vSphere Kubernetes Service(VKS)の導入支援事例〜コンテナ基盤の共通サービス化〜
自治体様向けに、複数部門や団体のシステムを効率的に支えるため、マルチテナントに対応した共通サービス基盤の整備を支援しました。その中核として採用されたのが、vSphere Kubernetes Service(VKS)です。既存の仮想基盤上にIaaS Control Planeを構築し、各利用者に専用のテナント環境(TKC:Tanzu Kubernetes Cluster)を提供するアーキテクチャを導入しています。
本プロジェクトでは、Harborを用いたプライベートレジストリ構成や、きめ細かなネットワーク分離、コンテナ間のイメージレプリケーションなど、Kubernetes基盤に求められる要件に対応。仮想インフラとコンテナ基盤を一体的に運用できる、柔軟性と安全性を兼ね備えた共通サービス環境を実現しました。
構成のポイントとネットワールドからの支援
1. 要件定義とマルチテナント設計の支援
本プロジェクトでは、ユーザーごとのTKC割り当てやネットワーク・権限・レジストリの分離といった設計課題への対応が初期段階から求められました。
ネットワールドでは、マルチテナント環境におけるKubernetes設計のベストプラクティスを活用し、リソース分割・通信制御・セキュリティ設計を含む基本設計を支援しました。
2. IaaS Control Planeの構築とALB連携
管理系および業務系TKCを分離して構成し、それぞれに対するALB(Avi Load Balancer)による外部公開環境を整備しました。ALBはTanzu Essentialsのライセンス範囲内で構成しつつ、VMware社のPSOの技術支援を受けて細部の設計・調整も実施。TKCごとのネットワーク分離やルーティングも含めた高い柔軟性を確保しました。
3. Harborを活用したプライベートレジストリ構成
コンテナイメージのセキュアな保管と可用性向上のため、Harborによるプライベートレジストリを構築しました。
本構成では、通常のコンテナ版Harborに加え、OVA版Harborをバックアップ用に併設し、2系統間でレプリケーションを構成。レジストリの堅牢性と運用性を両立させました。Harborはオープンソースながらも、Tanzu準拠の構築によりVMwareからの公式サポートを受けられる設計としています。
4. コンテナ基盤におけるネットワークとセキュリティの最適化
マルチテナントKubernetes環境においては、vSphereレイヤーのネットワーク分離に加え、TKC内部でのNamespace間の通信制御やRBACによるアクセス制限が求められます。
ネットワールドは、ALB・vSphereネットワーク・Pod通信ポリシーの設計に加え、セキュリティ要件に応じた構成調整を行い、自治体特有のデータ分離ポリシーに対応しました。
5. 柔軟な構築・運用支援と継続的な改善提案
TKCは展開・削除が比較的容易なため、実際の運用では「まず動かして検証する」というアプローチを採用しています。ネットワールドでは、そうした検証・再設計を前提とした柔軟な支援体制を構築。サイジングや設計変更にも継続して対応しました。
また、vSphereやNSXの構築も対応可能な体制により、今回のようにインフラ構築が他社であっても、連携して一貫した支援を行える点が大きな強みとなっています。
関連コンテンツ
本ページでご紹介したサービスは、以下の対談記事でもご紹介しております。
