Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
OCIコンテナ関連サービス最新事情〜OKEと周辺サービスの現在地と未来〜/OCI_Contai...
Search
Sponsored
·
Ship Features Fearlessly
Turn features on and off without deploys. Used by thousands of Ruby developers.
→
oracle4engineer
PRO
December 17, 2021
Technology
820
2
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
OCIコンテナ関連サービス最新事情〜OKEと周辺サービスの現在地と未来〜/OCI_Container_Services_Update_2021
oracle4engineer
PRO
December 17, 2021
More Decks by oracle4engineer
See All by oracle4engineer
Oracle AI Databaseデータベース・サービスのメンテナンス(BaseDB/ExaDB-D/ExaDB-XS)
oracle4engineer
PRO
4
1.3k
CrossplaneによるCloud Native Control Plane
oracle4engineer
PRO
0
82
OCI Oracle AI Database Services新機能アップデート(2026/03-2026/05)
oracle4engineer
PRO
0
290
Oracle Cloud Infrastructure IaaS 新機能アップデート 2026/3 - 2026/5
oracle4engineer
PRO
1
220
マーケットプレイス版Oracle WebCenter Content For OCI
oracle4engineer
PRO
5
1.8k
Oracle AI Database@Google Cloud:サービス概要のご紹介
oracle4engineer
PRO
6
1.5k
Oracle AI Database@Azure:サービス概要のご紹介
oracle4engineer
PRO
6
1.9k
Oracle AI Database@AWS:サービス概要のご紹介
oracle4engineer
PRO
4
2.9k
Oracle Database Gold Image
oracle4engineer
PRO
1
150
Other Decks in Technology
See All in Technology
Claude code Orchestra
ozakiomumkj
3
1k
Socrates × Looker 〜セマンティックレイヤーで進化するデータ分析エージェント〜
hanon52_
1
530
【Gen-AX】20260530開催_JJUG CCC 2026 Spring
genax
0
440
AI フレンドリーなエラー監視を TypeScript で実現する
shinyaigeek
2
270
MIERUNE JCT 発表資料「宇宙から伊能忠敬ごっこ」
syuchimu
0
190
Agentic ERPをどう設計するか ー 受発注エージェントを動かす、現場の知見と設計思想ー
recerqainc
1
1.9k
新アーキテクチャ「TiDB X」解説とDedicated比較 TiDB Cloud Premiumのゲーム運用活用を検証
staffrecruiter
0
120
React、まだ楽しくて草
uhyo
7
4.2k
データ基盤をDataformで整えた話 〜 開発環境を添えて 〜
takapy
0
130
非エンジニアがClaudeと挑んだ「1ヶ月間プロダクト30本ノック」
askokc
0
130
運用を見据えたAIエージェント設計実践
amacbee
1
3.2k
Snowflakeと仲良くなる第一歩
coco_se
2
160
Featured
See All Featured
No one is an island. Learnings from fostering a developers community.
thoeni
21
3.7k
Avoiding the “Bad Training, Faster” Trap in the Age of AI
tmiket
0
170
Bootstrapping a Software Product
garrettdimon
PRO
307
120k
Large-scale JavaScript Application Architecture
addyosmani
515
110k
Designing Experiences People Love
moore
143
24k
Introduction to Domain-Driven Design and Collaborative software design
baasie
1
820
What's in a price? How to price your products and services
michaelherold
247
13k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
52
6k
Darren the Foodie - Storyboard
khoart
PRO
3
3.4k
The SEO identity crisis: Don't let AI make you average
varn
0
480
Designing Powerful Visuals for Engaging Learning
tmiket
1
400
Navigating Algorithm Shifts & AI Overviews - #SMXNext
aleyda
1
1.3k
Transcript
OCIコンテナ関連サービス最新事情 〜OKEと周辺サービスの現在地と未来〜 Takuya Niita Cloud Solution Engineer Oracle Corporation Japan,
Solution Architect Dec 17, 2021
Copyright © 2021, Oracle and/or its affiliates.
アジェンダ 1. 2021年のアップデート状況サマリ 2. OKEのアップデート詳細とロードマップ2021 3. OCIRのアップデート詳細とロードマップ2021 4. デモ Copyright
© 2021, Oracle and/or its affiliates.
2021年のアップデート状況サマリ Copyright © 2021, Oracle and/or its affiliates.
OKEとOCIRのサービス開始 2018年5月7日 2021年12月17日 1,320日(約3年7ヶ月) Copyright © 2021, Oracle and/or its
affiliates.
