Kubernetesエンジン(OKE)の概要
柔軟なノードの選択、自動化、統合セキュリティにより、Oracle Cloud Infrastructure上でコンテナ化されたアプリケーションをデプロイ、管理および拡張できるKubernetes Engine (OKE)について説明します。
Oracle Cloud Infrastructure Kubernetes Engine(OKE)は、コンテナ化されたアプリケーションをクラウドにデプロイするための、完全に管理されたスケーラブルで可用性の高いサービスです。OKEを使用すると、Cloud Native Computing Foundation (CNCF)の準拠として認定されているオープン・ソースのKubernetesを使用して、クラウドネイティブ・アプリケーションを構築、デプロイおよび管理できます。
OKEでは、様々なデプロイメント・オプションがサポートされています。高度なカスタマイズまたはGPUや高パフォーマンス・ネットワーキングなどの特定のコンピュート・リソースが必要な場合、サーバーレス操作のために仮想ノードでアプリケーションを実行するか、管理対象ノードでユーザーとOracle間の共有職責を実行するか、自己管理ノードでアプリケーションを実行するかを選択できます。OKEでは、ベア・メタル・タイプや仮想マシン・タイプなど、複数のコンピュート・シェイプがサポートされており、コスト、パフォーマンスまたはハードウェアのニーズに最も適した構成を選択できます。
仮想ノードの場合のみ、OKEはスケーリング、パッチ適用、コントロール・プレーンのアップグレードなど、重要なクラスタ操作を自動化します。他のノード・タイプの場合、OKEには、ノード・ライフサイクル管理、アドオン・ソフトウェア管理、ワーカー・ノードの安全な削除と置換、および障害が検出された場合の自動クラスタ・ヒーリングの機能が用意されています。ポッドおよびクラスタを垂直および水平にスケーリングし、複数の可用性ドメインにまたがるクラスタを構成したり、専用リージョンで動作するようにクラスタを構成できます。OKEでは、効率的なリソース利用のためのジョブ・スケジューリングもサポートされています。
OCIコンソール、REST APIおよびCLIを使用してクラスタを管理し、kubectl、Kubernetes Dashboard、Kubernetes APIなどの標準のKubernetesツールを使用してKubernetesクラスタにアクセスできます。OKEは、Identity and Access Management (IAM)、Container Registry、StorageおよびNetworkingサービスなどの他のOCIサービスや、CI/CDツールと統合され、クラウドでの完全なDevOpsパイプラインの作成をサポートします。
OKEには、保存データの暗号化、ネットワーク・セキュリティ・グループのサポート、プライベートKubernetesクラスタ、ポッド・レベルの分離、OCI IAMとのRBAC統合などのセキュリティおよびコンプライアンス機能が組み込まれています。コンテナ・イメージのスキャンと署名、ワークロード・アイデンティティおよびOCI監査サービスを使用して、アプリケーションとデータを監視および保護できます。
OKEは、人工知能(AI)や機械学習などのリソース集約型タスクなど、様々なワークロードをサポートしています。GPUおよびCPUノードの大規模なフリートをプロビジョニングおよび管理し、高パフォーマンスのクラスタ・ネットワーキングを使用し、Kubernetes自動スケーリングを適用して動的ワークロードに調整できます。
Kubernetesクラスタのデプロイおよび管理の詳細は、チュートリアルおよび統合ガイダンスとともに、このドキュメントの関連トピックおよび使用可能な多数の開発者チュートリアルを参照してください。
Oracle Cloud Infrastructureへのアクセス方法
Oracle Cloud Infrastructure (OCI)には、コンソール(ブラウザベースのインタフェース)、REST APIまたはOCI CLIを使用してアクセスできます。 コンソール、APIおよびCLIの使用手順は、このドキュメント全体のトピックを参照してください。 使用可能なSDKのリストは、ソフトウェア開発キットおよびコマンドライン・インタフェースを参照してください。
コンソールにアクセスするには、サポートされているブラウザを使用する必要があります。コンソールのサインイン・ページに移動するには、このページの上部にあるナビゲーション・メニューを開き、「インフラストラクチャ・コンソール」を選択します。クラウド・テナント、ユーザー名およびパスワードの入力を求められます。
API使用についての一般情報は、REST APIを参照してください。
イベントを使用した自動化の作成
イベント・タイプ、ルールおよびアクションを使用して、Oracle Cloud Infrastructureリソースの状態変更に基づく自動化を作成できます。詳細は、イベントの概要に関する項を参照してください。
イベントを発行するOKEリソースの詳細は、Kubernetesエンジンを参照してください。
リソース識別子
ほとんどのタイプのOracle Cloud Infrastructureリソースには、Oracle Cloud ID (OCID)と呼ばれるOracleによって割り当てられた一意の識別子があります。OCIDのフォーマットおよびリソースを識別するその他の方法の詳細は、リソース識別子を参照してください。
認証と認可
Oracle Cloud Infrastructureの各サービスは、すべてのインタフェース(コンソール、SDKまたはCLI、およびREST API)の認証および認可のためにIAMと統合されています。
組織の管理者は、どのユーザーがどのサービスとリソースにアクセスできるか、およびアクセスのタイプを制御する、グループ、コンパートメントおよびポリシーを設定する必要があります。たとえば、ポリシーは、新規ユーザーの作成、クラウド・ネットワークの作成と管理、インスタンスの作成、バケットの作成、オブジェクトのダウンロードなどを実行できるユーザーを制御します。詳細は、アイデンティティ・ドメインの管理を参照してください。異なる各サービスに対するポリシーの記述の詳細は、ポリシー・リファレンスを参照してください。
管理者以外の通常のユーザーが会社所有のOracle Cloud Infrastructureリソースを使用する必要がある場合、ユーザーIDを設定するには、管理者に連絡してください。管理者は、ユーザーが使用できるコンパートメントを確認できます。
OKEによって作成されたクラスタで特定の操作を実行するには、Kubernetes RBACロールまたはclusterRoleを介して付与される追加の権限が必要になる場合があります。アクセス制御およびKubernetesエンジン(OKE)についてを参照してください。
OKEの機能および制限
アカウント・タイプ(月次ユニバーサル・クレジット、Pay-as-You-Go、Promo)では、テナンシに対して有効になっている各リージョンで作成できるクラスタの数と、各クラスタ内のノードの最大数を決定します。各リージョンで作成できる拡張クラスタの数(基本クラスタの数ではなく)の増加をリクエストするには、オラクルに連絡してください。Kubernetesエンジンの制限を参照してください。
クラスタ内のノード・プール内の単一の管理対象ノードで実行するポッドを最大110個指定できます。Kubernetesによって110の制限が課されます。
リソースまたはリソース・ファミリにコンパートメント固有の制限を設定するために、管理者は、コンパートメント割当てを使用できます。
必要なIAMサービス・ポリシー
Oracle Cloud Infrastructureを使用するには、管理者が、テナンシ管理者がポリシーでセキュリティ・アクセス権を付与したグループのメンバーである必要があります。コンソールまたは(SDK、CLIまたはその他のツールを使用した) REST APIのどれを使用しているかにかかわらず、このアクセス権が必要です。権限がない、または認可されていないというメッセージが表示された場合は、テナンシ管理者に、どのタイプのアクセス権があり、どのコンパートメントでアクセスが作業する必要があるかを管理者に確認してください。
ポリシーを初めて使用する場合は、アイデンティティ・ドメインの管理および共通ポリシーを参照してください。
OKEのポリシーの詳細は、次を参照してください: