book

Kubernetesベストプラクティス第2版

by Brendan Burns, Eddie Villalba, Dave Strebel, Lachlan Evenson

March 2025

Intermediate to advanced

324 pages

4h 29m

Japanese

O'Reilly Media, Inc.

Book available

Read now

Unlock full access

この本を読むべき人この本を書いた理由本書のナビゲーション今回の新機能本書で使用されている慣例コード例を使うオライリー・オンライン・ラーニング問い合わせ先謝辞
アプリケーションの概要構成ファイルを管理するデプロイを使って複製サービスを作成する画像管理のベストプラクティス複製アプリケーションの作成HTTPトラフィック用の外部イングレスをセットアップするコンフィグマップでアプリケーションを設定するシークレットで認証を管理するシンプルなステートフル・データベースをデプロイするサービスを使ってTCPロードバランサを作成するIngressを使用してトラフィックを静的ファイルサーバにルーティングするHelmを使ってアプリケーションをパラメータ化するサービスのデプロイのベストプラクティス概要
目標開発クラスターの構築複数の開発者用に共有クラスタをセットアップするユーザをオンボーディングする名前空間の作成と保護名前空間を管理するクラスター・レベルのサービス開発者のワークフローを可能にする初期化積極的な開発を可能にするテストとデバッグを可能にする開発環境のセットアップベストプラクティス概要
メトリックとログの比較モニタリング・テクニックモニタリング・パターンKubernetesメトリックの概要顧問弁護士メトリックサーバキューブ・ステート・メトリックどのようなメトリックを監視するか？監視ツールPrometheusを使ってKubernetesを監視するロギングの概要ログ用ツールLoki-Stackを使ってログを記録するアラートモニタリング、ロギング、アラートのベストプラクティスモニタリングロギングアラート概要
コンフィグマップとシークレットによるコンフィギュレーションコンフィグマップ秘密ConfigMapとSecrets APIの共通ベストプラクティスシークレット特有のベストプラクティスRBACRBAC入門RBACのベストプラクティス概要
バージョン管理継続的インテグレーションテストコンテナ建設コンテナ画像のタグ付け継続的デプロイデプロイ戦略本番でのテストパイプラインのセットアップとカオス実験の実施CIのセットアップCDのセットアップローリングアップグレードを実行するシンプルなカオス実験CI/CDのベストプラクティス概要
バージョニングリリースロールアウトすべてをまとめるバージョン管理、リリース、ロールアウトのベストプラクティス概要
画像を配信するデプロイをパラメータ化する世界中のトラフィックをロードバランサする世界中に確実にソフトウェアを展開するロールアウト前の検証カナリア地方リージョンタイプを特定するグローバル展開を構築する何かがうまくいかないときワールドワイド・ロールアウトのベスト・プラクティス概要
Kubernetesスケジューラー述語優先順位高度なスケジューリングテクニックPod親和性と反親和性ノードセレクタ汚点と許容範囲Podリソース管理リソース要求リソース制限とPodのサービス品質ポッド破壊予算名前空間を使用してリソースを管理するリソースクォータ限界範囲クラスター・スケーリングアプリケーションのスケーリングHPAでスケーリングするカスタムメトリクスのHPAバーチカル・ポッド・オートスケーラーリソース管理のベストプラクティス概要
Kubernetesネットワークの原則ネットワーク・プラグインクベネットKubenetのベストプラクティスCNIプラグインCNIのベストプラクティスKubernetesのサービスサービスタイプ ClusterIPサービスタイプノードポートサービスタイプ ExternalNameサービスタイプロードバランサーイングレスとイングレス・コントローラーゲートウェイAPIサービスとイングレス・コントローラーのベストプラクティスネットワーク・セキュリティ・ポリシーネットワーク・ポリシーのベスト・プラクティスサービスメッシュサービスメッシュのベストプラクティス概要

