Google Cloud Updates 2021/10/01 - 2021/10/15

Transcript

1. Google Cloud アップデート
   2021 10/01 - 10/15
   グーグル・クラウド・ジャパン合同会社
   2021 年 10 月 29 日
   

   View Slide

2. Proprietary + Confidential
   はじめに
   本資料は以下 URL から公開情報をもとにアップデートを一部紹介しています
   https://cloud.google.com/release-notes
   

   View Slide

3. Google Cloud アップデートサマリー
   2021-10-01 ~ 2021-10-15
   3
   

   View Slide

4. Anthos Service Mesh
   [10/6] Anthos Service Mesh と Certificate Authority Service の統合が GA となりました。相互 TLS 証明書に
   署名するための認証局として Certificate Authority Service を使用できます。詳細については、 Certificate
   Authority Service を使用するように Anthos Service Mesh を構成する を参照してください
   

   View Slide

5. Anthos Service Mesh
   [10/6] asmcli は、Anthos Service Mesh の新規インストールおよびアップグレードで利用できます。 asmcli を
   使用して次のことができます。この機能は GA です
   ● Anthos Service Mesh のクラスター内コントロール プレーンをインストール
   ● マネージド Anthos Service Mesh を構成
   ● Compute Engine 仮想マシンを Anthos Service Mesh に追加
   ● 非プライベート GKE クラスターでマルチクラスター メッシュを設定
   ● GoogleCloudの外部でマルチクラスター メッシュを設定
   クラスタ内コントロール プレーンは、 asmcli を使用する次のプラットフォームでサポートされています
   単一または複数プロジェクトの GKEクラスタ
   Anthos Cluster on VMwareー / ベアメタル版 Anthos
   Anthos Cluster on AWS / Amazon EKS
   asmcli では、クラスタをフリートに登録する必要があります。 asmcli は、フリートの要件 で指定された要件を満
   たしている限り、クラスタを自動的に登録できます
   asmcli は GKE 1.22 クラスタでの自動フリート登録をサポートしていません。インストールの前に手動で登録す
   る必要があります
   

   View Slide

6. BigQuery
   [10/12] BigQuery Storage Write API が GA となりました。BigQuery Storage Write API は、高スループット
   でデータを BigQuery に取り込むための gRPC ベースのストリーミング API であり、ストリーミング取り込み と
   バッチ読み込みを 1 つの API に組み合わせたものです
   [10/1] BigQuery の価格は次のように変更されました
   1. BigQuery Storage Read API は、スキャンされたバイトの単一のリージョン SKU から複数リージョン
   SKU に移動しました。すべての BigQuery Storage Read API ユーザーは、月に最大 300 TB のデー
   タを無料で読み取ることができるようになりました。詳細については、 BigQuery データ抽出の料金 を
   ご覧ください
   2. BigQuery は、ネットワーク出力に対して BigQuery Storage Read API ユーザーに課金するようにな り
   ました。詳細については、 Google Cloud 内の BigQuery Storage Read API ネットワーク出力 を参照
   してください。
   [10/4] BigQuery Migration Service が Preview です。次の機能が含まれています
   ● インタラクティブ SQL トランスレータ
   ● バッチ SQL トランスレータ
   

   View Slide

7. Cloud Bigtable
   [10/4] Cloud Bigtable は、アプリプロファイル、メソッド、およびテーブルメトリックごとに CPU 使用率を提供
   し、クラスタの CPU 使用率 をより詳細に観察できるようにします。この機能は GA です
   

   View Slide

8. Cloud Data Loss Prevention
   [10/12] BigQuery のデータ プロファイラは Preview で利用できます。詳細については BigQuery データの
   データ プロファイル をご覧ください
   

   View Slide

9. Cloud Logging
   [10/6] Ops Agent バージョン 2.4.0 以降、Ops Agent は systemd-journald サービスからのログの収集を
   サポートするようになりました。 systemd_journald レシーバーの構成については、 Ops Agent の構成：レ
   シーバーのログ記録 を参照してください
   [10/6] バージョン 2.4.0 以降、Ops Agent から Apache httpd ログを収集できるようになりました。詳細につ
   いては、 サードパーティ アプリケーションからのログの収集： Apachehttpd を参照してください
   

