すべてのプロダクト
Search
ドキュメントセンター

Container Service for Kubernetes:メリット

最終更新日:Oct 30, 2024

このトピックでは、Container Service for Kubernetes (ACK) の利点と、自己管理型Kubernetesクラスターの欠点について説明します。

ACKの利点

メリット

説明

高パフォーマンスクラスター管理

  • ACKは、ACK専用クラスター、ACK管理クラスター、ACKサーバーレスクラスターの3種類のクラスターを提供します。

  • 既定では、高可用性を確保するために、ACK管理クラスターの制御プレーンは3つのゾーンにまたがって展開されます。

  • ACKを使用すると、数千のElastic Compute Service (ECS) ノードを単一のクラスターに追加できます。 リソースクォータの詳細については、「クラスタークォータ」をご参照ください。

  • ACKを使用すると、さまざまなゾーンにクラスターをデプロイし、外部クラスターにACKを登録できます。これにより、サービスの集中管理を実装できます。 登録済みクラスターの詳細については、「登録済みクラスターの概要」をご参照ください。

超高リソース弾力性

  • ACKは、ポッドのリソース使用率に基づいてポッドのスケーリングを自動化できます。

  • ACKは数分以内に数千のノードにスケールアウトできます。

  • ACKは、ACKサーバーレスクラスターでのエラスティックコンテナインスタンスの高速起動をサポートします。 ACKサーバーレスクラスターで30秒以内に最大500個のエラスティックコンテナインスタンスを起動できます。

  • ACKは、プッシュボタンの垂直または水平スケーリングをサポートします。

  • ACKを使用すると、サービスのアフィニティルールを設定して、ビジネスのスケジュールを改善できます。

  • ACKは、オープンソースの水平ポッドオートスケーラー (HPA) 、垂直ポッドオートスケーラー (VPA) 、およびKubernetesオートスケーラーのネイティブサポートを提供します。

  • ACKは、CronHPAの機能と同様のスケジューリングされたスケーリング能力を提供する。 ACKは、vk-autoscalerの機能と同様のサーバーレススケーラビリティもサポートしています。

  • ACKは、柔軟なワークロード機能に基づいて、オンラインビジネスのきめ細かいスケジューリングを提供します。

  • ACKは、さまざまなスケーリングのニーズを満たすalibaba-metrics-adapterコンポーネントを提供します。 ACKは、IngressゲートウェイとSentinelベースのフロー制御を使用して、アプリケーションスケーリングも最適化します。

オールインワンコンテナ管理

  • アプリケーション管理:

    • ACKは、カナリアリリース、青緑色展開、アプリケーションモニタリング、およびアプリケーション自動スケーリングをサポートします。

    • ACKは、プッシュボタン展開をサポートする組み込みのアプリケーションマーケットプレイスを提供します。これにより、Helmを使用してアプリケーションをすばやく展開できます。

  • Container registryに基づくイメージレジストリ (Container Registryとは ):

    • Container Registryは、可用性の高いイメージホスティングと並行性の高いイメージ配布を提供します。

    • Container Registryはイメージの高速化をサポートしています。

    • Container Registryは、大規模なP2Pイメージ配信をサポートし、最適化された配信手順を通じて最大10,000ノードにイメージを同時に配信でき、従来の方法と比較して4倍の配信効率を実現します。

    説明

    何百万ものクライアントが同時にイメージをプルしようとすると、自己管理イメージレジストリが応答しないことがあります。 Container Registryは、完全に管理されるより信頼性の高い代替手段であり、メンテナンスの作業負荷を軽減し、アプリケーションを最新の状態に保つのに役立ちます。

  • ロギング:

    • ACKはクラスターログをLog Serviceに収集します。

    • ACKは、サードパーティのオープンソースのログソリューションとの統合をサポートします。

  • モニタリング:

    • ACKは、コンテナレベルおよびVMレベルのモニタリングをサポートします。

    • ACKは、サードパーティのオープンソース監視ソリューションとの統合をサポートします。

さまざまなノードのサポート

  • ACKは、次のタイプのノードをサポートします。

    • x86アーキテクチャに基づくECSインスタンスなど、x86-basedコンピューティングリソースを備えたノード。

    • GPU高速化ECSインスタンス、ASIC高速化ECSインスタンス、FPGA高速化ECSインスタンスなどの異種コンピューティングリソースを備えたノード。

    • ECSベアメタルインスタンスなど、ベアメタルコンピューティングリソースを備えたノード。

    • ACK仮想ノードなどのサーバーレスコンピューティングリソースを備えたノード。

    • エッジノード。 ACK Edgeクラスターは、クラウド内のノードとエッジのノードの集中管理をサポートし、統合アプリケーションリリースを実装します。 これにより、アプリケーションのリリース効率が3倍向上します。 詳細については、「」をご参照ください。ACKエッジとは何ですか?.

