Google Cloud Next Tokyo ’24 セッションレポート 進化するコンテナ環境: Google Kubernetes Engine と Cloud Run の最新アップデートと使い所を徹底解説

はじめに

当記事は、「進化するコンテナ環境: Google Kubernetes Engine と Cloud Run の最新アップデートと使い所を徹底解説」についての紹介セッションレポートです。

内容

Google Cloud に代表されるコンテナサービスの GKE と Cloud Run の最新アップデート情報と扱い方の解説セッションでした。
内容として、GKE を多く使わない私にも理解できるような Standard と Autopilot の紹介からはじまりある程度の知識があれば理解できるものでした。

GKE と Cloud Run で紹介された内容を以下に抜粋してご紹介します。

GKE のアップデート内容

Workload identity Federation for GKE

従来は Kubernetes サービスアカウントが Googl Cloud のサービスアカウントの権限を借用し、APIへのアクセスを制御をしていました。Workload identity と呼ばれる機能です。
こちらが、Workload identity Federation for GKE として、Kubernetes Service Account に対して直接 Role の付与が可能になりました、これよりサービスアカウントを1つ追加することが不要になりますね。

Stateful HA Operator

以前はマルチゾーンで高可用性を組む場合、マルチノードでステートフル状態をディスクで管理する場合、ノードに異常が発生した場合、同じディスクにノードがつなぐまでに8-10分ほど要していたとのことです。
また、それを懸念してマルチレプリカ構成を組む場合、少し高額になってしまう状態でしたが、今回の構成により、安価で接続不可の時間を低減してフェイルオーバーが可能になります。
可用性の条件によって、許容できる時間に違いがあると思うので、それに応じて導入をご検討いただくとより安定運用可能となります。

Secret Manager アドオン

Cloud Run では既にあった機能ですが、GKE にても Secret Manager でマウントできるようになりました。今までカスタムコードで Secret Manager のシークレット値を参照していたものが不要になり、直接参照可能となります。Workload identity Federation for GKE もあいまって、Service Account に特設 Secret Manager の参照権限を付与して、アクセスすることもでき、より簡易に導入ができるようになりました。こちらパブリックプレビュー機能となります。

GCS FUSE Read Cache サポート

GCS を GKE から FUSE を利用して、GCS をマウントしていた場合に、そこへのアクセスには、都度 API を叩いて参照しておりましたが、一度参照した情報をキャッシュとして、マウントしている SSD 等のストレージやメモりにおいておき、同じデータへの繰り返しアクセスが早くなり且つ、API を叩いてアクセスすることが不要になりました。
主にAI/MLでの利用ケースが挙げられるとのこと。

Container image Preloading

GKE Node Pool にセカンダリディスクとしてイメージをマウントさせることができるようになったとのことです。
都度Artifact Registryからのダウンロードが不要になり、スピーディに起動ができるようなり、ディスクとしてマウントすることが可能でコンテナに必要なライブラリを保存しておき、それを呼び出す、という使い方をすることも可能になったとのこと。
高負荷な仕組みで GKE を利用するケースが多いと思うので、こういったレイテンシーを軽減する仕組みが増えて、また進化した、という印象を受けました。

GKE Enterprise

他社クラウドのなどを横串で管理することが可能になり、その他様々な機能が提供されます。

GKE Threat Detection

GKE全体の不審な挙動を検知することができ、特権コンテナの権限昇格などの検知が可能となります。Enterprise 内の機能ということで、こちらでセキュリティ観点での対応も行えます。こちらパブリックプレビューとなります。

GKE Compliance

業界ベンチマークにどれだけ対応できているか、をダッシュボードとして提供され、業界標準を意識するような場合、どの程度対応できているか、の把握が容易にでき、次の課題も見える化でき、より運用が効率化できそうです。

Cloud Run

Direct VPC Egress

レイテンシー低減、スループットの向上が見込めます。
色々と制限事項があるので、検討は必要かと思いますが、条件にあえばとても魅力的な機能です。
以前の VPC Access Connector との比較を氏ている記事を書いていますので、よかったらこちらの記事参照ください。

自動セキュリティアップデート

Cloud Run にデプロイされたイメージのベースイメージを Google が自動更新する機能です。これにより、ダウンタイムや、再ビルドなしで、実施することが可能です。こちらプライベートプレビューとなります。

マルチリージョンロードバランシング

今手組でマルチリージョン構成をとることも可能なのですが、それがコマンド一発でいけるようになったとのことです。こちらプライベートプレビューとなります。

Application Canvas

Gemini を利用してアーキテクチャを描いて、そのアーキテクチャをデプロイすることが可能な機能とのことです。アーキテクチャイメージが湧かない場合など、どのように生成できるのか、実際にやってみて有用性について確認してみたいです。こちらプライベートプレビューとなります。

まとめ


コンテナサービスとして多く使われている機能だけあって、更にまた利用しやすく、そして、進化していました。

今後もより進化し、使いやすくなっていくことに期待したいです。