⚡ 3秒でわかる!この記事のポイント
- AnthosはGKE・AWS EKS・Azure AKS・オンプレミスのKubernetesクラスターを統一コンソールで一元管理
- Anthos Config Managementでマルチクラウドの設定をGitOpsで統一管理できる
- マルチクラウドKubernetes管理スキルを持つSESエンジニアの単価は月90〜140万円と非常に高い
「AWS・GCP・Azure全部使っているが、Kubernetesクラスターの運用がバラバラで管理コストが高い」——マルチクラウド戦略を採用する企業の多くが感じている課題です。
Google Cloud Anthosは、複数のクラウド環境やオンプレミスのKubernetesクラスターを一つのプラットフォームから統一的に管理できるマルチクラウド管理ソリューションです。 クラスター管理、セキュリティポリシー、サービスメッシュ、設定管理をクラウドを跨いで一元化します。
本記事はGoogle Cloud完全攻略シリーズ Ep.29として、Anthosの基礎から実装、マルチクラウド運用のベストプラクティスまでを解説します。
この記事でわかること
- Anthosの基本概念とアーキテクチャ
- Anthos on AWS / Azure のセットアップ手順
- Anthos Config ManagementによるGitOps運用
- Anthos Service MeshでのマルチクラウドL7制御
- コストモデルとROIの試算方法
- SES案件でのマルチクラウドスキル活用
Anthosとは何か
Anthosの位置づけ
Anthosは、Google Cloudが提供するマルチクラウド・ハイブリッドクラウド管理プラットフォームです。以下の環境のKubernetesクラスターを統一管理できます。
- Google Cloud: GKE(Google Kubernetes Engine)
- AWS: EKS上のAnthosクラスター
- Azure: AKS上のAnthosクラスター
- オンプレミス: ベアメタルサーバー上のAnthosクラスター
- エッジ: 小規模サイトのAnthosクラスター
Anthosのコアコンポーネント
Anthosプラットフォーム構成:
┌─────────────────────────────────────────────┐
│ Google Cloud Console(統一管理コンソール) │
├─────────────────────────────────────────────┤
│ Anthos Config Management(GitOps設定管理) │
│ Anthos Service Mesh(サービスメッシュ) │
│ Binary Authorization(デプロイ認可) │
│ Policy Controller(ポリシー制御) │
├──────────┬──────────┬──────────┬────────────┤
│ GKE │ Anthos │ Anthos │ Anthos │
│ (GCP) │ on AWS │ on Azure │ on VMware │
└──────────┴──────────┴──────────┴────────────┘GKEとの違い
GKE Kubernetes入門ガイドで解説したGKEは単一クラウド(GCP)でのKubernetes管理ですが、AnthosはGKEを拡張して複数環境を横断する統一管理レイヤーを提供します。
| 機能 | GKE単体 | Anthos |
|---|---|---|
| 管理対象 | GCPのみ | マルチクラウド + オンプレ |
| 設定管理 | 個別対応 | Config Management (GitOps) |
| サービスメッシュ | 個別設定 | Anthos Service Mesh (統一) |
| ポリシー制御 | 個別設定 | Policy Controller (統一) |
| 料金 | GKEの料金 | Anthos ライセンス + インフラ |
Anthos on AWSのセットアップ
前提条件
# Google Cloud CLIの設定
gcloud auth login
gcloud config set project my-anthos-project
gcloud services enable \
anthos.googleapis.com \
gkemulticloud.googleapis.com \
connectgateway.googleapis.com
# AWS CLIの設定
aws configureAWSにAnthosクラスターを作成
# IAMロールの作成(Anthosが使用するAWS IAMロール)
gcloud container aws node-pools create \
--help # パラメータ確認
# Anthos on AWSクラスターの作成
gcloud container aws clusters create my-aws-cluster \
--aws-region ap-northeast-1 \
--cluster-version 1.29.1-gke.100 \
--fleet-project my-anthos-project \
--vpc-id vpc-0abc123def456 \
--pod-address-cidr-blocks 10.1.0.0/16 \
--service-address-cidr-blocks 10.2.0.0/16 \
--subnet-ids subnet-0abc123,subnet-0def456 \
--database-encryption-kms-key-arn arn:aws:kms:ap-northeast-1:123456:key/xxx \
--config-encryption-kms-key-arn arn:aws:kms:ap-northeast-1:123456:key/yyy \
--iam-instance-profile anthos-node-profile \
--control-plane-instance-type m6i.xlarge \
--control-plane-subnet-ids subnet-0abc123,subnet-0def456
# ノードプールの作成
gcloud container aws node-pools create default-pool \
--cluster my-aws-cluster \
--location ap-northeast-1 \
--node-version 1.29.1-gke.100 \
--min-nodes 2 \
--max-nodes 10 \
--max-pods-per-node 110 \
--instance-type m6i.large \
--subnet-id subnet-0abc123 \
--iam-instance-profile anthos-node-profilekubectlでの接続確認
