GKE (Google Kubernetes Engine)

GKEとは

Google Kubernetes Engine (GKE) は、Google Cloud Platform (GCP) が提供するマネージド Kubernetes サービスです。Kubernetes は、コンテナ化されたアプリケーションのデプロイ、スケーリング、管理を自動化するためのオープンソースのコンテナオーケストレーションシステムです。GKEを使用することで、Kubernetesの複雑なインフラストラクチャ管理をGoogleに委託し、アプリケーション開発と運用に集中することができます。

GKEの主な特徴

マネージドサービス： コントロールプレーンの管理、アップグレード、セキュリティパッチの適用などをGoogleが自動的に処理
自動スケーリング： ワークロードに応じてクラスタとノードプールを自動的にスケーリング
マルチクラスタ管理： 複数のクラスタを一元管理する機能
統合モニタリング： Google Cloud Monitoringとの統合によるクラスタの監視
セキュリティ機能： Binary Authorization、Shielded GKE Nodes、VPC-native クラスタなどの高度なセキュリティ機能
ハイブリッドおよびマルチクラウド対応： Anthos を通じてオンプレミスやマルチクラウド環境でも利用可能

GKEのアーキテクチャ

GKEクラスタは以下の主要コンポーネントで構成されています：

コンポーネント	説明
コントロールプレーン	クラスタの状態を管理し、ワークロードのスケジューリングや監視を行うKubernetesマスターコンポーネント群。GKEではこれらをGoogleが管理
ノードプール	同じ構成を持つ複数のノード（VM）のグループ。異なる構成のワークロード用に複数のノードプールを作成可能
ノード	コンテナを実行するCompute Engineインスタンス。各ノードにはKubeletエージェントが実行され、コントロールプレーンと通信
ポッド	Kubernetesの最小デプロイ単位。1つ以上のコンテナとストレージリソースで構成
サービス	ポッドのグループに対する単一のエンドポイントとロードバランシングを提供

Autopilot モードと Standard モード

GKEには2つの運用モードがあります：

Autopilot モード： ノード管理を完全に自動化。ワークロードのリソース要件に基づいてインフラストラクチャを自動的に管理
Standard モード： ノードの構成と管理をより細かく制御可能。特定のハードウェア要件や特殊なワークロードに適している

GKEクラスタの作成

GKEクラスタは、Google Cloud Console、gcloud CLIツール、またはTerraformなどのIaCツールを使用して作成できます。

Google Cloud Consoleを使用したクラスタ作成

Google Cloud Consoleにログイン
Kubernetes Engineページに移動
「クラスタを作成」をクリック
Standard または Autopilot モードを選択
クラスタの名前、リージョン、ネットワーク設定などを構成
「作成」をクリックしてクラスタをプロビジョニング

gcloud CLIを使用したクラスタ作成

Standard クラスタの作成例

gcloud container clusters create my-cluster \
    --zone asia-northeast1-a \
    --num-nodes 3 \
    --machine-type e2-standard-4

Autopilot クラスタの作成例

gcloud container clusters create-auto my-autopilot-cluster \
    --region asia-northeast1

GKEでのアプリケーションデプロイ

GKEにアプリケーションをデプロイするには、Kubernetesのマニフェストファイル（YAML）を使用します。以下は基本的なデプロイメントとサービスの例です：

デプロイメントの例

apiVersion: apps/v1
kind: Deployment
metadata:
  name: nginx-deployment
spec:
  replicas: 3
  selector:
    matchLabels:
      app: nginx
  template:
    metadata:
      labels:
        app: nginx
    spec:
      containers:
      - name: nginx
        image: nginx:1.21
        ports:
        - containerPort: 80

サービスの例

apiVersion: v1
kind: Service
metadata:
  name: nginx-service
spec:
  selector:
    app: nginx
  ports:
  - port: 80
    targetPort: 80
  type: LoadBalancer

