますが、両者の間には大きな違いがあり、 Trusted Cloudでは Google Cloud の機能とプロダクトのサブセットのみが利用可能です。その理由の一つは、 Trusted Cloudが、Google Cloud のネットワークに接続することなく、単一の完全にスタンドアロンの Cloud リージョンとして動作することで、データ主権を確保できることです。このため、複数の Google リージョンの存在に依存する Google Cloud 機能（リージョン間のロードバランシングやマルチリージョンストレージなど）は、 Trusted Cloudではサポートされていません。

Trusted Cloud は、フルマネージドサービスを使用して一般的なユースケースとワークロードタイプをサポートします。より高度なユースケースもサポートされていますが、Google Cloud と比較して追加の構成と管理が必要になる場合があります。ただし、この必要性を軽減または排除するための機能が追加される予定です。利用できない機能やプロダクトに慣れている Google Cloud ユーザー向けに、代替のアプローチに関するガイダンスを用意しています。

その他の違いは次のとおりです。

認証と認可では、外部 ID プロバイダの ID のみがサポートされます。
ドメイン名は Google Cloud のドメイン名とは異なります。たとえば、Compute Engine サービスのサービスエンドポイントのドメイン名は compute.googleapis.com ではなく compute.s3nsapis.fr です。
一部の Google Cloud のツールとワークフローは使用できないか、動作が若干異なります。
古い Compute Engine マシンタイプは使用できません。

Trusted Cloudと Google Cloud の違いについて詳しくは、Google Cloud との主な違いをご覧ください。Google Cloud にすでに精通している場合は、アプリケーションを設計または実装する前に、この情報をよく確認することをおすすめします。

ユニバース、リージョン、ゾーン

Trusted Cloudで行うすべての処理の基盤となるのは、ワークロードと Trusted Cloudサービスを実行する物理マシンです。これらのマシンはデータセンターにあり、論理的にユニバース、リージョン、ゾーンに編成されています。

この階層の最上位はユニバースです。ユニバースは完全に自己完結型のクラウドであり、パブリックインターネットや他のユニバースとは異なる独自のネットワーキングを備えています。Google Cloud は元のユニバースで、世界中のデータセンターにリソースがあります。 Trusted Cloudは、他のより小さなユニバースで、すべてのリソースが単一の管轄区にあり、厳格な主権コンプライアンスを提供します。

各ユニバースには地理的リージョンがあります。Google Cloud には世界中に多くのリージョンがありますが、 Trusted Cloudには現在は 1 つのリージョン（u-france-east1）のみがあります。

そしてリージョンはゾーンに分割されます。ゾーンは、帯域幅が広くレイテンシが低いネットワークで、同じリージョンの他のゾーンと接続されています。Google Cloud と Trusted Cloudの両方で、リージョン内の異なるゾーンにリソースを配置することで、さまざまな種類のインフラストラクチャ、ハードウェア、ソフトウェアの障害を切り離すことができます。 Trusted Cloudには、u-france-east1-a、u-france-east1-b、u-france-east1-c の 3 つのゾーンがあります。

一部のリソースとサービスは、ゾーン（特定のゾーンで実行される Compute Engine 仮想マシンなど）、リージョン（リージョン内のゾーンに複製され、利用可能）、グローバル / マルチリージョン（複数またはすべてのリージョンに複製される）です。Google Cloud では、グローバルリソースは Google Cloud の多くのリージョンにまたがってスコープ設定され、世界中で利用できます。グローバルリソースは Trusted Cloudに存在しますが（たとえば、これらのリソースをターゲットとする既存の Google Cloud コードを再利用できます）、u-france-east1 にスコープ設定されたリソースと同等です。

Trusted Cloud リソースとサービス

クラウドコンピューティングでは、ソフトウェアやハードウェア製品と見なして利用できるものがサービスになります。これらのサービスは基盤となるリソースへのアクセスを提供するため、マネージド Kubernetes からデータストレージまで、幅広い機能をアプリケーションに追加できます。利用可能な Trusted Cloud サービスの一覧については、プロダクトリストをご覧ください。

