Oracle Cloud Infrastructure Container Engine for Kubernetes(OKE)は、エンタープライズ・グレードのKubernetesの運用を大規模に簡素化するマネージドKubernetesサービスです。Kubernetesインフラストラクチャの複雑な管理に必要な時間、コスト、労力を削減します。Container Engine for Kubernetesは、Kubernetesクラスターをデプロイし、自動スケーリング、アップグレード、セキュリティパッチ適用により、コントロール・プレーンとワーカー・ノードの両方で信頼性の高い運用を確保できます。さらに、OKEは、仮想ノードによる完全なサーバーレスKubernetesエクスペリエンスを提供します。
仮想ノードは、サーバーレスなKubernetesエクスペリエンスを提供し、クラスタのインフラスチャの管理、スケーリング、アップグレード、トラブルシューティングに追加のリソースを費やすことなく、コンテナ化アプリケーションを大規模に実行することができます。
仮想ノードは、Kubernetesに通常のノードの抽象化を提供し、ポッド単位の価格設定できめ細かなポッド弾力性を実現します。クラスタの容量を考慮することなくデプロイメントを拡張できるため、高トラフィックのウェブアプリケーションやデータ処理ジョブなど、スケーラブルなワークロードの実行を簡素化することができます。
マネージド・ノードは、お客様のテナンシ内に作成され、OKEとお客様が共同責任のもと運用するワーカーノードです。お客様はワーカー・ノード・プールの仕様を定義することができ、OKEはこれらのノードのプロビジョニングを効率化します。OKEは、ワーカー・ノードの更新を自動化するオンデマンド・サイクリング、障害検出時のワーカー・ノードの自己回復、自動スケーリングなど、ワーカー・ノードの主要な継続運用を自動化および簡素化する機能を提供します。マネージド・ノードは、仮想ノードでは対応できないコンピュート・シェイプを必要とするワーカー・ノードを必要とするお客様に適しています。
セルフマネージド・ノードは、マネージド・ノードではサポートされない独自のコンピュート構成やスタック全体の高度なセットアップを必要とするコンテナ化さられたワークロードをOKE上で実行するための、さらなるカスタマイズと制御を提供します。お客様は、RDMA対応のベアメタルHPC/GPU、機密コンピューティング、その他の特殊なユースケースなど、特殊なインフラストラクチャ・オプションを活用できます。お客様は引き続きマネージド・コントロール・プレーンを利用できますが、KubernetesのアップグレードやOSへのパッチ適用など、ワーカー・ノード自体を管理する必要があります。
ワンクリックでKubernetesバージョンのアップグレードをトリガーします。仮想ノードは、お客様のアプリケーションの可用性を尊重しながら、ワーカー・ノードや基礎となるインフラストラクチャの更新やセキュリティパッチをシームレスかつオンザフライで自動的に提供します。
任意の市販リージョンや Oracle Cloud Infrastructure (OCI) Dedicated Region 内の複数の可用性ドメイン(データ センター)にまたがるクラスタを使用して、アプリケーションの可用性を向上させます。ポッドを水平および垂直にスケールし、クラスタもスケールします。
オンデマンド・ノード・サイクリングは、OKEクラスタのマネージド・ワーカー・ノードの更新作業を大幅に効率化し、時間のかかる手動でのノード・ローテーションやカスタムソリューションの開発を不要にします。この新機能により、KubernetesとホストOSのバージョン更新が劇的に簡単かつ効率的になります。さらに、SSHキー、ブート・ボリューム・サイズ、カスタムcloud-initスクリプトなど、さまざまなノードプールプロパティを簡単に変更できます。
OCIが完全に管理する設定可能なアドオン・ソフトウェアの厳選されたコレクションで、Kubernetesクラスターの機能を簡単に拡張および制御できます。このソフトウェアには、お客様のクラスタ上に導入される運用ソフトウェアのポートフォリオが含まれています。また、CNI、CoreDNS、Kubernetes Dashboard、Oracle Database Operator、WebLogic Operatorなどの関連アプリやオペレーターも含まれています。
OKEは、アドオン・ソフトウェアの初期導入と設定から、アップグレード、パッチ適用、スケーリング、ローリング設定変更などの継続的な運用に至るまで、ライフサイクルを管理することができます。
