X

オラクルエンジニア通信では、オンプレミスからクラウドまで、オラクルテクノロジーの最新情報をお届けします

プライベートKubernetesクラスタの発表

Ryusaburo Tanaka
Business Development, Cloud Native Services

※※ 本ページはAnnouncing private Kubernetes clustersの翻訳です。

Oracle Cloud Infrastructure(OCI)Container Engine for Kubernetes(OKE)は、エンタープライズ・グレードのKubernetesクラスタのセットアップと管理の運用上の負担を軽減します。 Kubernetesとそのエコシステムは複雑であるという認識のため、次の設計原則を念頭に置いてOKEを構築しました:

  • Secure by default(デフォルトでのセキュリティ):OKEは、エンタープライズ・セキュリティのベストプラクティスに従ってKubernetesクラスタを強化します。
  • Kubernetesの操作をシンプルに:Oracleはクラスタのリソースを管理し、Kubernetesの定期的な管理、およびスケーリングのタスクを自動化します。
  • 高性能:コンテナ化されたアプリケーションは、OCIのノンブロッキング・ネットワークを介して、高性能のコンピューティング・リソースで実行されます。

本日、完全にプライベートなOracle Container Engine for Kubernetes(OKE)用のKubernetesクラスタの正式リリースを発表できることを嬉しく思います。 パブリックIPを使用しない、または公開しない、完全にプライベートなOKEクラスタを作成できるようになりました。

完全にプライベートなKubernetesクラスタ

セキュリティとコンプライアンスのニーズを満たすために、Kubernetesクラスタへの堅牢なアクセス制御が必要とされています。 そのためには、Kubernetesクラスタを仮想クラウド・ネットワーク(VCN)と完全に統合する必要があります。 クラスタのワーカーノードとロードバランサは、OKEではすでにVCNの一部であり、Kubernetes APIエンドポイントをVCNに追加することもできます。

Kubernetesの管理者は、クラスタのKubernetes APIエンドポイントを、プライベート・サブネットまたはパブリック・サブネットの一部として構成します。 通常のVCNルーティングとファイアウォール・ルールは、Kubernetes APIエンドポイントへのアクセスを制御し、オンプレミス側からのみアクセスできるようにします(踏み台サーバを介して、または特定のSaaSサービスから)。3つのユースケースを見て行きましょう。

まず、企業ネットワーク内の承認されたサブネットからKubernetes APIエンドポイントにアクセスするには、エンドポイントのプライベートサブネットを指定します。 この場合、通常、OCI FastConnectを使用してVCNを企業ネットワークにピアリングします。これにより、データセンターとOracle Cloud Infrastructureの間に専用のプライベート接続を簡単に作成できます。

次に、企業ネットワークをピアリングしない場合は、プライベート・ネットワーク上のリソースへのアクセスを可能とする踏み台サーバを使用できます。 踏み台サーバを介してAPIエンドポイントにアクセスするには、エンドポイントをVCNのプライベート・サブネットとパブリック・サブネットの踏み台サーバに構成します。 Kubernetesユーザーは、踏み台サーバを介してSSHトンネルを設定し、KubernetesAPIエンドポイントとやり取りできます。

また、VCNのパブリック・サブネット上にKubernetes APIエンドポイントを設定することもできます。例えばこの構成は、継続的インテグレーション・継続的デリバリ(CI / CD)のパイプラインが、3rdパーティのSaaSのCI / CDサービスで実行されている場合に役立ちます。 この場合、Kubernetes APIエンドポイントへのアクセスをSaaSサービスネットワークIPのみに制限します。

更なる情報

詳細を確認したり、ハンズオンで試したりするには、次のリソースを参照くださ。

Be the first to comment

Comments ( 0 )
Please enter your name.Please provide a valid email address.Please enter a comment.CAPTCHA challenge response provided was incorrect. Please try again.