Trusted Cloudでアプリケーションを開発する際には、これらのサービスを組み合わせて必要なインフラストラクチャを提供し、コードを追加して構築したいシナリオを実現します。

Trusted Cloudの操作

Trusted Cloudでリソースやサービスとやり取りする方法は次に示すように複数あります。

Trusted Cloud コンソールには、 Trusted Cloudプロジェクトとリソースを管理するためのウェブベースのグラフィカルユーザーインターフェースが用意されています。
Google Cloud CLI を使用すると、開発ワークフローとTrusted Cloud リソースをコマンドラインから直接管理できます。たとえば、シェル環境で gcloud compute instances create コマンドを実行して、Compute Engine 仮想マシン（VM）インスタンスを作成できます。
Google が提供するクライアントライブラリを使用すると、さまざまな一般的な言語でサービスをプログラムで操作できます。Cloud クライアントライブラリによって、デベロッパーはサポート対象言語の自然な規則やスタイルを使用できるため、快適に開発できます。また、実装の詳細やサービス API のコンセプトではなく、サービスのメタファーを考慮して作業できるように設計されているため、記述する必要があるボイラープレートコードが削減されます。
Terraform と Google Cloud Terraform プロバイダを使用して、「Infrastructure as Code」（IaC）アプローチを使用できます。

詳しくは、 Trusted Cloudの操作をご覧ください。

プロジェクト

割り当てて使用する Trusted Cloud リソースはすべて、プロジェクトに含まれている必要があります。プロジェクトとは、構築しているものを組織化するエンティティと考えることができます。プロジェクトは、設定や権限に加え、アプリケーションを記述したその他のメタデータで構成されます。同じプロジェクト内のリソースは連携できます。これは、リージョンとゾーンのルールに沿った内部ネットワーク通信などによって行われます。共有 VPC または VPC ネットワークピアリングを使用しない場合、あるプロジェクトが別のプロジェクトのリソースにアクセスすることはできません。

各 Trusted Cloud プロジェクトには次のものが含まれます。

ユーザーが提供するプロジェクト名。
一意のプロジェクト ID（ユーザーまたは Trusted Cloudが指定）。すべての Trusted Cloudプロジェクト ID には、自動的に s3ns: という接頭辞が付きます。
プロジェクト番号（ Trusted Cloudが指定）。

たとえば、同じプロジェクトに次のようなものが含まれる場合があります。

プロジェクト名 Ponycopter
プロジェクト ID s3ns:ponycopter
プロジェクト番号 123456789012

Trusted Cloudを操作する際は、コマンドや API 呼び出しでこれらの識別子を使用します。たとえば、次のコマンドを使用して、プロジェクトを Google Cloud CLI のデフォルトとして使用するように指定できます。

gcloud config set project s3ns:ponycopter

複数のプロジェクトを作成し、それらのプロジェクトを使用してさまざまな方法で作業を分割できます。たとえば、チームメンバー全員がアクセスできるプロジェクトと、特定のチームメンバーのみがアクセスできる別のプロジェクトがある場合があります。

プロジェクトは名前空間として機能します。つまり、各プロジェクト内のすべてのリソースには一意の名前を付ける必要がありますが、通常、リソースが別のプロジェクトにある場合は、リソース名を再利用できます。一部のリソース名は Trusted Cloud内で一意である必要があります。詳しくはリソースについてのドキュメントをご覧ください。

各プロジェクトは 1 つの請求先アカウントに関連付けられます。複数のプロジェクトのリソース使用量を同じアカウントに請求できます。

詳細については、プロジェクトの作成と管理をご覧ください。

次のステップ

Trusted Cloudと Google Cloud の違いについて、Google Cloud との主な違いを学習する。
利用可能なプロダクトとサービスを確認する。
Trusted Cloudを使ってみる方法を確認する。