Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OCIコンテナ関連サービス最新事情〜OKEと周辺サービスの現在地と未来〜/OCI_Container_Services_Update_2021

 OCIコンテナ関連サービス最新事情〜OKEと周辺サービスの現在地と未来〜/OCI_Container_Services_Update_2021

oracle4engineer

December 17, 2021
Tweet

More Decks by oracle4engineer

Other Decks in Technology

Transcript

  1. OKEのアップデートサマリ • Kubernetesバージョン • v 1.19.x • v 1.20.x •

    v 1.21.x • クラスタ環境 • フレキシブルロードバランサーのサポート • プライベートクラスタのサポート • Cluster Autoscalerのサポート • GPU/ARMアーキテクチャのサポート • ロードバランサー with 予約IPのサポート • OCI Service Operator(OSOK)のサポート • クラスタ運用 • Node Doctor Script • Kubernetes RABCとOCI IAMグループとの連携 • VCNネイティブクラスターへの移行サポート • ノードプールに対する作業リクエストの表示 • セキュリティ • NSG(ネットワークセキュリティグループ)のサ ポート • コンテナイメージの検証 Copyright © 2021, Oracle and/or its affiliates.
  2. OCIRのアップデートサマリ • 運用 • コンパートメントのサポート • APIサポート • イメージ •

    Open Container Initiative(OCI)サポート • マルチアーキテクチャイメージサポート • セキュリティ • コンテナイメージのスキャン、署名/検証 Copyright © 2021, Oracle and/or its affiliates.
  3. プライベートクラスタのサポート • コントロールプレーンのAPIエンドポイントをPrivateサブネット上に • インターネットアクセスなし • APIエンドポイントに対する外部からの不正なアクセスを防止 • よりセキュアなクラスタを構築可能 •

    外部からのアクセスは不可になるため、Bastion(踏み台)を構築する必要あり • OCI Bastionサービスは無償 • 利用手順 クイック作成 カスタム作成 Copyright © 2021, Oracle and/or its affiliates.
  4. Cluster Autoscalerのサポート • Kubernetesのスケール手法の一つであるCluster Autoscalerをサポート • Worker Nodeをスケール • HPA(Podの水平スケール)/VPA(Podの垂直スケール)はすでにサポート済み

    • HPAとの併用でスケーラビリティ向上!! • 利用手順 • 動的グループ/ポリシーの作成 • Cluster Autoscaler用のmanifestをデプロイ • https://bit.ly/2021_oke • スケール範囲(最小/最大Node数) • スケール対象のノードプールの指定 Resource Requests を忘れずに!!! Copyright © 2021, Oracle and/or its affiliates.
  5. GPU/ARMアーキテクチャのサポート • OKEで利用可能なWorker NodeにGPU/ARMプロセッサインスタンスが追加 • GPU Nodeを利用した機械学習ワークロード(V100/A100インスタンス) • BM.GPU3.8/BM.GPU4.8/VM.GPU3.1/VM.GPU3.2/VM.GPU3.4 •

    ARMプロセッサを含めた幅広いCPUアーキテクチャのサポート(Ampere A1 Arm) • BM.Standard.A1/VM.Standard.A1.Flex • コンテナイメージにArm固有のマニフェストを追加する必要あり • 利用手順 • クラスタ作成時のシェイプで選択(クイック作成/カスタム作成共通) Copyright © 2021, Oracle and/or its affiliates.
  6. OCI Service Operator for Kubernetes(OSOK)のサポート • OKEからAPI経由でOCI上の各種サービスを管理できる仕組み • Operator SDKベース

