OCIコンテナ関連サービス最新事情 〜OKEと周辺サービスの現在地と未来〜 Takuya Niita Cloud Solution Engineer Oracle Corporation Japan, Solution Architect Dec 17, 2021

Copyright © 2021, Oracle and/or its affiliates.

アジェンダ 1. 2021年のアップデート状況サマリ 2. OKEのアップデート詳細とロードマップ2021 3. OCIRのアップデート詳細とロードマップ2021 4. デモ Copyright © 2021, Oracle and/or its affiliates.

2021年のアップデート状況サマリ Copyright © 2021, Oracle and/or its affiliates.

OKEとOCIRのサービス開始 2018年5月7日 2021年12月17日 1,320日(約3年7ヶ月) Copyright © 2021, Oracle and/or its affiliates.

OKEとOCIRのアップデート数 49 Updates(うち、2021年は19 Updates) 7 Updates(うち、2021年は5 Updates) Copyright © 2021, Oracle and/or its affiliates.

OKEのアップデートサマリ • Kubernetesバージョン • v 1.19.x • v 1.20.x • v 1.21.x • クラスタ環境 • フレキシブルロードバランサーのサポート • プライベートクラスタのサポート • Cluster Autoscalerのサポート • GPU/ARMアーキテクチャのサポート • ロードバランサー with 予約IPのサポート • OCI Service Operator(OSOK)のサポート • クラスタ運用 • Node Doctor Script • Kubernetes RABCとOCI IAMグループとの連携 • VCNネイティブクラスターへの移行サポート • ノードプールに対する作業リクエストの表示 • セキュリティ • NSG(ネットワークセキュリティグループ)のサ ポート • コンテナイメージの検証 Copyright © 2021, Oracle and/or its affiliates.

OCIRのアップデートサマリ • 運用 • コンパートメントのサポート • APIサポート • イメージ • Open Container Initiative(OCI)サポート • マルチアーキテクチャイメージサポート • セキュリティ • コンテナイメージのスキャン、署名/検証 Copyright © 2021, Oracle and/or its affiliates.

OKEのアップデート詳細とロードマップ2021 Copyright © 2021, Oracle and/or its affiliates.

プライベートクラスタのサポート • コントロールプレーンのAPIエンドポイントをPrivateサブネット上に • インターネットアクセスなし • APIエンドポイントに対する外部からの不正なアクセスを防止 • よりセキュアなクラスタを構築可能 • 外部からのアクセスは不可になるため、Bastion(踏み台)を構築する必要あり • OCI Bastionサービスは無償 • 利用手順 クイック作成 カスタム作成 Copyright © 2021, Oracle and/or its affiliates.

Cluster Autoscalerのサポート • Kubernetesのスケール手法の一つであるCluster Autoscalerをサポート • Worker Nodeをスケール • HPA(Podの水平スケール)/VPA(Podの垂直スケール)はすでにサポート済み • HPAとの併用でスケーラビリティ向上!! • 利用手順 • 動的グループ/ポリシーの作成 • Cluster Autoscaler用のmanifestをデプロイ • https://bit.ly/2021_oke • スケール範囲(最小/最大Node数) • スケール対象のノードプールの指定 Resource Requests を忘れずに！！！ Copyright © 2021, Oracle and/or its affiliates.

GPU/ARMアーキテクチャのサポート • OKEで利用可能なWorker NodeにGPU/ARMプロセッサインスタンスが追加 • GPU Nodeを利用した機械学習ワークロード(V100/A100インスタンス) • BM.GPU3.8/BM.GPU4.8/VM.GPU3.1/VM.GPU3.2/VM.GPU3.4 • ARMプロセッサを含めた幅広いCPUアーキテクチャのサポート(Ampere A1 Arm) • BM.Standard.A1/VM.Standard.A1.Flex • コンテナイメージにArm固有のマニフェストを追加する必要あり • 利用手順 • クラスタ作成時のシェイプで選択(クイック作成/カスタム作成共通) Copyright © 2021, Oracle and/or its affiliates.

OCI Service Operator for Kubernetes(OSOK)のサポート • OKEからAPI経由でOCI上の各種サービスを管理できる仕組み • Operator SDKベース • https://github.com/oracle/oci-service-operator • 現時点でサポートしているサービス(今後も追加予定) • OCI Streaming • Autonomous Database(ATP/ADW) • MySQL Cloud Service • 各サービスのプロビジョニングや削除などのライフサイクルをKubernetes Operatorの仕 組みで管理可能 • 利用手順 • Operator SDK/OLM(Operator Lifecycle Manager)のインストール • OLMを利用してOSOKをOKEにインストール • Manifestを作成し、OCIサービスを操作 Copyright © 2021, Oracle and/or its affiliates.

