GitLab 専用版

GitLab Dedicatedは、完全に分離されたシングルテナントのSaaSサービスです:

GitLab Dedicatedは、プラットフォーム管理のオーバーヘッドを取り除き、オペレーション効率を高め、リスクを低減し、組織のスピードと俊敏性を強化します。GitLab Dedicatedの各インスタンスはディザスタリカバリを備えた高可用性で、選択したクラウドのリージョンにデプロイされます。GitLabチームは各孤立インスタンスのメンテナンスとオペレーションを完全に管理するため、お客様は最も複雑なコンプライアンス基準を満たしながら、最新の製品改良にアクセスすることができます。

複雑な規制、コンプライアンス、データレジデンシー要件がある、規制の厳しい業界の企業や組織に選ばれているサービスです。

利用可能な機能

データレジデンシー

GitLab Dedicatedでは、データを保存するクラウドリージョンを選択することができます。オンボーディング時に、Dedicatedインスタンスをデプロイするクラウドリージョンを選択してください。一部のAWSリージョンでは機能が制限されているため、これらのリージョンに本番インスタンスをデプロイすることはできません。サポートされていないリージョンの一覧は以下をご覧ください。

可用性とスケーラビリティ

GitLab Dedicatedは、高可用性を有効にしたGitLabCloud Native Hybridリファレンスアーキテクチャを活用しています。オンボーディングの際、GitLabはユーザー数に基づいて最も近いリファレンスアーキテクチャのサイズに合わせます。現在のサービスレベル目標についてはこちらをご覧ください。

ディザスタリカバリ

GitLab Dedicatedへのオンボーディング時に、データを保存するセカンダリAWSリージョンを提供することができます。このリージョンは災害時にGitLab Dedicatedインスタンスを復旧するために使用されます。すべてのGitLab Dedicatedデータストア(データベースとGitリポジトリを含む)の定期的なバックアップが取られ、定期的にテストされ、ご希望のセカンダリーリージョンに保存されます。GitLab Dedicatedは、より高い冗長性のために、これらのバックアップのコピーを選択した別のクラウド領域に保存する機能も提供します。

詳細については、GitLab Dedicatedのリカバリプラン、RPOとRTO目標についてをお読みください。

セキュリティ

認証と作成者

GitLab DedicatedはインスタンスレベルのSAML OmniAuth機能をサポートしています。GitLab Dedicatedインスタンスはサービスプロバイダとして機能し、GitLabがIdPと通信するために必要な設定を行う必要があります。詳細については、インスタンスにSAMLを設定する方法をご覧ください。

セキュアなネットワーキング

GitLab DedicatedはデフォルトでIP allowlistsをサポートした公開接続を提供します。オプションでGitLab DedicatedインスタンスにアクセスできるIPアドレスのリストを指定することができます。その後、許可リストにないIPがインスタンスにアクセスしようとすると、接続が拒否されます。

AWS PrivateLink経由の非公開接続もオプションとして提供されています。インバウンドと アウトバウンドの両方のPrivateLinkがサポートされています。公開されていない証明書を使ってアウトバウンドのPrivateLinkで内部リソースに接続する場合、GitLabによって信頼されている証明書のリストを指定することができます。これらの証明書はインスタンス設定を更新する際に提供することができます。

暗号化

データは、最新の暗号化標準を使用して、保存時および転送時に暗号化されます。

独自キーの暗号化

オンボーディング中に、GitLabがあなたの専用インスタンスのデータを暗号化するために使用する、あなた自身のAWSアカウントに保存されたAWS KMS暗号化キーを指定することができます。これにより、GitLabに保存するデータを完全にコントロールすることができます。

コンプライアンス

認証

GitLab Dedicatedは以下のコンプライアンス認証を提供しています:

  • SOC 2 Type 1 レポート(セキュリティと機密性の基準)
  • ISO/IE 27001:2013
  • ISO/IEC 27017:2015
  • ISO/IEC 27018:2019

分離

シングルテナントのSaaSサービスとして、GitLab DedicatedはGitLab環境のインフラレベルの分離を提供します。お客様の環境は、他のテナントとは別のAWSアカウントに置かれます。このAWSアカウントには、GitLabアプリケーションをホストするために必要な基盤インフラがすべて含まれており、お客様のデータはアカウントの境界内に留まります。GitLabが基盤となるインフラを管理している間、あなたはアプリケーションを管理します。また、テナント環境はGitLab.comから完全に隔離されています。

アクセスコントロール

GitLab Dedicatedは最小特権の原則を遵守し、お客様のテナント環境へのアクセスを制御します。テナントのAWSアカウントは、GitLab DedicatedのトップレベルのAWS親組織の下に存在します。AWS組織へのアクセスは、選ばれたGitLabチームメンバーに制限されています。AWS組織内のすべてのユーザーアカウントは、ここに概説されているGitLabアクセス管理ポリシー全体に従います。顧客テナント環境への直接アクセスは、単一のハブアカウントに制限されています。GitLab Dedicated Control Planeは、環境を管理する際にテナントアカウントに対して自動アクションを実行するためにHubアカウントを使用します。同様に、GitLab Dedicatedのエンジニアは顧客のテナント環境に直接アクセスすることはできません。重大性の高いイシューにアドレスするためにテナント環境のリソースにアクセスする必要があるブレイクグラスの状況では、GitLabエンジニアはそれらのリソースを管理するためにHubアカウントを経由する必要があります。これは承認プロセスによって行われ、権限が付与された後、エンジニアは一時的に IAM ロールを引き受け、ハブアカウントを通じてテナントリソースにアクセスします。ハブアカウントとテナントアカウント内のすべてのアクションはCloudTrailに記録されます。