これらのマニフェストを適用するには、以下のコマンドを使用します：

kubectl apply -f deployment.yaml
kubectl apply -f service.yaml

GKEの高度な機能

水平ポッド自動スケーリング（HPA）

CPUやメモリの使用率に基づいてポッドの数を自動的にスケールします：

apiVersion: autoscaling/v2
kind: HorizontalPodAutoscaler
metadata:
  name: nginx-hpa
spec:
  scaleTargetRef:
    apiVersion: apps/v1
    kind: Deployment
    name: nginx-deployment
  minReplicas: 1
  maxReplicas: 10
  metrics:
  - type: Resource
    resource:
      name: cpu
      target:
        type: Utilization
        averageUtilization: 50

ノード自動スケーリング

GKEはポッドの要求に基づいてノードプールを自動的にスケールできます。これはクラスタ作成時または既存のクラスタで有効にできます：

gcloud container clusters update my-cluster \
    --enable-autoscaling \
    --min-nodes 1 \
    --max-nodes 10 \
    --zone asia-northeast1-a

GKE Ingress

GKE IngressはGoogle Cloud Load Balancerを自動的にプロビジョニングし、HTTPSトラフィックをサービスにルーティングします：

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: my-ingress
spec:
  rules:
  - host: myapp.example.com
    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: nginx-service
            port:
              number: 80

GKEのセキュリティベストプラクティス

最小権限の原則： サービスアカウントとIAMロールに必要最小限の権限を付与
Workload Identity： GCPサービスアカウントとKubernetesサービスアカウントを安全に連携
Private クラスタ： パブリックインターネットからノードへのアクセスを制限
Binary Authorization： 承認されたコンテナイメージのみをデプロイ可能に
コンテナの脆弱性スキャン： Artifact Registryの脆弱性スキャンを有効化
定期的なクラスタアップグレード： セキュリティパッチを適用するために定期的にアップグレード
ネットワークポリシー： ポッド間の通信を制限するネットワークポリシーを実装

ネットワークポリシーの例

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default-deny-all
spec:
  podSelector: {}
  policyTypes:
  - Ingress
  - Egress

GKEのモニタリングとロギング

GKEはGoogle Cloud Monitoringおよびロギングと統合されており、クラスタの健全性とパフォーマンスを監視できます：

主なモニタリング機能

Cloud Monitoring： クラスタ、ノード、ポッドのメトリクスを収集・表示
Cloud Logging： コンテナログ、システムログ、監査ログを収集・分析
GKE ダッシュボード： クラスタの概要、ワークロードのステータス、リソース使用率を表示
Prometheus： GKEと統合されたPrometheusモニタリング

カスタムメトリクスの収集

アプリケーション固有のメトリクスを収集するには、Prometheus形式でメトリクスを公開し、Cloud Monitoringで収集できます：

apiVersion: v1
kind: Service
metadata:
  name: prometheus-service
  annotations:
    prometheus.io/scrape: 'true'
    prometheus.io/path: '/metrics'
    prometheus.io/port: '8080'
spec:
  selector:
    app: myapp
  ports:
  - port: 8080

GKEのコスト最適化

GKEのコストを最適化するためのベストプラクティス：

Spot VMs（旧Preemptible VMs）： 非本番環境や耐障害性のあるワークロードにはSpot VMを使用
リソース要求と制限の適切な設定： コンテナのリソース要求と制限を適切に設定
クラスタ自動スケーラーの活用： ワークロードに応じてノード数を自動調整
コミットメント割引： 長期的な使用が見込まれる場合はコミットメント割引を検討
マルチテナントクラスタ： 複数のアプリケーションを同じクラスタで実行してリソースを共有
GKE使用量メトリクスの監視： Cost Managerを使用してGKEのコストを監視・分析

Spot VMの使用例

gcloud container node-pools create spot-pool \
    --cluster=my-cluster \
    --spot \
    --machine-type=e2-standard-4 \
    --num-nodes=3 \
    --zone=asia-northeast1-a