   View Slide

10. Cloud Monitoring
    [10/4] GKE バージョン 1.20.8-gke.2100 以降では、フルマネージドの指標収集パイプラインが　 Preview で
    利用可能です。GKE ワークロードによって公開される Prometheus スタイルの指標を取得して Cloud
    Monitoring に送信します
    Stackdriver Prometheus サイドカーと比較して、この新しいパイプラインはセットアップが簡単で、コストを 制
    御するためのフィルタリングが可能で、より大きなクラスタをサポートします｡ また Autopilot と水平ポッド自
    動スケーリングをサポートし、より良い価格設定を提供します
    詳細は GKE ワークロード指標の使用 を参照ください
    

    View Slide

11. Cloud SQL
    [10/4] Cloud SQL は Cloud SQL インスタンスの VPC ネットワークから IP CIDR 範囲を指定する機能をサ
    ポートするようになり、 IP アドレススペースをより適切に管理できるようになりました。詳細については 割り当
    てられた IP アドレスの範囲 を参照してください
    

    View Slide

12. Cloud Spanner
    [10/12] PostgreSQL Interface が Preview で利用可能となりました。 PostgreSQL エコシステムから
    Spanner の機能にアクセスできるようにします。このリリースでは、コアデータ型、関数、演算子など、
    PostgreSQL SQL ダイアレクトのサブセットがサポートされています。アプリケーションは、 JDBC、Java、
    Go、および Python 用に更新された Spanner ドライバーを使用して接続できます。コミュニティツールは、最
    初は psql から始めて、PostgreSQL ワイヤ プロトコルを実装するサイドカー プロキシである PGAdapter を
    使用して接続できます。 こちら のフォームから申請いただくことでご利用いただけます
    [10/13] アプリケーション コードに リクエストタグとトランザクションタグ を割り当てて、イントロスペクション統
    計をアプリケーション コードに関連付けることで、クエリパフォーマンス、トランザクション レイテンシ、ロック
    の競合を簡単にトラブル シューティングできるようになりました
    

    View Slide

13. Cloud Spanner
    [10/6] クエリプランの予測可能性を確保するために、 使用するクエリ オプティマイザの統計パッケージ を指
    定できるようになりました
    可視化したクエリ オプティマイザ
    

    View Slide

14. Cloud Storage
    [10/13] Cloud EKM を使用して Cloud Storage データ を暗号化できるようになりました
    ● Cloud EKM は、他の顧客管理の暗号化キーと同じ方法で Cloud Storage データを暗号化 します
    鍵管理モデルにおける Cloud KMS の位置づけを示す図
    

    View Slide

15. Cloud Storage
    [10/5] ターボ レプリケーション は、新しく書き込まれたオブジェクトのリージョン間レプリケーションを 15 分以
    内に提供するように設計されたプレミアム機能です。この機能は Preview です
    

    View Slide

16. Cloud VPN
    [10/5] Classic VPN の部分的な非推奨アップデート
    2022 年 3 月 31 日以降、特にサポートがない限り、動的ルーティング構成を使用する新しい Classic VPN ト
    ンネルを作成できなくなります
    2022 年 3 月 31 日以降も、次のクラシック VPN 構成を作成できます
    ● 動的ルーティングを使用し、 Compute Engine VM 内で実行されている VPN ゲートウェイ ソフトウェア
    に接続する Classic VPN トンネル
    ● 静的（ルートベースまたはポリシーベース）ルーティングを使用する Classic VPN トンネル
    この通知は、Classic VPN での静的ルーティング構成の非推奨に関する以前の通知に代わるものです
    Google は非推奨の日に既存の接続を事前に無効にすることはありませんが、非推奨の Classic VPN 構
    成は、今後のメンテナンス アップデートのみを受け取ります
    詳細については、より信頼性の高い HA VPN への移行に役立つビデオチュートリアルとドキュメントについ
    て、 Classic VPN の部分的な非推奨 を参照してください
    

