Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
OCIコンテナ関連サービス最新事情〜OKEと周辺サービスの現在地と未来〜/OCI_Contai...
Search
oracle4engineer
PRO
December 17, 2021
Technology
830
2
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
OCIコンテナ関連サービス最新事情〜OKEと周辺サービスの現在地と未来〜/OCI_Container_Services_Update_2021
oracle4engineer
PRO
December 17, 2021
More Decks by oracle4engineer
See All by oracle4engineer
Oracle Exadata Database Service on Cloud@Customer X11M (ExaDB-C@C) サービス概要
oracle4engineer
PRO
2
8.3k
Deep Data Security 機能解説
oracle4engineer
PRO
2
260
Oracle Cloud Infrastructure:2026年6月度サービス・アップデート
oracle4engineer
PRO
1
490
Oracle AI Databaseデータベース・サービスのメンテナンス(BaseDB/ExaDB-D/ExaDB-XS)
oracle4engineer
PRO
4
1.8k
Oracle AI Database@Google Cloud:サービス概要のご紹介
oracle4engineer
PRO
6
1.6k
Oracle AI Database@Azure:サービス概要のご紹介
oracle4engineer
PRO
6
2.1k
Oracle AI Database@AWS:サービス概要のご紹介
oracle4engineer
PRO
4
3.1k
CrossplaneによるCloud Native Control Plane
oracle4engineer
PRO
0
120
OCI Oracle AI Database Services新機能アップデート(2026/03-2026/05)
oracle4engineer
PRO
1
640
Other Decks in Technology
See All in Technology
Docker Desktop不要の時代が来る? WSL標準の「wslc」で Linuxコンテナを動かしてみた.
ueponx
0
580
從觀望到全公司落地:AI Agentic Coding 導入實戰 — 流程整合與安全治理
appleboy
1
670
知見・人・API・DB・予算 ─ ナイナイ尽くしだった人事データ整備 with dbt、5年間の学び
ken6377
1
140
AWS Blocks を触ってみた/first-tach-aws-blocks
fossamagna
2
140
そこにあるから地図ができる~位置を示す"モノ"を愉しむ~ - Interface 2026年6月号GPS特集オフ会 / interface_202606_GPS_offline
sakaik
1
190
Baseline対応のDOMの型定義を作った
uhyo
2
630
Hatena Engineer Seminar 37 jj1uzh
jj1uzh
0
420
AI時代のエンジニアキャリアについて今一度考える
sakamoto_582
1
870
なぜ私たちのSREプラクティスはなかなか機能しないのか 〜システムより先に組織を見る〜 / Why our SRE practices aren't really working
vtryo
0
110
技術・能力を向上する原理原則 #きのこセッションa #きのこ2026
bash0c7
0
200
勉強会企画をアプリで構造化してみた 〜そこで見えた、AIとの付き合い方〜 / I've structured a study group plan using an app.
pauli
0
290
記録をかんたんに、提案をパーソナルに ── AIであすけんが目指すもの
oprstchn
0
120
Featured
See All Featured
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
31
10k
Rails Girls Zürich Keynote
gr2m
96
14k
Navigating Algorithm Shifts & AI Overviews - #SMXNext
aleyda
1
1.3k
Money Talks: Using Revenue to Get Sh*t Done
nikkihalliwell
0
270
Put a Button on it: Removing Barriers to Going Fast.
kastner
60
4.3k
My Coaching Mixtape
mlcsv
0
160
jQuery: Nuts, Bolts and Bling
dougneiner
66
8.5k
SEOcharity - Dark patterns in SEO and UX: How to avoid them and build a more ethical web
sarafernandez
0
220
Evolving SEO for Evolving Search Engines
ryanjones
0
230
Conquering PDFs: document understanding beyond plain text
inesmontani
PRO
4
2.9k
The Language of Interfaces
destraynor
162
27k
Java REST API Framework Comparison - PWX 2021
mraible
34
9.4k
Transcript
OCIコンテナ関連サービス最新事情 〜OKEと周辺サービスの現在地と未来〜 Takuya Niita Cloud Solution Engineer Oracle Corporation Japan,
Solution Architect Dec 17, 2021
Copyright © 2021, Oracle and/or its affiliates.
アジェンダ 1. 2021年のアップデート状況サマリ 2. OKEのアップデート詳細とロードマップ2021 3. OCIRのアップデート詳細とロードマップ2021 4. デモ Copyright
© 2021, Oracle and/or its affiliates.
