re:Invent2025 コンテナ系アップデート振り返り(+CloudWatchログのアップデート紹介)

Transcript

1. © 2025 Classmethod, Inc. 2025/12/9 AWS re:Inventふりかえり勉強会 re:Growth東京 クラスメソッド株式会社 枡川健太郎

   re:Invent2025 コンテナ系アップデート振り返り (+CloudWatchログのアップデート紹介)

2. © 2025 Classmethod, Inc. ⾃⼰紹介 2 • 部署 ◦ クラウド事業本部コンサルティング部

   • 名前 ◦ 枡川 健太郎 • 興味のあるサービス ◦ App Runner/ECS/EKS ◦ CloudWatch • re:Inventで⼀番気合を⼊れているイベント ◦ 5K Run

3. © 2025 Classmethod, Inc. アジェンダ 3 • re:Invent 2025周辺コンテナ系アップデートまとめ •

   ピックアップ紹介 ◦ ECS Express Modeについて ◦ EKS Capabilitiesについて • re:Invent 2025参加を経た各コンテナサービスの印象 • おまけ(CloudWatchログのアップデートについて)

4. © 2025 Classmethod, Inc. re:Invent 2025周辺コンテナ系アップデートまとめ

5. © 2025 Classmethod, Inc. re:Invent 2025周辺コンテナ系アップデートまとめ 5 • 11/20 ECSマネージドインスタンスでインフラ最適化時の遅延時間を設定可能になった

   • 11/20 EKS Enhanced Container Network Observability • 11/21 ECS Express Mode • 11/21 ECS、EKS利⽤時にマネジメントコンソールからAmazon Qを利⽤した調査を⾏いやすく なった • 11/22 ECRマネージドコンテナイメージ署名 • 11/22 ECS、EKS⽤のフルマネージドMCPサーバー • 11/22 EKSプロビジョンドコントロールプレーン • 11/22 EKS Secret Store CSIドライバーアドオン追加 • 12/1 EKS Capabilities • 12/2 GuardDuty Extended Threat DetectionのECSサポート 複数のfindingsを相関分析して 攻撃シーケンスを検出 コントロールプレーンのキャパシティを指定可能に ECR側でコンテナイメージに署名可能に

6. © 2025 Classmethod, Inc. re:Invent 2025周辺コンテナ系アップデートまとめ 6 • 11/20 ECSマネージドインスタンスでインフラ最適化時の遅延時間を設定可能になった

   • 11/20 EKS Enhanced Container Network Observability • 11/21 ECS Express Mode • 11/21 ECS、EKS利⽤時にマネジメントコンソールからAmazon Qを利⽤した調査を⾏いやすく なった • 11/22 ECRマネージドコンテナイメージ署名 • 11/22 ECS、EKS⽤のフルマネージドMCPサーバー • 11/22 EKSプロビジョンドコントロールプレーン • 11/22 EKS Secret Store CSIドライバーアドオン追加 • 12/1 EKS Capabilities • 12/2 GuardDuty Extended Threat DetectionのECSサポート 本⽇はECS Express ModeとEKS Capabilitiesの話をします

7. © 2025 Classmethod, Inc. ECS Express Modeについて

8. © 2025 Classmethod, Inc. 8 ECSの設定項⽬、結構多いですよね？ (ECSサービス、タスク定義、ECSクラスター、etc...)

9. © 2025 Classmethod, Inc. ECS Express Modeが登場しました！ 9 ECSを簡単にセットアップする機能 •

   簡略された設定⽅法で下記リソース群を作成可能 ◦ ACM ◦ ALB ◦ ECSサービス、ECSタスク定義、(必要に応じて)ECSクラスター ◦ CloudWatchロググループ ◦ スケーリング設定 ◦ ロールバック⽤CloudWatchアラーム ◦ 各種セキュリティグループ

