CNCFが公開したクラウドネイティブ成熟度モデル：レベル4―クラウドネイティブ環境の改善に取り組む：完訳 CNCF「クラウドネイティブ成熟度モデル」（5）

CNCFが公開した「クラウドネイティブ成熟度モデル」を翻訳してお届けする本連載。成熟度のレベル4では、レベル3で本番に移行したクラウドネイティブ環境をスケーリングできることを実証したことに基づき、改善を実施する。この段階において、人（組織）、プロセス、ポリシー、テクノロジー、ビジネス成果の観点から何を行うべきかを説明した部分を掲載する。

[CNCF Cartografosワーキンググループ，著]

　本連載では、Cloud Native Computing Foundation（CNCF）がWebサイトで公開した「クラウドネイティブ成熟度モデル」を翻訳し、成熟度段階ごとに掲載している。

　これは、組織におけるクラウドネイティブの取り組みを5つの成熟度段階に分け、各段階で具体的に何をすべきかを示すガイド文書。テクノロジー面をカバーしているのはもちろんのこと、人（組織）、プロセス、ポリシー、ビジネス上の成果（ビジネスアウトカム）の側面からも、やるべきことを示している。

　　今回は「レベル4―改善編」。レベル1でクラウドネイティブの概念検証（PoC：Proof of Concept）を終え、レベル2で最初のアプリケーションを本番に移行した組織は、レベル3で運用をスケールさせた。レベル4では、その改善に取り組む。この段階で何に注力し、具体的に何を実行すべきかについて説明した部分を掲載する。

　なお、本連載では、2023年1月初めにWeb公開された時点での内容を翻訳している。翻訳の文責は＠IT編集部 三木泉にある。

連載目次

第1回　プロローグ編

第2回　レベル1―構築編

第3回　レベル2―運用編

第4回　レベル3―スケール編

第5回　レベル4―改善編（本記事）

第6回　レベル5―最適化編

＊ライセンスについての注意書き：本記事はCC BY 4.0に基づき、「Cloud Native Maturity Model」を翻訳して掲載するものです。上記URLのページ最下部に、「©2023 The CNCF Authors | Documentation Distributed under CC BY 4.0」と記載されています。

---

レベル4―改善

環境全体のセキュリティ、ポリシー、ガバナンスを改善します。

人

人についての概要

　改善を進めるにつれて、開発チームがセルフサービスを行えるように能力を移転します。 リーダーシップからの完全なコミットメントを得ています。

組織変革

　この段階では、クラウドが全サービスのデフォルトインフラストラクチャとなります。 事業部門は従来のようにサーバをリクエストするのではなく、DevSecOpsからのサービスをリクエストするようになります。

チームと分散化

　プラットフォームが確立されることで、分散化のプロセスを本格的に開始できます。 組織のポリシーとプロセスを組み込んだセルフサービスポータルの開発に取り組むことで、開発者サービスのオーナーシップを確保できます。

セキュリティ

このレベルまでに、設計とデプロイメントにセキュリティチームが関与し、クラウドネイティブ環境におけるセキュリティを担保します。 組織内外のポリシーと規制を完全に理解して、セキュリティに取り組んでいきます。

開発者のアジリティ

　フィードバックを、アプリケーションメトリクスからプラットフォームや非機能要件にまで広げ、バリューストリームを技術実装へ明確にマッピングします。 開発者は、未知の要素が多い複雑なシナリオを迅速にテストでき、クラウドとアプリケーションのリスクを簡単かつ素早く特定してパッチを適用できます。

開発者のスキルアップ

　開発者はより洗練されてきています。Kubernetesはさまざまな事業分野の複数のグループによって広く採用されており、インテグレーションやリリースプロセスなどに関する一連の知識が蓄積され、積極的に共有されています。開発者とクラスタのオーナーは、事業ニーズや技術ニーズに合わせてKubernetesを積極的に拡張しています。

CNCFの認定資格

　組織は、レベル4前後でCKSの取得を検討することをお勧めします。

認定Kubernetesセキュリティスペシャリスト（CKS）
　このプログラムは、ビルド、デプロイ、実行時にコンテナベースのアプリケーションとKubernetesプラットフォームのセキュリティを確保するための幅広いベストプラクティスに関するスキル、知識、能力を備えていることを保証します。 この試験を受けるには、CKA認定が必要です。

プロセス

プロセスについての概要

　この段階でのガバナンスモデルは、DevSecOpsをサポートします。ここではアジャイルなソフトウェア開発をサポートするためのガードレールを用意します。アプリケーションサービスライブラリを整備します。自動スケーリングポリシーやHPCなど、コンテナの利用に関するポリシーも設定します。

