Upgrade to Pro — share decks privately, control downloads, hide ads and more …

コンテナ支部recapをrecapしよう_気になったコンテナの周りのアップデートを紹介.pdf

 コンテナ支部recapをrecapしよう_気になったコンテナの周りのアップデートを紹介.pdf

yoshitaka KOITABASHI

December 05, 2023
Tweet

More Decks by yoshitaka KOITABASHI

Other Decks in Technology

Transcript

  1. コンテナ支部recapをrecapしよう。
    気になったコンテナの周りの
    アップデートを紹介

    View full-size slide

  2. re:Invent期間中(前後を含む)に出た
    アップデートで個人的に興味深いものを選出し紹介

    View full-size slide

  3. Amazon ECR パブリックギャラリーに
    新しいナビゲーション機能と検索機能を導入
    1.ナビゲーションと検索の向上
    ECRパブリックギャラリーで、DockerやAmazonなどの有名なパブリッシャーの
    イメージを簡単に検索できる新しいフィルターが追加されました。
    2.ユーザーフレンドリーなランディングページ
    新しいランディングページには、検索結果を簡単にフィルタリングできる機能が
    追加され、頻繁に使用されるリポジトリに簡単にアクセスできます。
    https://aws.amazon.com/jp/about-aws/whats-new/2023/10/amazon-ecr-public-
    navigation-search-features-gallery/

    View full-size slide

  4. Amazon ECR パブリックギャラリー
    https://gallery.ecr.aws/
    ここのフィルターが追加

    View full-size slide

  5. Amazon ECR パブリックギャラリー
    https://gallery.ecr.aws/

    View full-size slide

  6. Kubernetes バージョンに対する Amazon EKS の
    延長サポートが現在プレビューでご利用可能
    1.延長されたサポート期間
    Kubernetes v1.23以降、Amazon EKSはKubernetesバージョンを
    公開後最大26か月間サポートする
    これにより、ユーザーはより長期間安定したサポートを受けられます。
    2.継続的なセキュリティ更新
    延長サポート期間中もAmazon EKSは
    Kubernetesコントロールプレーンのセキュリティパッチを提供し続ける
    https://aws.amazon.com/jp/about-aws/whats-new/2023/10/amazon-eks-support-
    kubernetes-versions-preview/

    View full-size slide

  7. Kubernetes バージョンに対する Amazon EKS の
    延長サポートが現在プレビューでご利用可能
    https://aws.amazon.com/jp/about-aws/whats-new/2023/10/amazon-eks-support-
    kubernetes-versions-preview/

    View full-size slide

  8. ※ Kubernetes バージョンの延長サポートは現在プレビュー段階にあり、
    プレビュー期間中は追加料金は発生しない。

    View full-size slide

  9. こんなものには頼らずに
    アップデートはちゃんとしましょう。

    View full-size slide

  10. AWS App Runner 周りの改善
    1. カスタムドメインの簡単な関連付け
    App Runnerサービスにカスタムドメインを関連付けるプロセスが
    簡素化され、特にAmazon Route 53をDNSプロバイダーとして
    使用する場合、自動的に設定される
    2. IPv6ベースのトラフィックのサポート
    ユーザーはIPv4とIPv6の両方をサポートするデュアルスタックの
    パブリックエンドポイントを作成できるようになった。
    3. 新しいリージョンのサポート
    欧州(ロンドン)、アジアパシフィック(ムンバイ)、欧州(パリ)の
    リージョンがApp Runnerの利用可能リストに追加されました。

    View full-size slide

  11. Amazon ECS が、予測不可能な負荷の
    スパイクに対するアプリケーションの回復性を向上
    Amazon ECSは、コンテナまたはロードバランサーのヘルスチェック
    に合格しなかった異常なタスクを終了する前に、
    正常な代替タスクを先に開始するようになった
    => 予測不可能な負荷のスパイクに対するアプリケーションの回復性が向上
    https://aws.amazon.com/jp/about-aws/whats-new/2023/10/amazon-ecs-applications-
    resiliency-unpredictable-load-spikes/

