コールセンター運用向けセキュアクラウド・DevOpsモダナイゼーション

米国のコールセンター技術企業は、レガシーで自社管理されていたインフラを、セキュアなクラウド・DevOps基盤へ刷新する必要がありました。顧客環境では、開発、production、shared services、on-premises workloadsをまたいで、ソフトウェアデリバリーの速度を保ちながら、ガバナンス、アクセス制御、可観測性、SOC 2コンプライアンス要件を一貫して維持する必要がありました。

HDWEBSOFTは、AWS EKSクラスター、Las VegasおよびDTLAのon-premises datacenter nodes、GitOps delivery、集中型identity、secrets management、CI/CD automation、セキュリティ監視を接続し、監査可能な運用モデルとして機能するハイブリッド基盤の設計と実装を支援しました。

プロジェクト背景

顧客のプラットフォームはコールセンター運用を支えており、reliability、security、delivery speedのすべてが重要でした。事業が成長するにつれて、レガシーインフラモデルは一貫した運用が難しくなり、legacy workload migrationで一般的な計画、依存関係、運用上のリスクが表面化していました。チームには、environment provisioning、アクセス制御、workload deployment、incident monitoring、そしてインフラ変更が意図的で追跡可能であることを示すための、より明確な方法が必要でした。

モダナイゼーションの目的は、単にworkloadをクラウドへ移すことではありませんでした。目的は、レガシー移行と自社管理サーバーのモダナイゼーション、Kubernetes運用、コンプライアンスを意識したdeliveryを、エンジニアリングチームの速度を落とさず支える再現性のある基盤を作ることでした。SOC 2コントロールの要件は、集中型ログ、ガバナンスされたidentity、一貫したtagging、監査可能なインフラ変更、運用ツールへの追跡可能なアクセスなど、設計の初期段階から考慮されました。

ステークホルダーインタビュー

「このプロジェクトが難しかった理由は、レガシーIT環境に信頼できるドキュメントが十分になかったことです。移行計画を設計する前に、サーバーを直接調査し、OSやpackage情報を収集し、稼働中のソフトウェアに本当に必要なサービスを理解する必要がありました。」

— Duy Duong, Senior DevOps at HDWEBSOFT

Discovery workは、diagramやdeployment noteを読むだけでは終わりませんでした。チームはレガシーLinuxサーバーを調査し、インストール済みpackage inventoryを収集し、稼働中のserviceを確認し、インフラコンポーネントとアプリケーションの挙動の依存関係をマッピングしました。各packageとserviceについて、production workloadに必要か、運用上のdependencyを支えているか、または不要なmaintenanceやsecurity riskを生んでいるかを慎重に評価しました。

この調査により、不明瞭だった自社管理環境を、engineering、security、operationsの各チームがレビューできるmigration planへ変換できました。また、ドキュメント化されていない前提を新しいクラウド基盤へ持ち込むリスクも低減しました。

主な機能

セキュアなハイブリッドクラウド基盤

プラットフォームでは、AWS Organizationsを使って、management、shared platform services、development、production、centralized log storageを分離しました。この構造により、account boundaryを明確にしながら、環境ごとの異なる運用ニーズにも対応できました。

Amazon EKSクラスターは、development、production、shared platform servicesを支えました。Development workloadではコストを意識したcompute strategyを使い、productionではKarpenter-based autoscalingと安定したon-demand capacityを採用しました。Shared servicesは、集中型ツールのplatform hubとして機能しました。

Networkingは、AWSとon-premises環境の間にガバナンスされた接続を作ることを中心に設計されました。VPC networking、peering、Direct Connect、NAT gateways、flow logs、security baselinesを利用し、AWSとdatacenter nodesのhybrid workloadsを支えました。

Identity、Access、Secrets Management

Oktaは、engineeringとplatform tools全体のcentral identity providerとして機能しました。AWS IAM Identity Center、GitHub、Grafana、Datadog、Vault、Rancher、Flux UI、Jenkins、endpoint security toolingへのアクセスをfederateしました。

HashiCorp Vaultは、engineer、CI/CD pipelines、Kubernetes workloads向けの集中型secrets managementを提供しました。Vaultはshared-services EKS platform上でhigh-availability modeで稼働し、External Secrets Operatorが承認済みsecretsをapplication namespacesへ同期しました。

また、IAM Roles for Service Accountsを使い、Kubernetes workloadsに対して細かなAWS権限を付与しました。これにより広範なcredentialの利用を減らし、workload accessを監査しやすくしました。

GitOps Application Delivery

FluxCDはGitからのcontinuous reconciliationを担いました。Platformではlayered Kustomization dependenciesを使い、infrastructure、secrets、applications、observability、security componentsを管理された順序でrolloutできるようにしました。

Flux Image Toolkitは、一部serviceのimage tag updateを自動化しました。これにより手動release stepを減らしつつ、deployment behaviorをreview済みsource control changesと結びつけることができました。

Core platform servicesには、ingress、DNS automation、certificate management、autoscaling、WebRTC TURN support、observability、multi-cluster managementが含まれます。これらにより、application teamはcodeからruntimeまで一貫した経路を利用できました。

CI/CDと開発者体験

GitHub Actionsは、shared-services EKS platform上のself-hosted runnersを使用しました。Runner capacityは需要に応じてscaleでき、cost-aware executionのためにspot-oriented capacityも利用できました。

OpenTofu workflowsは、infrastructure stackごとのplanとapply operationを支援しました。Pull request plan comments、scheduled drift detection、Vault-backed pipeline secretsにより、インフラ変更はより見える化され、意図的に管理されました。

Jenkinsはcentralized build orchestrationを提供し、Nexusはartifact storageを担いました。これにより、modern cloud-native deliveryと既存のbuild processの両方を、モダナイゼーション期間中に支えることができました。

ObservabilityとSecurity Operations

Observability stackはGrafana、Loki、Alloy、Datadog、alerting workflowsを組み合わせました。これにより、engineerはcloud、Kubernetes、hybrid infrastructure layersをより明確に把握できるようになりました。

CrowdStrike Falcon endpoint protectionはEKS clusters全体に導入され、AWS GuardDutyはcloud側のthreat detectionを補完しました。これらのcontrolにより、顧客はSOC 2コンプライアンス要件を満たしながらsecurity postureを強化できました。

技術的な課題

複数のAutomation Layerの調整

Platformには、infrastructure as code、GitOps、configuration management、CI/CD、secrets management、security automationが含まれていました。これらのlayerは、複数repositoryをまたいで連携する必要があり、hidden dependencyや不明確なownershipを作らないことが重要でした。

複数環境のGovernance

Development、production、shared services、centralized logging、management accountsはそれぞれ異なるニーズを持っていました。課題は、access、tagging、network controls、logging、deployment rulesを一貫させながら、engineering teamにとって硬直しすぎないplatformを作ることでした。

Hybrid Cloud Operationsの管理

モダナイゼーションは、AWSとon-premises datacenter workloadsの両方を対象にしていました。EKS、Proxmox、Rancher-managed clusters、legacy operational patternsを支えるためには、cloud networking、identity、deployment、monitoringを慎重に統合する必要がありました。

DocumentationとInventory Driftの削減

Legacy systemsでは、ドキュメントと実際に稼働しているものの間にdriftが生じやすくなります。顧客は、Git-backed definitions、automated checks、repeatable provisioningによって、platformが変化しても理解可能な状態を維持する必要がありました。

Cost、Reliability、Stabilityのバランス

チームはproduction reliabilityを弱めずにcompute costを最適化する必要がありました。Spot-oriented workloads、on-demand production capacity、autoscaling rules、operational safeguardsを組み合わせた実践的なcapacity strategyが求められました。

変化が速い環境でのSOC 2対応

Platformは、チームが素早くshipできる状態を保ちながら、SOC 2 compliance requirementsを満たす必要がありました。Infrastructure changes、access flows、secrets usage、operational eventsは追跡可能で、ガバナンスされていなければなりませんでした。また、change history、access control records、centralized logs、drift detection outputsなど、auditのための一貫したevidence pointsも必要でした。

