GCP Updates 2020/12/01-12/15

Transcript

1. アップデート グーグル・クラウド・ジャパン合同会社 2020 年 12 月 22 日

2. Proprietary + Confidential はじめに 本資料は以下 URL から公開情報をもとにアップデートを一部紹介しています https://cloud.google.com/release-notes

3. GCP アップデート サマリー 2020-12-01 ~ 2020-12-15 3

4. Anthos [12/10] Anthos 1.6.0 が利用可能になりました。 更新されたコンポーネント： Anthos GKE On-Prem リリースノート

   Anthos Config Management リリースノート

5. Anthos Config Management [12/10] Anthos Policy Controller には、CIS Kubernetes Benchmark

   1.5.1 コントロールの多くをカバーす る追加のポリシーが含まれるようになりました。詳細については、 制約テンプレート ライブラリ を参照してく ださい [12/10] Anthos Policy Controllerが 更新され、OPA ゲートキーパーの最新ビルド（ハッシュ： acd32ec7）が 含まれるようになりました [12/10] このバージョンでは、 Git サブモジュールのサポートが修正されています

6. Anthos GKE On-Prem [12/10] ユーザーは、gkeadm create config コマンドの実行中に生成される gkeadm （credential.yaml）で資格情報構成ファイルを使用して、

   admin-ws-config.yaml から資格情報を削除 することでセキュリティを向上させることができます [12/10] Node Problem Detector と Node Auto Repair は、Kubelet-API サーバー接続の喪失（ OSS の問 題）や長期にわたる DiskPressure 状態など、追加の障害を自動的に検出して修復します [12/10] Preview：新しいコマンド gkectl repair admin-master を使用して、管理者マスター VM の 障害を修復します [12/10] Preview：Thales Luna Network HSM デバイスを使用したユーザー クラスターのシークレット暗号 化 [12/10] Preview：Usage Metring、Cloud Audit Logs、Google Cloud Operations スイートのサービス アカ ウントのための gkectl でのサービス アカウントキーのローテーション [12/10] Anthos Identity Service は、ユーザー クラスターを再作成することなく、 OpenID Connect（OIDC） 構成の動的な構成変更を可能にします

7. Anthos GKE On-Prem [12/10] 静的 IP の IP ブロック ファイル

   (ブロックする IP リスト)のための CIDR のサポートが追加されまし た [12/10] バンドルされた Seesaw ロードバランシングに対する Google Cloud Operations スイートのサポー ト：バンドルされた Seesaw ロードバランサーのメトリックとログが Google Cloud の Operations スイートを 介して Google Cloud にアップロードされ、優れた可観測性を提供します [12/10] Cloud Audit Logs Cloud Audit Logs のオフライン バッファー：Cloud Audit Logs に到達できず、少なくとも 4 時間のネットワー ク停止に耐えることができる場合、監査ログはディスクにバッファーされるようになりました [12/10] CSI ボリューム スナップショット CSI スナップショット コントローラーがユーザー クラスターに自動的に展開されるようになり、ユーザーは永 続ボリュームのスナップショットを作成し、これらのスナップショットから新しいボリュームをプロビジョニング することでボリュームのデータを復元できます

8. Anthos GKE On-Prem [12/10] 機能の変更： • Gkectl 診断クラスターおよびスナップショットの機能強化： ◦ gkectl

   diagnose snapshot --log-since フラグを追加しました。ユーザーはこれを使 用して、スナップショット内の相対的な期間内にコンテナとノードのログを収集できます ◦ gkectl diagnose cluster コマンドの --seed-config フラグを --config フラグに置 き換えました。ユーザーは、シード構成でこのコマンドを使用して、 VIP の問題を除外し、クラス ターのより多くのデバッグ情報を提供できます ◦ gkectl diagnose cluster に検証を追加しました • Iscsid サポートを追加しました。追加の手順は、ワーカーノードでのデフォルトの iscsi サービスの展 開の恩恵を受けます

9. Anthos on bare metal（1/3 page） [11/30] Anthos on bare metal

   が利用可能になりました。 Anthos on bare metal は、ハイパーバイザー レイ ヤー なしで、提供されたオペレーティング システムがデプロイされた物理サーバーまたは仮想サーバーで Anthos を実行するためのデプロイメント オプション です。Anthos on bare metal には、ネットワーク、ライフ サイクル管理、診断、ヘルスチェック、ロギング、および監視が組み込まれています。 Anthos on bare metal は、Cent OS 、Red Hat Enterprise Linux（RHEL）、および Ubuntu をサポートしています。これらはすべて Google によって検証されています。 Anthos on bare metal を使用すると、Anthos インフラストラクチャ 要 件に対して自動的にチェックおよび検証される既存の投資を活用して、会社の標準ハードウェア およびオペ レーティング システムイメージを使用できます。 Anthos on bare metal は、サブスクリプション または 従量課金 のいずれかで利用可能です。 Anthos on bare metal を使用すると、ハードウェア、 OS、およびネットワーク インフラストラクチャ への既存の投資を利 活用できます。Anthos on bare metal を実行するための最小システム要件は、 2 ノード合計 4 コア、32 GB RAM 、128 GB のディスク容量になり、専用のハードウェア は必要ありません。このセットアップ では、ほぼ すべてのインフラストラクチャ上のベアメタル で Anthos を実行できます。 （次ページへ続く）

