IaC (Infrastructure as Code) とは

IaC (Infrastructure as Code) は、手動のプロセスではなく、コードを使用してインフラストラクチャの管理とプロビジョニングを行います。

IaC を使用すると、インフラストラクチャ仕様を含む設定ファイルが作成され、設定の編集と提供が容易になります。また、毎回同じ環境をプロビジョニングできるようになります。IaC は、設定仕様をコード化および文書化することにより構成管理を支援します。これにより、設定が文書化されることなくアドホックに変更されることを回避できます。

インフラストラクチャのワークフロー自動化に関する詳細はこちら

バージョン管理と自動化

IaC においてバージョン管理は重要な要素であり、他のソフトウェアのソースコードファイルと同じように設定ファイルのソース管理を行う必要があります。インフラストラクチャをコードとしてデプロイするということは、インフラストラクチャをモジュール式のコンポーネントに分割し、自動化を使ってさまざまに組み合わせることもできるということです。

IaC を使用してインフラストラクチャ・プロビジョニングを自動化することにより、開発者は、アプリケーションを開発またはデプロイするたびに、サーバー、オペレーティングシステム、ストレージ、およびその他のインフラストラクチャ・コンポーネントのプロビジョニングと管理を手動で行う必要がなくなります。インフラストラクチャをコード化することで、プロビジョニングに使用するテンプレートが作成されます。これは手動で実行することもできますが、Red Hat® Ansible® Automation Platform などの自動化ツールを使用して実行できます。

IaC には次の 2 つのアプローチがあります。

IaC への宣言型アプローチは、必要なリソースや備えておくべきプロパティなど、システムの望ましい状態を定義するものであり、構成は IaC ツールが行います。 

宣言型アプローチでは、システムオブジェクトの現在の状態に関するリストも保持されるため、インフラストラクチャの廃棄が管理しやすくなります。

IaC の命令型アプローチは、望ましい設定を実現するために必要な特定のコマンドを定義します。そして、これらのコマンドは正しい順序で実行される必要があります。 

多くの IaC ツールは宣言型アプローチを使用しており、目的のインフラストラクチャを自動的にプロビジョニングします。望ましい状態に変更を加えると、宣言型の IaC ツールの場合はその変更が自動的に適用されます。一方、命令型ツールの場合は、変更の適用方法をユーザーが見極める必要があります。

IaC ツールはどちらのアプローチでも動作しますが、一方のアプローチが他方のアプローチよりも優先される傾向があります。

Infrastructure as Code のガイドを読む

これまで、インフラストラクチャのプロビジョニングは時間とコストのかかる手動プロセスでした。仮想化、コンテナ、クラウドコンピューティングが標準になったことで、インフラストラクチャ管理としてデータセンター内の物理ハードウェアを管理することは減ってきています。この方法には多くのメリットがありますが、新たな課題も生じています。

クラウドコンピューティングによって、インフラストラクチャのコンポーネントの数は増加し、さらに多くのアプリケーションが毎日プロダクション環境にリリースされているため、インフラストラクチャの起動、スケーリング、廃棄を頻繁に行う必要があります。IaC プラクティスを導入しなければ、先進的なインフラストラクチャの規模を管理することはますます困難になります。

IaC は、IT インフラストラクチャのニーズを管理するのに役立つと同時に、一貫性を向上させ、エラーと手動による構成を削減します。

Infrastructure as Code を導入するメリット

• コストの削減
• デプロイ速度の向上
• エラーの削減
• インフラストラクチャの一貫性の向上
• 構成ドリフトの排除

IaC 戦略を Day 2 オペレーションに拡張

IaC という戦略的基盤の次の段階として、組織はその手法を運用ライフサイクルのあらゆる段階で IT プロセスを自動化するために使用し始めています。 

IaC はインフラストラクチャの構築、プロビジョニング、デプロイを標準化します。それと同様に、IT チームは Ops as Code (OaC) を導入することで、デプロイ後のシステムの管理と保守をコード化することができます。このアプローチを Policy as Code (PaC) へと拡張することで、アプリケーションとソリューションのガバナンス、リスク、およびコンプライアンスのプロセスを自動化することができます。

IaC の自動化から得た経験を活用し、同じ手法とツールを使用することで、IT チームは Day 2 オペレーションに対してより効率的で適応性の高いアプローチを取ることができます。

IaC を OaC および PaC に拡張

サーバー自動化および構成管理ツールにより、IaC の導入が加速され、最適化されます。IaC に特化したソリューションもあります。 

一般的な IaC 最適化ツールおよびテクノロジーには、以下のようなものがあります。

• Chef
• Puppet
• Red Hat Ansible Automation Platform
• SaltStack
• Terraform
• AWS CloudFormation

