Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Cloud de Confiance の GKE と Google Cloud の比較

Google Kubernetes Engine は、コンテナ化されたアプリケーションをデプロイ、管理、スケーリングするためのマネージド環境です。GKE は、Kubernetes オープンソースコンテナオーケストレーションプラットフォームをベースにしており、Compute Engine 仮想マシン上に構築されています。GKE には、ノードの自動修復、ロードバランシング、ロギングとモニタリング、自動スケーリング、自動アップグレードなどの機能があります。このページでは、 Cloud de Confiance と Google Cloud バージョンの GKE の違いについて説明します。

GKE の詳細については、GKE の概要とその他の GKE ドキュメントをご覧ください。

Cloud de Confianceの GKE の使用に関する推奨事項とベストプラクティス（Google Cloud と機能が異なる場合に推奨される代替手段など）については、推奨事項セクションをご覧ください。

主な違い

GKE の Cloud de Confiance バージョンと Google Cloud バージョンにはいくつかの違いがあります。主な違いは次のとおりです。

GKE モード: GKE Autopilot クラスタのみを使用できます。GKE Standard クラスタは使用できません。
ストレージ: Hyperdisk Balanced ストレージタイプのみを使用できます。他のストレージタイプは使用できません。
Compute Engine 仮想マシン: C3 マシンシリーズと A3 マシンシリーズのみを使用できます。他のマシンタイプは使用できません。
GPU と TPU: GPU は A3 マシンタイプでのみ使用できます。TPU は使用できません。

相違点の詳細な一覧については、このセクションの残りの部分をご覧ください。 Google Cloud をすでによくご存じの場合は、特に Cloud de Confianceで動作するアプリケーションを設計する前に、これらの違いをよくご確認ください。また、 Cloud de Confiance と Google Cloud の一般的な違いを確認することもおすすめします。

Cloud de Confianceで現在利用できない特定の GKE 機能を使用する場合は、Cloud de Confiance サポートにお問い合わせください。 Cloud de Confianceで新機能がリリースされたときに通知を受け取るには、リリースノートを購読してください。別段の記載がない限り、プレビュー版の機能は Cloud de Confianceでは使用できません。

ハードウェアと OS

運用モード	GKE Autopilot クラスタのみを使用できます。GKE Standard クラスタは使用できません。
Compute Engine 仮想マシン	C3 マシンシリーズと A3 マシンシリーズのみを使用できます。他のマシンタイプは使用できません。
GPU と TPU	GPU は A3 マシンタイプで使用できます。使用可能な Edge マシンタイプは `a3-edgegpu-8g-nolssd` のみです。これはカスタム ComputeClass を使用して明示的に設定する必要があります。 TPU は使用できません。
ノードプール	次のノード構成機能は使用できません。 Arm ワークロード Spot VM コンパクトプレースメント
リリースチャンネル	Stable リリースチャンネルと Regular リリースチャンネルのみ使用可能です。Rapid チャンネルに登録されているクラスタでは、機能がプレビュー版で提供されている場合があります。
GKE Hypercluster	GKE Hypercluster は使用できません。

可用性と障害復旧

リージョンとゾーン	Cloud de Confiance には 1 つのリージョンしかありませんが、複数のゾーンがあります。マルチリージョン機能とクロスリージョンフェイルオーバーはサポートされていません。復元性を確保するために複数のゾーンにまたがるデプロイがサポートされています。
ストレージ	使用できるストレージタイプは Hyperdisk Balanced のみです。他のストレージタイプは使用できません。他のストレージタイプは使用できないため、Persistent Disk へのフォールバックによるディスクタイプの自動選択は使用できません。
Backup for GKE	Backup for GKE は利用できません。
自動スケーリング	一部のカスタマイズオプションは利用できません。パフォーマンス HPA プロファイルは使用できません。 VPA `InPlaceOrRecreate` モードは使用できません。

費用管理

費用最適化の指標

一部の費用最適化の推奨事項は利用できない場合があります。

統合

Cloud Storage GKE Volume Populator を使用した Cloud Storage からのデータ転送は使用できません。

Cloud Storage FUSE

Cloud Storage FUSE CSI ドライバは、GKE バージョン 1.36.0-gke.1266000 以降を実行しているクラスタとノードプールでサポートされています。

ドライバを使用するには、次のタスクを行います。

Pod のエフェメラルストレージボリュームまたは PersistentVolume のいずれかで、ボリュームの mountOptions に custom-endpoint マウントオプションを指定して、環境の Cloud Storage API エンドポイントを指定します。エンドポイント値の形式は storage.s3nsapis.fr:443 です。

CLI フラグ形式または構成ファイル形式を使用できます。どちらの形式もマウントオプションとしてドライバによって直接解析されるため、別の構成ファイルを指定する必要はありません。
- CLI 形式: custom-endpoint=storage.s3nsapis.fr:443
- 構成ファイルの形式: gcs-connection:custom-endpoint:storage.s3nsapis.fr:443
PersistentVolume 仕様または Pod のエフェメラルストレージボリューム属性で skipCSIBucketAccessCheck: "true" ボリューム属性を指定します。次に例を示します。
```
volumeAttributes:
  skipCSIBucketAccessCheck: "true"
```

