Container Engine for Kubernetes
Oracle Cloud Infrastructure Container Engine for Kubernetes(OKE)は、エンタープライズ・グレードのKubernetesの運用を大規模に簡素化するマネージドKubernetesサービスです。Kubernetesインフラストラクチャの複雑な管理に必要な時間、コスト、労力を削減します。Container Engine for Kubernetesは、Kubernetesクラスターをデプロイし、自動スケーリング、アップグレード、セキュリティパッチ適用により、コントロール・プレーンとワーカー・ノードの両方で信頼性の高い運用を確保できます。さらに、OKEは、仮想ノードによる完全なサーバーレスKubernetesエクスペリエンスを提供します。
OKEの機能
運用
仮想ノードを使用したサーバーレスKubernetes
仮想ノードは、サーバーレスなKubernetesエクスペリエンスを提供し、クラスタのインフラスチャの管理、スケーリング、アップグレード、トラブルシューティングに追加のリソースを費やすことなく、コンテナ化アプリケーションを大規模に実行することができます。
仮想ノードは、Kubernetesに通常のノードの抽象化を提供し、ポッド単位の価格設定できめ細かなポッド弾力性を実現します。クラスタの容量を考慮することなくデプロイメントを拡張できるため、高トラフィックのウェブアプリケーションやデータ処理ジョブなど、スケーラブルなワークロードの実行を簡素化することができます。
マネージド・ノード
マネージド・ノードは、お客様のテナンシ内に作成され、OKEとお客様が共同責任のもと運用するワーカーノードです。お客様はワーカー・ノード・プールの仕様を定義することができ、OKEはこれらのノードのプロビジョニングを効率化します。OKEは、ワーカー・ノードの更新を自動化するオンデマンド・サイクリング、障害検出時のワーカー・ノードの自己回復、自動スケーリングなど、ワーカー・ノードの主要な継続運用を自動化および簡素化する機能を提供します。マネージド・ノードは、仮想ノードでは対応できないコンピュート・シェイプを必要とするワーカー・ノードを必要とするお客様に適しています。
セルフマネージド・ノード
セルフマネージド・ノードは、マネージド・ノードではサポートされない独自のコンピュート構成やスタック全体の高度なセットアップを必要とするコンテナ化さられたワークロードをOKE上で実行するための、さらなるカスタマイズと制御を提供します。お客様は、RDMA対応のベアメタルHPC/GPU、機密コンピューティング、その他の特殊なユースケースなど、特殊なインフラストラクチャ・オプションを活用できます。お客様は引き続きマネージド・コントロール・プレーンを利用できますが、KubernetesのアップグレードやOSへのパッチ適用など、ワーカー・ノード自体を管理する必要があります。
Kubernetesの自動アップグレード
ワンクリックでKubernetesバージョンのアップグレードをトリガーします。仮想ノードは、お客様のアプリケーションの可用性を尊重しながら、ワーカー・ノードや基礎となるインフラストラクチャの更新やセキュリティパッチをシームレスかつオンザフライで自動的に提供します。
自動スケーリングを備えた高可用性のKubernetes
任意の市販リージョンや Oracle Cloud Infrastructure (OCI) Dedicated Region 内の複数の可用性ドメイン(データ センター)にまたがるクラスタを使用して、アプリケーションの可用性を向上させます。ポッドを水平および垂直にスケールし、クラスタもスケールします。
オンデマンド・ノード・サイクリング
オンデマンド・ノード・サイクリングは、OKEクラスタのマネージド・ワーカー・ノードの更新作業を大幅に効率化し、時間のかかる手動でのノード・ローテーションやカスタムソリューションの開発を不要にします。この新機能により、KubernetesとホストOSのバージョン更新が劇的に簡単かつ効率的になります。さらに、SSHキー、ブート・ボリューム・サイズ、カスタムcloud-initスクリプトなど、さまざまなノードプールプロパティを簡単に変更できます。
アドオン・ライフサイクル管理
OCIが完全に管理する設定可能なアドオン・ソフトウェアの厳選されたコレクションで、Kubernetesクラスターの機能を簡単に拡張および制御できます。このソフトウェアには、お客様のクラスタ上に導入される運用ソフトウェアのポートフォリオが含まれています。また、CNI、CoreDNS、Kubernetes Dashboard、Oracle Database Operator、WebLogic Operatorなどの関連アプリやオペレーターも含まれています。