自動化ツールを使用して IaC を実装すると、より効率的で生産的なワークフローを構築し、NetOps 手法の導入を効率化することができます。Ansible Automation Platform などの包括的なプラットフォームは、オペレーティングシステムとネットワークデバイスのプロビジョニング、アプリケーションのデプロイ、エンタープライズ環境全体の構成の管理を行います。

Ansible の基本をいくつか学ぶ

Infrastructure as Code は先進的な IT 運用および DevOps の基礎となり、さまざまな業界で実際の事例を幅広く見ることができます。IaC の主なユースケースと事例は次のとおりです。

• Web アプリケーションのデプロイメントの自動化：IaC の最も一般的で影響力のある用途の 1 つは、仮想マシン、データベース、ロードバランサー、ファイアウォール、ネットワーク構成など、Web アプリケーションに必要なすべてのコンポーネントを定義およびプロビジョニングすることです。
• クラウドのデプロイメント：IaC を使用して、単一または複数のクラウドにまたがってクラウド環境全体を設定し、管理できます。IaC を使用して、クラウド・インフラストラクチャをコード化して、正確なリソース割り当て、セキュリティ設定、およびコンプライアンスを確保できます。これにより、厳格な組織標準を維持しながら、クラウド運用を手間なく拡張できます。
• 継続的インテグレーション/継続的デリバリー (CI/CD) パイプライン：IaC は、ソフトウェア開発ライフサイクルを自動化するために不可欠です。IaC アプローチでは、インフラストラクチャの変更をアプリケーションコードのように扱い、CI/CD パイプラインの一部としてバージョン管理、テスト、自動デプロイを行います。開発者は本番環境と同じ環境でコードをテストできるため、より迅速で信頼性の高いデプロイメントが可能です。
• 障害復旧と高可用性：IaC は障害復旧機能を大幅に強化します。バージョン管理に格納されたコードとしてインフラストラクチャを定義しておくと、壊滅的な障害が発生した場合に環境全体を別のリージョンやクラウドに迅速かつ一貫して再作成することができます。これによって目標復旧時間 (RTO) とダウンタイムが削減され、ビジネス継続性が維持されます。
• ハイブリッドクラウド環境とマルチクラウド環境：ハイブリッドクラウド環境やマルチクラウド環境では、IaC は、統合されていないインフラストラクチャを統一された方法で管理します。IaC ツールにより、異なる環境全体で一貫してリソースを定義し、管理できます。これによって柔軟性が得られ、コストを削減できます。
• セキュリティとコンプライアンスの自動化：IaC により、セキュリティ設定とコンプライアンスルールがインフラストラクチャの定義に直接組み込まれます。そのため、手動の設定に頼らなくてもデプロイメントによって、ファイアウォールルール、ID 管理とアクセス管理 (IAM) ロール、暗号化設定などのセキュリティポリシーが自動的に適用されます。 

IaC は、DevOps プラクティスと継続的インテグレーション/継続的デリバリー (CI/CD) の実装に重要な役割を果たします。IaC によって開発者のプロビジョニング作業が削減され、開発者はスクリプトを実行してインフラストラクチャをデプロイできます。 これにより、インフラストラクチャによってアプリケーションのデプロイが遅延することがなくなり、またシステム管理者が時間のかかる手作業のプロセスを管理することもなくなります。 

CI/CD では、統合およびテストのフェーズから提供、デプロイメントに至るまでのアプリケーションのライフサイクル全体を通じて、継続的な自動化と継続的な監視を活用します。 環境を自動化するためには、一貫性が必要です。開発チームがアプリケーションをデプロイして環境を構成する方法と、運用チームがデプロイおよび構成する方法が異なる場合、アプリケーションのデプロイメントの自動化は機能しません。

DevOps アプローチを通じて開発チームと運用チームを連携させることで、エラー、手動のデプロイ、不整合を減らすことができます。 IaC により、両方のチームがアプリケーションのデプロイに同じ記述を使用し、DevOps アプローチをサポートできるため、開発と運用の連携に役立ちます。

IaC の実装を最大化するためには、本番環境を含むすべての環境で同じデプロイメントプロセスを使用する必要があります。IaC は毎回同じ環境を生成するため、個々のデプロイメント環境を維持する必要がなくなります。自動的に再現できない独自の構成を回避することで、本番環境の一貫性を維持できます。

DevOps のベストプラクティスを、IaC のインフラストラクチャに適用することもできます。インフラストラクチャには、ソフトウェア開発時にアプリケーションに実行されるのと同じ CI/CD パイプラインを実行することができ、同じテストとバージョン管理がインフラストラクチャのコードに適用されます。

