概要
当エントリーでは、HyperglanceというAWS、Azure、K8s環境の構成を可視化し統合管理する製品について実際に触れながら調査をしてみたので自分へのメモを兼ねて要点を纏めて日本語の情報として残します。
内容や画面描画については執筆時点のとなり最新のものと異なる可能性がある点ご注意ください。
Hyperglanceとは
AWS可視化ツールの1つであり、以下AWSオフィシャルのシンプルアイコンの頁にて、アーキテクチャアイコンを含む3rdパーティの構成描画ツールおよびダイアグラム作成ツールとして紹介されている製品の1つとなります。
製品オフィシャル
Hyperglanceの魅力
特徴としては、なんといってもマルチクラウド対応かつ多機能なところです。
単に構成描画やダイアグラム作成ツールという言葉だけで括るのは難しく、ざっくり以下のような機能を有します。
- ダッシュボード(登録した全ての環境のリソースを一元管理出来るようなイメージ)
- 構成図の描画
- 高度なリソースの検索
- コスト管理/最適化
- セキュリティ&コンプライアンスの監視 (CSPM相当)
- 自動化と修復
個人的に一言で表すならば、マルチクラウドの複数環境を束ねる「統合管理コンソール」あたりがしっくりきます。
もう一点はSaaSではない点です。
こちらが魅力的か否かは、人やら会社(立場)によって異なると思いますが、Privateなネットワーク内だけで完結する事が求められるような組織のケースでは大切なポイントになります。
AWSであればEC2インスタンス(つまりは管理者指定のVPC上)で稼働する仕様となります。
AWS Gov Cloudの対応についても謳われていたり、SAMLやRestfulAPIとかを利用したカスタマイズ展開等にも言及があったりと、エンタープライズクラスもターゲットとした位置づけの製品に感じます。
主な機能
ダッシュボード
登録しているクラウドアカウント内に存在するリソースをサマリーで確認が可能なダッシュボードが用意されています。
セキュリティとコンプライアンス監査の観点での全体の準拠具合も把握することが可能です。 (当エントリーは概要編なので簡単にこの辺で)
構成図とインベントリ
Hyperglanceは、取り込んだクラウドアカウントの全体構成図をただ表示するだけでなく、リソースの検索画面にて抽出したリソースを構成図として、画面を切り替えて描画出来るような動作イメージとなります。
必要なリソースだけを必要な時に構成図として確認出来るというのはやはり素晴らしい体験です。
あと重要な点として編集可能な構成図のExportが可能となっています。
具体的にMS-Visio の .vsdx 形式となり、ICTエンジニアに人気の Draw.io といったWebの作図アプリから編集する事が可能です。
Hyperglance で自動描画した構成図をそのまま Exportして、そのまま Draw.ioで開いてみた状態のサンプル (もちろん全てのオブジェクト自由に編集出来ます)
作成や更新で大変な手間のかかるインフラ構成図の維持管理は、ツールで自動作成されたものに全て寄せてしまって、他の価値のあるタスク(論理構成図やら)に時間を使うといった考え方も良いかもしれません。
高度な検索画面
管轄のクラウドアカウント全体のリソースを高度に検索できる機能が備わっています。 管理者やらチーム視点だと製品活用やら運用面で当機能を上手く使いこなす事が肝になるかと思います。
単純に対象のチェックのON/OFFの入れるだけもあれば条件文を指定する事が可能です。 フィルタリングを作り込む際、サジェストのような形で動的にガイドしてくれる今どきなアプリケーションのような作りでよく出来ています。
コスト管理と最適化
管轄となるクラウドアカウントのインフラのコストをリソース単位で把握出来る機能があり、 クラウドの請求額を最大30%削減するためのコストの最適化といった形で謳われています。
様々に散ったクラウド(IaaS)環境の全体管理者としてコストの全体像を継続的に把握する為に役立ちそうです。
Hyperglanceでは構成図に描画された各リソースに費用を表示出来たりと、単にコストについて管理がしやすいだけでなく、意識させるという意味でも役立ちそうです。
個人的にこちらの画面には惹かれるものがありました。(デザイン面で)
クラウドのセキュリティとコンプライアンスの監視
主要なフレームワークに準拠する環境を最適化するための200以上の組み込みのカスタマイズ可能なルールとアラートが用意されています。
こちらは、所謂CSPM(Cloud Security Posture Management)に相当する機能となります。(執筆時点でVersionはBETA)
AWS Well Architected、CISトップ20、NIST 800-53、HIPAAなどをカバーし、国内だと業界によって監査でよく求められがちなPCI-DSSもサポートされています。
