Container Engine for Kubernetes

仮想ノードを使用したサーバーレスKubernetes

仮想ノードは、サーバーレスなKubernetesエクスペリエンスを提供し、クラスタのインフラスチャの管理、スケーリング、アップグレード、トラブルシューティングに追加のリソースを費やすことなく、コンテナ化アプリケーションを大規模に実行することができます。

仮想ノードは、Kubernetesに通常のノードの抽象化を提供し、ポッド単位の価格設定できめ細かなポッド弾力性を実現します。クラスタの容量を考慮することなくデプロイメントを拡張できるため、高トラフィックのウェブアプリケーションやデータ処理ジョブなど、スケーラブルなワークロードの実行を簡素化することができます。

マネージド・ノード

マネージド・ノードは、お客様のテナンシ内に作成され、OKEとお客様が共同責任のもと運用するワーカーノードです。お客様はワーカー・ノード・プールの仕様を定義することができ、OKEはこれらのノードのプロビジョニングを効率化します。OKEは、ワーカー・ノードの更新を自動化するオンデマンド・サイクリング、障害検出時のワーカー・ノードの自己回復、自動スケーリングなど、ワーカー・ノードの主要な継続運用を自動化および簡素化する機能を提供します。マネージド・ノードは、仮想ノードでは対応できないコンピュート・シェイプを必要とするワーカー・ノードを必要とするお客様に適しています。

セルフマネージド・ノード

セルフマネージド・ノードは、マネージド・ノードではサポートされない独自のコンピュート構成やスタック全体の高度なセットアップを必要とするコンテナ化さられたワークロードをOKE上で実行するための、さらなるカスタマイズと制御を提供します。お客様は、RDMA対応のベアメタルHPC/GPU、機密コンピューティング、その他の特殊なユースケースなど、特殊なインフラストラクチャ・オプションを活用できます。お客様は引き続きマネージド・コントロール・プレーンを利用できますが、KubernetesのアップグレードやOSへのパッチ適用など、ワーカー・ノード自体を管理する必要があります。

Kubernetesの自動アップグレード

ワンクリックでKubernetesバージョンのアップグレードをトリガーします。仮想ノードは、お客様のアプリケーションの可用性を尊重しながら、ワーカー・ノードや基礎となるインフラストラクチャの更新やセキュリティパッチをシームレスかつオンザフライで自動的に提供します。

自動スケーリングを備えた高可用性のKubernetes

任意の市販リージョンや Oracle Cloud Infrastructure (OCI) Dedicated Region 内の複数の可用性ドメイン（データ センター）にまたがるクラスタを使用して、アプリケーションの可用性を向上させます。ポッドを水平および垂直にスケールし、クラスタもスケールします。

オンデマンド・ノード・サイクリング

オンデマンド・ノード・サイクリングは、OKEクラスタのマネージド・ワーカー・ノードの更新作業を大幅に効率化し、時間のかかる手動でのノード・ローテーションやカスタムソリューションの開発を不要にします。この新機能により、KubernetesとホストOSのバージョン更新が劇的に簡単かつ効率的になります。さらに、SSHキー、ブート・ボリューム・サイズ、カスタムcloud-initスクリプトなど、さまざまなノードプールプロパティを簡単に変更できます。

アドオン・ライフサイクル管理

OCIが完全に管理する設定可能なアドオン・ソフトウェアの厳選されたコレクションで、Kubernetesクラスターの機能を簡単に拡張および制御できます。このソフトウェアには、お客様のクラスタ上に導入される運用ソフトウェアのポートフォリオが含まれています。また、CNI、CoreDNS、Kubernetes Dashboard、Oracle Database Operator、WebLogic Operatorなどの関連アプリやオペレーターも含まれています。

OKEは、アドオン・ソフトウェアの初期導入と設定から、アップグレード、パッチ適用、スケーリング、ローリング設定変更などの継続的な運用に至るまで、ライフサイクルを管理することができます。

ユーザーは、クラスタ作成時にアドオンを選択し、特定のアドオンの無効化、アドオンのバージョンの指定、自動アップデートやOCIが提供する特定のアドオンをオプトアウトして独自のソフトウェアを使用するなど、設定をカスタマイズすることができます。

クラスタの観測性

Oracle Cloud Infrastructure、Datadog、Aqua Securityをはじめとするパートナー各社のツールを使用して、これらのアプリケーションを監視し、保護します。

自己回復型のクラスター・ノード

ノードの障害を検出したContainer Engine for Kubernetesでは、新たなワーカー・ノードを自動的にプロビジョニングしてクラスターの可用性を維持します。

セーフ・ノード削除

自動化されたコードンとドレインオプションにより、アプリケーションを中断することなく、ワーカーノードを安全に削除します。

補償付きのSLA

OKEクラスタに含まれるサービスレベル契約（SLA）は、OKEコントロール・プレーンとワーカー・ノードのアップタイムと可用性に対して金銭的な補償を提供します。ワーカー・ノードのカバー範囲は、OCI Compute SLAが提供するものと同等です。

コンテナ・マーケットプレイス

OCIエコシステム内ではコンテナ・マーケットプレイスにアクセスでき、OKEインフラストラクチャ上で最適なパフォーマンスが得られるように細かく調整された、事前パッケージ済のコンテナ化されたさまざまなソリューションを見ることができます。コンテナ化されたアプリケーションとサービスを簡単に発見、デプロイ、管理でき、すべてOCI環境にシームレスに統合されます。

