主要な IoT テクノロジー: エッジ コンピューティングにおけるクラウドネイティブ コンテナ テクノロジーの応用

クラウドネイティブとは何ですか?

クラウド コンピューティング アプリケーションの普及に伴い、クラウド ネイティブ テクノロジーの概念が近年非常に人気になっています。 Pivotal の Matt Stine 氏が 2013 年に初めてクラウド ネイティブの概念を提案しました。クラウド ネイティブの具体的な意味も、ここ数年で変化しています。最近、Pivo​​tal の公式 Web サイトでは、クラウド ネイティブの概念を DevOps、継続的デリバリー、マイクロサービス、コンテナーという 4 つの重要なポイントにまとめました。

クラウドネイティブの概念

クラウドネイティブ アーキテクチャに準拠したアプリケーションは、Kubernetes (k8s) やコンテナー (docker) に代表されるテクノロジーを使用して、コンテナー化された方法でアプリケーションをデプロイします。マイクロサービス アーキテクチャに基づくアプリケーションの柔軟性と保守性を向上します。アジャイル手法と DevOps を使用して、継続的な反復と運用および保守の自動化をサポートします。クラウド プラットフォーム機能を使用して、弾力的なスケーリング、動的なスケジューリングを実現し、リソース使用率を最適化します。

エッジコンピューティングにおけるクラウドネイティブテクノロジー

前回の記事「モノのインターネットの主要技術：エッジコンピューティング」で述べたように、エッジコンピューティング技術はモノのインターネットアプリケーションで広く使用されており、クラウドコンピューティング分野で長年実践されてきたさまざまなクラウドネイティブ技術もエッジコンピューティングのシナリオに導入できます。

エッジ コンピューティング シナリオにクラウド ネイティブ テクノロジーを適用すると、エッジ コンピューティングに多くのメリットがもたらされます。

• エクスペリエンス: クラウド ネイティブ テクノロジーは、統一された標準を使用して、エッジ インフラストラクチャとクラウドで一貫したエクスペリエンスを実現します。
• 堅牢性: クラウドネイティブテクノロジーに基づくエッジコンテナ機能により、脆弱なネットワークや切断されたネットワークでも自律性を保証し、効果的な自己回復機能を提供できます。
• 運用・保守：大規模なバッチ配信、運用・保守、大量のエッジ・端末デバイス上のアプリケーションの管理・制御
• セキュリティ: 安全なワークロード運用環境、トラフィック制御、ネットワークポリシー機能を提供し、エッジサービスとエッジデータのセキュリティを効果的に向上させます。

クラウド ネイティブ分野における強力なコミュニティとベンダーのサポートにより、異種リソースへのクラウド ネイティブ テクノロジーの適用性が徐々に向上しています。モノのインターネットの分野では、クラウド ネイティブ テクノロジーはすでに複数の CPU アーキテクチャと通信プロトコルをサポートし、リソース使用量を削減できるため、クラウド ネイティブ テクノロジーはクラウドだけでなく、エッジ ネットワークや端末デバイスにも適用できます。

現在、多くのメーカーがクラウドネイティブエッジコンピューティングの実験を行っており、成功を収めているところもあります。エッジコンピューティングに適したクラウドネイティブ コンテナ テクノロジーは、主に MicroVM と Sandbox の 2 つのカテゴリに分けられます。

マイクロ仮想マシン技術

いわゆるマイクロ仮想マシンとは、コンテナ環境で実行できる仮想マシンを指します。これにより、コンテナ化の利便性と軽量性を活用するだけでなく、仮想マシンの分離とセキュリティも考慮されます。 Amazon AWS の Firecracker、OpenStack Foundation の Kata Container、VMWare の vSphere Integrated Containers はすべてマイクロ仮想マシン テクノロジーです。

Firecracker は、KVM を活用した仮想化テクノロジーであり、マルチテナント コンテナーと機能ベースのサービスの作成と管理に特化して設計されています。軽量のマイクロ VM は、従来の VM が提供するセキュリティとワークロードの分離を活用しながら、コンテナのリソース効率も備え、非仮想化環境でほんの一瞬で起動できます。 RESTful API を介して Firecracker プロセスを制御すると、同じコンピューター上の何千ものマイクロ VM によって使用されるネットワークおよびストレージ リソースを正確に制御できます。

Kata Containers は、OpenStack Foundation によって管理されるコンテナ プロジェクトですが、OpenStack プロジェクトからは独立しています。 Kata Containers は、さまざまなプラットフォーム (x86-64、arm など) 上のハードウェアをサポートし、Open Container Initiative (OCI) に準拠しており、k8s の Container Runtime Interface (CRI) とも互換性があります。つまり、Kata Container は、docker、k8s など、コンテナ エコシステム内のさまざまな既存製品と互換性があります。

Docker エンジンは、以前は runc を使用してコンテナーを起動していましたが、現在は kata に置き換えることができます。

Kata Container は docker のプラグインとして使用でき、docker コマンドを通じて Kata Container を起動できます。 Kata の最大の特徴は、各コンテナが個別のカーネルを使用して軽量の仮想マシンで実行できるようにすることで、従来のコンテナ共有カーネルのセキュリティと分離の問題を解決していることです。

K8sはコンテナを作成するためにruncではなくkataを使用する。

k8s でポッドを作成する従来の方法は、デフォルトで runC を使用してコンテナを作成することです。現在、kata コンテナを使用して最初に仮想マシンを作成し、次に仮想マシン内にポッドを作成する方法がより安全です。

サンドボックス技術

サンドボックスは、従来のコンテナやマイクロ VM とは異なります。コンテナは名前空間と cgroup を通じてリソースの分離を実現しますが、マイクロ VM は仮想化テクノロジーを通じてリソースの分離を実現します。サンドボックス テクノロジーは、システム コールをハイジャックしてリダイレクトすることでリソースの分離を実現します。 Google の gVisor はそのようなテクノロジーの 1 つです。

gVisor はカーネルの外部に「Sentry」と呼ばれる「カーネル プロセス」を実装し、Linux カーネルのシステム コールのほとんどを提供できます。ユーザー プロセスによって実行されるほとんどのシステム コールは、この「センチネル」プロセスへのアクセスに変換されます。

従来のシステムコールと gVisor サンドボックス システムコールの比較

Google は gVisor をセキュア コンテナではなく「サンドボックス」として位置付けています。主な理由は、Sentry が Linux システム カーネルを完全に置き換えることはできず、一部のシステム コールをホスト カーネルに転送する必要があるためです。

gVisor は、仮想マシンよりもはるかに優れた軽量機能を維持しながら、コンテナ プロセスに安全な分離手段を提供できます。さらに、gVisor は Docker や Kubernetes と統合できるため、実稼働環境でサンドボックス コンテナ システムを簡単に構築できます。

要約する

マイクロ仮想マシンやサンドボックスなどの軽量コンテナ技術の登場により、コンテナのシステムリソース要件がさらに削減され、リソースが限られたエッジシナリオでの使用に非常に適したものになりました。エッジ コンピューティング リソースはコンテナ化でき、クラウドと一貫した方法でリソースを管理できます。