テナントアカウント内では、GitLabはAWS GuardDutyの侵入検知とマルウェアスキャン機能を活用しています。インフラストラクチャのログはGitLabセキュリティインシデント対応チームによって監視され、異常なイベントを検出します。

監査と観測可能性

GitLab Dedicatedは、アプリケーションによって生成された監査ログとシステムログへのアクセスを提供します。

メンテナンス

GitLabは週1回のメンテナンスウィンドウを活用し、インスタンスを最新の状態に保ち、セキュリティのイシューを修正し、環境全体の信頼性とパフォーマンスを確保します。

アップグレード

GitLabは毎月、GitLabの最新リリースから1リリース遅れて、ご希望のメンテナンスウィンドウの間に最新のセキュリティリリースでインスタンスのアップグレードを行います。例えば、GitLabの最新バージョンが15.8の場合、GitLab Dedicatedは15.7で動作します。

予定外のメンテナンス

GitLabは、インスタンスのセキュリティ、可用性、または信頼性に影響を及ぼす重大性の高いイシューに対処するため、予定外のメンテナンスを実施することがあります。

アプリケーション

GitLab Dedicatedは、以下のサポートされていない機能を除き、セルフマネージドUltimate機能セットが付属しています。

GitLab Runner

GitLab Dedicatedでは、所有または管理するインフラ上にGitLab Runnerアプリケーションをインストールする必要があります。AWS上でGitLab Runnerをホストする場合、Runner VPCからAWS Private Link経由でGitLab Dedicatedエンドポイントへのセキュアな接続を設定することで、Runnerフリートからのリクエストが公開インターネットを経由することを避けることができます。ネットワークオプションの詳細についてはこちらをご覧ください。

マイグレーション

GitLab Dedicatedへのマイグレーションは、以下のオプションからお選びいただけます:

  1. 他のGitLabインスタンスからマイグレーションする場合、次のいずれかを選択できます:
  2. サードパーティのサービスからマイグレーションする場合は、GitLabインポートをご利用ください。
  3. 既存のGitLabインスタンスからのマイグレーションだけでなく、サードパーティのサービスからのマイグレーションもサポートしているCongregate Automation Toolを使って、完全に自動化されたマイグレーションを実行することができます。

利用できない機能

GitLabアプリケーションの機能

以下のGitLabアプリケーション機能は使用できません:

  • LDAP、スマートカード、Kerberos認証
  • 複数のログインプロバイダー
  • 詳細検索
  • GitLab Pages
  • FortiAuthenticator または FortiToken 2FA
  • 返信メール
  • サービスデスク
  • GitLab が管理する Runner (ホストされた Runner)
  • GitLab AI機能(詳細はディレクションページをご参照ください。)
  • 機能フラグを含むGitLabユーザーインターフェースの外で設定する必要がある利用可能な機能以外の機能

以下の機能はサポートされません:

  • Mattermost
  • サーバーサイドのGitフック。GitLab Dedicated は SaaS サービスであり、基盤となるインフラへのアクセスは GitLab Inc.サーバーサイドの設定の性質上、Dedicated サービス上で任意のコードを実行することによるセキュリティ上の懸念や、サービスの SLA に影響を与える可能性があります。プッシュルールや Webhookをご利用ください。

GitLab Dedicatedサービスの特徴

以下のオペレーション機能はご利用いただけません:

  • カスタムドメイン
  • デフォルトで含まれるセカンダリサイト以外の複数のGeoセカンダリ(Geoレプリカ
  • セルフサービスによる購入と設定
  • 複数のログインプロバイダー
  • GCPやAzureなど、AWS以外のクラウドプロバイダーへのデプロイをサポート
  • Switchboardを使用したObservabilityダッシュボード
  • プリプロダクション・インスタンス

AWSリージョンはサポートされていません

以下のAWSリージョンはご利用いただけません:

  • ジャカルタ (ap-southeast-3)
  • バーレーン (me-south-1)
  • 香港 (ap-east-1)
  • ケープタウン (af-south-1)
  • ミラノ (eu-south-1)
  • パリ (eu-west-3)
  • チューリッヒ (eu-central-2)
  • GovCloud (US-East) (us-gov-east-1)
  • GovCloud (US-West) (us-gov-west-1)

予定されている機能

GitLab Dedicatedの改善予定については、カテゴリの方向性ページをご覧ください。

GitLab Dedicatedに興味がありますか?

GitLab Dedicatedの詳細を知り、エキスパートにご相談ください。