近日公開：Oracle Cloud GuardによるKubernetesのガバナンス

Oracle Cloud Guardは、すぐに使えるKubernetesのガバナンスを提供し、OKEにリソースを導入する際の自動化されたセキュリティとKubernetesのベストプラクティスへの準拠を保証します。Cloud Guardは、自身がキュレーションしたポリシーを使用して構成の問題を自動的に特定することでこれを可能にし、OKEクラスタのセキュリティとコンプライアンスの維持を容易にします。

暗号化

キー管理サービスを使用して、保存中のKubernetesシークレットを暗号化します。

Oracleでは、256ビットの暗号化によるAdvanced Encryption Standard (AES)アルゴリズムを使用して、保存時にブロック・ボリューム、ブート・ボリュームおよびボリューム・バックアップを常に暗号化します。Oracle Cloud Infrastructure Vaultを使用して、自分の暗号化キーのライフサイクルを管理することもできます。

コンプライアンス

OCI Container Engine for Kubernetesは、HIPAA、PCI、SOC 2などの規制フレームワークに準拠します。

プライベートKubernetesクラスタと要塞

プライベート・クラスタでは、Kubernetes APIエンドポイントへのアクセスをオンプレミス・ネットワークまたはBastionホストに制限することで、セキュリティ状態を改善できます。完全にプライベートなクラスタに簡単にアクセスするために、Oracle Cloud Infrastructure (OCI)Bastionを使用できるようになりました。

ポッド・レベルの強力な分離

仮想ノードは、各Kubernetesポッドに対して強力な分離を提供します。ポッドは、基盤となるカーネル、メモリ、CPUリソースを一切共有しません。このポッド・レベルの分離により、信頼性の低いワークロードやマルチテナント・アプリケーション、機密データの実行が可能になります。

Kubernetesクラスタのネットワーク・セキュリティ・グループ

Container Engine for Kubernetesでは、すべてのクラスタ・コンポーネントのネットワーク・セキュリティ・グループ(NSG)がサポートされています。NSGは、仮想クラウド・ネットワーク(VCN)内の仮想ネットワーク・インタフェース・カード(VNIC)に適用される一連のイングレスおよびエグレス・セキュリティ・ルールで構成されます。NSGを使用すると、仮想クラウド・ネットワーク・アーキテクチャをクラスタ・コンポーネントのセキュリティ要件から分離できます。

認証と認可

ネイティブのOCI Identity and Access Management (IAM)、Oracle Identity Cloud Service、およびKubernetesのロールベースのアクセス制御を使用して、アクセスと許可を制御します。また、OCI IAMマルチファクタ認証を構成することもできます。

Workload Identityを使用すると、OCI APIおよびサービスに対してポッド・レベルでセキュアな認証を確立することができます。ワークロードに「最低限の権限」を実装することで、ユーザーが必要なリソースにのみアクセスできるようにすることができます。これにより、セキュリティ侵害や不正アクセスの可能性を最小化し、セキュリティ・ポスチャを強化することができます。

コンテナ・イメージのスキャン、署名および検証

OKEはコンテナイメージのスキャン、署名、検証をサポートしているので、アプリケーションイメージに深刻なセキュリティ脆弱性がないこと、イメージ署名を強制することで導入時にコンテナイメージの整合性が保たれていることを確認することが可能です。

Kubernetesアクティビティを監査

すべてのKubernetes監査イベントは、OCI監査サービスで使用可能になります。

オンプレミスと他のクラウドで機能するアプリの構築

Container Engine for Kubernetesでは、アプリケーションの移植性に関する標準であるCloud Native Computing Foundation（CNCF）とOpen Container Initiative（OCI）に準拠した未変更のオープン・ソースであるKubernetesを使用しています。

あらゆるツールでクラスターを管理できる柔軟性

セキュリティ、フェデレーション、可観測性、ビルド自動化に、お客様独自のツールを使用できるほか、Oracleのパートナーを活用することもできます。

エンドツーエンドのコンテナ・ライフサイクル管理

コンテナのライフサイクルを最初から最後まで管理します。OCI DevOpsでイメージを構築およびテストし、コンテナ・レジストリから導入し、Autonomous Databaseなどと統合します。

他のプロバイダーよりも優れたコスト・パフォーマンス

AWSと比較して、Oracle Cloudでは、3倍以上優れたコスト・パフォーマンスが得られ、半分の経費で20倍のIOPSを実現できます。

インフラストラクチャ、Autonomous Database、およびOracle WebLogic Serverとの緊密な統合

Container Engine for KubernetesはOracle Cloud Infrastructureと容易に統合できます。また、Service Brokerを使用してAutonomous Databaseと、WebLogic Operatorを使用してWebLogic Serverと、それぞれ容易に統合できます。

暗号化とコンプライアンス

Key Managementサービスを使用してKubernetesの機密情報を確実に暗号化でき、HIPAA、PCI、SOC 2とのコンプライアンスを維持できます。

プライベートKubernetesクラスターとセキュリティ

プライベートKubernetesクラスターを使用します。ネイティブのIdentity and Access Management、Identity Cloud Service、およびKubernetesのロールベースのアクセス制御（RBAC）を使用してアクセスと権限を制御します。

• パフォーマンスを目的としたOracle Cloud Infrastructureの選択
• Kubernetesセキュリティの5つのベストプラクティス