fbpx

MKE 3.6 リリース:GCP導入でパブリッククラウドの選択肢がより豊富に!#CloudSecurity #GCP #dockershim #MirantisKubernetesEngine #Kubernetes

この記事は1年以上前に投稿されました。情報が古い可能性がありますので、ご注意ください。


本稿は、Mirantisブログ「MKE 3.6 brings updated K8s and expanded option of platforms」を翻訳したものです。


2022年10月13日にリリースされた Mirantis Kubernetes Engine 3.6 では、Kubernetes バージョンが更新。また Google Cloud Platform(GCP)の導入によりパブリッククラウドの選択肢も増え、Windows Server 2022 のサポートも追加。


クラウドネイティブアプリケーションを環境を選ばず大規模に展開するための、最も簡単かつ迅速な方法であることで知られているエンタープライズ向けKubernetes プラットフォームに、さらに望むことと言えば何でしょうか? 例えばKubernetesのより新しいバージョンや、コンテナオーケストレーションの管理をさらに容易にする機能を追加することで、開発者の時間を節約し、より多くの時間を他の作業に費やせるようにする、というのはいかがでしょう。


    本稿では下記を含む Mirantis Kubernetes Engine (MKE) 3.6 の新しい機能をご紹介します。

  • Kubernetes バージョンを1.24に更新
  • Google Cloud Platform をサポート
  • cri-dockerd で Dockershim を置き換え
  • Windows Server 2022 をサポート
  • セキュリティアドミッションコントロールの更新

最も重要な新機能の中からいくつかをご紹介します。

Kubernetes 1.24

MKE 3.6では Kubernetes バージョンを 1.24に更新しました。これは、Kubernetes の進化の賜物である拡張性と効率性を MKE で最大限に活用するための重大な更新です。前回の Kubernetes バージョンの更新から多くの変更がありましたが、その中からMirantis 製品に直接関係するものは次の通りです。

  • etcd 3.5:この更新にはパフォーマンス・メモリ使用量・セキュリティ・ロギングに重点が置かれた変更が含まれています。これらの機能強化は、etcdがパフォーマンスのボトルネックになっている大規模クラスタを実行しているユーザにとって特に重要です。これにより k8s のデプロイが以前よりもさらに拡張可能となりました。
  • Dockershim の削除:Docker Engine をコンテナランタイムとして使用しているユーザにとって重要な変更点です。Dockershim は、もともと相互運用のための一時的なソリューションであったため、Dockershim の削除は最終的に Kubernetes コミュニティにとって良いことです。しかしこの削除が何を意味するのか Docker ユーザが不安に思うのは当然のことです。Mirantis は cri-dockerd のサポートによって、ユーザの不安を解消します。本稿後半でより詳しく説明します。
  • Pod のセキュリティアドミッション:非推奨の Pod Security Policy(PSP)の代替となる Pod Security Standards (PSS)によってアドミッションコントローラを強化し、ワークロードのセキュリティ機能を簡素化します。
  • ベータ版の API をデフォルトでオフに: k8s の初期バージョンでは、ベータ版に達したすべてのAPIがデフォルトで有効化される仕様でした。これにより、ユーザは新機能をいち早く使うことができていました。しかしユーザの大半が、有効化された機能を積極的に使用しないことを選択してもバグにさらされるリスクを負うことになりました。k8s 内でこのポリシーを変更し、ベータ版の API をデフォルトで無効とすることで、Kubernetes がより安定的で安全な環境を提供可能になり、ユーザは望む API のみを有効化できるようになりました。

前回の更新からk8sに搭載された新機能と変更点の一部をご紹介しました。Mirantisでは、MKE 3.6が含む k8s バージョン1.24 を完全に検証しており、MKE の持つ他の機能と適切に動作するよう尽力しました。

Dockershim が必要なのは どのような場合?

最初に k8s から Dockershim が削除されたことを聞いたとき、あなたは夜も眠れませんでしたか?自身の Docker コンテナは Kubernetes 1.24でも動作するのだろうかと疑問に思いませんでしたか? Mirantis はこの変更がユーザにとって可能な限りスムーズにいくようにしました。MKE 3.6 では dockershim を cri-dockerd に置き換え、コンテナランタイムとして Docker Engine を使い続けたいユーザを完全にサポートします。この移行の詳細については、以前のブログ記事(英語)で詳しく説明しています。

GCP へようこそ

MKE 3.6では、Linux と Windows の両方で GCP 上でも MKE を実行できるようになり、ユーザに以前にも増して豊富な選択肢を提供できるようになりました。GCPは、Amazon AWS・Microsoft Azure・ベアメタルがホスティングする Equinix Metal・VMware・そしてもちろんベアメタルと共に対応可能な環境の選択肢に加わり、ユーザはコスト・レイテンシ・アベイラビリティ・リージョン・その他、各ホスト先の要件に基づいて、k8s デプロイのホスト先を柔軟に選択できます。

MKE3.6はGCPでのLinuxフルサポートに加えて、LinuxコントローラノードでLinuxワーカとWindowsワーカの両方をサポートしています。また、WindowsワーカでSwarmとKubernetesの両方のワークロードをサポートしています。GCP のサポートは、今後のリリースで Mirantis Container Cloud(MCC)にも追加される予定です。

Windows Server 2022

MKE 3.6では、Swarm と Kubernetes の両方で Windows Server 2022ノードへ、ワークロードを割り当てるサポートを追加しました。また Windows Server 2019 と Windows Server 2022の両ノードによるハイブリッドクラスタに対応し、ユーザがコンテナをデプロイする際にホスト OS が選択可能になりました。

セキュリティのアドミッションコントロールの更新

Kubernetes デプロイのセキュリティ業務に関わる人なら、アドミッションコントローラが果たす重要な役割についてご存知でしょう。K8s はこの領域で大規模な変更を行い、今では非推奨となった Pod Security Policy (PSP) を Pod Security Admissionsで置き換えることにしました。

PSP は、Kubernetes バージョン1.25 まで Kubernetes から公式に削除されないため、Mirantis ではサポートを継続する予定です。ただし MKE 3.6 では、PSP がアクティブであることを検出した場合、将来の MKE リリースでは PSP が削除されることを通知するバナー警告が表示されます。また PSP 非推奨ページへのアクティブリンクも表示します。また事前に対処したいユーザ向けに、PSP を今すぐ削除する選択肢も設けています。

最後に、各企業のニーズにより適した方法を求めているユーザのために、 OPA Gatekeeper をオプションとしてインストールし、インストール中に作成されるポリシー設定をバックアップする機能を追加しました。

Gatekeeper はカスタマイズが可能で、CNCF の環境向けのポリシーエンジンであるOpen Policy Agent のポリシーを適用します。 これは、エンタープライズ環境におけるニーズに適した堅牢なアドミッションコントローラと OPA エンジンです。 さらに、OPA Gatekeeper が何らかの理由でアンインストールされた場合でも設定の復元が可能で、再インストール時に設定し直す必要がありません。

本稿で触れたのは、MKE 3.6 における顕著な変更点のほんの一部です。アダプタ・コンポーネントのバージョンアップ・no-new-privileges サポートなどこの他の変更点の全容はリリースノートをご参照ください。

無料お試し版とお問い合わせ

MKE を試したい人は MKE 無料お試し版 をご利用ください。また、あなたの開発チームの時間を、インフラストラクチャの運営にかけている時間から、ビジネスのアプリケーション開発に集中するための時間に変えるために MKE によって何が実現できるかをお聞きになりたい人は、こちらにお問い合わせください

新規CTA