2021年のアップデート状況サマリ Copyright © 2021, Oracle and/or its affiliates.
OKEとOCIRのサービス開始 2018年5月7日 2021年12月17日 1,320日(約3年7ヶ月) Copyright © 2021, Oracle and/or its
affiliates.
OKEとOCIRのアップデート数 49 Updates(うち、2021年は19 Updates) 7 Updates(うち、2021年は5 Updates) Copyright © 2021,
Oracle and/or its affiliates.
OKEのアップデートサマリ • Kubernetesバージョン • v 1.19.x • v 1.20.x •
v 1.21.x • クラスタ環境 • フレキシブルロードバランサーのサポート • プライベートクラスタのサポート • Cluster Autoscalerのサポート • GPU/ARMアーキテクチャのサポート • ロードバランサー with 予約IPのサポート • OCI Service Operator(OSOK)のサポート • クラスタ運用 • Node Doctor Script • Kubernetes RABCとOCI IAMグループとの連携 • VCNネイティブクラスターへの移行サポート • ノードプールに対する作業リクエストの表示 • セキュリティ • NSG(ネットワークセキュリティグループ)のサ ポート • コンテナイメージの検証 Copyright © 2021, Oracle and/or its affiliates.
OCIRのアップデートサマリ • 運用 • コンパートメントのサポート • APIサポート • イメージ •
Open Container Initiative(OCI)サポート • マルチアーキテクチャイメージサポート • セキュリティ • コンテナイメージのスキャン、署名/検証 Copyright © 2021, Oracle and/or its affiliates.
OKEのアップデート詳細とロードマップ2021 Copyright © 2021, Oracle and/or its affiliates.
プライベートクラスタのサポート • コントロールプレーンのAPIエンドポイントをPrivateサブネット上に • インターネットアクセスなし • APIエンドポイントに対する外部からの不正なアクセスを防止 • よりセキュアなクラスタを構築可能 •
外部からのアクセスは不可になるため、Bastion(踏み台)を構築する必要あり • OCI Bastionサービスは無償 • 利用手順 クイック作成 カスタム作成 Copyright © 2021, Oracle and/or its affiliates.
Cluster Autoscalerのサポート • Kubernetesのスケール手法の一つであるCluster Autoscalerをサポート • Worker Nodeをスケール • HPA(Podの水平スケール)/VPA(Podの垂直スケール)はすでにサポート済み
• HPAとの併用でスケーラビリティ向上!! • 利用手順 • 動的グループ/ポリシーの作成 • Cluster Autoscaler用のmanifestをデプロイ • https://bit.ly/2021_oke • スケール範囲(最小/最大Node数) • スケール対象のノードプールの指定 Resource Requests を忘れずに!!! Copyright © 2021, Oracle and/or its affiliates.
GPU/ARMアーキテクチャのサポート • OKEで利用可能なWorker NodeにGPU/ARMプロセッサインスタンスが追加 • GPU Nodeを利用した機械学習ワークロード(V100/A100インスタンス) • BM.GPU3.8/BM.GPU4.8/VM.GPU3.1/VM.GPU3.2/VM.GPU3.4 •
ARMプロセッサを含めた幅広いCPUアーキテクチャのサポート(Ampere A1 Arm) • BM.Standard.A1/VM.Standard.A1.Flex • コンテナイメージにArm固有のマニフェストを追加する必要あり • 利用手順 • クラスタ作成時のシェイプで選択(クイック作成/カスタム作成共通) Copyright © 2021, Oracle and/or its affiliates.
OCI Service Operator for Kubernetes(OSOK)のサポート • OKEからAPI経由でOCI上の各種サービスを管理できる仕組み • Operator SDKベース
• https://github.com/oracle/oci-service-operator • 現時点でサポートしているサービス(今後も追加予定) • OCI Streaming • Autonomous Database(ATP/ADW) • MySQL Cloud Service • 各サービスのプロビジョニングや削除などのライフサイクルをKubernetes Operatorの仕 組みで管理可能 • 利用手順 • Operator SDK/OLM(Operator Lifecycle Manager)のインストール • OLMを利用してOSOKをOKEにインストール • Manifestを作成し、OCIサービスを操作 Copyright © 2021, Oracle and/or its affiliates.
Kubernetes RABCとOCI IAMグループとの連携 • OKE上のKubernetes RBAC機能とOCI IAMを連携 • Kubernetes上のリソースをIAMグループに基づいて権限管理 •
IAMユーザ単位でも可能 • 利用手順 • ManifestでRoleを作成 • 対象のリソースと許可する操作を指定 • ManifestでRole Bindingを作成 • OCI IAMグループを指定 Copyright © 2021, Oracle and/or its affiliates.
