GKEにデプロイしたアプリケーションをIAP(Identity-Aware Proxy)で保護するまで - Qiita
はじめに 業務都合で、GKEにデプロイしたアプリケーションを、 Identity-Aware Proxy で保護(認証・認可)する方法を調べたので実際の環境構築方法をメモしてみました。 Identity-Aware Proxyとは ざっくりいうと、Googleアカウントによる認証と、ユーザに対する認可を一度にやってくれる機能です。 例えば許可のないユーザには、以下のような画面を出してアクセスをブロックしてくれます。 ただ本来自分たちがやりたいことをどこまで実現できるのかは調査中でして、それは次の記事で調べていこうと思います。 まずは環境構築までを書いてみました。 IAPによりアプリケーションの認証・認可を行う場合の前提条件 GKEに対してIAPを適用するための手順が こちら になります。 まず確認すべきはここに書かれている前提条件。 課金が有効になっている Google Cloud Con
外部 ID の有効化 | Identity-Aware Proxy | Google Cloud
フィードバックを送信 外部 ID の有効化 コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。 この記事では、外部 ID を使用するように Identity-Aware Proxy(IAP)を構成する方法について説明します。IAP と Identity Platform を組み合わせることで、Google アカウントだけでなく、OAuth、SAML、OIDC など、さまざまな ID プロバイダを使用してユーザーを認証できます。 Identity Platform の有効化と構成 IAP は Identity Platform を使用して外部 ID の認証を行います。このプラットフォームを有効にする方法については、Identity Platform のクイックスタートをご覧ください。 複数のテナントを使用する場合は、マルチテナンシーのスタートガイドの手順にも従う
IAP による GKE アプリとリソースの保護 | BeyondCorp Enterprise | Google Cloud
このページでは、Identity-Aware Proxy(IAP)を使用して Google Kubernetes Engine(GKE)インスタンスを保護する方法について説明します。 Google Cloud 上にないリソースを保護するには、オンプレミスのアプリとリソースの保護をご覧ください。 概要 IAP は GKE の Ingress によって統合されます。これにより、VPN ではなく、リソースレベルで従業員によるアクセスを制御できます。 GKE クラスタで、受信トラフィックは Cloud Load Balancing のコンポーネントである HTTP(S) 負荷分散によって処理されます。HTTP(S) ロードバランサは通常、Kubernetes Ingress コントローラによって構成されます。Ingress コントローラは、Kubernetes Ingress オブジェクトから構成
Kubernetesをちょっと理解したあなたに贈るGKEの実践ノウハウ4選 - MonotaRO Tech Blog
はじめに 商品推薦システム: RecSys について GKEを採用した理由 GKEノウハウの紹介 RegionalクラスタでZone, NodeごとにPodが分散されるようにAffinityを設定 graceful shutdownするコンテナでもpreStopが必要 コンテナネイティブの負荷分散を利用 負荷試験によるHPAのパラメータ調整 まとめ はじめに こんにちは。EC基盤グループの池田(@progrhyme)です。 モノタロウでは昨年、商品のレコメンデーションに用いるシステムを内製化するという取り組みを行いました。 私もこのプロジェクトに参加し、主にGoogle Kubernetes Engine(以下、GKE)上でのアプリケーションの構築・設定やCI/CD設定、監視設定などを行っていました。 私自身、本番運用するGKEのプロダクトを本格的に触るのは、本件が初めての経験でした。 そ
Kubernetesの「ブランチデプロイ」で誰もがハッピーなDev環境を作る - HRBrain Blog
