Red Hat Advanced Cluster Management for Kubernetes

概要

Red Hat Advanced Cluster Management for Kubernetes は、管理者やサイト信頼性エンジニアがデータセンター、クラウド、エッジ環境で作業する際に直面する一般的な課題に対処する機能を提供します。クラスタとアプリケーションは、運用ポリシーが組み込まれた単一のコンソールから表示および管理できます。

はじめに

クラウドネイティブ・アプリケーションの台頭によって IT 環境が変革されており、モノリシックシステムは分散型のマルチコンポーネント・アーキテクチャに置き換えられています。このような変化と併せて仮想化プラットフォームの移行も進行しているため、開発、テスト、実稼働などの目的に応じたさまざまな環境 (クラウド、データセンター、エッジ) で Kubernetes クラスタが急増しています。

単一クラスタでの運用を始めたばかりの組織でも、すでにマルチクラスタ環境で運用している組織でも、次のような難しい質問に直面する可能性があります。

  • データセンターか、パブリッククラウド環境か、エッジ環境かに関係なく、複数のクラスタのライフサイクルを単一のコントロールプレーンで管理するにはどうすればよいか?
  • コンテナと仮想マシンの管理を容易にするにはどうすればよいか?
  • クラスタの健全性と、それがアプリケーションの可用性に及ぼす影響をシンプルに把握するにはどうすればよいか?
  • クラスタのプロビジョニングとプロビジョニング解除をどのように自動化するか?
  • すべてのクラスタが標準ポリシーとカスタムポリシーに準拠するようにするにはどうすればよいか?
  • どのように構成ドリフトに関するアラートを受け取り、どのようにそれを修正するか?
  • ポリシーに基づいてワークロードの配置を自動化するにはどうすればよいか?

Red Hat Advanced Cluster Management for Kubernetes

Red Hat® Advanced Cluster Management for Kubernetes は、管理者やサイト信頼性エンジニアが直面する一般的な課題に対処する機能を提供します。各環境に一貫して適用できるガバナンスポリシーが事前に設定されており、クラスタとアプリケーションは、コンテナ化されているものも仮想化されているものも、一元的なコンソールからすべて表示し、管理することができます。ユーザーは、Red Hat OpenShift® 上のどこからでも操作を実行し、フリート内でサポートされている他の Kubernetes クラスタを管理できます。

特長とメリット

フリートの健全性と最適化のためのマルチクラスタの可観測性

すぐに使えるマルチクラスタ・ダッシュボードは、長期の履歴データを保存し、フリートの健全性と最適化の概要を提供することができるため、サイト信頼性エンジニアリング (SRE) のエクスペリエンスが強化されます。

表 1. マルチクラスタの可観測性の特長とメリット

主なメリット

  • データセンター、パブリッククラウド環境、またはエッジ環境で稼働している Red Hat OpenShift および Cloud Native Computing Foundation (CNCF) 準拠のディストリビューションなどの Kubernetes クラスタのフリートを管理
  • 単一の管理環境を使用して仮想マシン、コンテナ、AI 対応ワークロードをフリート全体で管理することで、複雑さを軽減
  • セルフサービス・プロビジョニングによってアプリケーション開発を加速
  • アプリケーションを自動的に提供するセルフサービスのクラスタデプロイにより、手作業によるプロビジョニングから IT チームを解放
  • 既存アプリケーションとクラウドネイティブ・アプリケーションを分散クラスタ上に短時間でデプロイできるため、アプリケーションの可用性が向上

  • 一元的なポリシーベースのガバナンスにより設定管理を強化
  • 統合された管理インタフェースで運用コストを削減します。

Red Hat Advanced Cluster Management について詳しくは、Web サイトにアクセスするか、ドキュメントを参照してください。

特長

メリット

フリートのヘルスモニタリング

Grafana を使用して集約されたマルチクラスタに加えて、個々のクラスタとユーザーワークロードをソート、フィルタリング、スキャンします。オープンソースの Thanos プロジェクトを使用して、スケーラブルなメトリクスを収集し、データを長期的に保持します。OpenShift クラスタおよび非 OpenShift クラスタ (EKS、GKE、AKS、IKS など) のヘルスメトリクスを、数多くの、すぐに使える Grafana ダッシュボードで確認できます。

