コンテナ支部recapをrecapしよう_気になったコンテナの周りのアップデートを紹介.pdf

コンテナ支部recapをrecapしよう。気になったコンテナの周りのアップデートを紹介

re:Invent期間中(前後を含む)に出たアップデートで個人的に興味深いものを選出し紹介

Amazon ECR パブリックギャラリーに新しいナビゲーション機能と検索機能を導入 1.ナビゲーションと検索の向上 ECRパブリックギャラリーで、DockerやAmazonなどの有名なパブリッシャーのイメージを簡単に検索できる新しいフィルターが追加されました。 2.ユーザーフレンドリーなランディングページ新しいランディングページには、検索結果を簡単にフィルタリングできる機能が追加され、頻繁に使用されるリポジトリに簡単にアクセスできます。
https://aws.amazon.com/jp/about-aws/whats-new/2023/10/amazon-ecr-public- navigation-search-features-gallery/

Amazon ECR パブリックギャラリー https://gallery.ecr.aws/ ここのフィルターが追加

Amazon ECR パブリックギャラリー https://gallery.ecr.aws/

Kubernetes バージョンに対する Amazon EKS の延長サポートが現在プレビューでご利用可能 1.延長されたサポート期間 Kubernetes v1.23以降、Amazon EKSはKubernetesバージョンを
公開後最大26か月間サポートするこれにより、ユーザーはより長期間安定したサポートを受けられます。 2.継続的なセキュリティ更新延長サポート期間中もAmazon EKSは Kubernetesコントロールプレーンのセキュリティパッチを提供し続ける https://aws.amazon.com/jp/about-aws/whats-new/2023/10/amazon-eks-support- kubernetes-versions-preview/

Kubernetes バージョンに対する Amazon EKS の延長サポートが現在プレビューでご利用可能 https://aws.amazon.com/jp/about-aws/whats-new/2023/10/amazon-eks-support- kubernetes-versions-preview/

※ Kubernetes バージョンの延長サポートは現在プレビュー段階にあり、プレビュー期間中は追加料金は発生しない。

こんなものには頼らずにアップデートはちゃんとしましょう。

AWS App Runner 周りの改善 1. カスタムドメインの簡単な関連付け App Runnerサービスにカスタムドメインを関連付けるプロセスが簡素化され、特にAmazon Route
53をDNSプロバイダーとして使用する場合、自動的に設定される 2. IPv6ベースのトラフィックのサポートユーザーはIPv4とIPv6の両方をサポートするデュアルスタックのパブリックエンドポイントを作成できるようになった。 3. 新しいリージョンのサポート欧州（ロンドン）、アジアパシフィック（ムンバイ）、欧州（パリ）のリージョンがApp Runnerの利用可能リストに追加されました。

Amazon ECS が、予測不可能な負荷のスパイクに対するアプリケーションの回復性を向上 Amazon ECSは、コンテナまたはロードバランサーのヘルスチェックに合格しなかった異常なタスクを終了する前に、正常な代替タスクを先に開始するようになった => 予測不可能な負荷のスパイクに対するアプリケーションの回復性が向上
https://aws.amazon.com/jp/about-aws/whats-new/2023/10/amazon-ecs-applications- resiliency-unpredictable-load-spikes/

Amazon ECS が、予測不可能な負荷のスパイクに対するアプリケーションの回復性を向上

Amazon ECS が、予測不可能な負荷のスパイクに対するアプリケーションの回復性を向上設定方法 • ”maximumPercent”パラメータを設定することで、同時に立ち上げる代替タスクの最大数を制御できる。 • デフォルトでは200％に設定されているので、ここを調整するイメージ

AWS Fargate の Amazon ECS タスクで SOCI の選択的な利用が可能に 1.特定のコンテナイメージの遅延読み込みタスク定義に含まれる特定のコンテナイメージに対して
遅延読み込みを設定できるようになり、サイズが大きなイメージの効率的な扱いが可能 2.デプロイとスケールアウト時間の短縮必要なSOCIインデックスのみを生成することで、アプリケーションのデプロイとスケールアウトに要する時間が短縮される。 https://aws.amazon.com/jp/about-aws/whats-new/2023/11/aws-fargate-amazon-ecs- tasks-selectively-leverage-soci/

コンテナイメージの lazy loading について https://aws.amazon.com/jp/about-aws/whats-new/2023/11/aws-fargate-amazon-ecs- tasks-selectively-leverage-soci/ https://twitter.com/toricls/status/1721877821872873533? s=46&t=QENU_z5p7KeNQaf6VFOkww ここに大体の概要が・・笑

lazy loading とは？

今までは・・？以前のlazy loadingでは、すべてのコンテナイメージに対する SOCIインデックスの事前準備が必要だった。

今回のアップデートでは何が変わった？今回のアップデートで、lazy loadingが必要なコンテナイメージのSOCIインデックスのみが必要になり、他のコンテナイメージは通常通りにダウンロードする動作となる。