# クラスターの認証情報を取得
gcloud container aws clusters get-credentials my-aws-cluster \
--location ap-northeast-1
# ノード確認
kubectl get nodes
# NAME STATUS AGE
# ip-10-0-1-50.ap-northeast-1 Ready 5m
# ip-10-0-2-100.ap-northeast-1 Ready 5m
# クラスター情報
kubectl cluster-infoAnthos Config Management(ACM)
GitOpsによる統一設定管理
Anthos Config Managementは、Gitリポジトリをソースオブトゥルースとして、全クラスターの設定を統一管理する仕組みです。
# ACMの有効化
gcloud beta container fleet config-management enable
# ACMの設定適用
cat > acm-config.yaml << 'EOF'
apiVersion: configmanagement.gke.io/v1
kind: ConfigManagement
metadata:
name: config-management
spec:
git:
syncRepo: https://github.com/org/anthos-config
syncBranch: main
secretType: ssh
policyDir: config
policyController:
enabled: true
templateLibraryInstalled: true
hierarchyController:
enabled: true
EOF
kubectl apply -f acm-config.yamlディレクトリ構成
anthos-config/
├── cluster/ # クラスター固有の設定
│ ├── gke-prod/
│ │ └── namespace.yaml
│ ├── aws-prod/
│ │ └── namespace.yaml
│ └── azure-prod/
│ └── namespace.yaml
├── namespaces/ # 全クラスター共通設定
│ ├── production/
│ │ ├── namespace.yaml
│ │ ├── network-policy.yaml
│ │ └── resource-quota.yaml
│ └── staging/
│ ├── namespace.yaml
│ └── resource-quota.yaml
└── policies/ # ポリシー定義
├── require-labels.yaml
├── restrict-images.yaml
└── deny-privileged.yaml環境別の設定オーバーライド
# namespaces/production/resource-quota.yaml
# 全クラスター共通のリソースクォータ
apiVersion: v1
kind: ResourceQuota
metadata:
name: default-quota
namespace: production
spec:
hard:
requests.cpu: "20"
requests.memory: "40Gi"
limits.cpu: "40"
limits.memory: "80Gi"
pods: "100"# cluster/aws-prod/resource-quota-override.yaml
# AWSクラスター固有のオーバーライド
apiVersion: v1
kind: ResourceQuota
metadata:
name: default-quota
namespace: production
annotations:
configmanagement.gke.io/cluster-name: aws-prod
spec:
hard:
requests.cpu: "40"
requests.memory: "80Gi"
pods: "200"
Anthos Service Mesh
マルチクラウドサービスメッシュ
Anthos Service Mesh(ASM)は、Istioベースのフルマネージドサービスメッシュです。クラウドを跨いだサービス間通信を統一的に管理できます。
# ASMのインストール
gcloud container fleet mesh enable --project my-anthos-project
# マネージドASMの有効化
gcloud container fleet mesh update \
--management automatic \
--memberships my-gke-cluster,my-aws-clusterクロスクラウドのサービス発見
# GCP上のサービスがAWS上のサービスを呼び出す設定
apiVersion: networking.istio.io/v1beta1
kind: ServiceEntry
metadata:
name: aws-payment-service
spec:
hosts:
- payment.aws.internal
location: MESH_INTERNAL
ports:
- number: 443
name: https
protocol: TLS
resolution: DNS
endpoints:
- address: payment.aws-prod.mesh
network: aws-networkmTLSの統一設定
# 全クラスターでmTLSを強制
apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
name: default
namespace: istio-system
spec:
mtls:
mode: STRICTPolicy Controller
セキュリティポリシーの統一適用
IAMセキュリティガイドに加え、Anthosではクラスターレベルのポリシーを統一管理できます。
# 特権コンテナの禁止
apiVersion: constraints.gatekeeper.sh/v1beta1
kind: K8sPSPPrivilegedContainer
metadata:
name: deny-privileged
spec:
match:
kinds:
- apiGroups: [""]
kinds: ["Pod"]
excludedNamespaces:
- kube-system
- gke-system# 承認済みレジストリからのイメージのみ許可
apiVersion: constraints.gatekeeper.sh/v1beta1
kind: K8sAllowedRepos
metadata:
name: allowed-repos
spec:
match:
kinds:
- apiGroups: [""]
kinds: ["Pod"]
parameters:
repos:
- "gcr.io/my-project/"
- "123456789012.dkr.ecr.ap-northeast-1.amazonaws.com/"
- "myregistry.azurecr.io/"Binary Authorization
デプロイ時のイメージ署名検証
# Binary Authorizationの有効化
gcloud services enable binaryauthorization.googleapis.com
# ポリシーの設定
cat > policy.yaml << 'EOF'
admissionWhitelistPatterns:
- namePattern: "gcr.io/google_containers/*"
- namePattern: "gcr.io/gke-release/*"
defaultAdmissionRule:
enforcementMode: ENFORCED_BLOCK_AND_AUDIT_LOG
evaluationMode: REQUIRE_ATTESTATION
requireAttestationsBy:
- projects/my-project/attestors/qa-attestor
- projects/my-project/attestors/security-attestor
globalPolicyEvaluationMode: ENABLE
EOF
gcloud container binauthz policy import policy.yamlコストモデルとROI
Anthosの料金体系
| コンポーネント | 料金目安(月額) | 備考 |
|---|---|---|
| Anthos on GKE | $100/クラスター | GKEに追加課金 |
| Anthos on AWS | $100/クラスター | AWSインフラ費別 |
| Anthos on Azure | $100/クラスター | Azureインフラ費別 |
| Anthos on VMware | vCPU単位 | オンプレミス |
| Config Management | Anthosライセンスに含む | — |
| Service Mesh | Anthosライセンスに含む | — |
ROIの試算
マルチクラウド運用の管理コスト比較(10クラスター運用の場合):
個別管理の場合:
- 運用エンジニア: 3名 × 月80万円 = 月240万円
- ツール費用: 月50万円
- 障害対応コスト: 月30万円
合計: 月320万円
Anthos導入後:
- Anthosライセンス: $1,000(約15万円)
- 運用エンジニア: 1.5名 × 月80万円 = 月120万円
- 障害対応コスト: 月10万円(可観測性向上で削減)
合計: 月145万円
削減効果: 月175万円(約55%削減)マルチクラウド設計パターン
パターン1: Active-Active(負荷分散)
ユーザー → Cloud Load Balancing
├→ GKE (asia-northeast1): メインワークロード
└→ Anthos on AWS (ap-northeast-1): DR + 負荷分散パターン2: ベンダーロックイン回避
共通レイヤー(Anthosで統一管理):
├── Kubernetes API(移植可能)
├── Istio Service Mesh(移植可能)
└── ACM GitOps(移植可能)
クラウド固有サービス(最小限に抑える):
├── GCP: BigQuery, Cloud Spanner
├── AWS: Aurora, SageMaker
└── Azure: Cognitive Servicesパターン3: 規制対応(データレジデンシー)
日本国内データ → GKE (tokyo)
EUデータ → Anthos on AWS (eu-west-1)
米国データ → Anthos on Azure (eastus)SES案件でのマルチクラウドスキル活用
マルチクラウド案件の市場動向
マルチクラウド・Kubernetes管理のスキルを持つSESエンジニアは非常に希少で、高い単価が期待できます。
| スキルレベル | 単価目安(月額) | 求められるスキル |
|---|---|---|
| ジュニア | 65〜85万円 | 単一クラウドのKubernetes運用 |
| ミドル | 85〜110万円 | マルチクラウドKubernetesの構築 |
| シニア | 110〜140万円 | Anthosアーキテクチャ設計・運用 |
| アーキテクト | 140〜180万円 | マルチクラウド戦略の企画・推進 |
スキルアップロードマップ
- GKE入門でKubernetesの基礎を習得
- VPCネットワーキングでネットワーク設計を理解
- AWS EKSまたはAzure AKSの基本操作を習得
- Anthosのセットアップとクラスター管理を実践
- Config Management・Service Meshを導入
- Cloud Armorセキュリティとの統合で多層防御を構築
トラブルシューティング
よくある問題と解決方法
Q: Anthos on AWSのクラスター作成が失敗する
- AWS IAMロールの権限を確認(Anthosが必要とする権限はドキュメント参照)
- VPC/サブネットの設定でDNS解決が有効になっているか確認
- KMSキーへのアクセス権限を確認
Q: Config Managementの同期が失敗する
- Gitリポジトリへの認証情報(SSHキー)が正しいか確認
- ディレクトリ構成がACMの仕様に準拠しているか確認
nomos statusコマンドで同期状態の詳細を確認
Q: クロスクラウドのサービス通信がタイムアウトする
- クラウド間のネットワーク接続(VPNまたはInterconnect)を確認
- モニタリング・ロギングでネットワークメトリクスを確認
- Service MeshのmTLS設定で証明書の有効期限をチェック
まとめ — Anthosでマルチクラウドを統一管理する
Google Cloud Anthosは、マルチクラウド環境のKubernetes管理を劇的にシンプルにするプラットフォームです。
Anthos活用のポイント:
- 統一コンソールで全クラスターを一元管理し、運用コストを大幅に削減
- Config Management(GitOps) で設定をコード化し、環境間の一貫性を担保
- Service Meshでクラウド横断のL7通信制御を実現し、セキュリティと可観測性を向上
- Policy Controllerで統一ポリシーを適用し、コンプライアンスを自動化
マルチクラウドKubernetes管理のスキルは今後ますます需要が高まる分野です。SES BASE でクラウドインフラ・Kubernetes関連の最新SES案件をチェックしてみてください。