カスタマイズ可能なメトリクスとダッシュボード

ユーザー定義および事前定義のメトリクスに基づいて Grafana ダッシュボードをカスタマイズできます。クラスタまたはプラットフォームサービスのサービスレベル目標 (SLO) を定義し、それらに対するパフォーマンスを測定します。根本原因分析で必要とされる重大なイベントの発生時に、より詳細な収集を行うために動的な調整を行います。

動的検索

グラフィカルコンソールまたはアプリケーション・プログラミング・インタフェース (API) を使用して、分散ワークロードに影響する問題を特定、分離、解決します。アプリケーション SRE は、アプリケーションリソースの YAML を表示し、デプロイメントからログをリアルタイムで取得して、平均復旧時間の短縮と問題特定を支援することができます。構成可能なデータ収集によって制御性が向上するので、大規模な環境や、管理対象クラスタからの収集を制限するセキュリティロックダウンが可能になります。

Red Hat Insights for Red Hat OpenShift による分析

Red Hat OpenShift ベースのテレメトリーと Red Hat の専門知識によって提供される分析に基づいて、管理対象フリート全体のクラスタの健全性に関するインテリジェンスを取得し、必要に応じてプロアクティブな手順と修復アクションを実行します。

管理対象クラスタから Red Hat Advanced Cluster Management ハブへの自動アラート転送

クラスタのヘルスメトリクスやすべてのポリシー違反に関する一元管理されたアラートを Slack や PagerDuty などのサードパーティツールに送信することで、応答とトラブルシューティングが効率化されます。

Global Hub

Global Hub アーキテクチャは、複数のハブにまたがるポリシーコンプライアンスの一元化されたビューを提供するため、大規模な組織や厳格な分割を地域のデータセンターに適用する組織でも、セキュリティ・コンプライアンス体制全体の包括的なビューを 1 つのインタフェースで得ることができます。

統一されたマルチクラスタ・ライフサイクル管理

Infrastructure as Code (IaC) のベストプラクティスと設計方針をサポートおよび促進するオープンソースのプログラミングモデルを使用して、Kubernetes クラスタを確実に、一貫性を保ちつつ、大規模に作成、アップグレード、破棄します。

表 2. 統一されたマルチクラスタ・ライフサイクル管理の特長とメリット

特長

メリット

クラスタのライフサイクル管理

Red Hat Advanced Cluster Management コンソールを使用して、新しい Red Hat OpenShift クラスタおよび CNCF 準拠の Kubernetes の作成とアップグレードを行うか、既存の OpenShift および管理対象の Kubernetes クラスタをインポートします。

クラウドプロバイダーをサポート

Red Hat Advanced Cluster Management は、AWS、Microsoft Azure、Google Cloud Platform (GCP)、Microsoft Azure Government、AWS GovCloud、Alibaba Cloud、Oracle Cloud Infrastructure、IBM Cloud などのパブリッククラウド上での OpenShift クラスタの作成をサポートしています。サポートされる OpenShift のデプロイメントの全オプションは、ドキュメントに記載されています。

ハイパーバイザーをサポート

Red Hat Advanced Cluster Management は、KVM、VMware ESXi、Nutanix AHV、IBM Power VM、IBM z/VM 上での OpenShift クラスタの作成をサポートしています。サポートされる OpenShift のデプロイメントの全オプションは、ドキュメントに記載されています。

クラスタのライフサイクル管理を強化

自動スケーリングの構成によるワーカープールのスケーリング、クラスタの休止状態、クラスタプール経由での再開 (テクノロジープレビュー) などの機能を活用して、より短時間でクラスタを展開できます。クラスタをクラスタセットにグループ化して、アクセス制御をより明確に定義します。

Red Hat Ansible® Automation Platform の統合

統合の一環として、Kubernetes フリート全体にわたるわかりやすく、セキュリティに重点を置いた Ansible ネイティブなアクセス (Kubernetes Operator と Red Hat Advanced Cluster Management のためのマルチクラスタエンジンが提供する堅牢なマルチクラスタ管理レイヤーを利用) と、stolostron.core Ansible Collection で、Playbook を強化します。Red Hat Advanced Cluster Management 内で Ansible を起動し、pre フックと post フックを使用してクラスタのライフサイクル管理を行います。