マウントオプションの指定の詳細については、マウントオプションを構成するをご覧ください。

セキュリティ

セキュリティ機能	次のセキュリティ機能は使用できません。 GKE セキュリティポスチャー Binary Authorization for GKE Confidential Google Kubernetes Engine ノード GKE control plane authority Policy Controller
機密データの暗号化	アプリケーションレイヤでの Secret の暗号化はサポートされていません。
認証	Connect Gateway を使用できません。
Workload Identity	Workload Identity プールのドメイン（およびそれを使用する Kubernetes プリンシパル ID）は、Google Cloud と Cloud de Confiance by S3NSでは若干異なる方法で指定され、`svc.id.goog` ではなく `s3ns.svc.id.goog` を使用します。たとえば、IAM ポリシーで Workload Identity Federation for GKE を使用して Kubernetes ServiceAccount を指定する場合は、`.../PROJECT_ID.s3ns.svc.id.goog/subject/ns/NAMESPACE/sa/KUBERNETES_SERVICE_ACCOUNT` を使用します。
特権ワークロードの Admission Controller	Autopilot クラスタで特権ワークロードを実行するための許可リストの作成とインストールはサポートされていません。
ノードのセキュリティ	安全なカーネルモジュールの読み込みは利用できません。
サービスエージェントのプロビジョニング	Cloud de Confianceでは、サービスエージェント（ユニバース管理のサービスアカウント）は、API が有効になったときではなく、サービスの最初のリソースを作成したときにジャストインタイム（JIT）でプロビジョニングされます。リソースを作成する前にサービスエージェントに権限を付与する必要がある場合（共有 VPC の構成時など）は、サービスエージェントを手動で作成し、必要なデフォルトロールを付与する必要があります。サービスエージェントの作成とロールの付与を手動でトリガーする手順については、ロールを作成してサービスエージェントに付与するをご覧ください。次に、作成したエージェントにデフォルトの `Kubernetes Engine Service Agent`（`service-PROJECT_NUMBER@container-engine-robot.s3ns-system.iam.gserviceaccount.com`）を付与します。

ネットワーク

IP アドレス指定	VPC ネイティブクラスタのみがサポートされます。ルートベースクラスタは使用できません。
ノードあたりの最大 Pod 数	ノードあたりの Pod 数の上限は 32 です。
ネットワーク分離	ネットワーク分離の次のカスタマイズオプションは使用できません。コントロールプレーンの内部エンドポイントと外部エンドポイントを無効にする。承認済みネットワークを追加する。 GKE ネットワークポリシーを使用してクラスタの Pod と Service 間の通信を制御する。 Pod の追加 IPv4 アドレス範囲をクラスタに割り当てる。 API サーバーからの下り（外向き）トラフィックを制限する。
アプリケーションの公開	GKE Ingress コントローラを使用する場合、グローバル Google Cloud 外部アプリケーションロードバランサ（`gxlb`）は使用されません。 Cloud de Confiance by S3NSでは、リージョン外部ロードバランサ（`rxlb`）が使用されます。
マルチクラスタネットワーク	マルチクラスタ Ingress とマルチクラスタ Service（MCS）は使用できません。
オブザーバビリティ	GKE Dataplane V2 のオブザーバビリティツールは使用できません。
Cloud Service Mesh	Cloud Service Mesh は使用できません。
ロードバランシング	次のロードバランシング機能は使用できません。重み付きロードバランシング。内部パススルーネットワークロードバランサのゾーンアフィニティ。使用率ベースのロードバランシング。
IP 範囲	上り（内向き）ファイアウォールルールなどの使用可能な IP アドレス範囲は、次のように環境によって異なります。 177.222.80.0/23 177.222.87.0/26 177.222.87.64/26

ワークロード

事前定義されたコンピューティングクラス 汎用コンピューティングクラスと Accelerator コンピューティングクラスのみを使用できます。事前定義された他のコンピューティングクラスは使用できません。

分析情報とオブザーバビリティ

ロギングとモニタリング	ワークロード指標は利用できません。
Google Cloud Observability	Google Cloud Observability のインテグレーションとダッシュボードはすべて使用できません。
クラスタ通知	クラスタ通知は利用できません。

AI / ML 機能

Ray オペレーター	GKE 用 Ray オペレーターは使用できません。
Parallelstore	Parallelstore for GKE は使用できません。

リソース管理

Config Sync	Config Sync は使用できません。
Config Connector、Config Controller	Config Connector と Config Controller は使用できません。

マルチクラスタ管理

フリート

フリート、フリートダッシュボード、フリートチーム管理は使用できません。

推奨事項

Autopilot の詳細を学習する。

以下の情報は、 Cloud de Confiance by S3NSでの GKE の使用方法と設計方法にも影響する可能性があります。これらのガイドには、ドキュメント、セキュリティとアクセス制御、課金、ツール、サービスの使用状況など、 Cloud de Confianceでの作業に関する一般的情報が記載されています。

このほかの Cloud de Confiance と Google Cloud のサービスおよび機能の違いについて詳しくは、プロダクトリストをご覧ください。

Compute Engine