Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OCIコンテナ関連サービス最新事情〜OKEと周辺サービスの現在地と未来〜/OCI_Container_Services_Update_2021

 OCIコンテナ関連サービス最新事情〜OKEと周辺サービスの現在地と未来〜/OCI_Container_Services_Update_2021

oracle4engineer
PRO

December 17, 2021
Tweet

More Decks by oracle4engineer

Other Decks in Technology

Transcript

  1. OCIコンテナ関連サービス最新事情 〜OKEと周辺サービスの現在地と未来〜 Takuya Niita Cloud Solution Engineer Oracle Corporation Japan,

    Solution Architect Dec 17, 2021
  2. Copyright © 2021, Oracle and/or its affiliates.

  3. アジェンダ 1. 2021年のアップデート状況サマリ 2. OKEのアップデート詳細とロードマップ2021 3. OCIRのアップデート詳細とロードマップ2021 4. デモ Copyright

    © 2021, Oracle and/or its affiliates.
  4. 2021年のアップデート状況サマリ Copyright © 2021, Oracle and/or its affiliates.

  5. OKEとOCIRのサービス開始 2018年5月7日 2021年12月17日 1,320日(約3年7ヶ月) Copyright © 2021, Oracle and/or its

    affiliates.
  6. OKEとOCIRのアップデート数 49 Updates(うち、2021年は19 Updates) 7 Updates(うち、2021年は5 Updates) Copyright © 2021,

    Oracle and/or its affiliates.
  7. OKEのアップデートサマリ • Kubernetesバージョン • v 1.19.x • v 1.20.x •

    v 1.21.x • クラスタ環境 • フレキシブルロードバランサーのサポート • プライベートクラスタのサポート • Cluster Autoscalerのサポート • GPU/ARMアーキテクチャのサポート • ロードバランサー with 予約IPのサポート • OCI Service Operator(OSOK)のサポート • クラスタ運用 • Node Doctor Script • Kubernetes RABCとOCI IAMグループとの連携 • VCNネイティブクラスターへの移行サポート • ノードプールに対する作業リクエストの表示 • セキュリティ • NSG(ネットワークセキュリティグループ)のサ ポート • コンテナイメージの検証 Copyright © 2021, Oracle and/or its affiliates.
  8. OCIRのアップデートサマリ • 運用 • コンパートメントのサポート • APIサポート • イメージ •

    Open Container Initiative(OCI)サポート • マルチアーキテクチャイメージサポート • セキュリティ • コンテナイメージのスキャン、署名/検証 Copyright © 2021, Oracle and/or its affiliates.
  9. OKEのアップデート詳細とロードマップ2021 Copyright © 2021, Oracle and/or its affiliates.

  10. プライベートクラスタのサポート • コントロールプレーンのAPIエンドポイントをPrivateサブネット上に • インターネットアクセスなし • APIエンドポイントに対する外部からの不正なアクセスを防止 • よりセキュアなクラスタを構築可能 •

    外部からのアクセスは不可になるため、Bastion(踏み台)を構築する必要あり • OCI Bastionサービスは無償 • 利用手順 クイック作成 カスタム作成 Copyright © 2021, Oracle and/or its affiliates.
  11. Cluster Autoscalerのサポート • Kubernetesのスケール手法の一つであるCluster Autoscalerをサポート • Worker Nodeをスケール • HPA(Podの水平スケール)/VPA(Podの垂直スケール)はすでにサポート済み

    • HPAとの併用でスケーラビリティ向上!! • 利用手順 • 動的グループ/ポリシーの作成 • Cluster Autoscaler用のmanifestをデプロイ • https://bit.ly/2021_oke • スケール範囲(最小/最大Node数) • スケール対象のノードプールの指定 Resource Requests を忘れずに!!! Copyright © 2021, Oracle and/or its affiliates.
  12. GPU/ARMアーキテクチャのサポート • OKEで利用可能なWorker NodeにGPU/ARMプロセッサインスタンスが追加 • GPU Nodeを利用した機械学習ワークロード(V100/A100インスタンス) • BM.GPU3.8/BM.GPU4.8/VM.GPU3.1/VM.GPU3.2/VM.GPU3.4 •

    ARMプロセッサを含めた幅広いCPUアーキテクチャのサポート(Ampere A1 Arm) • BM.Standard.A1/VM.Standard.A1.Flex • コンテナイメージにArm固有のマニフェストを追加する必要あり • 利用手順 • クラスタ作成時のシェイプで選択(クイック作成/カスタム作成共通) Copyright © 2021, Oracle and/or its affiliates.
  13. OCI Service Operator for Kubernetes(OSOK)のサポート • OKEからAPI経由でOCI上の各種サービスを管理できる仕組み • Operator SDKベース

