Cloud de Confiance by S3NS の概要

Cloud de Confiance by S3NS は Franceに拠点を置くクラウドプラットフォームで、Google のクラウドテクノロジーとサービスのメリットを享受しながら、データと運用の完全な主権を保証します。 Cloud de Confianceは Google Cloud とは別のプロダクトであり、 Cloud de Confianceの地方の管轄外にデータが送信されることはありません。サービスとインフラストラクチャの管理とサポートは、Google Cloud ではなく S3NSが担当します。

このため、 Cloud de Confiance by S3NS は SecNumCloud 準拠環境でホストする必要があるプロジェクトやワークロードなど、規制要件が強化されているプロジェクトやワークロードに適しています。

このページでは、 Cloud de Confianceとその機能とサービスについて概要を説明します。また、ドキュメントの次のステップの参照先も示します。

Google Cloud との違い

Cloud de Confiance は Google Cloud とまったく同じテクノロジーに基づいていますが、両者の間には大きな違いがあり、 Cloud de Confianceでは Google Cloud の機能とプロダクトのサブセットのみが利用可能です。その理由の一つは、 Cloud de Confianceが、Google Cloud のネットワークに接続することなく、単一の完全にスタンドアロンの Cloud リージョンとして動作することで、データ主権を確保できることです。このため、複数の Google リージョンの存在に依存する Google Cloud 機能（リージョン間のロードバランシングやマルチリージョンストレージなど）は、 Cloud de Confianceではサポートされていません。

Cloud de Confiance は、フルマネージドサービスを使用して一般的なユースケースとワークロードタイプをサポートします。より高度なユースケースもサポートされていますが、Google Cloud と比較して追加の構成と管理が必要になる場合があります。ただし、この必要性を軽減または排除するための機能が追加される予定です。利用できない機能やプロダクトに慣れている Google Cloud ユーザー向けに、代替のアプローチに関するガイダンスを用意しています。

その他の違いは次のとおりです。

認証と認可では、外部 ID プロバイダの ID のみがサポートされます。
ドメイン名は Google Cloud のドメイン名とは異なります。たとえば、Compute Engine サービスのサービスエンドポイントのドメイン名は compute.googleapis.com ではなく compute.s3nsapis.fr です。
一部の Google Cloud のツールとワークフローは使用できないか、動作が若干異なります。
古い Compute Engine マシンタイプは使用できません。

Cloud de Confianceと Google Cloud の違いについて詳しくは、Google Cloud との主な違いをご覧ください。Google Cloud にすでに精通している場合は、アプリケーションを設計または実装する前に、この情報をよく確認することをおすすめします。

ユニバース、リージョン、ゾーン

Cloud de Confianceで行うすべての処理の基盤となるのは、ワークロードと Cloud de Confianceサービスを実行する物理マシンです。これらのマシンはデータセンターにあり、論理的にユニバース、リージョン、ゾーンに編成されています。

この階層の最上位はユニバースです。ユニバースは完全に自己完結型のクラウドであり、パブリックインターネットや他のユニバースとは異なる独自のネットワーキングを備えています。Google Cloud は元のユニバースで、世界中のデータセンターにリソースがあります。 Cloud de Confianceは、他のより小さなユニバースで、すべてのリソースが単一の管轄区にあり、厳格な主権コンプライアンスを提供します。

各ユニバースには地理的リージョンがあります。Google Cloud には世界中に多くのリージョンがありますが、 Cloud de Confianceには現在は 1 つのリージョン（u-france-east1）のみがあります。

そしてリージョンはゾーンに分割されます。ゾーンは、帯域幅が広くレイテンシが低いネットワークで、同じリージョンの他のゾーンと接続されています。Google Cloud と Cloud de Confianceの両方で、リージョン内の異なるゾーンにリソースを配置することで、さまざまな種類のインフラストラクチャ、ハードウェア、ソフトウェアの障害を切り離すことができます。 Cloud de Confianceには、u-france-east1-a、u-france-east1-b、u-france-east1-c の 3 つのゾーンがあります。

一部のリソースとサービスは、ゾーン（特定のゾーンで実行される Compute Engine 仮想マシンなど）、リージョン（リージョン内のゾーンに複製され、利用可能）、グローバル / マルチリージョン（複数またはすべてのリージョンに複製される）です。Google Cloud では、グローバルリソースは Google Cloud の多くのリージョンにまたがってスコープ設定され、世界中で利用できます。グローバルリソースは Cloud de Confianceに存在しますが（たとえば、これらのリソースをターゲットとする既存の Google Cloud コードを再利用できます）、u-france-east1 にスコープ設定されたリソースと同等です。