Kubernetes RABCとOCI IAMグループとの連携 • OKE上のKubernetes RBAC機能とOCI IAMを連携 • Kubernetes上のリソースをIAMグループに基づいて権限管理 • IAMユーザ単位でも可能 • 利用手順 • ManifestでRoleを作成 • 対象のリソースと許可する操作を指定 • ManifestでRole Bindingを作成 • OCI IAMグループを指定 Copyright © 2021, Oracle and/or its affiliates.

コンテナイメージの検証 • OCIR(コンテナ・レジストリ)で署名されたイメージのみがデプロイ可能 • イメージのソース（取得元）が信頼できること、整合性があることの確認 • OKE側に署名時に利用した暗号化キーを設定し、イメージの検証に適合したイメージの みをデプロイ対象とすることが可能 • イメージが検証できない場合、Podは作成されない • 利用手順 • OCIR側でコンテナイメージに署名(API/OCI CLIを利用) • OKEに署名に利用した暗号化キーを設定 暗号化キーは複数指定可能 Copyright © 2021, Oracle and/or its affiliates.

今後のロードマップ • Kubernetes v1.22サポート • OCI CSIドライバーのFSS(File Storage Service)のサポート • OSOK(OCI Service Operator for Kubernetes)の対応サービスの拡充 • Native Pod Networking(OCI Native CNI)サポート • OKEのAlways Freeでの利用 • Worker Nodeでの軽量VMのサポート • OKEでのObservability(Logging/Monitoring) の拡充 ! ! ! ! まだまだ進化は続きます！！！ Copyright © 2021, Oracle and/or its affiliates.

OCIRのアップデート詳細とロードマップ2021 Copyright © 2021, Oracle and/or its affiliates.

コンパートメントのサポート • OCIRのアクセス制御をコンパートメント単位で実施 • 今まではテナンシー全体での制御 • コンパートメントにポリシー（アクセス制御）が設定可能 • チーム毎や部署毎にコンパートメントを分けて、pull/pushの操作を制御 • コンパートメントにイメージをpushする場合、事前にレポジトリを作成する必要あり • 利用手順 • OCIRのポリシー設定 • ポリシーの適用範囲はコンパートメントスコープ • 対象のコンパートメントにレポジトリを作成 • dockerコマンドによるpull/pushの実施 コンパートメントの選択 Copyright © 2021, Oracle and/or its affiliates.

Open Container Initiative/マルチアーキテクチャサポート • OCIRに格納可能なコンテナイメージ種別の拡充 • OCI(Open Container Initiative)イメージのサポート • Dockerの他にcontainerd/CRI-OなどのOCI準拠のコンテナイメージを利用可能 • OKE v1.19からコンテナ・ランタイムがCRI-Oに変更 • マルチアーキテクチャサポート • Intel/AMD/ARMのサポート • Armイメージを利用する場合はArm固有のイメージを別途用意 • 利用手順(マルチアーキテクチャサポート) • docker buildx/Podmanなどを利用してマルチアーキテクチャイメージを構築 • OCIRにプッシュ Copyright © 2021, Oracle and/or its affiliates.

コンテナイメージのスキャン、署名/検証 • OCIRでのコンテナイメージスキャン • OCIのサービスである脆弱性スキャン・サービス(OCI VSS)の一部 • 脆弱性情報データベース(CVE) に公開されているセキュリティ脆弱性を検出 • 利用手順 • API/CLIでスキャン構成を作成 • API/CLIでスキャン実行 • コンテナイメージ署名/検証 • OCIRにプッシュしたイメージをOCI Vault内の暗号化キーで署名 • OCIRで署名したイメージを検証（OKE側で検証することも可能) • 利用手順 • OCI Vaultで暗号化キーを作成 • API/CLI/(コンソール)で署名/検証を実行 Copyright © 2021, Oracle and/or its affiliates.

今後のロードマップ • クロスリージョンレプリケーションサポート • 特定のリージョンから別のリージョンにイメージを自動的にコピー • Artifact Registryとの統合 • OCIとして一つのRepositoryサービスとして提供 • Mavenレポジトリやビルド成果物なども格納可能に • 顧客管理キーを利用したコンテンツの暗号化 ! ! ! ! まだまだ進化は続きます！！！ Copyright © 2021, Oracle and/or its affiliates.

デモ Copyright © 2021, Oracle and/or its affiliates.

コンテナイメージのスキャン、署名/検証デモ ②イメージ署名 ①イメージスキャン ③イメージ検証 ④イメージ検証 検証に成功したコンテナ 未検証 or 検証に失敗したコンテナ Copyright © 2021, Oracle and/or its affiliates.

Thank you Copyright © 2021, Oracle and/or its affiliates.