KubeSlice でハイブリッド/マルチクラスタ、マルチクラウド Kubernetes の導入を簡素化

マルチクラウドまたはハイブリッド戦略により、企業は最適なクラウドネイティブ サービスを自由に使用できるようになります。各クラウド プロバイダーには、企業が検討すべき独自のワークロード価値提案があります。たとえば、Oracle Cloud は、コンピューティング機能に加えて、クラス最高のデータベース管理機能、分析エコシステム、その他のクラウドネイティブ サービスを提供します。したがって、クラウド プロバイダーが提供する多様な価値提案により、マルチクラウドは企業にとって魅力的な選択肢となります。ただし、展開を簡素化し、クラスター間でワークロードを接続する機能は、依然として大きな課題です。 Avesha の KubeSlice を使用して管理された Kubernetes クラウド インフラストラクチャと連携することで、企業はマルチクラウドの課題を解決できるようになります。

KubeSlice (https://kubeslice.io/) は、複数のクラスターにわたって仮想クラスターを作成し、ネットワーク レイアウト、マルチテナント、クラスター間のマイクロサービス到達可能性によって生じる障害を取り除くことで、アプリケーションの高速化に役立ちます。

Kubernetesの普及

ハイブリッド/マルチクラウド展開の文脈では、Kubernetes とその柔軟なプラットフォームにより、コンテナ化されたアプリケーション アーキテクチャの採用に大きな変化が起こったことは注目に値します。 Kubernetes は、一時的なコンテナ化されたワークロードのオーケストレーションの事実上の標準となっています。エンタープライズ環境におけるマイクロサービスの普及により、Kubernetes エコシステムが成長しました。

チャレンジ

Kubernetes を大規模に導入し、効果的に管理するには、強力な設計プロセスと厳格な管理規律が必要です。企業は、ワークロードの種類（高度なトランザクション、データ中心、または場所固有）に基づいて決定を下す必要があります。さらに、ワークロードの分散では、レイテンシ、弾力性、コンプライアンス、コストなどの要素を考慮する必要があります。

さらに、マイクロサービスの複雑さにより、相互接続が現代のアプリケーション アーキテクチャの焦点になります。すべてのマイクロサービスを単一のクラスターにデプロイし、クラスター内で実行されているすべてのサービス間の信頼を維持する限り、Kubernetes はこの種の複雑さを適切に処理します。デフォルトでは、Kubernetes は CPU、メモリ、StorageClass、PersistentVolume などのさまざまなリソースをクラスター内の共有オブジェクトとして扱います。

ここで事態は複雑になります。複数のチームが同じクラスターに複数のアプリケーションを展開すると、セキュリティの問題や潜在的なリソース競合など、共有リソースのオーケストレーションが困難になる可能性があります。 Kubernetes には、アプリケーションの分離を提供する論理名前空間があります。ただし、複数のアプリケーションを持つチームの名前空間リソースの管理と割り当てには、大きな運用上の課題も伴います。 Kubernetes 自体は、複数のテナントをユーザーやリソースとして扱いません。

成熟した展開 – 課題は増え続ける

組織が Kubernetes の実行において成熟度に達すると、エコシステムをマルチクラスター展開に拡張します。これらのデプロイメントは、データ センターでホストされるか、ハイパースケール企業向けにデータ センターとクラウドに分散されます。企業がマルチクラスター環境の導入を選択する理由としては、チームの境界、レイテンシ感度 (アプリケーションを顧客の近くに配置する必要がある)、地理的な復元力、データの管轄 (データが地理的境界を越えることができない国でのユーザー データ制限に関するポリシーなど) などが挙げられます。クラスター間でのアプリケーションの展開が増加するにつれて、これらのアプリケーションは異なるクラスター内の他のアプリケーションにアクセスする必要性が高まります。

プラットフォーム チームがアプリケーション開発者にインフラストラクチャを提供する際に、面倒な運用管理の課題に直面します。

（1）テナンシーを維持しながら、マルチクラスタ展開間で名前空間の一貫性を拡張する。

（２）クラスタリソースを管理する。

（３）環境設定のドリフトによるクラスタ構成の問題を防ぐ。

Kubernetes ネットワーキング - 究極の挑戦

Kubernetes ネットワーキングは決して簡単ではありません。境界と制御が必要なドメインとファイアウォールを定義することに慣れている一方で、Kubernetes でこれらのドメインとファイアウォールをマッピングすることは困難です。はい、名前空間を超えた柔軟性が必要です。複数のクラスターを接続する必要があり、クラウド間でワークロードを分散するには、NetOps チームによる慎重な計画が必要です。

