アプリケーションのモダナイゼーション

エンタープライズ クラスのKubernetes導入を実現するPivotal Container Service(PKS)

著者:製品ライン シニア マネージャ ナラヤン・マンダレーカ(Narayan Mandaleeka)/製品管理担当副社長 ポール・ダル(Paul Dul
米国時間2017年12月7日に公開されたブログ記事の抄訳です。

VMwareとPivotalは、エンタープライズ クラスのKubernetesソリューションを求める顧客向けに、12月中旬にPivotal Container Service(PKS)の提供を開始します。PKSはKubernetesの活用を望む企業やサービス プロバイダ向けの製品で、Kubernetesクラスタの導入や運用を大幅に簡素化します。PKSはVMware vSphere®で稼動するデータセンタやGoogle Cloud Platform(GCP)に導入可能で、最近ではCloud Native Computing Foundationが主催するKubernetes Software Conformance Certificationプログラムの認証を取得しました。
PKSの主な特長は以下の通りです。

  • 最新のオープンソース版Kubernetesに対応:PKSの初版リリースではKubernetes 1.8をベースにしており、開発者は独自の拡張設定を行わずにKubernetes APIにフル アクセス可能
  • 高度なコンテナ向けネットワークとセキュリティ:マイクロセグメンテーション、負荷分散、セキュリティ ポリシーなどの機能を備えたNSX-Tにより、Pod単位のコンテナ向けネットワークを実現
  • 安全性に優れたコンテナ レジストリ:脆弱性スキャンに加え、イメージへの署名や監査といった機能によりコンテナ ワークロードを保護
  • 迅速なプロビジョニング:開発者が迅速かつオンデマンドでKubernetesクラスタを作成可能
  • 高可用性:PKSが高可用性を備えており、インフラからアプリケーションまでのKubernetesクラスタを監視/管理することで高可用性を実現
  • GCPサービスを利用可能:GCPサービス ブローカーとの連携により、開発者はGCPサービスに簡単にアクセス可能
  • パーシステント ストレージ:ステートレス/ステートフルなアプリケーションの両方をKubernetesクラスタに導入可能


図 1: Pivotal Container Service

ネイティブなKubernetes APIを使用したマルチクラウド環境向けに開発されたPKSは、Google Kubernetes Engine(GKE)との互換性を維持しながら主要なKubernetesリリースをベースに開発されているため、開発者は最新かつ安定性に優れたKubernetesリリースを利用可能です。PKSは導入初日から運用開始までの課題をCloud Foundry Container Runtime(CFCR)を活用することで解決できます。このCFCRは、以前はKubernetesの運用支援ツールBOSH(またはKubo)として知られていたものです。BOSHにより、PKSは自動化やオーケストレーションの機能を活用してKubernetesクラスタの導入を簡素化できるだけでなく、高可用性と本番環境での導入に向けて、基盤となるインフラのヘルスチェックと自己修復などの機能を提供します。

BOSHを活用してKubernetesクラスタに必要なネットワーク設定全体を自動化することで、パフォーマンスの問題や、さらにはセキュリティ ホールの発生など、マニュアル設定により発生するエラーのリスクを排除できます。

NSX-Tを使用したネットワーク
PKSにはVMware NSX-Tが含まれており、Kubernetesクラスタのための高度なコンテナ ネットワークやセキュリティの機能を備えています。NSX-Tは、レイヤ2からレイヤ7までの、コンテナ/Pod単位のネットワークに必要とされる完全なネットワーク サービス群を提供します。これにより、企業は開発サイクルを中断することなく、マイクロセグメンテーションやオンデマンドのネットワーク仮想化によって素早くネットワークを導入できます。

またPKSにより、IT部門はCNCF認証のフルスタックのKubernetesコンテナ サービスを提供可能になります。このサービスにはネットワークやストレージのサービス、安全性に優れたコンテナ レジストリ、そしてサービス ブローカー機能などが含まれます。さらに、VMware vSAN™、VMware vRealize® Operations™、Wavefront® by VMwareをはじめとするVMwareのインフラ製品や管理製品とのカスタム統合も可能です。
PKSはライセンス付与、本番環境対応、VMware NSX-Tとの緊密な連携も可能です。
Pod単位のネットワーク、サービスへのアクセス、複数のレプリカの負荷分散など、NSX-TはKubernetesに必要なあらゆるネットワーク機能を提供します。Kubernetesの基本的なネットワーク機能に加えて、NSX-Tの多層ルーティング モデルを使用することで、ネットワーク セキュリティ ポリシーやテナント レベルでのアイソレーションなどの高度なネットワーク機能を実現します。
NSX-TをPKSと統合する際の重要な設計コンセプトの1つが、Kubernetesの各ネームスペースに固有の論理スイッチを割り当てることです。これによってKubernetesクラスタの各ネームスペースのトラフィックをセグメント化できるようになります。開発チームは、共有クラスタ内で専用Kubernetesネームスペースを使用して、他のチームからワークロードを確保できます。