OKEとOCIRのアップデート数 49 Updates(うち、2021年は19 Updates) 7 Updates(うち、2021年は5 Updates) Copyright © 2021,
Oracle and/or its affiliates.
OKEのアップデートサマリ • Kubernetesバージョン • v 1.19.x • v 1.20.x •
v 1.21.x • クラスタ環境 • フレキシブルロードバランサーのサポート • プライベートクラスタのサポート • Cluster Autoscalerのサポート • GPU/ARMアーキテクチャのサポート • ロードバランサー with 予約IPのサポート • OCI Service Operator(OSOK)のサポート • クラスタ運用 • Node Doctor Script • Kubernetes RABCとOCI IAMグループとの連携 • VCNネイティブクラスターへの移行サポート • ノードプールに対する作業リクエストの表示 • セキュリティ • NSG(ネットワークセキュリティグループ)のサ ポート • コンテナイメージの検証 Copyright © 2021, Oracle and/or its affiliates.
OCIRのアップデートサマリ • 運用 • コンパートメントのサポート • APIサポート • イメージ •
Open Container Initiative(OCI)サポート • マルチアーキテクチャイメージサポート • セキュリティ • コンテナイメージのスキャン、署名/検証 Copyright © 2021, Oracle and/or its affiliates.
OKEのアップデート詳細とロードマップ2021 Copyright © 2021, Oracle and/or its affiliates.
プライベートクラスタのサポート • コントロールプレーンのAPIエンドポイントをPrivateサブネット上に • インターネットアクセスなし • APIエンドポイントに対する外部からの不正なアクセスを防止 • よりセキュアなクラスタを構築可能 •
外部からのアクセスは不可になるため、Bastion(踏み台)を構築する必要あり • OCI Bastionサービスは無償 • 利用手順 クイック作成 カスタム作成 Copyright © 2021, Oracle and/or its affiliates.
Cluster Autoscalerのサポート • Kubernetesのスケール手法の一つであるCluster Autoscalerをサポート • Worker Nodeをスケール • HPA(Podの水平スケール)/VPA(Podの垂直スケール)はすでにサポート済み
• HPAとの併用でスケーラビリティ向上!! • 利用手順 • 動的グループ/ポリシーの作成 • Cluster Autoscaler用のmanifestをデプロイ • https://bit.ly/2021_oke • スケール範囲(最小/最大Node数) • スケール対象のノードプールの指定 Resource Requests を忘れずに!!! Copyright © 2021, Oracle and/or its affiliates.
GPU/ARMアーキテクチャのサポート • OKEで利用可能なWorker NodeにGPU/ARMプロセッサインスタンスが追加 • GPU Nodeを利用した機械学習ワークロード(V100/A100インスタンス) • BM.GPU3.8/BM.GPU4.8/VM.GPU3.1/VM.GPU3.2/VM.GPU3.4 •
ARMプロセッサを含めた幅広いCPUアーキテクチャのサポート(Ampere A1 Arm) • BM.Standard.A1/VM.Standard.A1.Flex • コンテナイメージにArm固有のマニフェストを追加する必要あり • 利用手順 • クラスタ作成時のシェイプで選択(クイック作成/カスタム作成共通) Copyright © 2021, Oracle and/or its affiliates.
OCI Service Operator for Kubernetes(OSOK)のサポート • OKEからAPI経由でOCI上の各種サービスを管理できる仕組み • Operator SDKベース
• https://github.com/oracle/oci-service-operator • 現時点でサポートしているサービス(今後も追加予定) • OCI Streaming • Autonomous Database(ATP/ADW) • MySQL Cloud Service • 各サービスのプロビジョニングや削除などのライフサイクルをKubernetes Operatorの仕 組みで管理可能 • 利用手順 • Operator SDK/OLM(Operator Lifecycle Manager)のインストール • OLMを利用してOSOKをOKEにインストール • Manifestを作成し、OCIサービスを操作 Copyright © 2021, Oracle and/or its affiliates.
Kubernetes RABCとOCI IAMグループとの連携 • OKE上のKubernetes RBAC機能とOCI IAMを連携 • Kubernetes上のリソースをIAMグループに基づいて権限管理 •
IAMユーザ単位でも可能 • 利用手順 • ManifestでRoleを作成 • 対象のリソースと許可する操作を指定 • ManifestでRole Bindingを作成 • OCI IAMグループを指定 Copyright © 2021, Oracle and/or its affiliates.