文化的な変化を伴うほとんどの技術導入と同様に、IaC 実装の成功は段階的なアプローチと明確な目的から始まります。重要性の低いコンポーネントや環境から小規模に始めることで、チームは学習して自信を持つことができ、その後、より複雑なシステムに取り組むことができます。コストの削減やデプロイメントの迅速化など、明確なビジネス目標を定義すれば、チームは実装全体で成功を測定できるようになります。 

IaC アプローチのベストプラクティス

IaC アプローチを導入する際の基本的なベストプラクティスは、インフラストラクチャをアプリケーションコードのように扱うことです。これは、次のようなベストプラクティスを使用することを意味します。

• すべてにバージョン管理を使用する：これによって、コラボレーションによる開発が可能になり、変更が追跡され、以前の安定した状態へのロールバックが容易になります。バージョン管理では、ブランチ戦略 (機能ブランチなど)、コードのピアレビュー (プルリクエストを使用)、説明を記載したコミットメッセージを使用するのが最適です。
• インフラストラクチャをモジュール式にして再利用可能にする：インフラストラクチャを再利用可能な最小コンポーネントに分割します。これにより、重複が除外され、保守性が向上し、さまざまなプロジェクトや環境間での理解と管理が容易になります。
• テストを自動化する：すべての IaC を、通常はアプリケーションコードに対して実行するテストとともに CI/CD パイプラインに統合し、インフラストラクチャの変更がデプロイメント前に検証されるようにします。
• 構成ドリフトを削減する：可能な限り「イミュータブル・インフラストラクチャ」を構築するように取り組みます。既存のサーバーに変更を加えるのではなく、更新された構成で新しいサーバーをプロビジョニングし、古いサーバーを廃止します。これにより、構成ドリフトが大幅に減少し、ロールバックが容易になります。
• IaC の変更に関する明確な役割、責任、承認ワークフローを定義する：PaC を実装して、アプリケーションとソリューションのガバナンス、リスク、およびコンプライアンスのプロセスを自動化します。

IaC 導入の課題

IaC を導入する際には、以下のような共通の課題や固有の課題が生じる可能性があります。

• 手作業の自動化は複雑になりがち：手動操作に慣れているチームが IaC のツールとコンセプトに習熟するためには、学習が必要です。これは、抵抗や導入率の低下につながる可能性があります。手作業によるコンソール操作からコードに移行するには、考え方を大幅に変える必要があります。
• セキュリティの脆弱性：ハードコーディングされたシークレット情報や、テンプレート内の過度に許容度の高い IAM ロール、ベースイメージの脆弱性は、インフラストラクチャ全体に簡単に伝播し、セキュリティリスクをもたらす可能性があります。
• 標準化の欠如：明確なガイドラインがなければ、チームは一貫性のない方法で IaC を実装し、プラクティスの断片化、コードの重複、メンテナンスの煩わしさなどが生じる可能性があります。具体的には、命名規則、モジュール構造、デプロイメントパターンの違いなどです。
• 文化的な抵抗：IaC のような広範な戦略を導入する場合、組織は深く根付いた習慣から脱却し、コードファーストの考え方を育成する必要があります。リーダーシップからの強力な賛同、メリットの継続的な周知、実験と学習を受け入れる文化が必要です。
• 複雑なパイプラインのデバッグ：IaC によってエラーは減りますが、特に IaC を初めて使用するチームにとっては、手動プロセスで発生するエラーよりもデバッグが困難になる可能性があります。
• レガシー・インフラストラクチャの管理：IaC を既存のレガシー・インフラストラクチャと統合するためには、多くの場合、リバースエンジニアリングや段階的なリファクタリングが必要になるため、複雑で時間がかかる可能性があります。

組織全体で自動化を進める手法を生み出すことで、IT プロセスだけでなく、テクノロジー、チーム���そして組織全体を自動化することができます。 

Red Hat Ansible Automation Platform には、Playbook、ビジュアル・ダッシュボード、イベント駆動型ソリューション、分析機能など、企業全体での自動化の導入に必要なツールがすべて揃っています。また、Webhook を使用して IaC ワークフローを自動化し、GitOps プラクティスを実施することができます。

YAML で作成された Ansible Playbook は、システムの望ましい状態を記述します。これらは通常、ソース管理で保持されます。Ansible Automation Platform は、現在の状態に関係なく、システムを望ましい状態にする作業を行います。 

Ansible Automation Platform は、インストール、アップグレード、日常の管理を繰り返し可能で信頼性の高いものにします。

Ansible Automation Platform サブスクリプションを使用すると、新しいアプリケーションやサービスの迅速な導入、IT インフラストラクチャの効率的な管理、アプリケーション開発の生産性向上が可能になります。 堅牢なパートナーエコシステムからの認定コンテンツ、ホストされた管理サービス、チームが組織全体で自動化を作成、管理、拡張するためのライフサイクル・テクニカルサポートを利用できます。

Red Hat Ansible Automation Platform の詳細

導入事例を読む