    • https://github.com/oracle/oci-service-operator • 現時点でサポートしているサービス(今後も追加予定) • OCI Streaming • Autonomous Database(ATP/ADW) • MySQL Cloud Service • 各サービスのプロビジョニングや削除などのライフサイクルをKubernetes Operatorの仕 組みで管理可能 • 利用手順 • Operator SDK/OLM(Operator Lifecycle Manager)のインストール • OLMを利用してOSOKをOKEにインストール • Manifestを作成し、OCIサービスを操作 Copyright © 2021, Oracle and/or its affiliates.
  7. Kubernetes RABCとOCI IAMグループとの連携 • OKE上のKubernetes RBAC機能とOCI IAMを連携 • Kubernetes上のリソースをIAMグループに基づいて権限管理 •

    IAMユーザ単位でも可能 • 利用手順 • ManifestでRoleを作成 • 対象のリソースと許可する操作を指定 • ManifestでRole Bindingを作成 • OCI IAMグループを指定 Copyright © 2021, Oracle and/or its affiliates.
  8. 今後のロードマップ • Kubernetes v1.22サポート • OCI CSIドライバーのFSS(File Storage Service)のサポート •

    OSOK(OCI Service Operator for Kubernetes)の対応サービスの拡充 • Native Pod Networking(OCI Native CNI)サポート • OKEのAlways Freeでの利用 • Worker Nodeでの軽量VMのサポート • OKEでのObservability(Logging/Monitoring) の拡充 ! ! ! ! まだまだ進化は続きます!!! Copyright © 2021, Oracle and/or its affiliates.
  9. コンパートメントのサポート • OCIRのアクセス制御をコンパートメント単位で実施 • 今まではテナンシー全体での制御 • コンパートメントにポリシー(アクセス制御)が設定可能 • チーム毎や部署毎にコンパートメントを分けて、pull/pushの操作を制御 •

    コンパートメントにイメージをpushする場合、事前にレポジトリを作成する必要あり • 利用手順 • OCIRのポリシー設定 • ポリシーの適用範囲はコンパートメントスコープ • 対象のコンパートメントにレポジトリを作成 • dockerコマンドによるpull/pushの実施 コンパートメントの選択 Copyright © 2021, Oracle and/or its affiliates.
  10. Open Container Initiative/マルチアーキテクチャサポート • OCIRに格納可能なコンテナイメージ種別の拡充 • OCI(Open Container Initiative)イメージのサポート •

    Dockerの他にcontainerd/CRI-OなどのOCI準拠のコンテナイメージを利用可能 • OKE v1.19からコンテナ・ランタイムがCRI-Oに変更 • マルチアーキテクチャサポート • Intel/AMD/ARMのサポート • Armイメージを利用する場合はArm固有のイメージを別途用意 • 利用手順(マルチアーキテクチャサポート) • docker buildx/Podmanなどを利用してマルチアーキテクチャイメージを構築 • OCIRにプッシュ Copyright © 2021, Oracle and/or its affiliates.
  11. コンテナイメージのスキャン、署名/検証 • OCIRでのコンテナイメージスキャン • OCIのサービスである脆弱性スキャン・サービス(OCI VSS)の一部 • 脆弱性情報データベース(CVE) に公開されているセキュリティ脆弱性を検出 •

    利用手順 • API/CLIでスキャン構成を作成 • API/CLIでスキャン実行 • コンテナイメージ署名/検証 • OCIRにプッシュしたイメージをOCI Vault内の暗号化キーで署名 • OCIRで署名したイメージを検証(OKE側で検証することも可能) • 利用手順 • OCI Vaultで暗号化キーを作成 • API/CLI/(コンソール)で署名/検証を実行 Copyright © 2021, Oracle and/or its affiliates.
  12. 今後のロードマップ • クロスリージョンレプリケーションサポート • 特定のリージョンから別のリージョンにイメージを自動的にコピー • Artifact Registryとの統合 • OCIとして一つのRepositoryサービスとして提供

    • Mavenレポジトリやビルド成果物なども格納可能に • 顧客管理キーを利用したコンテンツの暗号化 ! ! ! ! まだまだ進化は続きます!!! Copyright © 2021, Oracle and/or its affiliates.