10. © 2025 Classmethod, Inc. ECS Express Modeは単なるウィザードでは無い 10 • 専⽤のAPIが存在

    • 各種リソースは実際にAWSアカウントに作成され、ほぼ全ての設定を変更可能 ◦ デプロイ周りで⼀部制約あり

11. © 2025 Classmethod, Inc. ECS Express Modeの設定画⾯ 11 最低限イメージURIさえあればコンテナアプリケーションをデプロイ可能(これで作成完了！)

12. © 2025 Classmethod, Inc. HTTPS通信可能な形でURLが払い出される 12 ALBやECSのことを意識しないで、HTTPS通信できるようになる

13. © 2025 Classmethod, Inc. ECS Express Modeは複数サービスでALBを共⽤しようとする 13 ALBのコストを節約しやすい (普通に使う分には)ホストベースルーティングのことを考えなくて良い

14. © 2025 Classmethod, Inc. ECS Express Modeから設定可能な項⽬ 14 設定項⽬ デフォルト値

    備考 イメージURI 指定必須 タスク実⾏ロール、インフラストラクチャロール 指定必須 クラスター default 存在しない場合は⾃動で作成される サービス名 指定しない場合はイメージ名から⾃動⽣成 コンテナポート 80 ヘルスチェックパス / 環境変数 コマンド タスクロール CPU/メモリ 1vCPU/2GB スケーリング時に参照するメトリクス、ターゲット値 平均CPU使⽤率、60% タスクの最⼩数、最⼤数 1-20 配置サブネット デフォルトVPCのパブリックサブネット ECSサービスに付与するセキュリティグループ 指定しない場合は⾃動⽣成 ロググループ、ログストリームのプレフィクス 指定しない場合クラスター名、イメージ名から⾃動⽣成 タグ

15. © 2025 Classmethod, Inc. ECS Express Modeから設定可能な項⽬ 15 設定項⽬ デフォルト値

    備考 イメージURI 指定必須 タスク実⾏ロール、インフラストラクチャロール 指定必須 クラスター default 存在しない場合は⾃動で作成される サービス名 指定しない場合はイメージ名から⾃動⽣成 コンテナポート 80 ヘルスチェックパス / 環境変数 コマンド タスクロール CPU/メモリ 1vCPU/2GB スケーリング時に参照するメトリクス、ターゲット値 平均CPU使⽤率、60% タスクの最⼩数、最⼤数 1-20 配置サブネット デフォルトVPCのパブリックサブネット ECSサービスに付与するセキュリティグループ 指定しない場合は⾃動⽣成 ロググループ、ログストリームのプレフィクス 指定しない場合クラスター名、イメージ名から⾃動⽣成 タグ CPUアーキテクチャは指定不可 ARM系を利⽤したい場合は注意

16. © 2025 Classmethod, Inc. ECS Expressで設定できない項⽬はどうするのか？ 16 ECSやALBなど直接リソースの設定を修正可能 • ECS

    Express Modeの設定と競合しない限りは直接設定を変更しても巻き戻されることは無い • 直接の変更が想定される主なケースは下記 ◦ CloudWatchログの保持期間変更 ◦ カスタムドメイン設定 ◦ サイドカー追加 • Express Mode側から変更するか直接リソース設定を変更するかを悩みながらの運⽤は難しい ◦ 直接修正する項⽬が多くなりそうであれば、最初から通常のECSとして運⽤することを推奨 ◦ ECS Express Modeで作成後に通常のECSとしての運⽤に切り替えることも可能

17. © 2025 Classmethod, Inc. ECS Expressでは気になった点① ALBだけパブリックサブネットに配置できない 17 サブネット選択時にパブリックサブネットとプライベートサブネットの混在は許容されない ECSのセキュリティグループを触らなければ良いものの、Security

    Hubの検知も気になる... パブリックサブネットを指定した場合 プライベートサブネットを指定した場合

18. © 2025 Classmethod, Inc. ECS Expressでは気になった点② カナリアデプロイを強要される 18 ECSビルトインカナリアデプロイ固定となり、デフォルト設定だとイメージ更新に10分程度かかる ベイクタイムは短くできるものの、ローリングアップデートにはできない