ソリューション

責任範囲の明確化

HDWEBSOFTは、infrastructure、secrets、workloads、observability、security layersにわたってplatform responsibilitiesを分離しました。Documented integration contractsにより、各delivery flowのどの部分をどのsystemが担うのかをチームが理解しやすくしました。

Modular Infrastructure as Code

OpenTofu stacksは、isolated state boundariesとautomated CI gatesを中心に構成されました。Pull request plan commentsはreviewerがapproval前にinfrastructure changesを理解する助けとなり、scheduled drift detectionはdeclared stateとactual infrastructureの差分を示しました。

Layered GitOps Reconciliation

FluxCDは、platform layers間のexplicit dependenciesを持つ形で構成されました。これによりrollout riskを減らし、changesをGit経由でreview、apply、revert、traceできるためrecoveryも容易になりました。

Unified Identity and Access Governance

Okta SSO federationにより、engineersとoperatorsはcloudおよびplatform tools acrossでcentralized access modelを利用できました。AWS IAM Identity Center、Vault、GitHub、Grafana、Datadog、Rancher、Jenkinsなどのsystemsは、より一貫したidentity patternに従うことができました。

Cost-Aware Kubernetes Platform Design

Karpenterは、workload needsに応じてcompute capacityを調整する役割を担いました。Development workloadsはcost-aware capacityを使い、productionはreliability requirementsに合わせて維持されました。

Vault-Backed CI/CD Pipelines

CI/CD workflowsでは、sensitive pipeline operationsにVault-backed authenticationを使用しました。これにより、build systemsへ広範で長期間有効なsecretsを露出せずに、より安全なinfrastructure deliveryを支援しました。

ビジネス成果

より安全で速いDelivery

Pull requestでreviewされたOpenTofu plans、GitOps reconciliation、automated drift detectionにより、infrastructure changesはより意図的で監査可能になりました。EngineersはGitからenvironmentを再現し、source controlを通じてrollbackし、より明確なchange historyからissueを診断できるようになりました。

より強いSecurityとSOC 2 Compliance

Centralized SSO、governed AWS access、Vault-based secrets management、endpoint protection、centralized logging、security monitoring、Git-backed infrastructure recordsにより、platformは日々のengineering workを支えながらSOC 2要件を満たせるようになりました。

Reliabilityを犠牲にしないCost Control

Karpenterとenvironment-specific capacity strategiesにより、顧客はcompute usageを最適化できました。Development workloadsはcost-aware infrastructureを利用し、production workloadsはコールセンター運用に必要なstabilityを維持しました。

ObservabilityとIncident Responseの改善

Grafana、Loki、Alloy、Datadog、GuardDuty、endpoint security alertsにより、チームはcloudとhybrid infrastructure全体をより強く可視化できました。これにより、platform issuesの検知、調査、対応能力が向上しました。

Modernized Platform Foundation

このプロジェクトにより、legacy infrastructure migration、self-managed server modernization、cloud operations、将来のDevOps automationに向けたより強い基盤が作られました。断片的なoperational processesに依存する代わりに、顧客はsecure call center deliveryのためのよりgoverned platform modelを得ることができました。

結論

このDevOps modernization projectは、米国のコールセンター技術企業がレガシーで自社管理されたインフラから、セキュアなhybrid cloud platformへ移行する支援を行いました。AWS、Kubernetes、GitOps、centralized identity、secrets management、observability、security controls、compliance-oriented platform governanceを組み合わせることで、HDWEBSOFTはより速く、より監査しやすく、SOC 2要件に沿ったdelivery modelを支援しました。

貴社がlegacy infrastructureをmodernizeしている、またはaudit-ready deliveryに向けてセキュアなcloud platformを準備している場合は、HDWEBSOFTのDevOpsサービスをご覧いただくか、お問い合わせから適切なplatform roadmapについてご相談ください。