Submariner によるマルチクラスタ・ネットワーク

Submariner で、複数のクラスタにデプロイされたアプリケーション・コンポーネントに、豊富なマルチクラスタ・ネットワーク機能を提供します。クラスタ全体でアプリケーション・コンポーネントのデプロイとネットワーク要件の複雑さを軽減できます。

ホスト型コントロールプレーン

コンテナ化された Red Hat OpenShift コントロールプレーンを大規模にホストし、プロビジョニングします。管理とワークロードをしっかりと分離することで、コスト、フットプリント、プロビジョニング時間、クラウド環境間での可搬性に関する問題を解決できます。

ホスト型コントロールプレーンは、ACM 2.12 以降、以下のプラットフォームでサポートされています。

  • エージェントプロバイダーを使用したベアメタル
  • テクノロジープレビュー機能としての非ベアメタル・エージェント・マシン
  • Red Hat OpenShift Virtualization
  • Amazon Web Services (AWS)
  • IBM Z
  • IBM Power

ベアメタルデプロイメント用のホストインベントリー

インフラストラクチャの所有者が開発者にベアメタル・インフラストラクチャのリソースへのアクセスを提供し、OpenShift クラスタをプロビジョニングできるようにするセルフサービスモデルを使用します。Operator がベアメタル・ホスト・インベントリーを容易に維持できるインフラストラクチャ環境を使用します。

ポリシーベースのガバナンスによる設定管理

自動化されたガバナンスを実装して、以下のような重要な IT ドメインで最適な環境設定を継続的に検証し、維持します。

  • クラスタ・インフラストラクチャ
  • ID 管理とアクセス管理
  • ネットワーク管理
  • コストの最適化
  • セキュリティとコンプライアンス

このポリシーベースのアプローチにより、テクノロジー環境全体でベストプラクティスと組織標準が一貫して遵守されます。

ポリシーベースのガバナンスのフレームワークは柔軟でさまざまな用途に対応できるため、基幹業務や企業に関する自主的な基準や、関連する規制、業界のコンプライアンス要件に従って管理を実装し、整理することができます。

表 3. ポリシーベースのガバナンスによる設定管理の特長とメリット

特長

メリット

大規模なクラスタ設定管理

Open Cluster Management プロジェクトを活用することで、フリート全体でのクラスタの望ましい設定および状態の管理と監視が容易になります。 

「通知」モードを使用して望ましい制御からの構成ドリフトを検出し、「適用」モードでそれらの制御を継続的に実装し、維持します。

Policy-as-Code 設計による GitOps 対応

Kubernetes CustomResourceDefinition (CRD) パターンを利用すると、ポリシーを宣言的に定義し、OpenShift GitOps (Argo CD) などのツールを使用して git ワークフローと自然に統合することができます。 

Open Cluster Management ポリシーの「ヘルスチェック」が事前定義されているため、Argo CD はポリシー違反のステータスをインテリジェントに把握し、Argo CD ダッシュボードにネイティブに表示します。

柔軟なマルチクラスタ・デプロイメントのオプション

RHACM のポリシーフレームワークは、ポリシーカスタムリソースを介して配置基準に一致するクラスタにポリシーをデプロイする、継続的デリバリー (CD) メカニズムを提供します。

Argo CD などの既存のデリバリーツールがすでに導入されている場合は、ツールやプロセスを変更することなく、ポリシーを既存のワークフローに統合してクラスタにデプロイできます。

ルックアップとテンプレート化による動的なランタイム設定

設定によっては、固有のクラスタ値や特性が必要になる場合や、クラスタの状態に基づいて動的に適応する必要がある場合があります。   

ルックアップによって、クラスタ名、シークレット値など、クラスタ内の他の値を簡単に参照できます。テンプレート化では、条件などを使用し、設定の独自のニーズに合わせて、高度にカスタマイズ可能なロジックを作成できます。

