Kubernetes（K8s）： クイック学習ガイド

Kubernetes の導入が急速に進んでいるのは、次のようなメリットがあるためです。

• applicationリリースライフサイクルを加速し、簡素化する
• パブリック、プライベート、ハイブリッド クラウド、マルチクラウド環境間でのワークロードの移植性を実現します。
• リソース利用の効率を向上
• スケーラビリティと本番環境への準備を容易に実現
• ビジネスSLAを満たすために環境を最適化する

Kubernetes は、コンテナ化されたアプリを大規模にオーケストレーションして実行しますが、applicationコードをコンテナ化された形式でパッケージ化して配布および実行する手段は提供しません (コンテナ イメージには、アプリ コードと必要なランタイム、ライブラリ、およびその他のソフトウェア依存関係が含まれます)。 ポッドを実行するには、Kubernetes ではすべてのノードにコンテナ ランタイムがインストールされている必要があります。 Kubernetes はもともとコンテナ ランタイムとして Docker Engine を使用していました。 ただし、Kubernetes 1.24 以降では、コンテナ ランタイムは Container Runtime Interface (CRI) に準拠する必要がありますが、Docker Engine はこれに準拠していません。 人気のある CRI 準拠のコンテナ ランタイムとして、CRI-O と containerd (元々は Docker プロジェクト) の 2 つがあります。

アプリをコンテナにパッケージ化するには、コンテナ化されたアプリを構築、共有、実行するための最も人気のあるツールの 1 つであるDockerなどのツールが必要です。 アプリをポータブル コンテナー イメージにパッケージ化する作業を効率化および自動化し、Kubernetes 環境を含むオンプレミス、クラウドで実行および展開できるようにします。 Docker パッケージ化されたコンテナは、containerd および CRI-O ランタイムでネイティブに実行できます。

Kubernetes プラットフォームは、プールされたコンピューティング リソースを共有するクラスターに結合されたノードで構成されています。 各クラスターは、Kubernetes アーキテクチャでデプロイ可能な最小単位であるポッドを管理します。 ポッドには 1 つ以上のアプリ コンテナーが含まれます。 ポッドはグループ化されてサービスを構成します。 Kubernetes クラスター内のアプリには、いくつかの方法を使用して外部からアクセスできますが、 Ingress コントローラーは最も人気があり効率的な方法の 1 つです。

Kubernetes デプロイメントは、クラスター内のポッドのレプリカ (またはインスタンス) のセットとしてアプリを実行する方法を記述します。 デプロイメントでは以下を定義します。

• 実行するポッドレプリカの数
• ポッドアップデートを段階的に展開する方法
• ポッドレプリカを以前の状態にロールバックする方法
• ポッドレプリカを水平方向にスケーリングする方法

Kubernetes は、クラスター内で実行されるコンテナ化されたアプリにネットワーク接続を提供するために、デュアル IPv4/IPv6 スタックをサポートしています。 Kubernetes クラスター内のアプリとの通信とクラスター内のサービス間の通信は、両方ともレイヤー 4 (IP アドレス、ポート) とレイヤー 7 (ホスト名、ユニバーサル リソース識別子 [URI]) で管理され、ルーティング、負荷分散、セキュリティ、監視、可視性の機能が含まれます。

サービス メッシュは、Kubernetes クラスター内のサービス間の通信 (サービス間または東西接続) を制御するインフラストラクチャ レイヤーです。 最も一般的なサービス メッシュの使用例には、mTLS 認証/暗号化と、K8s クラスター内のサービス間で発生する通信の可観測性が含まれます。

NGINX Gateway Fabricによる統合アプリ配信の詳細については、弊社ブログの「NGINX Gateway Fabric バージョン 1.0 の発表」をご覧ください。NGINX Gateway Fabric は、 Ingress コントローラーとサービス メッシュのユースケースを 1 つのツールで効果的に組み合わせるように設計されています。

Kubernetes セキュリティは、インフラストラクチャ (オンプレミスおよびクラウド コンピューティング リソース、ネットワーク通信、管理プレーン) と Kubernetes クラスター内で実行されているapplicationsを保護するための階層化アプローチです。

インフラストラクチャを保護するには、クラウドおよびオンプレミスの実装を保護するための一般的なセキュリティ推奨事項、チュートリアル、およびベスト プラクティスに従ってください。

applicationsのセキュリティを確保するには、エッジと Kubernetes クラスター内に強力なセキュリティ制御を実装して、クラスターとの間のすべての通信とクラスター内の通信に対して、認証、承認、アクセス制御、暗号化、監視、可視性、およびオプションの Webapplicationファイアウォールとサービス拒否保護を提供します。

Kubernetes のセキュリティ保護の詳細については、弊社のブログ「トラフィック管理ツールを使用して Kubernetes を保護する 6 つの方法」をご覧ください。

Kubernetes 導入の初期には、Do-It-Yourself (DIY) アプローチが主流でしたが、多くの組織にとって、これは構築と運用が複雑で困難でした。 このため、組織は実稼働環境への展開において、さまざまなテクノロジー コンポーネントを統合し、メンテナンス ライフサイクルを簡素化し、ハイブリッド環境やマルチクラウド環境に展開できる、クラウド管理の Kubernetes プラットフォームとパッケージ化された Kubernetes ディストリビューションを採用しています。

管理され、事前にパッケージ化された Kubernetes プラットフォームの例をいくつか以下に示します。

クラウド管理型 Kubernetes:

• Amazon Elastic Kubernetes サービス (EKS)
• Microsoft Azure Kubernetes サービス (AKS)
• Google Kubernetes Engine (GKE)

事前にパッケージ化された Kubernetes ディストリビューション:

• レッドハットオープンシフト
• SUSE の Rancher
• VMware タンズ

NGINX の Kubernetes ネイティブ接続およびセキュリティ スタックは、オンプレミス、クラウド、エッジで実行される Kubernetesapplicationsの複雑さを軽減し、稼働時間を増やし、大規模な詳細なリアルタイムの可視性を実現することで、顧客エクスペリエンスの向上に役立ちます。