10. Anthos on bare metal（2/3 page） （前ページの続き） Anthos on bare metal

    は、「Bring your own operating system」モデルを使用します。物理インスタンスまた は仮想インスタンス上で実行され、 Red Hat Enterprise Linux 8.1 / 8.2 、CentOS 8.1 / 8.2 、または Ubuntu 18.04 / 20.04 LTS をサポートします。 Anthos は、オーバーレイ ネットワークと L4 / L7 負荷分散を 提供します。 F5 や Citrix などの独自のロードバランサーと統合することもできます。ストレージの場合、既 存のインフラストラクチャとの CSI 統合 を使用して永続的なワークロードをデプロイできます。次のデプロイ メント モデルのいずれかを使用して、ベアメタルに Anthos をデプロイ できます • スタンドアロン モデルでは、すべてのクラスター を個別に管理できます。これは、エッジ ロケーション で実行する場合、またはクラスターを互いに独立して管理する場合に適しています • マルチクラスター モデルを使用すると、中央の IT チームは、管理クラスターと呼ばれる集中クラス ターからクラスターのフリートを管理できます。これは、自動化やツールを構築する場合、または SSH キーや Google Cloud サービス アカウントの詳細などの機密性の高い資格情報を共有せずにクラス ターのライフサイクルを個々のチームに委任する場合に適しています （次ページへ続く）

11. Anthos on bare metal（3/3 page） （前ページの続き） すべての Anthos 環境と同様に、ベアメタル クラスターには、Connect

    と呼ばれる Google Cloud への安全 な接続が可能です。クラスターにインストールした後、 Google Cloud Console からクラスター を一元的に表 示、構成、監視できます。 Anthos 1.6 リリース の一部であるベアメタル上の Anthos は、次の機能を提供 します • Kubernetes 1.18 • Ubuntu/RHEL/CentOS support • Standalone and multiple-cluster architecture • In-place upgrades (minor and major) • Overlay networking, Ingress (L7), integrated load balancing (L4, L2-Mode) • Manual load balancing (F5, Citrix) • Installs behind proxy support • Preflight and health checks • Node maintenance mode • Cloud Monitoring and Cloud Logging • ACM, ASM, identity, hub or connect, billing, and pay-as-you-go • NVIDIA GPU support • Scales to 500 nodes • Virtual machine management (Kubevirt) preview

12. Cloud Asset Inventory [12/3] tpu.googleapis.com/Node タイプが利用可能になりました。 tpu.googleapis.com/Node リソースタイ プ が

    Cloud Asset API にてパブリックに利用できるようになりました

13. Cloud Bigtable [12/14] Key Visualizer の診断メッセージは、 Cloud Bigtable をご利用のすべてのお客様にて表示されま す。メッセージの説明

    を確認して、診断メッセージが Cloud Bigtable のトラブル シューティングにどのように 役立つかをご確認ください High read pressure High write pressure Large rows No data scanned Key space not to scale Values per row are approximate Not all details shown in tooltip 診断メッセージの例

14. Cloud Build [12/15] ユーザーは、指定した時間にビルドを実行するための手動トリガーを作成できるようになりました。 ビルドをスケジュールする方法の詳細については、 こちらの記事 をご参照ください

15. Cloud CDN [12/14] キャッシュモード、TTL オーバーライド、カスタム レスポンスヘッダー がバックエンド バケットとバック エンド サービスでサポートされるようになりました（

    GA）。キャッシュモードを使用すると、 Cloud CDN が CSS、Java Script、フォントなどの Web アセットや、画像・動画などの静的コンテンツ を自動的にキャッシュ できるようになります。 TTL オーバーライドは、Cloud CDN がレスポンスをキャッシュする時間の微調整を サポートし、カスタム レスポンス ヘッダーは、キャッシュ ステータス レスポンスが格納される新しい {cdn_cache_status} 変数を導入します。Google Terraform プロバイダー は、これらのキャッシュ モード、 TTL オーバーライド、カスタム レスポンスヘッダーを含む最新の Cloud CDN 機能をサポートします。 Terraform で新機能を設定および使用する方法については、 compute_backend_bucke および compute_backend_serviceの ドキュメントを参照 してください