コンテナイメージの検証 • OCIR(コンテナ・レジストリ)で署名されたイメージのみがデプロイ可能 • イメージのソース(取得元)が信頼できること、整合性があることの確認 • OKE側に署名時に利用した暗号化キーを設定し、イメージの検証に適合したイメージの みをデプロイ対象とすることが可能 • イメージが検証できない場合、Podは作成されない
• 利用手順 • OCIR側でコンテナイメージに署名(API/OCI CLIを利用) • OKEに署名に利用した暗号化キーを設定 暗号化キーは複数指定可能 Copyright © 2021, Oracle and/or its affiliates.
今後のロードマップ • Kubernetes v1.22サポート • OCI CSIドライバーのFSS(File Storage Service)のサポート •
OSOK(OCI Service Operator for Kubernetes)の対応サービスの拡充 • Native Pod Networking(OCI Native CNI)サポート • OKEのAlways Freeでの利用 • Worker Nodeでの軽量VMのサポート • OKEでのObservability(Logging/Monitoring) の拡充 ! ! ! ! まだまだ進化は続きます!!! Copyright © 2021, Oracle and/or its affiliates.
OCIRのアップデート詳細とロードマップ2021 Copyright © 2021, Oracle and/or its affiliates.
コンパートメントのサポート • OCIRのアクセス制御をコンパートメント単位で実施 • 今まではテナンシー全体での制御 • コンパートメントにポリシー(アクセス制御)が設定可能 • チーム毎や部署毎にコンパートメントを分けて、pull/pushの操作を制御 •
コンパートメントにイメージをpushする場合、事前にレポジトリを作成する必要あり • 利用手順 • OCIRのポリシー設定 • ポリシーの適用範囲はコンパートメントスコープ • 対象のコンパートメントにレポジトリを作成 • dockerコマンドによるpull/pushの実施 コンパートメントの選択 Copyright © 2021, Oracle and/or its affiliates.
Open Container Initiative/マルチアーキテクチャサポート • OCIRに格納可能なコンテナイメージ種別の拡充 • OCI(Open Container Initiative)イメージのサポート •
Dockerの他にcontainerd/CRI-OなどのOCI準拠のコンテナイメージを利用可能 • OKE v1.19からコンテナ・ランタイムがCRI-Oに変更 • マルチアーキテクチャサポート • Intel/AMD/ARMのサポート • Armイメージを利用する場合はArm固有のイメージを別途用意 • 利用手順(マルチアーキテクチャサポート) • docker buildx/Podmanなどを利用してマルチアーキテクチャイメージを構築 • OCIRにプッシュ Copyright © 2021, Oracle and/or its affiliates.
コンテナイメージのスキャン、署名/検証 • OCIRでのコンテナイメージスキャン • OCIのサービスである脆弱性スキャン・サービス(OCI VSS)の一部 • 脆弱性情報データベース(CVE) に公開されているセキュリティ脆弱性を検出 •
利用手順 • API/CLIでスキャン構成を作成 • API/CLIでスキャン実行 • コンテナイメージ署名/検証 • OCIRにプッシュしたイメージをOCI Vault内の暗号化キーで署名 • OCIRで署名したイメージを検証(OKE側で検証することも可能) • 利用手順 • OCI Vaultで暗号化キーを作成 • API/CLI/(コンソール)で署名/検証を実行 Copyright © 2021, Oracle and/or its affiliates.
今後のロードマップ • クロスリージョンレプリケーションサポート • 特定のリージョンから別のリージョンにイメージを自動的にコピー • Artifact Registryとの統合 • OCIとして一つのRepositoryサービスとして提供
• Mavenレポジトリやビルド成果物なども格納可能に • 顧客管理キーを利用したコンテンツの暗号化 ! ! ! ! まだまだ進化は続きます!!! Copyright © 2021, Oracle and/or its affiliates.
デモ Copyright © 2021, Oracle and/or its affiliates.
コンテナイメージのスキャン、署名/検証デモ ②イメージ署名 ①イメージスキャン ③イメージ検証 ④イメージ検証 検証に成功したコンテナ 未検証 or 検証に失敗したコンテナ Copyright
© 2021, Oracle and/or its affiliates.
Thank you Copyright © 2021, Oracle and/or its affiliates.