    View full-size slide

  12. Amazon ECS が、予測不可能な負荷の
    スパイクに対するアプリケーションの回復性を向上

    View full-size slide

  13. Amazon ECS が、予測不可能な負荷の
    スパイクに対するアプリケーションの回復性を向上

    View full-size slide

  14. Amazon ECS が、予測不可能な負荷の
    スパイクに対するアプリケーションの回復性を向上

    View full-size slide

  15. Amazon ECS が、予測不可能な負荷の
    スパイクに対するアプリケーションの回復性を向上

    View full-size slide

  16. Amazon ECS が、予測不可能な負荷の
    スパイクに対するアプリケーションの回復性を向上
    設定方法
    • ”maximumPercent”パラメータを設定することで、同時に立ち上げる
    代替タスクの最大数を制御できる。
    • デフォルトでは200%に設定されているので、ここを調整するイメージ

    View full-size slide

  17. AWS Fargate の Amazon ECS タスクで
    SOCI の選択的な利用が可能に
    1.特定のコンテナイメージの遅延読み込み
    タスク定義に含まれる特定のコンテナイメージに対して
    遅延読み込みを設定できるようになり、
    サイズが大きなイメージの効率的な扱いが可能
    2.デプロイとスケールアウト時間の短縮
    必要なSOCIインデックスのみを生成することで、
    アプリケーションのデプロイとスケールアウトに要する時間が短縮
    される。
    https://aws.amazon.com/jp/about-aws/whats-new/2023/11/aws-fargate-amazon-ecs-
    tasks-selectively-leverage-soci/

    View full-size slide

  18. コンテナイメージの lazy loading について
    https://aws.amazon.com/jp/about-aws/whats-new/2023/11/aws-fargate-amazon-ecs-
    tasks-selectively-leverage-soci/
    https://twitter.com/toricls/status/1721877821872873533?
    s=46&t=QENU_z5p7KeNQaf6VFOkww
    ここに大体の概要が・・笑

    View full-size slide

  19. lazy loading とは?

    View full-size slide

  20. 今までは・・?
    以前のlazy loadingでは、すべてのコンテナイメージに対する
    SOCIインデックスの事前準備が必要だった。

    View full-size slide

  21. 今回のアップデートでは何が変わった?
    今回のアップデートで、lazy loadingが必要な
    コンテナイメージのSOCIインデックスのみが必要になり、
    他のコンテナイメージは通常通りにダウンロードする動作となる。

    View full-size slide

  22. Amazon Elastic Container Service で
    タスク起動の冪等性のサポートを開始
    1.タスク起動の冪等性サポート
    タスクの起動プロセスに冪等性が導入され、タイムアウトや
    接続エラーによる余分なインスタンスの起動を防ぐことができる。
    2.時間とコストの節約
    この機能により、安全にタスク起動を再試行でき、
    意図した数以上のタスクが起動されないため、時間とコストの節
    約につながる。
    => recap話の中では、よくEventBridge経由で タスクを起動する
    際に、処理の再試行などで必要以上のタスクが起動されないよう
    することができる
    https://aws.amazon.com/jp/about-aws/whats-new/2023/11/amazon-elastic-container-
    service-idempotency-launches/

    View full-size slide

  23. Mountpoint for Amazon S3 CSI ドライバーの
    一般提供を開始
    1. S3オブジェクトへのファイルシステムインターフェイスアクセス
    Kubernetesアプリケーションからファイルシステムインターフェイスを経由
    してS3オブジェクトにアクセスできるようになり、
    アプリケーションに変更を加えずに高い総スループットを実現できる。
    2. EKSでの簡単なセットアップと管理
    Amazon EKSではEKSアドオンとしてこのCSIドライバーをサポートし、
    EKSコンソール、AWS CLI、API、AWS CloudFormationを使用して簡単に
    インストール、設定、更新できる
    https://aws.amazon.com/jp/about-aws/whats-new/2023/11/mountpoint-amazon-s3-csi-
    driver/

    View full-size slide

  24. Amazon Managed Service for Prometheusが、
    Amazon EKS から Prometheus メトリクスの
    エージェントレスコレクターを起動
    1.エージェントレスのPrometheusメトリクス収集
    この完全管理型のエージェントレスコレクターを使用して、
    Amazon EKS上で実行されるワークロードからPrometheusメトリクスを収集できます。これにより、
    Amazon EKSアプリケーションとインフラストラクチャからの
    Prometheusメトリクスの発見と収集が、EKSコンソールまたはAPI呼び出しを通じて
    簡単に行えるようになります。
    2.運用負担の軽減
    Prometheusエージェントのモニタリング、サイジング、運用にかかる日々の労力を
    省くことができ、Amazon EKSアプリケーション、インフラストラクチャ、Kubernetes apiserverからの
    Prometheusメトリクスをエージェントなしで
    自動的に発見し収集できます。
    https://aws.amazon.com/about-aws/whats-new/2023/11/amazon-managed-service-
    prometheus-agentless-collector-metrics-eks/