Amazon Elastic Container Service でタスク起動の冪等性のサポートを開始 1.タスク起動の冪等性サポートタスクの起動プロセスに冪等性が導入され、タイムアウトや接続エラーによる余分なインスタンスの起動を防ぐことができる。 2.時間とコストの節約
この機能により、安全にタスク起動を再試行でき、意図した数以上のタスクが起動されないため、時間とコストの節約につながる。 => recap話の中では、よくEventBridge経由でタスクを起動する際に、処理の再試行などで必要以上のタスクが起動されないようすることができる https://aws.amazon.com/jp/about-aws/whats-new/2023/11/amazon-elastic-container- service-idempotency-launches/

Mountpoint for Amazon S3 CSI ドライバーの一般提供を開始 1. S3オブジェクトへのファイルシステムインターフェイスアクセス Kubernetesアプリケーションからファイルシステムインターフェイスを経由
してS3オブジェクトにアクセスできるようになり、アプリケーションに変更を加えずに高い総スループットを実現できる。 2. EKSでの簡単なセットアップと管理 Amazon EKSではEKSアドオンとしてこのCSIドライバーをサポートし、 EKSコンソール、AWS CLI、API、AWS CloudFormationを使用して簡単にインストール、設定、更新できる https://aws.amazon.com/jp/about-aws/whats-new/2023/11/mountpoint-amazon-s3-csi- driver/

Amazon Managed Service for Prometheusが、 Amazon EKS から Prometheus メトリクスの
エージェントレスコレクターを起動 1.エージェントレスのPrometheusメトリクス収集この完全管理型のエージェントレスコレクターを使用して、 Amazon EKS上で実行されるワークロードからPrometheusメトリクスを収集できます。これにより、 Amazon EKSアプリケーションとインフラストラクチャからの Prometheusメトリクスの発見と収集が、EKSコンソールまたはAPI呼び出しを通じて簡単に行えるようになります。 2.運用負担の軽減 Prometheusエージェントのモニタリング、サイジング、運用にかかる日々の労力を省くことができ、Amazon EKSアプリケーション、インフラストラクチャ、Kubernetes apiserverからの Prometheusメトリクスをエージェントなしで自動的に発見し収集できます。 https://aws.amazon.com/about-aws/whats-new/2023/11/amazon-managed-service- prometheus-agentless-collector-metrics-eks/

⭕ AWS Fargate を含む Amazon GuardDuty ECS ランタイムモニタリング Amazon ECSワークロードのランタイム脅威検出
Amazon Elastic Container Service (ECS) ワークロード、特にAWS Fargate上で実行されるサーバーレスコンテナワークロードのランタイム脅威検出が可能になる。 https://aws.amazon.com/about-aws/whats-new/2023/11/amazon-guardduty-ecs-runtime- monitoring-fargate/

AWS Fargate を含む Amazon GuardDuty ECS ランタイムモニタリングポイント • ECSクラスター上で動作しているコンテナに対して
ランタイムセキュリティに関する問題を検出できる • ECS on FargateはGA, ECS on EC2はパブリックプレビュー • サイドカー形式でデプロイされたGuardDutyセキュリティエージェントによって、ランタイムセキュリティに関するイベントを記録 • 専用のVPCエンドポイントが作成される • エージェントが記録したイベントはVPCエンドポイント経由でGuardDutyに送信 • このVPCエンドポイントは無料

AWS Fargate を含む Amazon GuardDuty ECS ランタイムモニタリング自動エージェント設定とある。

⭕ Amazon Inspector が開発者ツールと統合することでコンテナイメージのセキュリティを強化 1. 開発ツールとの統合によるコンテナイメージのセキュリティ評価 JenkinsやTeamCityなどの主要な開発ツールとの統合により、開発者は CI/CDツール内でコンテナイメージのソフトウェア脆弱性を評価できるようになり、ソフトウェア開発ライフサイクルの早い段階でセキュリティを向上させる
2. CI/CDダッシュボード内の評価結果と自動対応評価結果はCI/CDツールのダッシュボード内で利用可能となり、開発者は重大なセキュリティ問題に対して、ビルドのブロックやコンテナレジストリへのイメージプッシュの阻止などの自動対応を取ることができる https://aws.amazon.com/jp/about-aws/whats-new/2023/11/mountpoint-amazon-s3-csi- driver/

Amazon Inspector が開発者ツールと統合することでコンテナイメージのセキュリティを強化発表のされ方が斬新だった是非見てない人は、 WernerのKeynoteを見てください！

Amazon Inspector が開発者ツールと統合することでコンテナイメージのセキュリティを強化今までは、ECRイメージスキャンと呼ばれるものが存在した。 • ベーシックスキャン • オープンソースの Clair
プロジェクトのCVEデータベースを使用 • イメージのプッシュ時にスキャンするか、手動実行 • 拡張スキャン • Amazon Inspector と統合しリポジトリの自動継続的なスキャン https://aws.amazon.com/jp/about-aws/whats-new/2023/11/mountpoint-amazon-s3-csi- driver/