Cloud de Confiance リソースとサービス

クラウドコンピューティングでは、ソフトウェアやハードウェア製品と見なして利用できるものがサービスになります。これらのサービスは基盤となるリソースへのアクセスを提供するため、マネージド Kubernetes からデータストレージまで、幅広い機能をアプリケーションに追加できます。利用可能な Cloud de Confiance サービスの一覧については、プロダクトリストをご覧ください。

Cloud de Confianceでアプリケーションを開発する際には、これらのサービスを組み合わせて必要なインフラストラクチャを提供し、コードを追加して構築したいシナリオを実現します。

Cloud de Confianceの操作

Cloud de Confianceでリソースやサービスとやり取りする方法は次に示すように複数あります。

Cloud de Confiance コンソールには、 Cloud de Confianceプロジェクトとリソースを管理するためのウェブベースのグラフィカルユーザーインターフェースが用意されています。
Google Cloud CLI を使用すると、開発ワークフローとCloud de Confiance リソースをコマンドラインから直接管理できます。たとえば、シェル環境で gcloud compute instances create コマンドを実行して、Compute Engine 仮想マシン（VM）インスタンスを作成できます。
Google が提供するクライアントライブラリを使用すると、さまざまな一般的な言語でサービスをプログラムで操作できます。Cloud クライアントライブラリによって、デベロッパーはサポート対象言語の自然な規則やスタイルを使用できるため、快適に開発できます。また、実装の詳細やサービス API のコンセプトではなく、サービスのメタファーを考慮して作業できるように設計されているため、記述する必要があるボイラープレートコードが削減されます。
Terraform と Google Cloud Terraform プロバイダを使用して、「Infrastructure as Code」（IaC）アプローチを使用できます。

詳しくは、 Cloud de Confianceの操作をご覧ください。

プロジェクト

割り当てて使用する Cloud de Confiance リソースはすべて、プロジェクトに含まれている必要があります。プロジェクトとは、構築しているものを組織化するエンティティと考えることができます。プロジェクトは、設定や権限に加え、アプリケーションを記述したその他のメタデータで構成されます。同じプロジェクト内のリソースは連携できます。これは、リージョンとゾーンのルールに沿った内部ネットワーク通信などによって行われます。共有 VPC または VPC ネットワークピアリングを使用しない場合、あるプロジェクトが別のプロジェクトのリソースにアクセスすることはできません。

各 Cloud de Confiance プロジェクトには次のものが含まれます。

ユーザーが提供するプロジェクト名。
一意のプロジェクト ID（ユーザーまたは Cloud de Confianceが指定）。すべての Cloud de Confianceプロジェクト ID には、自動的に s3ns: という接頭辞が付きます。
プロジェクト番号（ Cloud de Confianceが指定）。

たとえば、同じプロジェクトに次のようなものが含まれる場合があります。

プロジェクト名 Ponycopter
プロジェクト ID s3ns:ponycopter
プロジェクト番号 123456789012

Cloud de Confianceを操作する際は、コマンドや API 呼び出しでこれらの識別子を使用します。たとえば、次のコマンドを使用して、プロジェクトを Google Cloud CLI のデフォルトとして使用するように指定できます。

gcloud config set project s3ns:ponycopter

複数のプロジェクトを作成し、それらのプロジェクトを使用してさまざまな方法で作業を分割できます。たとえば、チームメンバー全員がアクセスできるプロジェクトと、特定のチームメンバーのみがアクセスできる別のプロジェクトがある場合があります。

プロジェクトは名前空間として機能します。つまり、各プロジェクト内のすべてのリソースには一意の名前を付ける必要がありますが、通常、リソースが別のプロジェクトにある場合は、リソース名を再利用できます。一部のリソース名は Cloud de Confiance内で一意である必要があります。詳しくはリソースについてのドキュメントをご覧ください。

各プロジェクトは 1 つの請求先アカウントに関連付けられます。複数のプロジェクトのリソース使用量を同じアカウントに請求できます。

詳細については、プロジェクトの作成と管理をご覧ください。

次のステップ

Cloud de Confianceと Google Cloud の違いについて、Google Cloud との主な違いを学習する。
利用可能なプロダクトとサービスを確認する。
Cloud de Confianceを使ってみる方法を確認する。