パブリッククラウドの 裏側で動く楽しい基盤技術の話 Infra Study Meetup #4 Presented by @inductor

自己紹介

自己紹介 名前: 太田 航平 (@inductor) 所属: HPE (Hewlett Packard Enterprise) 役職: ソリューションアーキテクト (Cloud Native and DevOps) Docker MeetupとかCloud Native Daysの運営、謎のアンバサダー業 好きなこと: 無限にスケールする(無限にスケールするとは言ってない)インフラ

Disclaimer 本セッションは本当は何時間もかけて話せる内容を LT向けに大幅に短縮したものです 予めオタク話になることをご了承ください また、今回はAWSとGCPの話がメインです

AWSとGCP 類似点と相似点

似ている用語 ● Region ● AZ(Availability Zone) ● VPC ● Subnet ● Region ● Zone ● VPC ● Subnetwork

意味が違う！ ● Region ● AZ(Availability Zone) ● VPC ● Subnet ● Region ● Zone ● VPC ● Subnetwork 意味が全然違う！

1 つ目の要点 ここにテキストを挿入 ここにテキストを挿入 ここに テキストを挿入 ここにテキストを挿入 ここにテキス トを挿入 ここにテキストを挿入 ここにテキストを挿入 ここにテキストを挿入 ここにテキストを挿入 ここに テキストを挿入 ここにテキストを挿入 ここにテキス トを挿入。 ここにテキストを挿入 ここにテキストを挿入 ここに テキストを挿入 ここにテキストを挿入 ここにテキス トを挿入 ここにテキストを挿入 ※AWS Black Beltの資料より引用

1 つ目の要点 ここにテキストを挿入 ここにテキストを挿入 ここに テキストを挿入 ここにテキストを挿入 ここにテキス トを挿入 ここにテキストを挿入 ここにテキストを挿入 ここにテキストを挿入 ここにテキストを挿入 ここに テキストを挿入 ここにテキストを挿入 ここにテキス トを挿入。 ここにテキストを挿入 ここにテキストを挿入 ここに テキストを挿入 ここにテキストを挿入 ここにテキス トを挿入 ここにテキストを挿入 ※GCPのドキュメントより引用

AWSのゾーンは物理的拠点の集合 GCPのゾーンは論理的拠点の集合

AWSのリージョン Datacenter Datacenter Datacenter AZ1 Datacenter Datacenter Datacenter AZ2 Datacenter Datacenter Datacenter AZ3

GCPのリージョン Datacenter Datacenter Datacenter Datacenter Datacenter Datacenter Datacenter Datacenter Datacenter 地理的に近いDatacenterたちの集合(with Borg) zone2 zone1 zone3

GCPのリージョン Datacenter Datacenter Datacenter Datacenter Datacenter Datacenter Datacenter Datacenter Datacenter 地理的に近いDatacenterたちの集合(with Borg) zone2 zone1 zone3 Borgとは、Googleによって開発されたクラスタマネー ジャで、複数のマシンにプログラムの処理を分散するた めの基盤となるシステムです。同じく Googleによって開 発され、インフラの現場で浸透しつつあるオーケストレー ションツールのKubernetesが大きな影響を受けたシステ ムだとされています。

GCPの世界中のリソースを跨いだ低 遅延ネットワーク技術はとても謎技 術（すごE） ちなみにこれのことを惑星規模のイ ンフラと呼びます(planet-scale)

GCPの低遅延ネットワーク技術はと ても謎技術（すごE）

GCPはBorgというクソデカシステムに 支えられた規模のインフラ

GCPはBorgというクソデカシステムに 支えられた地球規模のインフラ

でも、今日はこの話が したかったんじゃない

OSSの話をします（唐突）

AWSのFirecracker

GCPのgVisor

Firecracker AWS LambdaとFargateの下で動くmicroVM REST APIを備えており非常に高速な起動ができるKVMベースの仮想マシン インフラの集約率を上げマシンリソースの効率を高めつつ、異なる顧客のFaaS基盤と して提供できるセキュリティレベルを提供するために作られた コンテナを動かすためにも相性がよく、runCの代替技術スタックの1つとしても活躍が 期待されている

Firecracker AWS LambdaとFargateの下で動くmicroVM REST APIを備えており非常に高速な起動ができるKVMベースの仮想マシン インフラの集約率を上げマシンリソースの効率を高めつつ、異なる顧客のFaaS基盤と して提供できるセキュリティレベルを提供するために作られた コンテナを動かすためにも相性がよく、runCの代替技術スタックの1つとしても活躍が 期待されている

gVisor GCPではCloud RunやCloud Function, Google App Engineなどの下で動く サンドボックスコンテナランタイム マシンの上でユーザープロセスとして立ち上がり、カーネルのふりをすることによって ホストOSを保護する runCの代替として活躍が期待されている

gVisor GCPではCloud RunやCloud Function, Google App Engineなどの下で動く サンドボックスコンテナランタイム マシンの上でユーザープロセスとして立ち上がり、カーネルのふりをすることによって ホストOSを保護する runCの代替として活躍が期待されている

これ以上の詳細はコンテナ ランタイムミートアップで入門編を話 すので聞きに来てください

FirecrackerとgVisorを比較するのが めちゃくちゃ面白い FirecrackerはVMによるリソースの分離を提供して複数のコンテナを動かす gVisorは(ptraceの場合)それをせず同一ホスト上で複数のコンテナを動かす なぜgVisorは同一ホストで提供する？ セキュリティ的に大丈夫？

FirecrackerとgVisorを比較するのが めちゃくちゃ面白い FirecrackerはVMによるリソースの分離を提供して複数のコンテナを動かす gVisorは(ptraceの場合)それをせず同一ホスト上で複数のコンテナを動かす なぜgVisorは同一ホストで提供する？ セキュリティ的に大丈夫？ AWSはFirecrackerを動かすためにベアメタルを使うのに対し GCPはgVisorを動かす基盤の下に Borgによるリソースの分離が あらかじめ行われている だからgVisorが実行されている時点で既にマルチテナンシーにお ける分離レベルが確保されている？？

FirecrackerとgVisorを比較するのが めちゃくちゃ面白い FirecrackerはVMによるリソースの分離を提供して複数のコンテナを動かす gVisorは(ptraceの場合)それをせず同一ホスト上で複数のコンテナを動かす なぜgVisorは同一ホストで提供する？ セキュリティ的に大丈夫？ AWSはFirecrackerを動かすためにベアメタルを使うのに対し GCPはgVisorを動かす基盤の下に Borgによるリソースの分離が あらかじめ行われている だからgVisorが実行されている時点で既にマルチテナンシーにお ける分離レベルが確保されている？？

これ以上の詳細はコンテナ ランタイムミートアップで入門編を話 すので聞きに来てください

おわり