Slide 1

Slide 1 text

コンテナ支部recapをrecapしよう。 気になったコンテナの周りの アップデートを紹介

Slide 2

Slide 2 text

2

Slide 3

Slide 3 text

re:Invent期間中(前後を含む)に出た アップデートで個人的に興味深いものを選出し紹介

Slide 4

Slide 4 text

Amazon ECR パブリックギャラリーに 新しいナビゲーション機能と検索機能を導入 1.ナビゲーションと検索の向上 ECRパブリックギャラリーで、DockerやAmazonなどの有名なパブリッシャーの イメージを簡単に検索できる新しいフィルターが追加されました。 2.ユーザーフレンドリーなランディングページ 新しいランディングページには、検索結果を簡単にフィルタリングできる機能が 追加され、頻繁に使用されるリポジトリに簡単にアクセスできます。 https://aws.amazon.com/jp/about-aws/whats-new/2023/10/amazon-ecr-public- navigation-search-features-gallery/

Slide 5

Slide 5 text

Amazon ECR パブリックギャラリー https://gallery.ecr.aws/ ここのフィルターが追加

Slide 6

Slide 6 text

Amazon ECR パブリックギャラリー https://gallery.ecr.aws/

Slide 7

Slide 7 text

Kubernetes バージョンに対する Amazon EKS の 延長サポートが現在プレビューでご利用可能 1.延長されたサポート期間 Kubernetes v1.23以降、Amazon EKSはKubernetesバージョンを 公開後最大26か月間サポートする これにより、ユーザーはより長期間安定したサポートを受けられます。 2.継続的なセキュリティ更新 延長サポート期間中もAmazon EKSは Kubernetesコントロールプレーンのセキュリティパッチを提供し続ける https://aws.amazon.com/jp/about-aws/whats-new/2023/10/amazon-eks-support- kubernetes-versions-preview/

Slide 8

Slide 8 text

Kubernetes バージョンに対する Amazon EKS の 延長サポートが現在プレビューでご利用可能 https://aws.amazon.com/jp/about-aws/whats-new/2023/10/amazon-eks-support- kubernetes-versions-preview/

Slide 9

Slide 9 text

※ Kubernetes バージョンの延長サポートは現在プレビュー段階にあり、 プレビュー期間中は追加料金は発生しない。

Slide 10

Slide 10 text

こんなものには頼らずに アップデートはちゃんとしましょう。

Slide 11

Slide 11 text

AWS App Runner 周りの改善 1. カスタムドメインの簡単な関連付け App Runnerサービスにカスタムドメインを関連付けるプロセスが 簡素化され、特にAmazon Route 53をDNSプロバイダーとして 使用する場合、自動的に設定される 2. IPv6ベースのトラフィックのサポート ユーザーはIPv4とIPv6の両方をサポートするデュアルスタックの パブリックエンドポイントを作成できるようになった。 3. 新しいリージョンのサポート 欧州(ロンドン)、アジアパシフィック(ムンバイ)、欧州(パリ)の リージョンがApp Runnerの利用可能リストに追加されました。

Slide 12

Slide 12 text

Amazon ECS が、予測不可能な負荷の スパイクに対するアプリケーションの回復性を向上 Amazon ECSは、コンテナまたはロードバランサーのヘルスチェック に合格しなかった異常なタスクを終了する前に、 正常な代替タスクを先に開始するようになった => 予測不可能な負荷のスパイクに対するアプリケーションの回復性が向上 https://aws.amazon.com/jp/about-aws/whats-new/2023/10/amazon-ecs-applications- resiliency-unpredictable-load-spikes/

Slide 13

Slide 13 text

Amazon ECS が、予測不可能な負荷の スパイクに対するアプリケーションの回復性を向上

Slide 14

Slide 14 text

Amazon ECS が、予測不可能な負荷の スパイクに対するアプリケーションの回復性を向上

Slide 15

Slide 15 text

Amazon ECS が、予測不可能な負荷の スパイクに対するアプリケーションの回復性を向上

Slide 16

Slide 16 text

Amazon ECS が、予測不可能な負荷の スパイクに対するアプリケーションの回復性を向上

Slide 17

Slide 17 text

Amazon ECS が、予測不可能な負荷の スパイクに対するアプリケーションの回復性を向上 設定方法 • ”maximumPercent”パラメータを設定することで、同時に立ち上げる 代替タスクの最大数を制御できる。 • デフォルトでは200%に設定されているので、ここを調整するイメージ