こんにちは。HRBrainでインフラエンジニアをしている間野(@mano_0307)です。 今年の5月にインフラエンジニアとして入社しました。Kubernetesを使っている弊社で、Kubernetesをまったく触ったことのない私のような人間がインフラエンジニアになれるというのが弊社の素晴らしいところです。合言葉は「トライドリブン」。日々トライができる素晴らしい環境です。 Dev環境という各社共通の悩み 多くの会社で何かと困っているのがdev環境なのではないかと思います。 dev環境今日も空いてないよ・・・フルリモートでどうせバレないし、寝ちゃお あれ?久々に使ったdev5環境がうまく動かないよ。・・・(数時間後)あー、最新のmasterがrebaseされてないからAPIのinterface変わってんじゃん!うわー寝よ・・・ そろそろdev環境増やしたいな・・・でも、あの設定も複製しなきゃ
GKEのコンテナネイティブ負荷分散が想像以上に効果的だった話 - Qiita
背景 GKEのオートスケールは、便利ですがいくつか不満もありました。例えば、ノードによってトラフィックの割合が均一化されないと言う問題です。オートスケーラによってPodが増えた場合、新しいPodへのトラフィックはすぐに均一化される訳ではなく、段階的に上昇していきます。これはk8sのデフォルトでの負荷分散の仕組みに起因するものだと思うのですが、新しく作成されたPodが直ちに有効活用されません。この影響で、急なスパイクには対応しにくいですし、安全に運用するためにはオートスケールの条件を緩める必要がありました。 以下のチャートは、Podごとに負荷の推移を観察したものです。新しく作成されたPodの負荷が、既存のPodと同じ水準の負荷に増えるまで、2~3時間かかってるのがわかると思います。 コンテナネイティブ負荷分散を使ってみる 去年の10月、GKEでコンテナネイティブ負荷分散が正式リリースされまし
Kubernetesでステートフルなゲームサーバを動かした思い出
とあるスマートフォン向けMMORPGのプロジェクトで、アプリケーションサーバをほぼすべてGKE(Google Kubernetes Engine)に乗っけて動かしていました。 このゲームは、モバイル向けながら、複数プレイヤ間でそこそこリアルタイム性の高い同時プレイができるものでした。同じフィールドを誰かが歩けば、自分が見ている画面でもほぼ同時にそいつが歩いて横切っていく、同じ敵と皆で一緒に戦えば、誰かが繰り出した攻撃が参加者全員の画面に即同期される、もちろんチャットもできる、そんな具合です。今ではさほど珍しくないのかもしれませんが、PCのオンラインゲームのような機能を搭載した、リアルタイム性の高いモバイルゲームでした。 さて、こうなってくると、オーソドックスなWebサーバのような、HTTP/1でリクエスト/リプライを捌く、というサーバだけでは要件を満たすことができません。 複数プレイヤ間で
Kubernetes NodePort vs LoadBalancer vs Ingress? When should I use what? (Kubernetes NodePort と LoadBalancer と Ingress のどれを使うべきか) を訳した - 寝ても覚めてもこんぴうた
Kubernetes NodePort vs LoadBalancer vs Ingress? When should I use what? がよくまとまった記事だったので社内で共有するために適当に訳してみた Kubernetes NodePort と LoadBalancer と Ingress のどれを使うべきか 最近、NodePorts、LoadBalancers、Ingress の違いを尋ねられます。 それらは外部のトラフィックをクラスタ内に取り込む方法で、全て異なる方法で実現しています。 それぞれがどのように動作するか、それとどのように使うべきか見てみましょう。 注意 : すべてがGKEで適用したものであり、もしあなたがその他のクラウド、オンプレ、minikube、その他で稼働している場合には少々異なる場合があります。深い技術的な説明はしません。もっと学ぶことに興味があれば、オ
GKEのコンテナ内のディレクトリにGCSバケットをマウントする - Qiita
概要 Cloud Storage FUSEを使用して、Google Kubernetes Engine(以下、GKE)で動いてるコンテナ内のディレクトリにGoogle Cloud Storage(以下、GCS)のバケットをマウントすることを目指します。 WordPressのuploadsディレクトリなど、コンテナ間で共有したいリソースがある時に便利です。 GCP側の準備 プロジェクトを作成 コンソール画面などからプロジェクトを作成します。 今回は説明のためexampleというプロジェクト名であると仮定しています。 バケットの作成 Cloud SDKかGCPコンソール画面でバケットを作成します。 バケット名やプロジェクト名は他ユーザも含めて全プロジェクトでユニークなので、 名前が被った場合は違うバケット名を試してください。 クラスタ作成 コマンドで作成を行います。 重要なのは--scopes