Podセキュリティ・アドミッション・コントローラPodのセキュリティ入場を可能にするPod セキュリティ・レベル名前空間ラベルを使用してPodセキュリティを有効にするワークロードの分離とRuntimeClassRuntimeClassを使うランタイム実装ワークロードの分離とRuntimeClassのベストプラクティスその他のポッドとコンテナのセキュリティに関する考察アドミッション・コントローラー侵入・異常検出ツール概要
なぜ政策とガバナンスが重要なのかこの政策はどう違うのか？クラウド・ネイティブ・ポリシー・エンジンゲートキーパーの紹介ポリシー例ゲートキーパー用語制約テンプレートの定義制約条件を定義するデータ複製UX強制措置と監査の活用突然変異試験方針ゲートキーパーを使いこなす政策とガバナンスのベストプラクティス概要
なぜ複数のクラスターなのか？マルチクラスター設計の懸念複数のクラスタデプロイを管理するデプロイと管理のパターンGitOpsのクラスタ管理アプローチマルチクラスター管理ツールKubernetesフェデレーション複数のクラスタを管理するベストプラクティス概要
Kubernetesにサービスをインポートする安定したIPアドレスのためのセレクタレス・サービス安定したDNS名のためのCNAMEベースのサービスアクティブ・コントローラーに基づくアプローチKubernetesからサービスをエクスポートする内部ロードバランサを使ってサービスをエクスポートするNodePortsでサービスをエクスポートする外部マシンとKubernetesを統合するKubernetes間でサービスを共有するサードパーティツールクラスタと外部サービスの接続ベストプラクティス概要
なぜKubernetesはマシンラーニングに最適なのか？機械学習ワークフローKubernetesクラスタ管理者のためのマシンラーニングKubernetesのモデルトレーニングKubernetesでの分散トレーニングリソースの制約特殊化ハードウェアライブラリ、ドライバ、カーネルモジュールストレージネットワーク特殊化プロトコルデータサイエンティストの懸念Kubernetesでのマシンラーニングのベストプラクティス概要
より高度な抽象化を開発するためのアプローチKubernetesを拡張するKubernetesクラスタを拡張するKubernetesユーザ体験の拡張コンテナ化された開発を容易にするプッシュ・トゥ・デプロイ」体験の開発プラットフォームを構築する際の設計上の考慮点コンテナイメージへのエクスポートをサポートする。サービスとサービス検出のための既存のメカニズムをサポートする。アプリケーションプラットフォームの構築ベストプラクティス概要
ボリュームとボリュームマウントボリュームのベストプラクティスKubernetesストレージ永続ボリュームPersistentVolumeClaimsストレージクラスKubernetesストレージのベストプラクティスステートフル・アプリケーションステートフルセット演算子StatefulSetと演算子のベストプラクティス概要
アドミッション・コントロールそれらは何なのか？なぜ重要なのか？アドミッション・コントローラーの種類アドミッションWebhookを設定するアドミッション・コントロールのベストプラクティス認可認証モジュール認証のベストプラクティス概要
GitOpsとは何か？なぜGitOpsなのか？GitOps リポジトリの構造秘密を管理するフラックスのセットアップGitOpsツールGitOpsのベストプラクティス概要
クラスター・セキュリティetcd アクセス認証認可TLSKubeletとクラウドメタデータへのアクセス秘密ロギングと監査クラスター・セキュリティ・ポスチャー・ツーリングクラスターセキュリティのベストプラクティスワークロードコンテナのセキュリティポッドセキュリティの入場Seccomp、AppArmor、そしてSELinuxアドミッション・コントローラー演算子ネットワーク・ポリシーランタイム・セキュリティワークロードコンテナセキュリティのベストプラクティスコード・セキュリティ非ルートおよびディストロレスコンテナコンテナ脆弱性スキャンコード・リポジトリ・セキュリティコード・セキュリティのベストプラクティス概要
カオステストカオステストの目標カオステストの前提条件アプリケーションの通信をカオステストするアプリケーションの動作をカオステストするアプリケーションのセキュリティとレジリエンスをファズテストする概要負荷テスト負荷テストの目標負荷テストの前提条件現実的なトラフィックを生み出すアプリケーションの負荷テスト負荷テストを使用してアプリケーションをチューニングする概要実験実験の目標実験の前提条件実験のセットアップ概要カオステスト、負荷テスト、実験のまとめ
演算子主要コンポーネントカスタムリソース定義APIを作成するコントローラーの照合リソースの検証コントローラーの実装演算子ライフサイクルバージョンアップ演算子ベストプラクティス概要