    View Slide

17. Compute Engine
    [10/13] Spot VM が Preview で利用可能になりました。 Spot VM は、プリエンプティブ VM インスタンスの最
    新バージョンです。Spot VM を使用すると、標準 VM の価格より 60〜91％ 割引されます。Spot VM の料金
    は、30 日ごとに 1 回まで変更される可能性があります。プリエンプティブ VM と同様に、Spot VM はすべて
    のマシンタイプ、リージョン、およびゾーンで使用できます
    プリエンプティブル VM は、新規および既存の VM で引き続きサポートされ、プリエンプティブル VM は Spot
    VM と同じ価格設定モデルを使用するようになりました。ただし、 Spot VM は、プリエンプティブ VM ではサ
    ポートされていない新機能を提供します。たとえば、プリエンプティブ VM は一度に最大 24 時間しか実行で
    きませんが、Spot VM には最大ランタイムがありません。
    Spot VM と プリエンプティブ VM の詳細をご覧ください。
    

    View Slide

18. Document AI
    [10/15] Contract DocAI がリリースされました。 Contract DocAI は、最も重要で複雑なドキュメントである契
    約書のために開発されました。この機能によって契約書の非構造化テキストからインサイトを抽出できるた
    め、契約のライフサイクルを加速して、契約処理にかかる費用を削減できます。この機能は Preview です
    

    View Slide

19. Google Cloud VMware Engine
    [10/13] すべての新しい VMware Engine プライベート クラウドは、VMware vSphere バージョン 7.0 Update
    2 および NSX-T バージョン 3.1.2 で展開されるようになりました。このアップグレードは、 2021 年 10 月から 11
    月の間に実行される予定です。 vSphere バージョン 7.0 Update 2 および NSX-T バージョン 3.1.2 にアップグ
    レードされます
    このアップグレードの詳細については、 サービスのお知らせ を参照してください
    [10/13] vSAN データ暗号化では、すべての新しいプライベート クラウドに対して Cloud Key Management
    Service によって生成されたキーが使用されるようになりました
    この機能の詳細については、 vSAN 暗号化 に ついてを参照してください
    

    View Slide

20. Google Kubernetes Engine
    [10/12] GKE バージョン 1.19 以降では、gke-metrics-agent の CPU とメモリの使用量が最適化されていま
    す。この変更により、メモリ不足（ OOM）のクラッシュが大幅に減少します。 GKE バージョン 1.18 以前を使用
    している場合は、クラスターをバージョン 1.19 以降にアップグレードする必要があります
    [10/12] GKE の Spot VM が Preview で利用できるようになりました
    [10/14] Calico ネットワーク ポリシーが有効な GKE クラスタの StatefulSet ポッドでは、次の GKE バージョン
    の終了状態で接続の問題が発生する可能性があります
    ● 1.18
    ● 1.19
    ● 1.20 〜 1.20.11-gke.1299
    ● 1.21 〜 1.21.4-gke.1499
    この問題を軽減するには、 GKE コントロールプレーンを GKE バージョン 1.21.4-gke.1500 以降にアップグ
    レードします。詳細については、既知の問題 および Calicoissue＃4710 を参照してください
    

    View Slide

21. Google Kubernetes Engine
    [10/15] 永続ディスク CSI ドライバーを使用する GKE Windows クラスターでは、次のバージョンのいずれか
    にアップグレードすると、既存の PersistentVolumeClaim または PersistentVolume リソースでボリューム マ
    ウントの問題が発生する可能性があります。 Rapid チャネルで Windows ノードプールを次のバージョンに
    アップグレードしないでください
    1.22.1-gke.1602 以降
    この修正は、将来の GKE 1.22 リリースで利用可能になる予定です
    

    View Slide

22. Identity and Access Management
    [10/13] SAML 2.0 と互換性のある任意の ID プロバイダで Workload Identity 連携 を使用できるようになり
    ました。この機能は Preview です。
    