GKEで起動したコンテナ内からgsutilを使用してGCS(Google Cloud Storage)にアクセスする方法 - Qiita
概要 GKE Cluster内のコンテナからGCSのBucket上にあるデータをダウンロードする仕組みが必要だったので、その時に行った設定を残します。 事前準備 以下の項目については、本題とは少しそれるため事前準備として記載します。 GCPアカウントのセットアップ(プロジェクトの作成) gcloudのインストール、セットアップ こちら GKEクラスターの作成 こちらのドキュメントを参考に IAM(以下の権限を付与) Kuvernetes Enginne 管理者 セットアップ サービスアカウントの作成 GCSにアクセス可能なサービスアカウントを作成し、ダウンロードします。 今回は雑に ストレージ管理者 権限をサービスアカウントに付与しました。 secretsの作成 ダウンロードしたサービスアカウントファイル(json)をkubernetesのsecretsに保管します。 secretsを作成
Cloud Composerを使ってMySQLのデータをBigQueryに同期する | スペースマーケットブログ
こんにちはデータエンジニアの小林です。 データ分析をしたいときにログデータと事業DBをデータウェアハウスに入れてSQLでJOINをしたり したいと思います。事業DBをBigQueryなどのデータウェアハウスに入れればできるんですが やり方がいっぱいあって悩むと思います。 今日はGCPに最近リリースされたCloud Composerを使ってMySQLにあるデータをBigQueryに同期させる方法を書きます。 対象読者 airflowやworkflow engineなどの概念を理解している方。 Cloud Composerとは? Cloud Composer(以後Composer)はGCP上でボタン1つ押せばairflowというworkflow enginzeをGKEに立ち上げてくれるサービスです。 今回airflowでやること Composerの立ち上げ DBからデータを取得してGCSにjs
Google Cloud Functions(Python)からGoogle Kubernetes Engine(GKE)のジョブを登録する - Qiita
Google Cloud Functions(Python)からGoogle Kubernetes Engine(GKE)のジョブを登録するkubernetesGKEcloudfunctions 概要 Google Kubernetes Engine(GKE)でバッチジョブを実行することができるのですが、Cloud Functionsからジョブ実行できたらCloud Storageなどのイベントをトリガーにできて捗るなぁと思いついて実際に可能か試してみました。 GKEのジョブ実行については下記を参照ください。 GKEを使ったバッチジョブ実行 http://otiai10.hatenablog.com/entry/2017/12/19/162430 前提 下記記事の環境を流用しています。 実際に環境構築する際は、合わせてご参考ください。 Google Kubernetes EngineでUn
VS CodeでGKEが管理できる?Cloud Codeを使ってみた - Qiita
Cloud Codeとは? クラウドネイティブなアプリケーションを簡単かつ迅速に管理・操作するためのエディタ拡張といった感じでしょうか。 VS CodeとIntelliJで提供されるみたいです。 要するにエディタ・IDE上でk8sクラスタを操作できる拡張機能ですね。 VS Codeで使ってみた ちょうど使ってるエディタがVS Codeなので、早速導入してみました。 導入方法としては、普通に拡張機能の追加からcloud codeで探すと出てくるのでインストールするだけです。 するとサイドバーにアイコンが出るので、ここから色々できます。また、当然ですがコマンドパレットからも各種機能にアクセスできます。 何ができるのか 各種リソースの設定を直接編集・反映 サイドバーのツリービューから各種リソースのマニフェストファイルを開く事が可能です。 さらに、それを編集して保存すると以下のようなalertが出
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
株式会社コロプラ『GKE と Cloud Spanner が躍動するドラゴンクエストウォーク』第 9 回 Google Cloud INSIDE Game & Apps