KubeSlice - 効率的なハイブリッド/マルチクラウド クラスター接続および管理ソリューション

企業の世界では、大規模なアプリケーションとインフラストラクチャを管理することは困難な作業になる可能性があります。 Kubernetes を使用すると、アプリケーションのオーケストレーションが簡単になりますが、単一のクラスターから複数のクラスターのデプロイメントに拡張すると、マイクロサービス ベースのアプリケーションのオーケストレーションとスケーリングが難しくなります。 Kubernetes ベースのアプリケーションにおける大手イノベーターとして、Avesha は、組織がアプリケーションを効率的かつコスト効率よく管理および拡張できるようにする画期的な特許製品である KubeSlice と Smart Scaler を開発しました。

KubeSlice は、Slice と呼ばれる Kubernetes オペレーターを作成することで、大規模なマルチクラスター アプリケーションを実行する際の複雑な課題に対する簡素化されたソリューションを提供します。オペレーターは、論理アプリケーション境界として一連のクラスター上に仮想クラスターを作成し、ポッドとサービス間のシームレスな通信を可能にします。 Slice は地理的境界を越え、あらゆるクラスター、クラウド、エッジ、K8s ディストリビューションにアプリケーションをデプロイできます。

さらに、KubeSlice は、安全で低遅延のクラスター間ネットワーク接続を実現するために、東西パスを介して NIST 準拠の VPN トンネルを提供します。 Slice は、複数のクラウド プロバイダー間および複数のクラウド プロバイダー内の共有セキュリティ ドメインとして使用できます。 KubeSlice Manager UI は、各仮想クラスター内でのリソースの最適化、名前空間の分離、RBAC 管理、ノードのアフィニティを提供するユーザーフレンドリーな機能を通じて、クラスター フリートの管理を簡素化します。組織は、セキュリティを優先しながら、アプリケーションを簡単に管理および拡張できます。

企業がアプリケーション アーキテクチャをデータ センターやクラウド サービス プロバイダーのリージョンにある複数のクラスター、または複数のクラウド サービス プロバイダーにまたがる複数のクラスターに拡張するにつれて、Kubernetes クラスターには、完全に統合された接続性と、クラスター間で名前空間を伝播する機能が必要になります。

KubeSlice は、物理的な場所に関係なく、単一のクラスターまたはクラスターのグループ内に複数の論理スライスを作成できます。既存のクラスター内通信は、依然として各 Pod の CNI インターフェースを使用したローカル通信に制限されています。 KubeSlice は、クラスター間通信を可能にするオーバーレイ ネットワークを作成することで、異なるクラスター間のネットワーク トラフィックの分離を実現します。

これを行うために、KubeSlice は Pod に 2 番目のインターフェースを追加し、ローカル トラフィックが CNI インターフェース上に残り、外部クラスターに送信されたトラフィックがオーバーレイ ネットワークを介してターゲット Pod にルーティングされるようにして、KubeSlice を CNI に依存しないものにします。

同時に、KubeSlice は、クラウド サービス プロバイダー、データ センター、エッジ ロケーション間で IP アドレスが重複するという複雑な問題を解決します。オーバーレイ ネットワークは、重複しない RFC1918 プライベート ネットワーク CIDR アドレス空間で構成されます。 KubeSlice はネットワーク分離を作成するため、クラスター間の到達可能性で割り当てられたポッドの数に基づいて構成されたサブネットの割り当ても担当します。さらに、同じクラスターまたはクラスター グループ内に作成された複数のスライスを同じ RFC1918 アドレスで構成できるため、IP アドレス管理がさらに簡素化されます。

KubeSlice は、プラットフォーム チームと製品チームがマルチクラスター環境でアプリケーションの均一性を実現する速度を大幅に向上させるサービスを提供します。 KubeSlice は、Kubernetes サービス、ネットワーク サービス、マルチテナントおよび分離という 3 つの機能をポッドにもたらします。

Kubernetes サービス: KubeSlice は、Kubernetes オブジェクト、名前空間、RBAC ルールを管理して名前空間管理とアプリケーションの分離を行い、運用効率を向上させます。 KubeSlice を使用すると、互いに適度に分離しつつ、共通のコンピューティング リソースと Kubernetes コントロール プレーンを共有する一連の環境、チーム、またはアプリケーションのクラスター シャーディングまたは「スライス」が可能になります。