ユーザーは、クラスタ作成時にアドオンを選択し、特定のアドオンの無効化、アドオンのバージョンの指定、自動アップデートやOCIが提供する特定のアドオンをオプトアウトして独自のソフトウェアを使用するなど、設定をカスタマイズすることができます。
Oracle Cloud Infrastructure、Datadog、Aqua Securityをはじめとするパートナー各社のツールを使用して、これらのアプリケーションを監視し、保護します。
ノードの障害を検出したContainer Engine for Kubernetesでは、新たなワーカー・ノードを自動的にプロビジョニングしてクラスターの可用性を維持します。
自動化されたコードンとドレインオプションにより、アプリケーションを中断することなく、ワーカーノードを安全に削除します。
OKEクラスタに含まれるサービスレベル契約(SLA)は、OKEコントロール・プレーンとワーカー・ノードのアップタイムと可用性に対して金銭的な補償を提供します。ワーカー・ノードのカバー範囲は、OCI Compute SLAが提供するものと同等です。
OCIエコシステム内ではコンテナ・マーケットプレイスにアクセスでき、OKEインフラストラクチャ上で最適なパフォーマンスが得られるように細かく調整された、事前パッケージ済のコンテナ化されたさまざまなソリューションを見ることができます。コンテナ化されたアプリケーションとサービスを簡単に発見、デプロイ、管理でき、すべてOCI環境にシームレスに統合されます。
基盤となる仮想クラウド・ネットワーク、インターネット・ゲートウェイ、NATゲートウェイなどで構成するKubernetesクラスターを1回のクリックで導入します。
Kubernetesクラスターの作成、スケーリング、運用などのあらゆるアクションで、WebベースのREST APIとCLIを使用してKubernetesの運用を自動化します。
ベア・メタル、高性能コンピューティング(HPC)、仮想マシンの多彩なオプションから最適なコンピュート・シェイプを選択することにより、コストとパフォーマンスを最適化します。OKEを使用してKubernetes環境でGPUおよびArm-ベースのアプリケーションを管理します。Oracle Container Image Registryを使用してマルチアーキテクチャ・イメージをサポートします。
Container Engine for Kubernetesは、OCI Container Registry、DevOps CI/CD、ネットワーキング、ストレージなどのOracle Cloud Infrastructure(OCI)サービスとシームレスに統合できます。Oracle Cloud Infrastructure (OCI) Service Operator for Kubernetesを活用することで、OKEクラスタからOCIサービスを直接管理できるようになります。
OCI Service Operator for Kubernetesでは、Kubernetes APIとツールを使用して、Autonomous DatabaseやMySQL DatabaseなどのOCIリソースとの接続を簡単に作成、管理、確立できます。OCI Service Operator for Kubernetesをインストールした後は、Kubernetes APIを通じてOCIリソースに対してアクションを実行できるため、OCIコンソール、CLI、またはその他の開発者ツールが不要になります。
コンテナエンジン for Kubernetesは、オープンスタンダードに基づいて構築されており、オープンソースのアップストリームKubernetesと完全に適合しています。これにより、エコシステム・ソリューションを活用でき、開発ツール(Argo CD、Gitlab、Jenkinsなど)と簡単に統合できます。
Oracle Cloud Guardは、すぐに使えるKubernetesのガバナンスを提供し、OKEにリソースを導入する際の自動化されたセキュリティとKubernetesのベストプラクティスへの準拠を保証します。Cloud Guardは、自身がキュレーションしたポリシーを使用して構成の問題を自動的に特定することでこれを可能にし、OKEクラスタのセキュリティとコンプライアンスの維持を容易にします。
キー管理サービスを使用して、保存中のKubernetesシークレットを暗号化します。
Oracleでは、256ビットの暗号化によるAdvanced Encryption Standard (AES)アルゴリズムを使用して、保存時にブロック・ボリューム、ブート・ボリュームおよびボリューム・バックアップを常に暗号化します。Oracle Cloud Infrastructure Vaultを使用して、自分の暗号化キーのライフサイクルを管理することもできます。