OKEは、アドオン・ソフトウェアの初期導入と設定から、アップグレード、パッチ適用、スケーリング、ローリング設定変更などの継続的な運用に至るまで、ライフサイクルを管理することができます。
ユーザーは、クラスタ作成時にアドオンを選択し、特定のアドオンの無効化、アドオンのバージョンの指定、自動アップデートやOCIが提供する特定のアドオンをオプトアウトして独自のソフトウェアを使用するなど、設定をカスタマイズすることができます。
クラスタの観測性
Oracle Cloud Infrastructure、Datadog、Aqua Securityをはじめとするパートナー各社のツールを使用して、これらのアプリケーションを監視し、保護します。
自己回復型のクラスター・ノード
ノードの障害を検出したContainer Engine for Kubernetesでは、新たなワーカー・ノードを自動的にプロビジョニングしてクラスターの可用性を維持します。
セーフ・ノード削除
自動化されたコードンとドレインオプションにより、アプリケーションを中断することなく、ワーカーノードを安全に削除します。
補償付きのSLA
OKEクラスタに含まれるサービスレベル契約(SLA)は、OKEコントロール・プレーンとワーカー・ノードのアップタイムと可用性に対して金銭的な補償を提供します。ワーカー・ノードのカバー範囲は、OCI Compute SLAが提供するものと同等です。
開発者向けに作成
ワンクリックによるクラスター作成
基盤となる仮想クラウド・ネットワーク、インターネット・ゲートウェイ、NATゲートウェイなどで構成するKubernetesクラスターを1回のクリックで導入します。
完全なREST APIおよびコマンドライン・インターフェイス(CLI)のサポート
Kubernetesクラスターの作成、スケーリング、運用などのあらゆるアクションで、WebベースのREST APIとCLIを使用してKubernetesの運用を自動化します。
包括的で多彩な計算オプション
ベア・メタル、高性能コンピューティング(HPC)、仮想マシンの多彩なオプションから最適なコンピュート・シェイプを選択することにより、コストとパフォーマンスを最適化します。OKEを使用してKubernetes環境でGPUおよびArm-ベースのアプリケーションを管理します。Oracle Container Image Registryを使用してマルチアーキテクチャ・イメージをサポートします。
他のOCIサービスとの緊密な統合
Container Engine for Kubernetesは、OCI Container Registry、DevOps CI/CD、ネットワーキング、ストレージなどのOracle Cloud Infrastructure(OCI)サービスとシームレスに統合できます。Oracle Cloud Infrastructure (OCI) Service Operator for Kubernetesを活用することで、OKEクラスタからOCIサービスを直接管理できるようになります。
OCI Service Operator for Kubernetesでは、Kubernetes APIとツールを使用して、Autonomous DatabaseやMySQL DatabaseなどのOCIリソースとの接続を簡単に作成、管理、確立できます。OCI Service Operator for Kubernetesをインストールした後は、Kubernetes APIを通じてOCIリソースに対してアクションを実行できるため、OCIコンソール、CLI、またはその他の開発者ツールが不要になります。
オープン・ソースで構築され、DevOpsツールチェーンと連携
コンテナエンジン for Kubernetesは、オープンスタンダードに基づいて構築されており、オープンソースのアップストリームKubernetesと完全に適合しています。これにより、エコシステム・ソリューションを活用でき、開発ツール(Argo CD、Gitlab、Jenkinsなど)と簡単に統合できます。
セキュリティ
近日公開:Oracle Cloud GuardによるKubernetesのガバナンス
Oracle Cloud Guardは、すぐに使えるKubernetesのガバナンスを提供し、OKEにリソースを導入する際の自動化されたセキュリティとKubernetesのベストプラクティスへの準拠を保証します。Cloud Guardは、自身がキュレーションしたポリシーを使用して構成の問題を自動的に特定することでこれを可能にし、OKEクラスタのセキュリティとコンプライアンスの維持を容易にします。