Slide 18

Slide 18 text

AWS Fargate の Amazon ECS タスクで SOCI の選択的な利用が可能に 1.特定のコンテナイメージの遅延読み込み タスク定義に含まれる特定のコンテナイメージに対して 遅延読み込みを設定できるようになり、 サイズが大きなイメージの効率的な扱いが可能 2.デプロイとスケールアウト時間の短縮 必要なSOCIインデックスのみを生成することで、 アプリケーションのデプロイとスケールアウトに要する時間が短縮 される。 https://aws.amazon.com/jp/about-aws/whats-new/2023/11/aws-fargate-amazon-ecs- tasks-selectively-leverage-soci/

Slide 19

Slide 19 text

コンテナイメージの lazy loading について https://aws.amazon.com/jp/about-aws/whats-new/2023/11/aws-fargate-amazon-ecs- tasks-selectively-leverage-soci/ https://twitter.com/toricls/status/1721877821872873533? s=46&t=QENU_z5p7KeNQaf6VFOkww ここに大体の概要が・・笑

Slide 20

Slide 20 text

lazy loading とは?

Slide 21

Slide 21 text

今までは・・? 以前のlazy loadingでは、すべてのコンテナイメージに対する SOCIインデックスの事前準備が必要だった。

Slide 22

Slide 22 text

今回のアップデートでは何が変わった? 今回のアップデートで、lazy loadingが必要な コンテナイメージのSOCIインデックスのみが必要になり、 他のコンテナイメージは通常通りにダウンロードする動作となる。

Slide 23

Slide 23 text

Amazon Elastic Container Service で タスク起動の冪等性のサポートを開始 1.タスク起動の冪等性サポート タスクの起動プロセスに冪等性が導入され、タイムアウトや 接続エラーによる余分なインスタンスの起動を防ぐことができる。 2.時間とコストの節約 この機能により、安全にタスク起動を再試行でき、 意図した数以上のタスクが起動されないため、時間とコストの節 約につながる。 => recap話の中では、よくEventBridge経由で タスクを起動する 際に、処理の再試行などで必要以上のタスクが起動されないよう することができる https://aws.amazon.com/jp/about-aws/whats-new/2023/11/amazon-elastic-container- service-idempotency-launches/

Slide 24

Slide 24 text

Mountpoint for Amazon S3 CSI ドライバーの 一般提供を開始 1. S3オブジェクトへのファイルシステムインターフェイスアクセス Kubernetesアプリケーションからファイルシステムインターフェイスを経由 してS3オブジェクトにアクセスできるようになり、 アプリケーションに変更を加えずに高い総スループットを実現できる。 2. EKSでの簡単なセットアップと管理 Amazon EKSではEKSアドオンとしてこのCSIドライバーをサポートし、 EKSコンソール、AWS CLI、API、AWS CloudFormationを使用して簡単に インストール、設定、更新できる https://aws.amazon.com/jp/about-aws/whats-new/2023/11/mountpoint-amazon-s3-csi- driver/

Slide 25

Slide 25 text

Amazon Managed Service for Prometheusが、 Amazon EKS から Prometheus メトリクスの エージェントレスコレクターを起動 1.エージェントレスのPrometheusメトリクス収集 この完全管理型のエージェントレスコレクターを使用して、 Amazon EKS上で実行されるワークロードからPrometheusメトリクスを収集できます。これにより、 Amazon EKSアプリケーションとインフラストラクチャからの Prometheusメトリクスの発見と収集が、EKSコンソールまたはAPI呼び出しを通じて 簡単に行えるようになります。 2.運用負担の軽減 Prometheusエージェントのモニタリング、サイジング、運用にかかる日々の労力を 省くことができ、Amazon EKSアプリケーション、インフラストラクチャ、Kubernetes apiserverからの Prometheusメトリクスをエージェントなしで 自動的に発見し収集できます。 https://aws.amazon.com/about-aws/whats-new/2023/11/amazon-managed-service- prometheus-agentless-collector-metrics-eks/