    ※ イメージサイズ400MB程度、minimumHealthyPercent = 100%で1タスクを更新する場合

19. © 2025 Classmethod, Inc. ECS Expressでは気になった点③ カスタムドメイン設定が煩雑 19 カスタムドメイン設定を⾏う際は下記対応が必要 •

    ACMを作成して、ALBリスナーに追加の証明書として設定 • ALBのリスナールールを修正 • Route53レコードの設定

20. © 2025 Classmethod, Inc. • CloudFormationリソース(AWS::ECS::ExpressGatewayService)が存在 • 構築時にどうしても⼀貫性をもたせたいなら良いかもしれないが、基本はGUIかCLIで良さそう ◦ 基盤となるリソースまで構成管理できない

    ◦ 現状直接リソース設定を変更しなければならないケースが多い ⼀応CloudFormationリソースもあるが...？ 20

21. © 2025 Classmethod, Inc. ECS Express Modeまとめ 21 • イメージURIさえあれば簡単にコンテナアプリケーションを作成可能

    • 設定できない項⽬も基盤となるリソースを直接修正すれば良い ◦ ただし、デプロイ戦略は変更不可な点に注意 • ⼀旦ECS Express Modeとして構築して、後から通常のECSとして運⽤しても良い • 全体的に体験は良いものの、カスタムドメイン設定やSecurity Hub対応が絡んで⼟台となるサー ビスのことを考えさせられると⼀気に扱い⾟くなる • デプロイ周りは多くのユースケースにとっては無駄に複雑と⾔わざるを得ない • IaCとの相性はあまり良くない • ECS Express Mode経由の設定変更で完結するユースケースが増えることに期待

22. © 2025 Classmethod, Inc. EKS Capabilitiesについて

23. © 2025 Classmethod, Inc. EKS Capabilitiesとは？ 23 • EKSプラットフォームを拡張するためのAWSマネージドで提供されるツール群 •

    下記をマネージドな形で利⽤可能 ◦ Argo CD ◦ AWS Controllers for Kubernetes(ACK) ◦ Kube Resource Orchestrator(kro) • EKS Auto ModeのKarpenterやAWS Load Balancer Controllerと同じ扱いでAWS管理領域にイン ストールされる ◦ EKSアドオンとはこの点が異なる

24. © 2025 Classmethod, Inc. EKS Capabilitiesで使えるツール① Argo CD 24 •

    GitOpsのデファクトスタンダード • 各種コンポーネントの管理不要でArgo UIも提供 ◦ 認証はIAM Identity Centerで⾏う • ⼀部機能はアップストリーム版と⽐較して制限されていることに注意が必要 ◦ Notificationsなど

25. © 2025 Classmethod, Inc. EKS Capabilitiesで使えるツール② ACK 25 • AWSリソースをKubernetes

    API経由で扱うことが可能 ◦ Argo CDと組み合わせればAWSリソース管理にもGitOpsを導⼊可能 ◦ Reconciliation Loopが効くので、Kubernetes API外の変更も⾃動修正可能 ▪ 常にドリフト検出が効くわけでは無く、⼤体10時間に⼀回程度なことに注意が必要 • GAされているサービスコントローラは全て最初から利⽤可能 ◦ コントローラはアップストリーム版と同等の機能を利⽤可能 How It Works | AWS Controllers for Kubernetes (ACK)

26. © 2025 Classmethod, Inc. EKS Capabilitiesで使えるツール③ kro 26 • ResourceGraphDefinition(RGD)と呼ばれるカスタムリソース定義を扱うことでKubernetesリ

    ソースをパッケージ化できる ◦ ACKと組み合わせれば、Kubernetesリソースと必要なAWSリソースをパッケージ化可能 • アップストリーム版と同等の機能を利⽤可能 ResourceGraphDefinition Instance | What is kro?

