はじめに(全体の体系と記事の種類)
本ブログは、OCI学習を体系立てて整理することを目的として、次の2種類の記事を扱います。
- 知識ノート(N-xx):概念・設計の考え方・判断基準を整理します。
- 検証(L-xx):手順・設定値・つまずきポイント(症状→原因→対処)を再現可能な形で記録します。
本記事(N-00)は、以降の学習の土台として、OCIで頻出する「リージョン」「可用性ドメイン(AD)」「コンパートメント」を、全体像として整理します。
この記事の目的
本記事の目的は、OCIでリソースを作成・運用する際に必ず登場する次の3要素について、役割と関係性を明確にすることです。
- リージョン:リソースを配置する場所
- 可用性ドメイン(AD):同一リージョン内の冗長化の単位
- コンパートメント:リソースの整理と権限管理の単位
これらを理解することで、IAM、ネットワーク、Computeなどで「どこに作るべきか」「どう分けるべきか」「なぜ権限が必要か」を迷いにくくなります。
どこで使う(ユースケース)
ユースケース1:検証環境を作成する場合
- 利用リージョンを選定し、VCNやComputeなどのリソースを配置します。
devなどのコンパートメントに検証用リソースを集約し、管理対象を明確にします。- IAM(グループ/ポリシー)により、操作可能な利用者を限定します。
ユースケース2:本番環境を安全に運用する場合
prod/stg/devのように環境ごとにコンパートメントを分離し、誤操作リスクを低減します。- 可用性要件に応じて、リージョンやAD(サービス仕様に依存)を踏まえた配置を検討します。
ユースケース3:複数案件・複数チームで統制する場合
- 案件または組織単位でコンパートメントを分割し、権限管理・棚卸し・コスト整理を容易にします。
- 共通基盤(監視、ログ保管など)は
sharedに集約し、運用を標準化します。
図(OCIの基本構造)
図の補足
本図は、OCIの概念を理解するための階層構造の俯瞰図です。
- Tenancy配下に、複数のRegionが存在します。
- 各Regionの中に、**Availability Domain(AD)**が存在します(ADの扱いはサービス仕様に依存します)。
- さらに、リソースはCompartmentに所属し、Compartmentは階層化できます。
代表パターン例(3つ)
「代表パターン例」の補足
ここでいう代表パターン例とは、OCI導入時に検討対象となる「コンパートメントの分割方法」について、現場で採用されやすい典型例を指します。
目的(誤操作防止、コスト整理、権限分離)に応じて、適切な分割方法を選定します。
パターン1:環境で分割(初期段階で推奨)
- 例:
prod / stg / dev - 目的:誤操作の抑止、運用単位の明確化
- 特徴:説明が容易で、学習用途〜小規模運用に適しています。
パターン2:プロジェクトで分割(案件が複数の場合)
- 例:
project-A / project-B - 目的:案件単位のコスト集計、権限分離、棚卸し容易化
- 特徴:各プロジェクト配下に
prod/stg/devを階層化しやすい構成です。
パターン3:組織で分割(統制・最小権限重視)
- 例:
infra-team / app-team / data-team - 目的:組織単位の権限分離、ガバナンス強化
- 特徴:運用ルール標準化や監査対応に適しています。
落とし穴(3つ)
落とし穴1:リージョン選定を後回しにする
リソースは原則として作成したリージョンに紐づくため、遅延・データ保管・運用体制などの要件に基づき、リージョンを先に決めることが重要です。
落とし穴2:コンパートメントをネットワーク分離の手段と誤認する
コンパートメントはリソースの整理と権限境界であり、通信分離はVCN/サブネット/ルート/NSG等で実現します。役割が異なります。
落とし穴3:rootコンパートメントに集約する
rootに集約すると、権限設計、棚卸し、コスト管理、運用変更が複雑化しやすくなります。初期段階から最低限の分割(例:prod/stg/dev)を推奨します。
用語ミニ辞典
- Tenancy(テナンシ):OCI契約/アカウントの最上位で、すべてのリソースの親となります。
- Region(リージョン):地理的な場所で、リソースの配置先です。
- Availability Domain(AD):同一リージョン内の独立したデータセンター群で、冗長化の単位です(サービス仕様により利用方法が異なる場合があります)。
- Compartment(コンパートメント):リソースを整理する論理的な入れ物で、IAMポリシーの適用範囲(権限境界)にもなります。階層化が可能です。
- IAM:Identity and Access Management。利用者・グループ・ポリシーによりアクセス制御を行う仕組みです。
- Policy(ポリシー):誰(グループ等)が、どこ(コンパートメント等)で、何をできるかを定義するルールです。
さいごに
もか
本記事をまとめる過程で、OCIの独特で分かりづらいと感じていた点が整理できました。特に、リージョン/ADは「どこに置くか(可用性・遅延・運用体制)」の判断軸であり、コンパートメントは「どう管理するか(権限・整理・運用単位)」の判断軸であると理解できました。どの基準で何を設計すべきかが明確になりました!
情報ソース
- Oracle Cloud Infrastructure ドキュメント:IAM 概要
https://docs.oracle.com/en-us/iaas/Content/Identity/Concepts/overview.htm - Oracle Cloud Infrastructure ドキュメント:ポリシー(Policies)
https://docs.oracle.com/en-us/iaas/Content/Identity/Concepts/policies.htm - Oracle Cloud Infrastructure ドキュメント:コンパートメント管理
https://docs.oracle.com/en-us/iaas/Content/Identity/Tasks/managingcompartments.htm - Oracle Cloud Infrastructure ドキュメント:リージョンと可用性ドメイン
https://docs.oracle.com/en-us/iaas/Content/General/Concepts/regions.htm - Oracle Cloud Infrastructure ドキュメント:Networking Overview
https://docs.oracle.com/en-us/iaas/Content/Network/Concepts/overview.htm
コメント