ルックアップとテンプレート化により、クラスタの特性、クラスタまたはデプロイされたソフトウェアのバージョン、環境などが変化したことで管理が必要になるリソースマニフェストの数を大幅に削減し、単純化することができます。

ハブからスポークへのシークレット、ConfigMap、その他の設定の同期

テンプレート化されたポリシーとその基盤となる暗号化 (シークレット機能と保護機能による) を使用して、ハブから管理対象クラスタへのコンテンツの配信および実行のセキュリティを強化します。

Operator ライフサイクル管理 (OLM)

OperatorPolicy (単一の統合 API) を使用して、フリート全体の OLM Operator のライフサイクルを宣言的に管理します。Operator のヘルスステータスを統合し、問題を迅速に検出します。「手動」モードでデプロイされた Operator にも GitOps 対応の API を提供し、アップグレードの制御性を高める Operator のインストール計画を宣言的に管理します。

アドミッションとミューテーションの制御

Operator のフリートへのデプロイを可能にする Open Policy Agent (OPA) Gatekeeper を完全にサポートします。フリート全体で Gatekeeper の制御を開始して、さまざまな OPA の制御を適用します。すべての Gatekeeper ポリシーの違反を一元的に表示し、ドリルダウンできます。

証明書の問題の検出

CertificatePolicy を使用して、期限が近づいている証明書、有効期間が長すぎる証明書、または指定されたパターンに一致しない DNS 名を含む証明書を検出します。

すぐに使えるポリシーのカスタマイズ

事前構築済みのポリシーテンプレートを使用して、Kubernetes 構成 (etcd 暗号化など)、ID およびアクセス管理 (IAM)、証明書管理に対するポリシーを適用し、コンプライアンス Operator、Gatekeeper/OPA、コンテナセキュリティ Operator などの Operator をクラスタ全体に展開し、設定します。オープンソースのポリシー・コレクション・リポジトリを使用して、GitOps を介してポリシーベースのガバナンスを実装し、内外の標準に準拠します。

Policy Generator を使用してポリシーを自動生成し、既存の Kubernetes 構成、Gatekeeper、Kyverno のポリシーから OpenShift GitOps を介してデプロイできるようにします。

可観測性ツールとの統合

ポリシーは関連する Prometheus メトリクスを生成します。これにより、カスタマイズされた Grafana ダッシュボードの作成やアラートツールへの接続など、可観測性ツールとの信頼性の高い統合が可能になり、SRE ワークフローに自然に適合します。

Ansible Automation Platform との統合

Ansible Automation Platform と Red Hat Advanced Cluster Management の統合を使用することで、違反状態の修復を自動化し、クラスタに関する監査情報を収集して分析することで、Red Hat Advanced Cluster Management によって検出されたポリシー違反に対するプロアクティブな対策を促進できます。

Red Hat OpenShift Platform Plus ポリシーセット

Red Hat Advanced Cluster Management コンソールを使用してハブと管理対象クラスタ全体で一貫して OpenShift Platform Plus コンポーネントをデプロイし、Policy Generator で策定したポリシーセットを作成することで、統合エクスペリエンスが得られます。

ポリシー CLI

ポリシーのローカル開発を改善するには、policytools CLI によってルックアップ機能とテンプレート化機能を使用するポリシーの動作をより簡単に作成し、ローカルでテストします。

単純化されたポリシー管理エクスペリエンス

ガバナンスのダッシュボードを使用して、すべてのクラスタとアプリケーションのセキュリティリスクとポリシー違反を表示し、管理します。違反履歴の詳細を取得します。Red Hat Advanced Cluster Management ハブから管理対象クラスタの詳細に一元的にアクセスすることで、違反の詳細を調査します。

PolicySets を使用して、特定の目的 (例:Red Hat OpenShift Platform Plus のデプロイ、Red Hat Advanced Cluster Management の強化、管理対象クラスタ強化、Gatekeeper ポリシーのグループ化、PCIStoreFront、HIPAA バックエンド) のためのポリシーをグループ化します。これにより、クラスタのポリシーまたはポリシーセットを大規模に整理、管理、適用する際の使いやすさが向上します。この機能を使用するための出発点として、GitOps を通じて事前設定済みのポリシーセットを入手できます。