GKEのトラブルシューティング

GKEで発生する一般的な問題とその解決方法：

問題	考えられる原因	解決策
ポッドが起動しない	リソース不足、イメージプル失敗、構成エラー	`kubectl describe pod <pod-name>`でイベントを確認 `kubectl logs <pod-name>`でログを確認
サービスにアクセスできない	セレクタの不一致、ポート構成の誤り、ファイアウォールルール	`kubectl describe service <service-name>`で設定を確認 `kubectl get endpoints <service-name>`でエンドポイントを確認
ノードの問題	リソース枯渇、ディスク容量不足、カーネルの問題	`kubectl describe node <node-name>`でノードの状態を確認 Cloud Monitoringでノードメトリクスを確認
クラスタの自動スケーリングが機能しない	リソース要求の未設定、クォータ制限、構成の誤り	ポッドのリソース要求が設定されていることを確認クォータ制限を確認自動スケーリングの設定を確認

診断コマンド集

kubectl get nodes - ノードの一覧と状態を表示
kubectl top nodes - ノードのリソース使用率を表示
kubectl top pods - ポッドのリソース使用率を表示
kubectl get events --sort-by=.metadata.creationTimestamp - 時系列順にイベントを表示
kubectl describe pod <pod-name> - ポッドの詳細情報とイベントを表示
kubectl logs <pod-name> -c <container-name> - コンテナのログを表示
kubectl exec -it <pod-name> -- /bin/bash - ポッド内でシェルを実行

GKEのバージョンアップグレード

GKEクラスタは定期的にアップグレードして、最新の機能、バグ修正、セキュリティパッチを適用することが重要です：

アップグレードの種類

自動アップグレード： GKEはリリースチャンネル（Rapid、Regular、Stable）に基づいて自動的にアップグレード
手動アップグレード： 特定のバージョンに手動でアップグレード
ノードの自動アップグレード： コントロールプレーンのアップグレード後にノードを自動的にアップグレード
ノードの手動アップグレード： ノードプールを手動でアップグレード

クラスタのアップグレード例

gcloud container clusters upgrade my-cluster \
    --master \
    --zone asia-northeast1-a

ノードプールのアップグレード例

gcloud container clusters upgrade my-cluster \
    --node-pool=default-pool \
    --zone asia-northeast1-a

アップグレードのベストプラクティス

本番環境のアップグレード前にテスト環境でテスト
アップグレード前にクラスタとアプリケーションのバックアップを作成
ダウンタイムを最小限に抑えるためにブルー/グリーンデプロイメントを検討
アップグレード中のアプリケーションの動作を監視
複数のノードプールを使用して段階的にアップグレード

GKEとの統合サービス

GKEは他のGoogle Cloudサービスと統合して、より強力なソリューションを構築できます：

サービス	統合の利点
Cloud Build	コンテナイメージのビルドとGKEへの継続的デプロイメント
Artifact Registry	コンテナイメージの安全な保存と脆弱性スキャン
Cloud SQL	マネージドデータベースサービスとの安全な接続
Secret Manager	機密情報の安全な管理と利用
Cloud CDN	GKEアプリケーションのコンテンツ配信の高速化
Cloud Armor	GKEアプリケーションのDDoS保護とWAF
Anthos	ハイブリッドおよびマルチクラウド環境でのKubernetes管理

まとめ

Google Kubernetes Engine (GKE) は、Kubernetesの管理の複雑さを軽減しながら、スケーラビリティ、信頼性、セキュリティを提供するマネージドKubernetesサービスです。AutopilotモードとStandardモードの選択肢により、様々なユースケースに対応できます。

GKEの主な利点は以下の通りです：

インフラストラクチャ管理の負担軽減
自動スケーリングによるリソースの最適化
統合されたモニタリングとロギング
高度なセキュリティ機能
他のGoogle Cloudサービスとのシームレスな統合

GKEを効果的に活用するには、Kubernetesの基本概念を理解し、適切なクラスタ構成、リソース管理、セキュリティ対策、モニタリング戦略を実装することが重要です。また、定期的なアップグレードとメンテナンスを行い、最新の機能と改善を取り入れることで、アプリケーションの信頼性と効率性を維持することができます。