図 2: NSX-Tはネットワークのアイソレーションと負荷分散機能を備えたPodネットワークを提供
安全なコンテナ レジストリ — Harbor
Harbor は、コンテナ イメージを格納/配布するオープン ソースのエンタープライズ クラスのレジストリ サーバです。本番環境の認証とロール(役割)ベースのアクセスにより、プッシュおよびプル イメージを提供します。また、統合的な脆弱性スキャン、イメージ信頼サービス、イメージ レプリケーション サービスなどの主要なレジストリ サービスも提供します。

Harborを利用することで、アプリケーション導入のためのコンテナ イメージを安全にKubernetesクラスタにダウンロードできます。HarborのレジストリはCI/CDパイプラインで本番環境レベルのイメージ リポジトリを可能にします。顧客は、アプリケーション リリースの自動化プロセスの一環として、コンテナ イメージを安全にHarborに取り込めます。これらのイメージに対し、アプリケーションのワークロード導入プロセスの一環としてHarborが脆弱性スキャンを実行し、署名承認を行った後にKubernetesクラスタに取り込むことが許可されます。

その結果、開発チームはアプリケーションをプラットフォームに迅速に導入し、IT部門は企業のセキュリティ要件を確実に満たすようにコンテナ イメージをコントロールできます。

図 3: Harborは、PKSが管理するKubernetesクラスタにイメージを導入するために使用される
Harborの統合コンテナ レジストリの使用を推奨しますが、PKSはそれ以外のコンテナ レジストリも使用可能です。
パーシステント ストレージとvSphere Cloud Providerプラグイン
PKSなら、Kubernetesクラスタをステートレス/ステートフルのどちらのアプリケーションでも展開可能です。Project Hatchwayを通じて、KubernetesではVMware vSphere Storage for Kubernetesプラグインをサポートしているため、PKSはVMware vSphereストレージ上でKubernetesストレージ プリミティブに対応しています。ストレージ プリミティブには、ボリューム、パーシステント ボリューム、パーシステント ボリューム クレーム、ストレージ クラス、ステートフル セットが含まれます。また、ストレージ プラグインはエンタープライズ クラスのストレージ機能も備えています。例えば、VMware vSANを使用することで、Kubernetesクラスタで実行しているアプリケーションに対して、ストレージのポリシー ベースの管理を拡張できます。
 
GCPサービス ブローカー
PKSには、GCPサービスにすぐにアクセス可能なサービス ブローカーが含まれています。サービス ブローカーを活用することで、運用者は選択したGCPサービスを公開し、開発チームがkubectl CLIまたはAPIで「サービス インスタンス」を作成および管理することで、GCPサービスをプロビジョニングして使用できるようになります。GCPサービス ブローカーは、Google Cloud Storage、Google BigQuery、Google StackdriverなどのGCPサブスクリプション サービスにも対応しています。これらのサービスは、オンプレミスまたはGCP内で実行しているアプリケーションで使用することも可能です。
 
PKSのサポート
PKSのユーザは本番環境レベルのサポートを受けることができます。PivotalとVMwareは、世界レベルのグローバル サポート サービスの提供を通じて、最も要求の厳しい本番環境のニーズに応えます。
注:PKSの利用にはVMware vSphere 6.5が必要です。

Pivotal Container ServicePKS)に関する詳細情報(英語)
Pivotal Container Serviceに関する詳細は、以下をご覧ください。
https://cloud.vmware.com/pivotal-container-service

NSX-T 2.1リリースに関する詳細は、以下をご覧ご確認ください。
http://blogs.vmware.com/networkvirtualization/2017/11/nsx-t-2-1.html/

Pivotal Cloud Foundry 2.0に関する詳細は、以下をご覧ご確認ください。
https://content.pivotal.io/announcements/pivotal-unveils-expansion-of-pivotal-cloud-foundry-and-announces-serverless-computing-product