Slide 26

Slide 26 text

⭕ AWS Fargate を含む Amazon GuardDuty ECS ランタイムモニタリング Amazon ECSワークロードのランタイム脅威検出 Amazon Elastic Container Service (ECS) ワークロード、 特にAWS Fargate上で実行されるサーバーレスコンテナワークロード のランタイム脅威検出が可能になる。 https://aws.amazon.com/about-aws/whats-new/2023/11/amazon-guardduty-ecs-runtime- monitoring-fargate/

Slide 27

Slide 27 text

AWS Fargate を含む Amazon GuardDuty ECS ランタイムモニタリング ポイント • ECSクラスター上で動作しているコンテナに対して ランタイムセキュリティに関する問題を検出できる • ECS on FargateはGA, ECS on EC2はパブリックプレビュー • サイドカー形式でデプロイされたGuardDutyセキュリティエージェント によって、ランタイムセキュリティに関するイベントを記録 • 専用のVPCエンドポイントが作成される • エージェントが記録したイベントはVPCエンドポイント経由でGuardDutyに送 信 • このVPCエンドポイントは無料

Slide 28

Slide 28 text

AWS Fargate を含む Amazon GuardDuty ECS ランタイムモニタリング 自動エージェント設定とある。

Slide 29

Slide 29 text

⭕ Amazon Inspector が開発者ツールと統合することで コンテナイメージのセキュリティを強化 1. 開発ツールとの統合によるコンテナイメージのセキュリティ評価 JenkinsやTeamCityなどの主要な開発ツールとの統合により、開発者は CI/CDツール内でコンテナイメージのソフトウェア脆弱性を評価できるようになり、 ソフトウェア開発ライフサイクルの早い段階でセキュリティを向上させる 2. CI/CDダッシュボード内の評価結果と自動対応 評価結果はCI/CDツールのダッシュボード内で利用可能となり、開発者は 重大なセキュリティ問題に対して、ビルドのブロックやコンテナレジストリへの イメージプッシュの阻止などの自動対応を取ることができる https://aws.amazon.com/jp/about-aws/whats-new/2023/11/mountpoint-amazon-s3-csi- driver/

Slide 30

Slide 30 text

Amazon Inspector が開発者ツールと統合することで コンテナイメージのセキュリティを強化 発表のされ方が斬新だった 是非見てない人は、 WernerのKeynoteを見てください!

Slide 31

Slide 31 text

Amazon Inspector が開発者ツールと統合することで コンテナイメージのセキュリティを強化 今までは、ECRイメージスキャンと呼ばれるものが存在した。 • ベーシックスキャン • オープンソースの Clair プロジェクトのCVEデータベースを使用 • イメージのプッシュ時にスキャンするか、手動実行 • 拡張スキャン • Amazon Inspector と統合しリポジトリの自動継続的なスキャン https://aws.amazon.com/jp/about-aws/whats-new/2023/11/mountpoint-amazon-s3-csi- driver/

Slide 32

Slide 32 text

Amazon Inspector が開発者ツールと統合することで コンテナイメージのセキュリティを強化 今回のアップデートのポイント • ベーシックスキャンは、オンデマンドスキャンが 可能なので、CI/CDに組み込めたが、拡張スキャンは 対応していなかった。 • アップデートにより、AWS SDK/CLI にて実行が可能になります。 もちろん”inspector-scan API ”というAPIを利用し、 組み込むこともできそう

Slide 33

Slide 33 text

まとめ • 今回のアップデートは、細かい内容のものが多かった印象 だが、開発者にとって痒い所に手が届くそんな機能の アップデートは地味に嬉しいんじゃないでしょうか。 • 来年もコンテナ支部は現地でrecapをやるはずです! ぜひ現地ラスベガスでお会いしましょう!

Slide 34

Slide 34 text

イベントの宣伝! AWSとも関係が深い Serverlessの エコシステムを学ぶ イベントを開催します! 現地会場もあるので、是非!