    View full-size slide

  25. ⭕ AWS Fargate を含む Amazon GuardDuty ECS
    ランタイムモニタリング
    Amazon ECSワークロードのランタイム脅威検出
    Amazon Elastic Container Service (ECS) ワークロード、
    特にAWS Fargate上で実行されるサーバーレスコンテナワークロード
    のランタイム脅威検出が可能になる。
    https://aws.amazon.com/about-aws/whats-new/2023/11/amazon-guardduty-ecs-runtime-
    monitoring-fargate/

    View full-size slide

  26. AWS Fargate を含む Amazon GuardDuty ECS
    ランタイムモニタリング
    ポイント
    • ECSクラスター上で動作しているコンテナに対して
    ランタイムセキュリティに関する問題を検出できる
    • ECS on FargateはGA, ECS on EC2はパブリックプレビュー
    • サイドカー形式でデプロイされたGuardDutyセキュリティエージェント
    によって、ランタイムセキュリティに関するイベントを記録
    • 専用のVPCエンドポイントが作成される
    • エージェントが記録したイベントはVPCエンドポイント経由でGuardDutyに送

    • このVPCエンドポイントは無料

    View full-size slide

  27. AWS Fargate を含む Amazon GuardDuty ECS
    ランタイムモニタリング
    自動エージェント設定とある。

    View full-size slide

  28. ⭕ Amazon Inspector が開発者ツールと統合することで
    コンテナイメージのセキュリティを強化
    1. 開発ツールとの統合によるコンテナイメージのセキュリティ評価
    JenkinsやTeamCityなどの主要な開発ツールとの統合により、開発者は
    CI/CDツール内でコンテナイメージのソフトウェア脆弱性を評価できるようになり、
    ソフトウェア開発ライフサイクルの早い段階でセキュリティを向上させる
    2. CI/CDダッシュボード内の評価結果と自動対応
    評価結果はCI/CDツールのダッシュボード内で利用可能となり、開発者は
    重大なセキュリティ問題に対して、ビルドのブロックやコンテナレジストリへの
    イメージプッシュの阻止などの自動対応を取ることができる
    https://aws.amazon.com/jp/about-aws/whats-new/2023/11/mountpoint-amazon-s3-csi-
    driver/

    View full-size slide

  29. Amazon Inspector が開発者ツールと統合することで
    コンテナイメージのセキュリティを強化
    発表のされ方が斬新だった
    是非見てない人は、
    WernerのKeynoteを見てください!

    View full-size slide

  30. Amazon Inspector が開発者ツールと統合することで
    コンテナイメージのセキュリティを強化
    今までは、ECRイメージスキャンと呼ばれるものが存在した。
    • ベーシックスキャン
    • オープンソースの Clair プロジェクトのCVEデータベースを使用
    • イメージのプッシュ時にスキャンするか、手動実行
    • 拡張スキャン
    • Amazon Inspector と統合しリポジトリの自動継続的なスキャン
    https://aws.amazon.com/jp/about-aws/whats-new/2023/11/mountpoint-amazon-s3-csi-
    driver/

    View full-size slide

  31. Amazon Inspector が開発者ツールと統合することで
    コンテナイメージのセキュリティを強化
    今回のアップデートのポイント
    • ベーシックスキャンは、オンデマンドスキャンが
    可能なので、CI/CDに組み込めたが、拡張スキャンは
    対応していなかった。
    • アップデートにより、AWS SDK/CLI にて実行が可能になります。
    もちろん”inspector-scan API ”というAPIを利用し、
    組み込むこともできそう

    View full-size slide

  32. まとめ
    • 今回のアップデートは、細かい内容のものが多かった印象
    だが、開発者にとって痒い所に手が届くそんな機能の
    アップデートは地味に嬉しいんじゃないでしょうか。
    • 来年もコンテナ支部は現地でrecapをやるはずです!
    ぜひ現地ラスベガスでお会いしましょう!

    View full-size slide

  33. イベントの宣伝!
    AWSとも関係が深い
    Serverlessの
    エコシステムを学ぶ
    イベントを開催します!
    現地会場もあるので、是非!

    View full-size slide