Amazon Inspector が開発者ツールと統合することでコンテナイメージのセキュリティを強化今回のアップデートのポイント • ベーシックスキャンは、オンデマンドスキャンが可能なので、CI/CDに組み込めたが、拡張スキャンは対応していなかった。 •
アップデートにより、AWS SDK/CLI にて実行が可能になります。もちろん”inspector-scan API ”というAPIを利用し、組み込むこともできそう

まとめ • 今回のアップデートは、細かい内容のものが多かった印象だが、開発者にとって痒い所に手が届くそんな機能のアップデートは地味に嬉しいんじゃないでしょうか。 • 来年もコンテナ支部は現地でrecapをやるはずです！ぜひ現地ラスベガスでお会いしましょう！

イベントの宣伝！ AWSとも関係が深い Serverlessのエコシステムを学ぶイベントを開催します！現地会場もあるので、是非！

コンテナ支部recapをrecapしよう_気になったコンテナの周りのアップデートを紹介.pdf

コンテナ支部recapをrecapしよう_気になったコンテナの周りのアップデートを紹介.pdf

yoshitaka KOITABASHI

More Decks by yoshitaka KOITABASHI

Other Decks in Technology

Featured

Transcript

コンテナ支部recapをrecapしよう。気になったコンテナの周りのアップデートを紹介

2

re:Invent期間中(前後を含む)に出たアップデートで個人的に興味深いものを選出し紹介

Amazon ECR パブリックギャラリー https://gallery.ecr.aws/ ここのフィルターが追加

Amazon ECR パブリックギャラリー https://gallery.ecr.aws/

Kubernetes バージョンに対する Amazon EKS の延長サポートが現在プレビューでご利用可能 1.延長されたサポート期間 Kubernetes v1.23以降、Amazon EKSはKubernetesバージョンを

Kubernetes バージョンに対する Amazon EKS の延長サポートが現在プレビューでご利用可能 https://aws.amazon.com/jp/about-aws/whats-new/2023/10/amazon-eks-support- kubernetes-versions-preview/

※ Kubernetes バージョンの延長サポートは現在プレビュー段階にあり、プレビュー期間中は追加料金は発生しない。

こんなものには頼らずにアップデートはちゃんとしましょう。

AWS App Runner 周りの改善 1. カスタムドメインの簡単な関連付け App Runnerサービスにカスタムドメインを関連付けるプロセスが簡素化され、特にAmazon Route

Amazon ECS が、予測不可能な負荷のスパイクに対するアプリケーションの回復性を向上

Amazon ECS が、予測不可能な負荷のスパイクに対するアプリケーションの回復性を向上

Amazon ECS が、予測不可能な負荷のスパイクに対するアプリケーションの回復性を向上

Amazon ECS が、予測不可能な負荷のスパイクに対するアプリケーションの回復性を向上

AWS Fargate の Amazon ECS タスクで SOCI の選択的な利用が可能に 1.特定のコンテナイメージの遅延読み込みタスク定義に含まれる特定のコンテナイメージに対して

コンテナイメージの lazy loading について https://aws.amazon.com/jp/about-aws/whats-new/2023/11/aws-fargate-amazon-ecs- tasks-selectively-leverage-soci/ https://twitter.com/toricls/status/1721877821872873533? s=46&t=QENU_z5p7KeNQaf6VFOkww ここに大体の概要が・・笑

lazy loading とは？

今までは・・？以前のlazy loadingでは、すべてのコンテナイメージに対する SOCIインデックスの事前準備が必要だった。

今回のアップデートでは何が変わった？今回のアップデートで、lazy loadingが必要なコンテナイメージのSOCIインデックスのみが必要になり、他のコンテナイメージは通常通りにダウンロードする動作となる。

Mountpoint for Amazon S3 CSI ドライバーの一般提供を開始 1. S3オブジェクトへのファイルシステムインターフェイスアクセス Kubernetesアプリケーションからファイルシステムインターフェイスを経由

Amazon Managed Service for Prometheusが、 Amazon EKS から Prometheus メトリクスの

⭕ AWS Fargate を含む Amazon GuardDuty ECS ランタイムモニタリング Amazon ECSワークロードのランタイム脅威検出

AWS Fargate を含む Amazon GuardDuty ECS ランタイムモニタリングポイント • ECSクラスター上で動作しているコンテナに対して

AWS Fargate を含む Amazon GuardDuty ECS ランタイムモニタリング自動エージェント設定とある。

Amazon Inspector が開発者ツールと統合することでコンテナイメージのセキュリティを強化発表のされ方が斬新だった是非見てない人は、 WernerのKeynoteを見てください！

Amazon Inspector が開発者ツールと統合することでコンテナイメージのセキュリティを強化今までは、ECRイメージスキャンと呼ばれるものが存在した。 • ベーシックスキャン • オープンソースの Clair

イベントの宣伝！ AWSとも関係が深い Serverlessのエコシステムを学ぶイベントを開催します！現地会場もあるので、是非！