暗号化
キー管理サービスを使用して、保存中のKubernetesシークレットを暗号化します。
Oracleでは、256ビットの暗号化によるAdvanced Encryption Standard (AES)アルゴリズムを使用して、保存時にブロック・ボリューム、ブート・ボリュームおよびボリューム・バックアップを常に暗号化します。Oracle Cloud Infrastructure Vaultを使用して、自分の暗号化キーのライフサイクルを管理することもできます。
コンプライアンス
OCI Container Engine for Kubernetesは、HIPAA、PCI、SOC 2などの規制フレームワークに準拠します。
プライベートKubernetesクラスタと要塞
プライベート・クラスタでは、Kubernetes APIエンドポイントへのアクセスをオンプレミス・ネットワークまたはBastionホストに制限することで、セキュリティ状態を改善できます。完全にプライベートなクラスタに簡単にアクセスするために、Oracle Cloud Infrastructure (OCI)Bastionを使用できるようになりました。
ポッド・レベルの強力な分離
仮想ノードは、各Kubernetesポッドに対して強力な分離を提供します。ポッドは、基盤となるカーネル、メモリ、CPUリソースを一切共有しません。このポッド・レベルの分離により、信頼性の低いワークロードやマルチテナント・アプリケーション、機密データの実行が可能になります。
Kubernetesクラスタのネットワーク・セキュリティ・グループ
Container Engine for Kubernetesでは、すべてのクラスタ・コンポーネントのネットワーク・セキュリティ・グループ(NSG)がサポートされています。NSGは、仮想クラウド・ネットワーク(VCN)内の仮想ネットワーク・インタフェース・カード(VNIC)に適用される一連のイングレスおよびエグレス・セキュリティ・ルールで構成されます。NSGを使用すると、仮想クラウド・ネットワーク・アーキテクチャをクラスタ・コンポーネントのセキュリティ要件から分離できます。
認証と認可
ネイティブのOCI Identity and Access Management (IAM)、Oracle Identity Cloud Service、およびKubernetesのロールベースのアクセス制御を使用して、アクセスと許可を制御します。また、OCI IAMマルチファクタ認証を構成することもできます。
Workload Identityを使用すると、OCI APIおよびサービスに対してポッド・レベルでセキュアな認証を確立することができます。ワークロードに「最低限の権限」を実装することで、ユーザーが必要なリソースにのみアクセスできるようにすることができます。これにより、セキュリティ侵害や不正アクセスの可能性を最小化し、セキュリティ・ポスチャを強化することができます。
コンテナ・イメージのスキャン、署名および検証
OKEはコンテナイメージのスキャン、署名、検証をサポートしているので、アプリケーションイメージに深刻なセキュリティ脆弱性がないこと、イメージ署名を強制することで導入時にコンテナイメージの整合性が保たれていることを確認することが可能です。
Kubernetesアクティビティを監査
すべてのKubernetes監査イベントは、OCI監査サービスで使用可能になります。
柔軟性とパフォーマンス
オンプレミスと他のクラウドで機能するアプリの構築
Container Engine for Kubernetesでは、アプリケーションの移植性に関する標準であるCloud Native Computing Foundation(CNCF)とOpen Container Initiative(OCI)に準拠した未変更のオープン・ソースであるKubernetesを使用しています。
あらゆるツールでクラスターを管理できる柔軟性
セキュリティ、フェデレーション、可観測性、ビルド自動化に、お客様独自のツールを使用できるほか、Oracleのパートナーを活用することもできます。
エンドツーエンドのコンテナ・ライフサイクル管理
コンテナのライフサイクルを最初から最後まで管理します。OCI DevOpsでイメージを構築およびテストし、コンテナ・レジストリから導入し、Autonomous Databaseなどと統合します。
DevOpsの自動化
