ScalarDL Auditor の制作チェックリスト
このページは英語版のページが機械翻訳されたものです。英語版との間に矛盾または不一致がある場合は、英語版を正としてください。
このチェックリストは、ScalarDL Auditor を運用環境に展開する際の推奨事項を提供します。
あなたが始める前に
このチェックリストでは、推奨される管理対象 Kubernetes クラスターに ScalarDL Auditor をデプロイしていることを前提としています。
プロダクションチェックリスト: ScalarDL Auditor
以下は、運用環境��で ScalarDL Auditor をセットアップする際の推奨事項のチェックリストです。
ScalarDL の可用性
Kubernetes クラスターの高可用性を確保するには、少なくとも3つのワーカーノードを使用し、ワーカーノード全体に少なくとも3つのポッドをデプロイする必要があります。3つのポッドをワーカーノードに分散させるための podAntiAffinity のサンプル構成を参照できます。
ワーカーノードを異なるアベイラビリティゾーン (AZ) に配置すると、AZ の障害に耐えることができます。
リソース
商用ライセンスの観点から、ScalarDL Auditor を実行する1つのポッドのリソースは 2vCPU / 4GB メモリに制限されます。ScalarDL Auditor ポッドに加えて、Kubernetes は次のコンポーネントの一部を各ワーカーノードにデプロイできます。
- ScalarDL Auditor ポッド (2vCPU / 4GB)
- Envoy プロキシ
- 監視コンポーネント (
kube-prometheus-stackなどの監視コンポーネントをデプロイする場合) - Kubernetes コンポーネント
これを念頭に置いて、ScalarDL の可用性で説明されているように、少なくとも 4vCPU / 8GB のメモリリソースを持つワーカーノードを使用し、可用性のために少なくとも3つのワーカーノードを使用する必要があります。
ただし、ノードあたり少なくとも 4vCPU / 8GB のメモリリソースを備えた3つのノードが運用環境の最小環境となります。システムのワークロードに応じて、Kubernetes クラスターのリソース (ワーカーノードの数、ノードあたりの vCPU、ノードあたりのメモリ、ScalarDL Auditor ポッドなど) も考慮する必要があります。また、Horizontal Pod Autoscaling (HPA) などの機能を使用してポッドを自動的にスケーリングする予定の場合は、ワーカーノードのリソースを決定するときにワーカーノード上の最大ポッド数を考慮する必要があります。
通信網
ScalarDL Auditor はインターネットアクセ�ス経由でユーザーにサービスを直接提供しないため、Kubernetes クラスターはプライベートネットワーク上に作成する必要があります。アプリケーションからプライベートネットワーク経由で ScalarDL Auditor にアクセスすることをお勧めします。
監視とログ記録
デプロイされたコンポーネントを監視し、そのログを収集する必要があります。詳細については、Kubernetes クラスター上の Scalar 製品の監視および Kubernetes クラスター上の Scalar 製品からのログの収集を参照してください。
バックアップと復元
バックエンドデータベースで自動バックアップ機能とポイントインタイムリカバリ (PITR) 機能を有効にする必要があります。詳細については、ScalarDB/ScalarDL 導入用のデータベースのセットアップを参照してください。
ScalarDL Auditor の展開
ScalarDL でのビザンチン障害検出が適��切に機能するには、ScalarDL Ledger デプロイメントと同じ Kubernetes クラスターに ScalarDL Auditor ポッドをデプロイしないでください。代わりに、ScalarDL Ledger デプロイメントの管理ドメイン以外の環境 (Kubernetes クラスター以外) に ScalarDL Auditor ポッドをデプロイする必要があります。
実稼働環境に必要
運用環境では推奨されません (テスト目的のみ)
ScalarDL Ledger と ScalarDL Auditor 間の接続
ScalarDL Auditor モードが正しく動作するには、ScalarDL Ledger と ScalarDL Auditor 間の接続を許可する必要があります。
ScalarDL は、ScalarDL Ledger と ScalarDL Auditor 間の接続に次のポートを使用します。ScalarDL Ledger と ScalarDL Auditor の間で次の接続を許可する必要があります。
- ScalarDL Ledger
- 50051/TCP
- 50052/TCP
- ScalarDL Auditor
- 40051/TCP
- 40052/TCP
秘密鍵と証明書
認証に PKI を使用する場合は、ScalarDL Ledger および ScalaDL Auditor に登録する秘密鍵と証明書が次の要件を満たしていることを確認する必要があります。
Algorithm : ECDSA
Hash function : SHA256
Curve parameter : P-256
詳しくは How to get a certificate をご覧ください。
実稼働チェックリスト: ScalarDL Auditor にアクセスするクライアントアプリケーション
以下は、運用環境で ScalarDL Auditor にアクセスするクライアントアプリケーションをセットアップする際の推奨事項のチェックリストです。
クライアントアプリケーションのデプロイメント
ScalarDL でのビザンチン障害検出が適切に機能するには、ScalarDL デプロイメントと同じ Kubernetes クラスターにアプリケーションポッドをデプロイしないでください。代わりに、ScalarDL デプロイメントの管理ドメイン以外の環境 (Kubernetes クラスター以外) にアプリケーションをデプロイする必要があります。
実稼働環境に必要
運用環境では推奨されません (テスト目的のみ)
クライアントアプリケーションのチェックリスト
また、運用チェックリスト: ScalarDL Ledger にアクセスするクライアントアプリケーションを満たしていることも確認する必要があります。