27. © 2025 Classmethod, Inc. EKS Capabilitiesのシナジー 27 EKS Capabilitiesはそれぞれでも利⽤できるが、組み合わせて利⽤するとより効果的 AWS

    re:Invent 2025 - Simplify your Kubernetes journey with Amazon EKS Capabilities (CNS378)

28. © 2025 Classmethod, Inc. アップストリームのKubernetes提供に留まらない、EKSならではの開発体験が今後提供されていきそう 28

29. © 2025 Classmethod, Inc. EKS Capabilitiesまとめ 29 • EKSプラットフォームを拡張するためのAWSマネージドで提供されるツール群 •

    下記をマネージドな形で利⽤可能 ◦ Argo CD ◦ AWS Controllers for Kubernetes(ACK) ◦ Kube Resource Orchestrator(kro) • EKS Capabilitiesは単独で利⽤しても良いが、組み合わせて利⽤するとより効果的 • 単にアップストリームのKubernetesを低負荷で運⽤できるだけでは無く、各種コンポーネント も合わせて迅速に開発基盤を整えられるようになってきている

30. © 2025 Classmethod, Inc. re:Invent 2025参加を経た各コンテナサービスの印象

31. © 2025 Classmethod, Inc. re:Invent 2025参加を経た各コンテナサービスの印象 31 • ECS ◦

    コンテナアプリケーションをAWSで動かしたいなら、今でもECS on Fargateがファーストチョイス ◦ マネージドインスタンス登場でGPU利⽤もしやすくなった • EKS ◦ ECSよりは⼿間がかかるが、かなり楽に扱えるようになった ◦ 強みを活かせるケースで使っていきたい ▪ 専⽤チームを編成してプラットフォームエンジニアリングにがっつり取り組んでいきたい ▪ 同構成のアプリケーションを⼤量に作成したい • 名前空間によるサイロ分離を採⽤したSaaS開発 ▪ ⼤量のコンピューティングリソースを効率良く扱いたい • AI/ML系、ジョブ基盤 • App Runner ◦ 本当に話を聞かなかった... ◦ App Runnerが活きる場⾯はまだまだある印象だが、今から新規構築するならECS Express Mode推奨かも ▪ VPCを意識したくない、極めてリクエストが少ない環境、ソースコードリポジトリ連携など

32. © 2025 Classmethod, Inc. おまけ(CloudWatchログのアップデートについて)

33. © 2025 Classmethod, Inc. CloudWatchログでログ基盤を作りやすくなった (しかも追加課⾦なし) CloudWatchログに⼤幅アップデートが⼊っているので要チェック！ 33

34. © 2025 Classmethod, Inc. 多くのAWSサービスログは⾃動で検出されてまとめられる アプリケーションログなど他のログも、タグを付与することでデータソースとして認識させること が可能 AWSサービスは⾃動検出されてデータソースとしてまとめられる 34

35. © 2025 Classmethod, Inc. ログのパースや変換などがAWSマネージドで利⽤できる(LambdaやFirehose不要) データソースごとにパイプライン機能が利⽤可能 35

36. © 2025 Classmethod, Inc. コスト管理に便利！ ログ管理⽤のダッシュボードが利⽤可能 36

37. © 2025 Classmethod, Inc. Logs Insightsのクエリを毎回組み⽴てる必要が無い！ ファセットを指定した場合はインデックスも⾃動で利⽤される ファセットを利⽤したクエリレス分析 37

38. © 2025 Classmethod, Inc. 追加料⾦なしでデータソースをS3 Tablesに連携可能 Apache Iceberg互換のツールで分析できる AWSマネージドなS3 Tables連携

    38

39. © 2025 Classmethod, Inc. CloudWatchロググループのアップデートについて 39 • CloudWatchログでログ基盤を作りやすくなった (しかも追加課⾦なし) ◦

    AWSマネージドな3rdパーティーアプリケーションログの取り込み ◦ ログ種別の⾃動検出‧分類 ◦ CloudWatchマネージドなパイプライン機能 ◦ ファセットを利⽤したLogs Insightsのクエリレスな分析 ◦ AWS マネージドなS3テーブル統合 ◦ 組み込みのログ管理⽤ダッシュボード • CloudWatch Application Signals周りのアップデートと合わせてCloudWatchの勢いを感じる

40. © 2025 Classmethod, Inc.