  • ACKは次の課金方法をサポートしています。

    • プリエンプティブルインスタンス

    • サブスクリプション

    • 従量課金

IaaS機能の最適化

  • ネットワーキング:

    • ACKは、Virtual Private Cloud (VPC) およびelastic network Interface (ENI) と連携する高性能ネットワークプラグインを提供し、一般的なネットワーキングソリューションと比較してネットワークパフォーマンスを20% 向上させます。

    • ACKは、アクセス制御およびトラフィックスロットリングをサポートする。

  • ストレージ

    • ACKは、Alibaba Cloudディスク、Apsara File Storage NAS (NAS) ファイルシステム、およびObject Storage Service (OSS) バケットを統合し、標準のContainer Storage Interface (CSI) ドライバを提供します。

    • ACKは、動的なボリュームのプロビジョニングと移行をサポートします。

  • ロードバランシング:

    ACKは、インターネット接続および内部接続のServer load Balancer (SLB) インスタンスに基づく負荷分散をサポートします。

    説明

    Ingressを使用して、アプリケーションをインターネットに公開できます。 ただし、ビジネスが成長し、リリースが頻繁になるにつれて、Ingressの負荷が重くなり、エラー率が増加する可能性があります。 この問題を解決するために、ACKはSLBと統合され、ネットワーク構成を自動的に変更して、アプリケーションの要件の変化に合わせ、可用性の高い負荷分散を確保します。 このソリューションはAlibaba Cloud内で広く実装されており、ほとんどのIngressのみのソリューションと比較して、より安定した信頼性の高いサービスを提供できることが証明されています。

エンタープライズグレードのセキュリティと安定性

ACKは、基盤となるインフラストラクチャ、中間ソフトウェアサプライチェーン、および最上層のランタイム環境を保護するために、多層セキュリティメカニズムを採用しています。

  • 多層セキュリティ機能:

    • インフラストラクチャのセキュリティ: ACKは、完全なネットワーク分離とエンドツーエンドのデータ暗号化を提供し、Alibaba Cloud Resource Access Management (RAM) とKubernetes Role-based Access Control (RBAC) に基づく認証システムを実装します。 これにより、詳細な権限管理と包括的な監査が可能になります。

    • ソフトウェアサプライチェーンセキュリティ: ACKは、クラウドネイティブのデリバリーチェーン、画像スキャン、画像署名、画像同期など、開発ライフサイクル全体にわたって保護を提供する、安全なDevSecOpsパイプラインを提供します。

    • ランタイムセキュリティ: ACKは、アプリケーションレベルのセキュリティポリシー、構成検査、ランタイムモニタリングとアラート、キーの暗号化と管理など、複数の機能に基づいてランタイムセキュリティを保証します。

  • 組み込みのセキュリティ機能:

    • ACKは最適化されたOSイメージを提供し、安定性とセキュリティを強化したKubernetesバージョンとDockerバージョンをサポートします。

    • ACKは、OS security HardeningベンチマークとAlibaba Cloudのコンテナセキュリティのベストプラクティスに基づいて、クラスター構成、システムコンポーネント、およびOSイメージのセキュリティコンプライアンスを強化します。

    • ACKは、デフォルトでクラウドリソースを管理するための最小限の権限をワーカーノードに付与します。

  • Sandboxed-Container: Sandboxed-Containerは、コンテナのセキュリティを強化するためにACKによって開発されたコンテナランタイムです。 Sandboxed-Containerを使用して、専用カーネルを持つサンドボックス化された軽量VMでアプリケーションを実行できます。 Sandboxed-Containerは、信頼できないアプリケーション、異常なアプリケーション、低パフォーマンスアプリケーション、およびユーザー間のワークロードを分離するのに適しています。

  • TEEベースの機密コンピューティング: ACKは Intel Software Guard Extensions (Intel SGX) に基づく機密コンピューティングのためのクラウドネイティブのオールインワンソリューション。 このソリューションは、信頼できるアプリケーションと機密コンピューティングタスクを開発、管理、配信する際に、データのセキュリティ、整合性、機密性を保証します。 ACKが提供する機密コンピューティング機能により、信頼できる実行環境を使用して機密データとコードを分離できます。

24/7技術サポート

ACKは、発券システムを通じて24/7の技術サポートを提供します。

自己管理型Kubernetesクラスターの短所

  • Kubernetesクラスターの作成と管理に必要な手順は複雑です。

    Kubernetesコンポーネント、設定ファイル、証明書、キー、プラグイン、およびツールを手動で設定する必要があります。 Kubernetesクラスターを正しく設定するには、プロのエンジニアが数週間かかる場合があります。

  • 自己管理型KubernetesクラスターをAlibaba Cloudサービスと統合するには、多大なコストがかかります。

    自己管理型KubernetesクラスターをLog Service、モニタリングサービス、ストレージサービスなどのAlibaba Cloudサービスと統合するには、追加のコストが必要です。

  • コンテナ化には、ネットワーキング、ストレージ、ノードOS、オーケストレーションなどのさまざまなテクノロジーが含まれます。 Kubernetesクラスターの作成と管理には、高度な技術的専門知識が必要です。

  • コンテナ技術は絶え間なく発展しています。 頻繁なバージョンの繰り返しに対応するには、コンテナ化されたアプリケーションを継続的に更新およびテストする必要があります。