さまざまなコンプライアンス基準に対するポリシーと、ガバナンス・ダッシュボードのビュー、および特定の基準について最も影響を受けるコントロールのビューをカスタマイズできます。

複数のポリシーエンジンに対応する自動ポリシー検出とユーザーエクスペリエンス

Red Hat Advanced Cluster Management Governance ダッシュボードは、Open Cluster Management や Open Policy Agent Gatekeeper などの複数のポリシーエンジンからデプロイされたポリシーを自動的に検出します。

高度なアプリケーション・ライフサイクル管理

オープンスタンダードを用いて、既存の継続的インテグレーションおよび継続的デリバリー (CI/CD) パイプラインとガバナンス制御に統合された配置ルールを使用してアプリケーションをデプロイします。

表 4. 高度なアプリケーション・ライフサイクル管理の特長とメリット

特長

メリット

アプリケーションのトポロジービュー

アプリケーションが Red Hat Advanced Cluster Management、Red Hat OpenShift、または ArgoCD や Flux のような GitOps ツール内で作成されたかに関係なく、アプリケーション・トポロジーをより広く可視化し、イメージのバージョン、関連する配置ルール、Kubernetes リソース、ConfigMap のような接続されたすべての依存関係を持つサービス・エンドポイントと Pod の健全性を容易に表示できます。個々のオブジェクトには、さらなるトラブルシューティング・オプションのための ACM-search-menu へのリンクが含まれています。

配置

アプリケーションをいつどこにデプロイするかを制御する配置定義に基づいて、フリート全体、または特定のクラスタにのみワークロードを迅速にデプロイします。

Ansible Automation Platform との統合

pre フックと post フックの Ansible ジョブテンプレートとワークフローによるアプリケーションのデプロイで、Kubernetes の外部にあるものをすべてを自動化します。たとえば、Ansible Automation Platform との統合により、ネットワーク、データベース、ロードバランサー、ファイアウォールを自動化し、構成できます。

アプリケーションビルダー

アプリケーション・コンポーネントの定義をガイドするコンテキスト・ヘルプを備えたフォームベースの入力を使用して、直感的なアプリケーションを作成できます。YAMLを直接扱う必要がありません。

OpenShift GitOps/Argo CD の統合

Red Hat Advanced Cluster Management を使用すると、クラスタがオンラインになったときやインポートされたときに OpenShift GitOps/Argo CD で自動的にコンテンツを配信できます。Red Hat Advanced Cluster Management ポリシーは Argo CD と連携して機能し、コンプライアンスと構成を大規模に管理し、維持することで、CI/CD のより緊密な調整を可能にします。Advanced Cluster Management のアプリケーション・トポロジー・ビューで Argo CD によってデプロイされたアプリケーションを表示してトラブルシューティングします。

アプリケーションを異なるクラスタに分散する際の柔軟性 (プッシュモデルとプルモデル) が向上します。 

大規模なエッジ管理

単一ノードの OpenShift クラスタと Red Hat Advanced Cluster Management により、高レイテンシーで低帯域幅のエッジユースケースで可用性を確保しながら継続的にスケーリングできます。

表 5. 大規模なエッジ管理の特長とメリット

特長

メリット

スケーラビリティの向上

1 つの Red Hat Advanced Cluster Management ハブが管理する OpenShift クラスタの数は 3,500 です。さらに、IPv6 のデュアルスタックサポートにより、スケールアウトされたエッジアーキテクチャの管理が単純化されます。これらの機能により、低帯域幅接続や高レイテンシー接続、あるいは接続されていないサイトでもスケーラビリティが確保されます。

ゼロタッチ・プロビジョニング

Red Hat Advanced Cluster Management を、オンプレミスの支援付きインストーラーおよび Topology Aware Lifecycle Manager (TALM)、Image Based Install (IBI) Operator、イメージベース・アップグレード (IBU) とともに使用して、大規模なクラスタのデプロイを実現し、通信事業およびエッジのシナリオに対応します。