16. Cloud Composer [12/9] VPC Service Controls のサポート が一般提供になりました（ GA） [12/3]

    • v1ComposerAPI を使用して Web サーバのネットワーク アクセス制御を設定できるようになりました • Web サーバの CPU とメモリの使用状況を監視するために、新しいメトリックが追加されました ◦ CPU 使用時間 ◦ CPU 予約コア ◦ 使用メモリ量 ◦ メモリクォータ • これらのメトリックを作成および更新中に 組織ポリシーにおけるロケーション制限 に準拠するリージョン を選択したかどうかを確認するようになりました。ロケーション制限により環境の更新が失敗する場合 のエラーレポートも改善されました

17. Cloud Load Balancing [12/9] ヘルス チェックのロギング が GA になりました。デフォルトでは無効 です

18. Cloud Logging [12/8] Cloud Logging のメトリック byte_count と log_entry_count は以下の通り計算されます

    ・ユーザー定義のログ：保存されたログと除外されたログの両方を含む ・システムログ：保存されたログのみを含む（ 2020 年 12 月 11 日以降にすべてのユーザーに影響し ます） 詳細については、 システム ログベースの指標 をご覧ください [12/7] ログ エクスプローラーで、 Cloud Logging がログエントリを取り込むときに、ログエントリをリアルタイ ムでストリーミングできるようになりました。詳細については、 ストリーミングログ を参照してください

19. Cloud Monitoring [12/4] Slack 通知チャネル 11 月 20 日 より前に作成されたすべての通知チャネルは修正されました｡

    また今後､新しい通知チャネル が正しく作成されます ただし､11 月 21 日から 12 月 3 日の間に作成された通知チャネルについては、 Slack チャネルへの監視ア プリの追加 に記載の通り､手動で更新する必要があります

20. Cloud Run [12/14] Cloud Run コンテナ インスタンスは、最大 250 の 同時リクエスト

    を処理できるようになりました。 最大同時実行の設定 を参照してください。デフォルトは 80 のままです

21. Cloud Spanner [12/7] Cloud Spanner は、新しいステートメント ヒント LOCK_SCANNED_RANGES をサポートしており、ト ランザクションによってスキャンされた一連の範囲に対して排他ロックを要求できます

22. Cloud TPU [12/14] Cloud TPU が Shared VPC をサポートするようになりました Shared

    VPC を使用すると、組織は複数のプロジェクトのリソースを共通の VPC ネットワークに接続し、そ のネットワークの内部 IP を使用して安全かつ効率的に相互に通信できます。このリリースでは、共有 VPC ネ ットワークからクラウド TPU ノードに接続できます

23. Cloud Vision [12/14] OCR オンプレミスの一般提供リリース（ GA） OCR オンプレミスが承認されたお客様に GA になりました。OCR

    On-Prem を使用すると、Google 画像テ キスト認識テクノロジーをオンプレミス ソリューションに簡単に統合できます。 詳細については マーケットプレイス エントリ や 製品ドキュメント を参照してください

24. Compute Engine [12/10] Preview：キャパシティ対応の 分散シェイプ を使用して、リージョナル マネージド インスタンス グ ループ

    がゾーン間でインスタンスを分散する方法を構成できます。これにより、キャパシティが利用可能な ゾーンにインスタンスを自動的にデプロイし、オプションで 予約 の使用を優先できます [12/10] VM インスタンスをあるネットワークから別のネットワークに移行 できます。この機能は GA です [12/9] Preview：マネージド インスタンス グループの スケジュール ベースの自動スケーリング では、予想さ れる負荷の前に容量をスケジュールすることで、ワークロードの可用性を向上させることができます [12/9] GA：Cloud Asset Inventory から OS インベントリデータ にアクセスできるようになりました。詳細につ いては、OS インベントリと Cloud Asset Inventory の統合 を参照してください [12/9] GA：グループごとの指標 を使用すると、Cloud Monitoring の指標（Pub / Sub キューサイズやアプリ ケーションのカスタム指標など）に基づいて、ゾーンマネージド インスタンス グループを自動スケーリングで きます

25. Dataproc [12/15] Dataproc クラスターの停止/開始機能の Beta リリースの発表：クラスター作成後、クラスターを停止 し、後で必要になったときに再起動できます。アイドル状態のクラスターを停止することで、料金が発生する ことを回避するとともに、アイドル状態のクラスターを削除して、後で同じ構成でクラスターを作成する必要 がなくなります [12/15]

