Google Cloud Platform

Kubernetes Engine 限定公開クラスタをベータ リリース

Google Cloud Platform(GCP)は、転送中のデータの真正性、プライバシー、完全性を確保するため、さまざまなセキュリティ対策を講じています。Google Kubernetes Engine(GKE)を望ましいデプロイ モデルと位置づけて導入する企業ユーザーが増える中、GKE でもデータについて同じレベルのプライバシーが求められるようになっています。

Google はこのほど、Kubernetes Engine の限定公開クラスタをベータ リリースしました。Kubernetes Engine を使用すると、クラスタを Google Virtual Private Cloud(VPC)の一部としてプライベートにデプロイできるようになりました。VPC は、アプリケーションを安全にデプロイできる分離環境を提供します。

Kubernetes Engine 限定公開クラスタでは、信頼されている VPC 内からのみクラスタ ノードへのアクセスが可能です。さらに、限定公開クラスタはマスター ノードを問題のあるアクセスから保護します。インターネットからマスターへのアクセスは、デフォルトで完全にブロックされるようになっています。

限定公開クラスタ モデルのノードは、VPC のプライベート環境内で他のノードやリソースにアクセスできます。たとえば、Google のマネージド サービスgcr.ioGoogle Cloud StorageGoogle BigQuery など)へのプライベート アクセスも可能です。一方、NAT ゲートウェイのような追加のメカニズムをセットアップしない限り、インターネットにアクセスすることはできません。

Kubernetes Engine 限定公開クラスタは、プライベート ネットワークの外部からクラスタに接続する方法を制限することで、お客様の環境の PCI-DSS コンプライアンスを大幅に容易にします。

以下では、GCP のプライベート VPC モデルにおいて、Kubernetes Engine 限定公開クラスタがどのようにフィットするかを詳しく見ていきましょう。

Kubernetes Engine で限定公開クラスタを使用する

ここで紹介するチュートリアルは、お客様の環境で限定公開クラスタを有効にする方法を示しています。この限定公開クラスタ モデルの場合、Kubernetes Engine クラスタ ノードにはプライベート IP アドレスが割り当てられ、マスターはインターネット アクセスから保護されます。後で示す例のように、Kubernetes Engine 限定公開クラスタを有効にするには、クラスタの作成時に、マスター、ノード、ポッド、サービスに使用するプライベート IP アドレス範囲を、RFC 1918 IP スペースの中で選択します。

なお、Kubernetes Engine 限定公開クラスタをデプロイするには、IP エイリアスを有効にしなければなりません。クラスタ Version 1.8.5 以降も必要です。

下図は限定公開クラスタの内部を示しています。

image2mhii.max-700x700.png

限定公開クラスタを使い始める一番手軽な方法は、以下のように、クラスタの作成時に UI を使用することです。

image1nppl.max-700x700.png

また、gcloud CLI で限定公開クラスタを作成することも可能です。

  # Create a Private Cluster with IP Alias auto-subnetwork)
gcloud beta container clusters create  --project=<project_id>>
--zone= --private-cluster --master-ipv4-cidr= 
--enable-ip-alias --create-subnetwork=""</master_cidr_block></zone></project_id></cluster></code>

マスター承認済みネットワーク ファイアウォールが、Kubernetes Engine マスターへのアクセスを保護します。Kubernetes Engine 限定公開クラスタが有効になると、“default deny” に設定され、マスターは作成時にパブリック インターネットからアクセスできなくなります。

今すぐお試しを!

今すぐ Kubernetes Engine 限定公開クラスタを作成してみてください。お客様が多層的なセキュリティ対策を実施できるように、私たちは Kubernetes Engine への投資を継続していきます。関連機能の今後のアップデートにご期待ください。

最適な負荷分散に興味がある方へ

Kubernetes Engine でコンテナ ネイティブな負荷分散アプローチを利用してみませんか? こちらからお申し込みできます。

* この投稿は米国時間 3 月 26 日、Google Cloud Networking の Product Manager である Ines Envid と Manjot Pahwa によって投稿されたもの(投稿はこちら)の抄訳です。

- By Ines Envid and Manjot Pahwa, Product Managers, Google Cloud Networking