OCI Container Engine for Kubernetesは、HIPAA、PCI、SOC 2などの規制フレームワークに準拠します。
プライベート・クラスタでは、Kubernetes APIエンドポイントへのアクセスをオンプレミス・ネットワークまたはBastionホストに制限することで、セキュリティ状態を改善できます。完全にプライベートなクラスタに簡単にアクセスするために、Oracle Cloud Infrastructure (OCI)Bastionを使用できるようになりました。
仮想ノードは、各Kubernetesポッドに対して強力な分離を提供します。ポッドは、基盤となるカーネル、メモリ、CPUリソースを一切共有しません。このポッド・レベルの分離により、信頼性の低いワークロードやマルチテナント・アプリケーション、機密データの実行が可能になります。
Container Engine for Kubernetesでは、すべてのクラスタ・コンポーネントのネットワーク・セキュリティ・グループ(NSG)がサポートされています。NSGは、仮想クラウド・ネットワーク(VCN)内の仮想ネットワーク・インタフェース・カード(VNIC)に適用される一連のイングレスおよびエグレス・セキュリティ・ルールで構成されます。NSGを使用すると、仮想クラウド・ネットワーク・アーキテクチャをクラスタ・コンポーネントのセキュリティ要件から分離できます。
ネイティブのOCI Identity and Access Management (IAM)、Oracle Identity Cloud Service、およびKubernetesのロールベースのアクセス制御を使用して、アクセスと許可を制御します。また、OCI IAMマルチファクタ認証を構成することもできます。
Workload Identityを使用すると、OCI APIおよびサービスに対してポッド・レベルでセキュアな認証を確立することができます。ワークロードに「最低限の権限」を実装することで、ユーザーが必要なリソースにのみアクセスできるようにすることができます。これにより、セキュリティ侵害や不正アクセスの可能性を最小化し、セキュリティ・ポスチャを強化することができます。
OKEはコンテナイメージのスキャン、署名、検証をサポートしているので、アプリケーションイメージに深刻なセキュリティ脆弱性がないこと、イメージ署名を強制することで導入時にコンテナイメージの整合性が保たれていることを確認することが可能です。
すべてのKubernetes監査イベントは、OCI監査サービスで使用可能になります。
Container Engine for Kubernetesでは、アプリケーションの移植性に関する標準であるCloud Native Computing Foundation(CNCF)とOpen Container Initiative(OCI)に準拠した未変更のオープン・ソースであるKubernetesを使用しています。
セキュリティ、フェデレーション、可観測性、ビルド自動化に、お客様独自のツールを使用できるほか、Oracleのパートナーを活用することもできます。
コンテナのライフサイクルを最初から最後まで管理します。OCI DevOpsでイメージを構築およびテストし、コンテナ・レジストリから導入し、Autonomous Databaseなどと統合します。
あらゆる市販リージョンやOracle Dedicated Region Cloud@ Customerで複数の可用性ドメイン(データ・センター)にわたって機能するクラスターを使用して、アプリケーションの可用性を引き上げますポッドの水平および垂直スケーリングを行うと同時にクラスターのスケーリングも行います。
Oracle Visual Builder Studioまたはサードパーティのツールを使用して、クラウド・ネイティブ・アプリケーションの導入を自動化します。Oracle Cloud Infrastructure、Datadog、Aqua Securityをはじめとするパートナー各社のツールを使用して、これらのアプリケーションを監視し、保護します。
ダウンタイムを発生することなく、コンテナ・クラスターを短時間で容易にアップグレードして、安定した最新バージョンのKubernetesで常に最新の状態に維持します。
ノードの障害を検出したContainer Engine for Kubernetesでは、新たなワーカー・ノードを自動的にプロビジョニングしてクラスターの可用性を維持します。