ネットワーク: Kubernetes クラスターは、接続性と Pod 間通信をクラスター全体にわたる名前空間の伝播と完全に統合できる必要があります。既存のクラスター内通信は、CNI インターフェイスを使用してクラスターに対してローカルのままになります。ネイティブ KubeSlice 構成では、クラスター間通信用のオーバーレイ ネットワークを作成することで、クラスター間のネットワーク トラフィックを分離できます。 KubeSlice は、ポッドに 2 番目のインターフェースを追加することでこれを実現し、ローカル トラフィックを CNI インターフェース上に維持し、外部クラスター宛てのトラフィックをオーバーレイ ネットワーク経由で宛先ポッドにルーティングできるようにすることで、KubeSlice を CNI に依存しないものにします。

KubeSlice は、クラスター内の任意の Pod への通信機能を有効にするスライスを作成することで、シームレスな Pod 間通信を可能にするという Kubernetes の基本原則を維持しています。 KubeSlice Slice 相互接続は、クラウド プロバイダー、データ センター、エッジ ロケーション間の IP アドレス重複という複雑な問題を解決します。

マルチテナントと分離: KubeSlice を使用すると、単一のクラスターまたはクラスターのグループ内に複数の論理スライスを作成して、ネットワークからアプリケーション ドメインまでの真の分離を実現できます。

建築

KubeSlice は、複数のクラスター間で安全かつ高可用性の接続を必要とするアプリケーションにネットワーク サービスを提供します。 KubeSlice は、クラスターを接続するためのフラットなオーバーレイ ネットワークを作成します。オーバーレイ ネットワークは、複数のクラスターで実行されているアプリケーションの Pod 間の接続を提供するアプリケーション スライスとして説明できます。これは、クラスター全体にわたるアプリケーション固有の VPC とも言えます。ポッドはスライス オーバーレイ ネットワークに接続し、クラスター境界を越えてシームレスに相互に通信できます。

クラスター間の接続は、クラスター間トラフィックに安全なチャネルを提供する暗号化された VPN トンネルを作成することによって保護されます。

KubeSlice は、クラスター間のサービス検出と到達可能性を実現するためにも使用できます。クラスターで実行されている Kubernetes サービスは、シャードされたオーバーレイ ネットワークを介してエクスポートできるため、他のクラスターで実行されているポッドがそれを検出してアクセスできるようになります。

KubeSlice アーキテクチャは、スライス オーバーレイ ネットワークのライフサイクルを管理するために相互に作用する複数のコンポーネントで構成されています。次の図は、KubeSlice の主なコンポーネントとそれらの間の接続を示しています。

コントローラー クラスターには、ユーザー構成を管理し、複数のワーカー クラスター間のスライス オーバーレイ ネットワークの作成を調整する KubeSlice コントローラーが含まれています。クラスター内の構成情報と運用情報を保存するために使用される多数の CRD を定義および所有します。 CRD は、コントローラー クラスターとワーカー クラスター間のやり取りにも使用されます。ワーカー クラスターは、コントローラー クラスターの Kubernetes API サーバーに接続して、カスタム リソース オブジェクトに保存されている構成を取得します。

ワーカー クラスターの主なコンポーネントはスライス コントローラーです。コントローラ クラスターと対話し、ワーカー クラスター上のスライス オーバーレイ ネットワークに必要なインフラストラクチャを設定します。ワーカー クラスターには、クラスター間サービス検出用の KubeSlice DNS と呼ばれる DNS サーバーも含まれています。ユーザーは、東西 (EW) トラフィック用の入力ゲートウェイと出力ゲートウェイを使用してスライスを作成することもできます。 Slice Operator はゲートウェイをプロビジョニングし、アプリケーション ポッドとゲートウェイ ポッド間のトラフィックを集中させるルーティング ルールを設定します。

テスト

Avesha は、サンドボックス環境で KubeSlice を 4 時間無料で使用できるようにしています。 https://community.aveshalabs.io/ にサインアップすると、製品を実際に体験することができます。ご興味のある方は直接体験登録していただけます。

登録後に受信する返信メールには、サンドボックス環境で KubeSlice にアクセスするための詳細な手順が記載されています。共有資格情報を使用して、kubeslice-cli install --profile=full-demo を実行し、完全な環境を構成します。このセットアップでは、3 種類のクラスターが提供されます。この構成を使用すると、何もインストールせずに KubeSlice を探索して学習できます。