Content preview from Kubernetesベストプラクティス第2版

第13章 Kubernetesと外部サービスの統合外部サービスとKubernetesを統合する

この作品はAIを使って翻訳されている。ご意見、ご感想をお待ちしている：translation-feedback@oreilly.com

本書の多くの章では、Kubernetesでサービスを構築、デプロイ、管理する方法について説明してきた。しかし、実際のところ、システムは真空の中に存在するわけではなく、構築するサービスのほとんどは、実行するKubernetesクラスタの外部に存在するシステムやサービスと相互作用する必要がある。これは、仮想マシンや物理マシンで稼働しているレガシーインフラからアクセスされる新しいサービスを構築するために必要なことかもしれない。さらに、構築しているサービスが、オンプレミスのデータセンター内の物理インフラで稼働している既存のデータベースやその他のサービスにアクセスする必要があるためかもしれない。最後に、相互接続が必要なサービスを持つ複数のKubernetesクラスタがあるかもしれない。これらすべての理由から、Kubernetesクラスタの境界をまたぐサービスを公開、共有、構築する機能は、実世界のアプリケーションを構築する上で重要な役割を果たす。

Kubernetesにサービスをインポートする

Kubernetesと外部サービスを接続するための最も一般的なパターンは、Kubernetesクラスタの外部に存在するサービスを消費するKubernetesサービスで構成される。多くの場合、これはKubernetesが新しいアプリケーション開発に使用されているか、オンプレミスのデータベースのようなレガシーリソースのインタフェースとして機能しているためだ。多くの既存アプリケーションでは、アプリケーションの一部は他の部分よりも移動しやすい。例えば、ミッションクリティカルなデータを含むデータベースは、データガバナンス、コンプライアンス、事業継続性などの理由から、オンプレミスに留まる必要があるかもしれない。同時に、こうしたレガシーデータベースへの新しいインタフェースをKubernetesで構築することには大きな利点がある。もしKubernetesへのマイグレーションのたびにアプリケーション全体のリフト＆シフトが必要だとしたら、多くのアプリケーションは永遠にレガシー実装のままでなければならなくなるだろう。その代わりにこの章では、新しいアプリケーションのクラウドネイティブ開発を、従来の仮想マシンやベアメタルサーバ、あるいはメインフレーム上で稼働しているデータベースなどの既存サービスと統合する方法を紹介する。

Kubernetesから外部サービスにアクセスできるようにするタスクを考えると、最初の課題は単純にネットワーキングを正しく動作させることだ。ネットワーキングを動作させるための詳細は、データベースの場所とKubernetesクラスタの場所の両方に固有である。そのため、本書の範囲を超えているが、一般的にクラウドベースのKubernetesプロバイダは、ユーザが提供する仮想ネットワーク（VNET）へのクラスタのデプロイを可能にし、それらの仮想ネットワークをオンプレミスのネットワークでピアリングすることができる。

Kubernetesクラスタ内のPodとオンプレミスのリソース間のネットワーク接続を確立したら、次の課題は外部サービスをKubernetesサービスのように見せることだ。Kubernetesでは、サービス検出はDNS（Domain Name System）ルックアップを介して行われるため、外部データベースをKubernetesのネイティブな一部であるかのように感じさせるには、同じDNSでデータベースを検出できるようにする必要がある。 ...