    Dataproc ワークフロー タイムアウト機能の GA リリースを発表しました。これにより、ユーザーは ジョブにタイムアウトを設定し、指定したタイムアウト期間が経過するとワークフローを自動的にキャンセル するように制御できます [12/8] 再起動可能なジョブ ：ジョブが送信されたときにユーザーが失敗の合計の最大数を指定する機能が 追加されました

26. Dataproc Metastore [12/14] Dataproc Metastore のパブリック プレビュー リリースが利用可能になりました。 Dataproc Metastore

    は、高可用性と自動修復機能を備えたオープンソースのフルマネージド Apache Hive メタストア サービスです 参考: Dataproc Metastore: フルマネージドの Hive メタストアの公開プレビューをリリース

27. Dialogflow [12/15] Dialogflow CX の GA [12/15] CX の regionalization

    は、グローバルに複数の地域に拡大しました [12/15] エージェント アクティビティ統計のための CX 分析 機能の追加 [12/15] 一般的なエージェントのユースケース向けの CX Prebuilt エージェント 機能の追加 [12/15] 独自の Dialogflow データ暗号化キーを管理するための CX カスタマー管理暗号化キー（ CMEK） が利用可能となりました [12/15] データの編集と保持を制御するための CX セキュリティ設定 の追加 [12/15] テレフォニー パートナー統合用の CX DTMF 入力機能の追加 DTMF: デュアルトーン マルチ周波数シグナリング（音ダイヤル） [12/15] ログからエンドユーザー パラメータ データを編集するための CX パラメータ編集 が可能となりまし た

28. Google Cloud Armor [12/3] Google Cloud Armor のドキュメント セットが再編成されました。主な更新内容は次のとおりです -

    Cloud Armor の概要ページ の追加 - 他の Google 製品とのインテグレーションのページ の追加 - 一般的なユースケースのセキュリティ ポリシーの作成ページ の追加 - セキュリティ ポリシーの概念のページ の再編成

29. Google Cloud VMware Engine [12/14] すべての新しい VMware Engine プライベート クラウドは、VMware

    vSphere バージョン 7.0 および NSX-T バージョン 3.0 でデプロイされるようになりました。既存のプライベート クラウドは、2020 年 12 月と 2021 年 1 月の期間にわたって、 vSphere バージョン 7.0 と NSX-T バージョン 3.0 にアップグレードされま す。このアップグレードの内容の詳細については、 サービスのアナウンスメント を参照してください [12/14] プライベート クラウド クラスター内のノードの最大数を 32 に増やしました。この変更は新しいクラス ターに適用されます。 vSphere 7.0 バージョンへのアップグレード後、既存のクラスターを最大 32 ノードまで 拡張できます [12/14] VMware Engine が障害のあるノードを置き換えるとき、ノードのカスタマイズが障害のあるノードか ら交換ノードに転送されるようになりました。カスタマイズには、 vSphere ラベル、vSphere カスタム属性、 vSphere タグ、および任意のアフィニティ ルールと非アフィニティ ルールが含まれます [12/14] VMware Engine は、VPC から学習したルートを VMware Engine プライベート クラウド ネットワー クにアドバタイズし、プライベート クラウドから学習したルートを VPC にアドバタイズするようになりました。 これにより、Google Cloud リソースとプライベート クラウド リソース間のネットワーク通信が可能になります

30. Memorystore for Redis [12/8] Memorystore for Redis での Redis AUTH

    のサポートが GA になりました

31. Private Catalog [12/8] Private Catalog は、クラウド管理者向けに更新されたクラウド コンソール エクスペリエンスを提供し ます。アップデートには、アクセス制御の管理、カタログの共有、および一括編集ソリューションのためのより 多くのオプションが含まれています

32. Security Command Center [12/1] Security Command Center Premium の一つのサービスである Container

    Threat Detection が GA になりました。詳細については、ブログ投稿「 新しいコンテナ脅威検出を使用してコンテナを監視および保護 する」を参照してください [12/1] Container Threat Detectionのドキュメントには、 GKE および VPC との互換性に関する更新情報が 含まれています。詳細については、 Container Theat Detection の使用 を参照してください

33. Virtual Private Cloud [12/15] nic0 以外の VM インターフェイス を 共有

    VPC に接続する機能が Preview で利用できるようになり ました。この機能は現在、個々の VM インスタンスでのみ機能し、インスタンス テンプレートやマネージド イ ンスタンス グループでは機能しません（利用例は こちら をご覧ください） [12/7] パケット ミラーリングの方向制御 が一般提供で利用可能になりました [12/7] Private Service Access 用の DNS ピアリング が Preview で利用できるようになりました

34. VPC Service Controls [12/8] 次の統合の Preview サポート： • Identity-Aware Proxy

    for TCP forwarding

35. Thank you