    • https://github.com/oracle/oci-service-operator • 現時点でサポートしているサービス(今後も追加予定) • OCI Streaming • Autonomous Database(ATP/ADW) • MySQL Cloud Service • 各サービスのプロビジョニングや削除などのライフサイクルをKubernetes Operatorの仕 組みで管理可能 • 利用手順 • Operator SDK/OLM(Operator Lifecycle Manager)のインストール • OLMを利用してOSOKをOKEにインストール • Manifestを作成し、OCIサービスを操作 Copyright © 2021, Oracle and/or its affiliates.
  14. Kubernetes RABCとOCI IAMグループとの連携 • OKE上のKubernetes RBAC機能とOCI IAMを連携 • Kubernetes上のリソースをIAMグループに基づいて権限管理 •

    IAMユーザ単位でも可能 • 利用手順 • ManifestでRoleを作成 • 対象のリソースと許可する操作を指定 • ManifestでRole Bindingを作成 • OCI IAMグループを指定 Copyright © 2021, Oracle and/or its affiliates.
  15. コンテナイメージの検証 • OCIR(コンテナ・レジストリ)で署名されたイメージのみがデプロイ可能 • イメージのソース(取得元)が信頼できること、整合性があることの確認 • OKE側に署名時に利用した暗号化キーを設定し、イメージの検証に適合したイメージの みをデプロイ対象とすることが可能 • イメージが検証できない場合、Podは作成されない

    • 利用手順 • OCIR側でコンテナイメージに署名(API/OCI CLIを利用) • OKEに署名に利用した暗号化キーを設定 暗号化キーは複数指定可能 Copyright © 2021, Oracle and/or its affiliates.
  16. 今後のロードマップ • Kubernetes v1.22サポート • OCI CSIドライバーのFSS(File Storage Service)のサポート •

    OSOK(OCI Service Operator for Kubernetes)の対応サービスの拡充 • Native Pod Networking(OCI Native CNI)サポート • OKEのAlways Freeでの利用 • Worker Nodeでの軽量VMのサポート • OKEでのObservability(Logging/Monitoring) の拡充 ! ! ! ! まだまだ進化は続きます!!! Copyright © 2021, Oracle and/or its affiliates.
  17. OCIRのアップデート詳細とロードマップ2021 Copyright © 2021, Oracle and/or its affiliates.

  18. コンパートメントのサポート • OCIRのアクセス制御をコンパートメント単位で実施 • 今まではテナンシー全体での制御 • コンパートメントにポリシー(アクセス制御)が設定可能 • チーム毎や部署毎にコンパートメントを分けて、pull/pushの操作を制御 •

    コンパートメントにイメージをpushする場合、事前にレポジトリを作成する必要あり • 利用手順 • OCIRのポリシー設定 • ポリシーの適用範囲はコンパートメントスコープ • 対象のコンパートメントにレポジトリを作成 • dockerコマンドによるpull/pushの実施 コンパートメントの選択 Copyright © 2021, Oracle and/or its affiliates.
  19. Open Container Initiative/マルチアーキテクチャサポート • OCIRに格納可能なコンテナイメージ種別の拡充 • OCI(Open Container Initiative)イメージのサポート •

    Dockerの他にcontainerd/CRI-OなどのOCI準拠のコンテナイメージを利用可能 • OKE v1.19からコンテナ・ランタイムがCRI-Oに変更 • マルチアーキテクチャサポート • Intel/AMD/ARMのサポート • Armイメージを利用する場合はArm固有のイメージを別途用意 • 利用手順(マルチアーキテクチャサポート) • docker buildx/Podmanなどを利用してマルチアーキテクチャイメージを構築 • OCIRにプッシュ Copyright © 2021, Oracle and/or its affiliates.
  20. コンテナイメージのスキャン、署名/検証 • OCIRでのコンテナイメージスキャン • OCIのサービスである脆弱性スキャン・サービス(OCI VSS)の一部 • 脆弱性情報データベース(CVE) に公開されているセキュリティ脆弱性を検出 •

    利用手順 • API/CLIでスキャン構成を作成 • API/CLIでスキャン実行 • コンテナイメージ署名/検証 • OCIRにプッシュしたイメージをOCI Vault内の暗号化キーで署名 • OCIRで署名したイメージを検証(OKE側で検証することも可能) • 利用手順 • OCI Vaultで暗号化キーを作成 • API/CLI/(コンソール)で署名/検証を実行 Copyright © 2021, Oracle and/or its affiliates.
  21. 今後のロードマップ • クロスリージョンレプリケーションサポート • 特定のリージョンから別のリージョンにイメージを自動的にコピー • Artifact Registryとの統合 • OCIとして一つのRepositoryサービスとして提供

    • Mavenレポジトリやビルド成果物なども格納可能に • 顧客管理キーを利用したコンテンツの暗号化 ! ! ! ! まだまだ進化は続きます!!! Copyright © 2021, Oracle and/or its affiliates.
  22. デモ Copyright © 2021, Oracle and/or its affiliates.

  23. コンテナイメージのスキャン、署名/検証デモ ②イメージ署名 ①イメージスキャン ③イメージ検証 ④イメージ検証 検証に成功したコンテナ 未検証 or 検証に失敗したコンテナ Copyright

    © 2021, Oracle and/or its affiliates.
  24. Thank you Copyright © 2021, Oracle and/or its affiliates.