自動スケーリングを備えた高可用性のKubernetes
あらゆる市販リージョンやOracle Dedicated Region Cloud@ Customerで複数の可用性ドメイン(データ・センター)にわたって機能するクラスターを使用して、アプリケーションの可用性を引き上げますポッドの水平および垂直スケーリングを行うと同時にクラスターのスケーリングも行います。
Kubernetesクラスターの開発と運用の合理化
Oracle Visual Builder Studioまたはサードパーティのツールを使用して、クラウド・ネイティブ・アプリケーションの導入を自動化します。Oracle Cloud Infrastructure、Datadog、Aqua Securityをはじめとするパートナー各社のツールを使用して、これらのアプリケーションを監視し、保護します。
Kubernetesの自動アップグレード
ダウンタイムを発生することなく、コンテナ・クラスターを短時間で容易にアップグレードして、安定した最新バージョンのKubernetesで常に最新の状態に維持します。
自己回復型のクラスター・ノード
ノードの障害を検出したContainer Engine for Kubernetesでは、新たなワーカー・ノードを自動的にプロビジョニングしてクラスターの可用性を維持します。
ワーカーノード管理の容易化
セキュア・シェル(SSH)を介したフルアクセスにより、実績のあるDockerベースのコンテナ・ランタイムをワーカー・ノードに使用します。
携帯性と柔軟性に優れたElastic Kubernetesのサービス
オンプレミスと他のクラウドで機能するアプリの構築
OKEでは、アプリケーションの移植性に関する標準であるCloud Native Computing Foundation(CNCF)とOpen Container Initiative(OCI)に準拠した未変更のオープン・ソースであるKubernetesを使用しています。
あらゆるツールでクラスターを管理できる柔軟性
セキュリティ、フェデレーション、可観測性、ビルド自動化に、お客様独自のツールやOCIサービスを使用できるほか、Oracleのパートナーを活用することもできます。
包括的で多彩な計算オプション
ベア・メタル、高性能コンピューティング(HPC)、仮想マシンの多彩なオプションから最適なコンピュート・シェイプを選択することにより、コストとパフォーマンスの双方を最適化します。
エンドツーエンドのコンテナ・ライフサイクル管理
コンテナのライフサイクルを、その最初から最後まで管理します。Visual Builder Studioでイメージを構築してテストし、Registryから導入してAutonomous Databaseに統合します。
Kubernetesのセキュリティとパフォーマンス
インフラストラクチャ、Autonomous Database、およびOracle WebLogic Serverとの緊密な統合
Container Engine for KubernetesはOracle Cloud Infrastructureと容易に統合できます。また、Service Brokerを使用してAutonomous Databaseと、WebLogic Operatorを使用してWebLogic Serverと、それぞれ容易に統合できます。
暗号化とコンプライアンス
Key Managementサービスを使用してKubernetesの機密情報を確実に暗号化でき、HIPAA、PCI、SOC 2とのコンプライアンスを維持できます。
プライベートKubernetesクラスターとセキュリティ
プライベートKubernetesクラスターを使用します。ネイティブのIdentity and Access Management、Identity Cloud Service、およびKubernetesのロールベースのアクセス制御(RBAC)を使用してアクセスと権限を制御します。
「OKEを活用することで、OCI上でワークロードのエージェントレス・スキャンを迅速に拡大することができ、インフラストラクチャの管理ではなく、価値の提供に集中することができます。この取り組みにより、当社は短期間で飛躍的な成長を遂げ、これまでで最も急成長したソフトウェア企業の1つとなりました」
「私たちは、OKE、GPU、HPC、その他のサービスを備えたKubernetesインフラストラクチャを組み合わせて、数十億もの音声AIクエリをOCI上で実行しています。その結果、以前のクラウドと比較して50~60%のパフォーマンス向上と、2倍のコスト削減を実現しました。しかも、利用量は倍増しています」