    View Slide

23. Migrate for Compute Engine
    [10/3] Migrate for Computer Engine は、移行された VM への複数のネットワーク インターフェイスの構成
    をサポートするようになりました
    

    View Slide

24. Security Command Center
    [10/13] Security Command Center Premium の組み込みサービスである Event Threat Detection は、脅
    威の発見の高度な分析を実行できる Chronicle との統合を開始しました。
    この統合により、Google Cloud サービスである Chronicle に調査結果をシームレスに送信できます。
    Chronicle は、脅威の調査や、関連するアクションやイベントを統一されたタイムラインでピボット処理できる
    Google Cloud サービスです。Chronicle は、イベント脅威検出の結果を充実させ、関心のある指標を特定
    して調査を簡素化するのに役立ちます
    Chronicle の詳細については、 Chronicle の概要 を参照してください。 Event Threat Detection の調査結果
    を Chronicle に送信する手順については、 Chronicle で調査結果を調べる を参照してください
    

    View Slide

25. Security Command Center
    [10/5] Security Command Center の組み込みサービスである Security Health Analytics は、新しい検出器をリリー
    スしました。この機能は GA です
    次の検出器は、Security Command Center の プレミアム階層 でのみ使用でき、Google Kubernetes Engine クラス
    タの脆弱性を検出し、 CIS Google Kubernetes Engine（GKE）ベンチマーク v 1.0.0 をサポートする検出器の数を拡張
    します
    ● ALPHA_CLUSTER_ENABLED：アルファ クラスタ機能がGKE クラスタで有効になっています
    ● BINARY_AUTHORIZATION_DISABLED：バイナリ認証はGKE クラスタで無効になっています
    ● CLUSTER_SECRET_SENCRYPTION_DISABLED：アプリケーション層のシークレット暗号化が GKE クラスタで無
    効になっています
    ● CLUSTER_SHIELD_EDNODES_DISABLED：シールドされたGKE ノードがクラスタに対して有効になっていません
    ● INTEGRITY_MONITORING_DISABLED：GKE クラスタの整合性監視が無効になっています
    ● INTRANODE_VISIBILITY_DISABLED：GKE クラスタのノード内可視性が無効になっています
    ● NODEPOOL_SECURE_BOOT_DISABLED：GKE クラスタのセキュアブートが無効になっています
    ● RELEASE_CHANNEL_DISABLED：GKE クラスタはリリースチャネルにサブスクライブされていません
    詳細については、コンテナの脆弱性の調査結果 を参照してください。脆弱性を修正する方法については、 Security
    Health Analytics の調査結果の修正 を参照してください
    

    View Slide

26. Vertex AI
    [10/5] Vertex Feature Store が GA となりました
    

    View Slide

27. Virtual Private Cloud
    [10/4] Private Service Connect エンドポイント を使用して別の VPC ネットワーク内のサービスにアクセスしてい
    て、サービス プロデューサによって設定された制限によって許可されている数を超えるエンドポイントを作成した
    場合、制限に達した後に作成されたエンドポイントのステータスは Pending になります。 これで、制限を下回るた
    めにエンドポイントを削除すると、それらのエンドポイントのステータスが正しく Accepted に変わります
    

    View Slide

28. Virtual Private Cloud
    [10/12] オンプレミス ホストから、公開されたサービスへのアクセス に使用される Private Service Connect
    エンドポイントへの接続は、一部の既存の Cloud VPN 接続では確立されない場合があります。回避策とし
    て、VPN ゲートウェイ と VPN トンネル を再作成します
    [10/12] Private Service Connect を使用して、内部 HTTP（S）ロードバランサーのバックエンドでホストされ
    ている サービスを公開 できるようになりました
    [10/12] Private Service Connect エンドポイントを使用して 公開されたサービスにアクセス できるようにな
    りました。これは、Cloud VPN を使用して VPC ネットワーク に接続されている オンプレミス ホスト から利
    用できます。この機能は Preview です
    

    View Slide

29. Thank you
    

    View Slide