OCI DevOpsによるプライベートKubernetesクラスタへのセキュアなデプロイメント

※ 本記事は、Saurabh Shahによる”Secure deployments to private Kubernetes clusters with OCI DevOps“を翻訳したものです。

2022年4月14日

昨年、Oracle Cloud Infrastructure（OCI）のDevOpsサービスをリリースし、OCIプラットフォームへのソフトウェアのデプロイメントを自動化する機能を提供しました。このリリースの詳細については、ブログ「Oracle Cloud Infrastructure DevOpsを使用してソフトウェアのデプロイを簡単に」をご覧ください。

OCIプラットフォームへのソフトウェア・アーティファクトの構築、テスト、デプロイのために、当社のマネージド型で完全に自動化された継続的インテグレーション（CI）および継続的デプロイメント（CD）パイプラインを活用するお客様から、プライベートKubernetesクラスタにアプリケーションをセキュアにデプロイする方法について多くの質問が寄せられました。お客様は、内部アプリケーションのインターネット・アクセスを回避し、セキュリティ、コンプライアンス、および規制の要件を満たすために、プライベートKubernetesクラスターを使用しています。一部のユーザーは、企業ネットワーク内の認可されたサブネットを介してのみクラスタAPIへのアクセスを制限するために使用します。

OCI DevOpsを使用したOracle Container Engine for Kubernetes（OKE）上のプライベートKubernetesクラスタへのセキュアなデプロイメントのサポートを一般提供することを発表します。

プライベートKubernetes APIエンドポイントにアクセスできるDevOps環境

KubernetesクラスタにアプリケーションをデプロイするCI/CDシステムには、クラスタのコントロール・プレーンへのアクセスが必要です。プライベートKubernetesクラスタでは、インターネット・ゲートウェイにアクセスできないVCNサブネット上でコントロール・プレーンが有効になります。プライベート・クラスタへのアクセスを許可するには、エージェントをデプロイするか、ジャンプ・ホストまたはBastionホストを介してDevOpsプラットフォームとKubernetesクラスタ間でネットワーキングをブリッジする必要があります。これらの回避策はプライベート・クラスタへのアクセスを可能にできますが、コンプライアンスと運用オーバーヘッドが増加します。

OCI DevOpsを使用すると、顧客コンパートメント内のプライベートKubernetesクラスタとDevOpsサービス間のネットワーキング・アクセスをブリッジする管理対象プライベート・エンドポイントを使用して、操作を簡略化し、セキュアなデプロイメントを有効にできます。プライベート・エンドポイントは、DevOps環境とともにシームレスにプロビジョニングされます。このプライベート・エンドポイントへのアクセスは、サービス・ゲートウェイを介して有効になります。環境が正常に構成されると、デプロイメント・パイプラインは変更されず、KubernetesマニフェストまたはHelmチャート・アーティファクトのデプロイに使用できます。OCIサービスからのトラフィックのみを許可する特定のセキュリティ・ルールを構成することで、プライベート・エンドポイントのアクセスをさらに保護できます。

詳細

この機能を構成するには、プライベートOKEクラスタのKubernetesクラスタ環境の作成を参照してください。 Oracle Cloud InfrastructureアカウントでOCI DevOpsを開始するには、自動化されたQuickStartリファレンス・アーキテクチャを使用して、DevOpsパイプラインをデプロイおよび実行してください。