CI/CD（継続的インテグレーション／継続的デリバリー）

　リリース速度とケイデンスを測定して改善します。

変更管理

　継続的デリバリーは実現していますが、本番への継続デプロイメントは実現していません。本番環境への投入では、オペレーターの承認が必要なゲートがまだ存在します。

セキュリティ

　この段階では、セキュリティ修復の自動化の実装、あるいは検知および修復アドバイスの自動化を進めます。

監査とログ

　監査とアラートがメインストリームになり、アプリケーションで必須化されます。

ポリシー

ポリシーについての概要

　この段階では、ポリシーと回復に関するSLAが定義できているはずです。

ポリシーの作成

　ビジネスニーズに基づいてポリシーをカスタマイズし、例外を最小限に抑えます。

コンプライアンス

　ポリシーツールを拡張し、トラフィックプロキシ、サービスメッシュ、メッセージバス、Linuxなどのアプリケーションを対象に含めます。これにより、ポリシー管理の範囲が広がりますが、宣言的な構成によってポリシーを制御することも役立ちます。

テクノロジー

テクノロジーについての概要

　新しいアプリケーションやプラットフォームにクラウドネイティブなパターンを迅速に採用することで、あなたのチームは環境を完全に制御し、自信を深めています。 組織としてのクラウドネイティブへのコミットメントも得られており、これがあなたの勢いを増しています。 あなたは「キャズムを超えた」ように感じ始めています。

インフラストラクチャ

　KubernetesとそのAPI は、非常に身近なものになっています。インフラストラクチャとIaC（Infrastructure as Code）ツールを使用して、おそらくCluster APIを使用してクラスタのデプロイとライフサイクル管理をしているでしょう。 また、プラットフォームの制御をさらに高度化することも視野に入れ、インフラストラクチャコントロールプレーンやその他のインフラストラクチャコントローラーのポリシーを実装する作業を行います。

コンテナとランタイムの管理

　レベル3で得た情報ソースを使用して、データソースをさらに統合し、可視性を高めると共にアラートを実装することが目標です。 これにより、ランタイムと操作に関するフィードバック ループが完結し、想定外のイベントに迅速に対応できるようになります。

アプリケーションのパターンとリファクタリング

　マイクロサービスは、アプリケーションの推奨パターンになりました。 APIの使用は組織内で拡大しており、他の内部システムが公開・利用されることもあります。これらはサービスメッシュを介して組織全体に開放され、広く消費されます。組織はデータ中心かつAPI中心になり、データをより簡単に利用できるようになります。

アプリケーションのリリースと操作

　GitOpsオペレーターを迅速なデプロイメントのためだけでなく、開発やテストの目的でも使用しているかもしれません。 ほとんどのソフトウェアがHelmでパッケージ化され、フィードバックループが可能な限り迅速に閉じられて、構成のドリフトが減少することが期待されます。

セキュリティとポリシー

　まだ行っていない場合は、本番環境に対してポリシーを適用します。 本番環境でポリシーのチューニングを継続します。

テストと問題の検出

　本番環境がより複雑になるにつれて、一部の問題の修正には、アプリケーションだけでなく、コードとしてのポリシーや、コードとしてのインフラストラクチャの構成要素の調整が必要になる場合があります。 問題が複数のアプリケーションにまたがっている可能性があるため、アプリケーション全体で集計して傾向を判断します。 これらは、メモリリークなどのバグや、セキュリティまたはポリシーの問題に関連している可能性があります。 改善策は、理想的にはできるだけ「左端（far left：開発の初期段階）」でソースを修正するか、そうでなければ問題が発生したときに修正できるように自動化を行い、これを時間をかけて調整していくことになります。

ビジネス成果

　レベル4では、環境全体のセキュリティ、ポリシー、ガバナンスに関する改善に重点を置きます。 チームは、Kubernetesの維持ではなく、ビジネスにより多くの時間を割けるようになっていきます。レベル4は、社内クライアント／顧客が新たなプラトー（高み）に達するレベルでもあります。 そして、ほとんどの社内顧客は、このレベルを維持しながら、さらに成熟を目指せます。

　あなたのチームはクラウドネイティブについての自信を得ています。今度は、その知識をビジネス目標に向けて徹底的に適用するときです。これまで、レベル1で確立したKPIに照らした測定を続け、結果をビジネス側に提供してきました。 ビジネス成果を示せることで、目標との一致を確保します。 ビジネス側は次のことを期待することになります。

• 確立されたプロトコルと手順
• コンプライアンス標準のポリシーの適用
• クラウドネイティブアプリと非クラウドネイティブアプリの比較
• ビジネス側は、このフェーズでより多くのレポートを期待できます。レポートはコンプライアンス、セキュリティ、パフォーマンス、コストをカバーします。これらは、レベル1で確立したビジネス目標と容易に照らし合わせることができなければなりません。

　この時点で、他のアプリケーションの移行を開始し、各成熟度において何を達成したいのか、どこに価値を見出すのかをよりよく理解できるようにします。