パブリッククラウドの場合、本番アカウントだけセキュリティ・コンプライアンスをしっかりしてても どれか一つ社内の野良アカウントのようなものが杜撰な管理/放置されていたらそこを起点に大きなトラブルへと発展してしまう可能性があります。
組織として払い出している全てのアカウントを今回のような製品管理下において監視するといった事の重要性は、今後高まっていくであろうと思われます。
自動化と修復
自動で処理を実行したり修復(問題を修正)できるライブラリが用意されています。 高度な検索画面にてサーチした結果のリソースに対して自動化の処理を設定することが出来ます。
ぱっと思いつきやすい、指定タグを付与するとか、S3バケットのパブリック・アクセスをブロックするとか、IAMユーザーのアクセスキーを無効化するといったものをはじめ、様々な処理が執筆時点で50個以上が用意されています。
ライセンス費用
以下料金表となります。
ざっくり対象アカウントのリソースの上限が、〜250,〜1000,〜3,000、無制限(Custom)といった形で4プラン用意されています。
ここでいうリソースとは
Hyperglanceのカウントする「リソース」とは、
What does Hyperglance count as a resource?
A ‘Resource’ to Hyperglance is an instance/VM, Load balancer, Gateway, S3 Bucket, Database instance, or Peering Connection with all of its associated data, that is defined as a single entity or instance by its primary source platform. We don’t count interfaces, links, attributes or chart data as separate ‘Resources’.
と言及があります。 セキュリティグループやインターフェイス(ENI)等はカウントされないようです。
以下に具体的な対象リソースの一覧ページがあります。
- Virtual Private Cloud (VPC)視点で考えると、VPC Endpointのみがリソースとしてカウントされ、VPCは何個作ろうと中のSubnetやRoute Tableがどれだけあろうとカウントされない
- Amazon EC2視点で考えると、EC2インスタンスおよびアタッチされるEBSはカウントされるけど、ENIとSecurity Groupはカウントされない
といった感じになります。
現状のリソース数を把握する為のツールとして「Billing Analysis App」が用意されておりユーザーは把握する事が出来ます。
ライセンスのサイジングをシビアに行う必要がある場合は利用すると良いでしょう。
ちなみに、自身の検証環境(AWS2つとAzure1つ)を登録しただけで250リソースを超えてしまいました。自分のようにゴミだらけのS3バケットやLambda関数がたくさんあったりする環境だと注意が必要です。
ちなみに超えてしまった場合は、超過分のリソースが描画されなくなり、プラン更新に関する提案がメッセージとして描画されます。
全体を把握出来ない事となってしまう為、本番用途であれば適宜ライセンスを見直しましょう。
AWSの場合
AWSであればマーケットプレイス経由で購入したり、独自に導入することも出来ます。
インスタンスタイプ自体は、ベンダー推奨サイズも必要最小限となっておりインフラコストとしてはかなり抑えられています。それでいて製品のUIやら動作自体はとても軽快(*1)です。
*1...それで一人で利用している検証環境だから というのもあるかもしれませんが用途によっては、リソース利用状況をみながらスケールアップを検討すると良さそうです。
ベンダー推奨インスタンスタイプ
Amazon Market Place 経由で購入する際の価格は執筆時点で以下の通りです。
| No | プラン | 推奨EC2インスタンスタイプ | Marketplace 合計金額(*1) |
|---|---|---|---|
| 1 | 250リソース | t3.medium | $0.814/hr |
| 2 | 1,000リソース | t3.large | $2.109/hr |
| 3 | 3,000リソース | t3.large | $4.393/hr |
| 4 | Custom | - | $POA |
*1.ap-northeast-1でのオンデマンドの場合の参考値
まとめ
今回は、Hyperglanceの製品概要について調べ要点をご紹介しました。
大きな組織ではマルチクラウドで用途ごとに様々なアカウントが乱立していき、統制について頭を悩ませる事も少なくないように思える今日この頃ですが、この手の統合管理は3rd Paty製品に頼る以外の選択肢はないようにも感じるので今後の動向には注目です。