セキュア・シェル(SSH)を介したフルアクセスにより、実績のあるDockerベースのコンテナ・ランタイムをワーカー・ノードに使用します。
OKEでは、アプリケーションの移植性に関する標準であるCloud Native Computing Foundation(CNCF)とOpen Container Initiative(OCI)に準拠した未変更のオープン・ソースであるKubernetesを使用しています。
セキュリティ、フェデレーション、可観測性、ビルド自動化に、お客様独自のツールやOCIサービスを使用できるほか、Oracleのパートナーを活用することもできます。
ベア・メタル、高性能コンピューティング(HPC)、仮想マシンの多彩なオプションから最適なコンピュート・シェイプを選択することにより、コストとパフォーマンスの双方を最適化します。
コンテナのライフサイクルを、その最初から最後まで管理します。Visual Builder Studioでイメージを構築してテストし、Registryから導入してAutonomous Databaseに統合します。
Container Engine for KubernetesはOracle Cloud Infrastructureと容易に統合できます。また、Service Brokerを使用してAutonomous Databaseと、WebLogic Operatorを使用してWebLogic Serverと、それぞれ容易に統合できます。
Key Managementサービスを使用してKubernetesの機密情報を確実に暗号化でき、HIPAA、PCI、SOC 2とのコンプライアンスを維持できます。
プライベートKubernetesクラスターを使用します。ネイティブのIdentity and Access Management、Identity Cloud Service、およびKubernetesのロールベースのアクセス制御(RBAC)を使用してアクセスと権限を制御します。
「OKEを活用することで、OCI上でワークロードのエージェントレス・スキャンを迅速に拡大することができ、インフラストラクチャの管理ではなく、価値の提供に集中することができます。この取り組みにより、当社は短期間で飛躍的な成長を遂げ、これまでで最も急成長したソフトウェア企業の1つとなりました」
「私たちは、OKE、GPU、HPC、その他のサービスを備えたKubernetesインフラストラクチャを組み合わせて、数十億もの音声AIクエリをOCI上で実行しています。その結果、以前のクラウドと比較して50~60%のパフォーマンス向上と、2倍のコスト削減を実現しました。しかも、利用量は倍増しています」
Dockerコンテナとしてパッケージ化され、共通のAPIを介して通信するシンプルなマイクロサービスを導入できます。
OKEの仮想ノードは、Kubernetes上でアプリケーションを実行するための最も簡単な方法を提供します。お客様は、この完全なサーバーレスKubernetesエクスペリエンスにより、複雑なインフラストラクチャ管理から解放されます。OKE仮想ノードを効果的に使用するためのベストプラクティスに基づき、提供されるTerraformオートメーションとリファレンス・アーキテクチャを使用して、仮想ノードプールを備えたOKEクラスタの導入を簡素化します。
Tryg Insuranceが、同社の大規模環境においてKubernetesを動的に適正サイズ化することで、Kubernetesクラウドのコストを50%削減した事例をご覧ください。
オラクル、プリンシパル・プロダクト・マネージャー、Mickey Boxell
Kubernetesが登場してからまだ10年も経っていませんが、Kubernetesは主流となり、特にここ2、3年で前例のないほど導入が進んでいます。Kubernetesを標準化し、ETLジョブ、パイプライン、HPCワークロード、さらにはデータベースまで、Oracle Container Engine for Kubernetes(OKE)上で実行するお客様が増えています。
全文を読むKubernetesは、コンテナ化したアプリケーションとサービスのクラスターを管理およびスケーリングするためのオープン・ソース・プラットフォームです。
CI/CDツール、マネージドTerraform、テレメトリなどに30日間アクセスできます。
デプロイ可能なリファレンス・アーキテクチャおよびソリューションのプレイブックを確認します。
Kubernetes、Docker、サーバーレス、APIなどでアプリ開発を支援します。
販売、サポート、その他の質問については、アソシエイトにご連絡ください。