単一ノードの OpenShift 管理

単一ノードの OpenShift クラスタにフル管理機能を提供します。これは、エッジのユースケースに不可欠な機能です。

ハブ側のポリシーテンプレート作成

ハブ上のリソースのデータを参照できるようにすることで、大規模な管理シナリオのポリシーの数を削減できます。TALM Operator は Red Hat Advanced Cluster Management ポリシーを使用して、ターゲットクラスタの変更を行います。

ビジネス継続性 

Red Hat Advanced Cluster Management を広範な Red Hat ポートフォリオと併せて使用すれば、ビジネスにとって必要なアプリケーションとステートフル・アプリケーションが常に稼働している状態を維持できます。

表 6. ビジネス継続性の特長とメリット

特長

メリット

Red Hat Advanced Cluster Management ハブのバックアップとリストア

OpenShift API for Data Protection (OADP) に基づくバックアップ・ソリューションを使用して、ハブ設定をバックアップし、別のハブクラスタで復元します。これにより、管理設定が失われることがなく、ビジネスの継続性が維持され、アプリケーションがフリートで動作し続けます。

障害復旧 (DR)、Metro-DR、Regional-DR のための Red Hat OpenShift Data Foundation

OpenShift Data Foundation と Red Hat Advanced Cluster Management を使用して、ステートフル・アプリケーションのための堅牢なマルチサイト、マルチクラスタ DR 戦略を提供します。OpenShift Data Foundation は、アプリケーション・データ・ボリュームと永続ボリューム (PV) が一貫して頻繁にレプリケートされるようにします。Red Hat Advanced Cluster Management でセットアップされた DR Operator は、DR フェイルオーバーとフェイルバックプロセスを、Regional-DR と非同期的に自動化して最小の目標復旧時点 (RPO) を実現するか、Metro-DR と同期的に自動化してゼロ RPO を実現できます。

VolSync を使用した PV レプリケーション

クラスタ全体にわたる計画的なアプリケーション移行戦略を提供することで、ビジネスで利用されているステートフル・アプリケーションのレジリエンシー (回復力) を確保できます。また、VolSync を使用して、別のベンダーのストレージや異種混在ストレージ製品を使用する独自の DR ソリューションを作成することもできます。

技術仕様

最新の技術仕様はリリースドキュメントに記載されています。

Hub クラスタ

  • Operator ベースのインストール
  • OperatorHub.io で利用可能
  • 詳細については、Red Hat Advanced Cluster Management for Kubernetes の各リリースのサポートマトリクスを参照してください 

管理対象クラスタ

  • 管理対象クラスタ

  • OpenShift Container Platform の全体のライフサイクル管理:
    • Red Hat OpenShift Service on AWS、Microsoft Azure、Google Cloud Platform、Microsoft Azure Government、AWS GovCloud、VMware vSphere、Nutanix AHV、Red Hat OpenStack Platform、OpenShift Virtualization、ベアメタル
    • ホスト型コントロールプレーン・プロバイダー:AWS、ベアメタル、OpenShift Virtualization (KubeVirt)
  • インポートおよび管理の対象:
  • 管理対象の Kubernetes クラスタの限定ライフサイクルサポート:
    • Amazon Elastic Kubernetes Service (Amazon EKS)
    • Azure Kubernetes Service (AKS)
    • IBM Cloud Kubernetes Service (IKS)
    • Google Kubernetes Engine (Google GKE)
  • CNCF 準拠の Kubernetes
  • Red Hat Advanced Cluster Management は、インポートされたクラスタの可観測性、アプリケーション・ライフサイクル管理、ポリシーベースの管理、セキュリティに重点を置いたネットワーク通信を提供します。
  • Red Hat Advanced Cluster Management は、OpenShift Container Platform クラスタのセキュリティ・コンプライアンス機能を追加して、完全なクラスタライフサイクル管理 (作成、アップグレード、破棄) を提供します。

注:サポートマトリクスの追加情報を参照してください。

高可用性

  • OpenShift Container Platform のアベイラビリティーゾーンをサポート

リソース要件

  • 3 つのマスター、3 つのインフラストラクチャ・ノード、6 つの vCPU、16 GB RAM

マルチクラスタ管理の詳細

Red Hat Advanced Cluster Management のトライアル版を試して、クラスタとワークロードの管理にどのように役立つかを確認してください。

タグ:コンテナ