コンテナイメージの検証 • OCIR(コンテナ・レジストリ)で署名されたイメージのみがデプロイ可能 • イメージのソース(取得元)が信頼できること、整合性があることの確認 • OKE側に署名時に利用した暗号化キーを設定し、イメージの検証に適合したイメージの みをデプロイ対象とすることが可能 • イメージが検証できない場合、Podは作成されない
• 利用手順 • OCIR側でコンテナイメージに署名(API/OCI CLIを利用) • OKEに署名に利用した暗号化キーを設定 暗号化キーは複数指定可能 Copyright © 2021, Oracle and/or its affiliates.
今後のロードマップ • Kubernetes v1.22サポート • OCI CSIドライバーのFSS(File Storage Service)のサポート •
OSOK(OCI Service Operator for Kubernetes)の対応サービスの拡充 • Native Pod Networking(OCI Native CNI)サポート • OKEのAlways Freeでの利用 • Worker Nodeでの軽量VMのサポート • OKEでのObservability(Logging/Monitoring) の拡充 ! ! ! ! まだまだ進化は続きます!!! Copyright © 2021, Oracle and/or its affiliates.
OCIRのアップデート詳細とロードマップ2021 Copyright © 2021, Oracle and/or its affiliates.
コンパートメントのサポート • OCIRのアクセス制御をコンパートメント単位で実施 • 今まではテナンシー全体での制御 • コンパートメントにポリシー(アクセス制御)が設定可能 • チーム毎や部署毎にコンパートメントを分けて、pull/pushの操作を制御 •
コンパートメントにイメージをpushする場合、事前にレポジトリを作成する必要あり • 利用手順 • OCIRのポリシー設定 • ポリシーの適用範囲はコンパートメントスコープ • 対象のコンパートメントにレポジトリを作成 • dockerコマンドによるpull/pushの実施 コンパートメントの選択 Copyright © 2021, Oracle and/or its affiliates.
Open Container Initiative/マルチアーキテクチャサポート • OCIRに格納可能なコンテナイメージ種別の拡充 • OCI(Open Container Initiative)イメージのサポート •
Dockerの他にcontainerd/CRI-OなどのOCI準拠のコンテナイメージを利用可能 • OKE v1.19からコンテナ・ランタイムがCRI-Oに変更 • マルチアーキテクチャサポート • Intel/AMD/ARMのサポート • Armイメージを利用する場合はArm固有のイメージを別途用意 • 利用手順(マルチアーキテクチャサポート) • docker buildx/Podmanなどを利用してマルチアーキテクチャイメージを構築 • OCIRにプッシュ Copyright © 2021, Oracle and/or its affiliates.
コンテナイメージのスキャン、署名/検証 • OCIRでのコンテナイメージスキャン • OCIのサービスである脆弱性スキャン・サービス(OCI VSS)の一部 • 脆弱性情報データベース(CVE) に公開されているセキュリティ脆弱性を検出 •
利用手順 • API/CLIでスキャン構成を作成 • API/CLIでスキャン実行 • コンテナイメージ署名/検証 • OCIRにプッシュしたイメージをOCI Vault内の暗号化キーで署名 • OCIRで署名したイメージを検証(OKE側で検証することも可能) • 利用手順 • OCI Vaultで暗号化キーを作成 • API/CLI/(コンソール)で署名/検証を実行 Copyright © 2021, Oracle and/or its affiliates.
今後のロードマップ • クロスリージョンレプリケーションサポート • 特定のリージョンから別のリージョンにイメージを自動的にコピー • Artifact Registryとの統合 • OCIとして一つのRepositoryサービスとして提供
• Mavenレポジトリやビルド成果物なども格納可能に • 顧客管理キーを利用したコンテンツの暗号化 ! ! ! ! まだまだ進化は続きます!!! Copyright © 2021, Oracle and/or its affiliates.
デモ Copyright © 2021, Oracle and/or its affiliates.
コンテナイメージのスキャン、署名/検証デモ ②イメージ署名 ①イメージスキャン ③イメージ検証 ④イメージ検証 検証に成功したコンテナ 未検証 or 検証に失敗したコンテナ Copyright
© 2021, Oracle and/or its affiliates.
Thank you Copyright © 2021, Oracle and/or its affiliates.
oracle4engineer
ozakiomumkj
hanon52_
.png){kind=avatar}
genax
shinyaigeek
syuchimu
recerqainc
staffrecruiter
uhyo
takapy
askokc
amacbee
coco_se
thoeni
tmiket
garrettdimon
addyosmani
moore
baasie
michaelherold
reverentgeek
khoart
varn
aleyda
