2019-05-17 Kubernetes Enterprise Tokyo #01 - Night Edition #k8se
2019/05/17 に開催された Kubernetes Enterprise Tokyo #01 - Night Edition のイベントレポートです。
●イベント概要
昨今、KubernetesやCloud Nativeなツール(CNCF加盟企業)を本格的に利用したいというSI業界・商用利用を検討されているユーザー企業も増加しています。そうしたユーザー企業向けのコミュニティとして「Kubernetes Enterprise」を発足しました。
■Rancherで構築するオープンなKaaS基盤
新藤さん [Rancher Labs]
●自己紹介
・GWで全国行脚
@shindoy さんはやりすぎ男w
・全国的にDocker/k8sはこれから
安心して聞いてください
●Rancher Labs
・世界中にofficeがあります
エジプトにもありますw
・Rancherとつくものはたくさんあります
・今回はRancher
container management platform
●概要
・dockerコマンドでサクッと立ち上がります
・k8sがでてきてやることが多数
rancherで簡単に
・オンプレ(RKE)/EKS/GKE/AKS
rancherでまとめて管理
・キスモの機械学習基盤にも利用されています
・Rancherは全てOSS
有償サポートを年間契約で受けられます
・クラウドサービスの障害や終了(統合)
rancherで回避
・Disney での使い方
開発はクラウド
本番はオンプレ
●Rancher JPコミュニティ
・メンバーは 1500人超え
・meetupは 60超え
・slackの参加者は 680人
いろんなスキルセットに人が参加
質問すればだいたい答えてもらえる
●Support Matrix
・etcd, flannel, canal, nginx-ingress-controller
・EKS, GKE, AKS managedなk8s
●デモ
・dockerが入っていれば1台で立てられます
試すならこれで十分
・GUIでクラスター作成
今回はEC2
template管理できる
・モニタリング
GUIで有効化するだけ
prometheus
grafanaもセットでデプロイしてくれる
・アラート
CPU usage over X %
-> slack などもGUIで
・外部公開
nodeport
nginx-ingress
もGUIで
■Datadogで実現するこれからのコンテナ監視
狩野さん [Datadog]
●自己紹介
・salesエンジニア
・モニタリングツールの普及を通して、多くの人を幸せにする
含 障害対応で家に帰れない方
・weworkのビールおいしいw
●Datadog
・名前の由来
会社の文化でサーバに dogをつけていた
障害が多かったのがDBサーバ = Datadog
障害調査 = datadogする
・What is Datadog
クラウド時代のモニタリング&分析SaaS
リアルタイムパフォーマンス監視
強力なアラート
履歴の分析
15ヶ月まえまで見れます
根本原因の相関と分析
ダッシュボード公開
チーム間でコラボレーションできる
●三本柱
・Traces
APM
どこからどこにデータが流れていくのか
・Metrics
トレンドやパターンなどを把握
・Logs
イベントベース
-> 順に機能追加されてきた
●これからの監視に必要なポイント
・動的に変化するコンテナを監視
・マイクロサービス上のトレーサビリティ
●監視のしくみ
・agent方式
・k8s向けagent
daemonsetとして動かす
デプロイが始まった、rolling updateしているなど
service, namespace
k8s専用ダッシュボードも提供
●CloudNativeな監視
・複数のk8sクラスタを、複数チームが更新
・k8sがcontainerを移動させる
・どうやって監視する?
-> 自動でタグ付け
バージョン、環境、役割など
●Cattle, not pets
集合で管理しよう
●デモ動画
・host map
環境でグルーピング
環境 & ロール
zoom inして、ホストごとに個別に見る
・service map
mouser overで対象serviceへのアクセスを表示
全てのデータが見えるから、サービス=チーム間の連携も見える
・APM 分散トレーシング
1リクエストがどんな構成要素で動いているか
host, logs, errors
trace/metrics/logsを紐付けて確認
●新機能
・Synthetics-API Tests: 外形監視
ping
・Synthetics-Browser Tests: 外形監視
Seleniumライク
GUIのクリックでシナリオを作成できる
AIを組み合わせている
■DevSecOpsを実現するコンテナ・セキュリティ -- Twistlock
野原さん [マクニカソリューションズ]
●コンテナセキュリティ分野でメジャーなもの
・Acqua Security
・Sysdig
・Twistlock
●セキュリティの重要性
・DockerHubでマイニングスクリプトが見つかった
・k8s, RunCに深刻な脆弱性が公表された
●CloudNativeな構成は複雑
・dockerのアーキテクチャ
Dockerfileの1行ずつがレイヤに
ハッシュだからどこに何があるかわからない
・コンテナ環境のスケール
自動、手動で任意の数にスケールアウト
スケールインはどれが消えるかわからない
・コンテナ環境のライフサイクル
ゴールデンイメージを今あるものと置き換える
・コンテナ実行環境の構成にも脆弱性が含まれる
●従来のセキュリティとは異なるアプローチが必要
・なぜコンテナを使うの?
DevOps
ポータビリティ
効率化、シンプル化
・セキュリティどうしてますか?
-> やってません
パイプラインを止めたくない
・セキュリティのShift-Left
運用に行ってから脆弱性を発見すると手戻りが大きい
ポリシーを自動化
・コンテナセキュリティのフレームワーク
NIST SP.800-190
CISベンチマーク
●Twistlok社
・アメリカでできた
・NISTの著者がTwistlokにいる
●ライフサイクルすべての領域をカバー
・BUILD
imageができたらスキャン
脆弱性
コンプライアンス
・SHIP/RUN
クラウドネイティブファイアウォール
コンテナ間通信
ランタイム防御
AIで自動学習
アクセス制御
dockerコマンド、kubectlコマンドの実行制御
●Twistlockの画面で見えるもの
・全体での脆弱性/違反の推移
どこにどの脆弱性があるかドリルダウン
・コンテナ単位での脆弱性/違反
・コンテナイメージのレイヤ単位での脆弱性/違反
●Jenkins plugin
・docker buildの後でtwistlockを実行
違反があったらfail
●ルール定義
・デフォルトで一般的にこれで十分な定義を用意してある
・PCI DSS向けルール
・任意のスクリプトを追加
rootを使っていたらfailなど
●forensic data
・時系列でどんなコマンドが実行されていたか
・runtimeでもカスタムルールを追加できる
●L7 Firewall
・簡易WAFが設定できる
・SQLインジェクションをブロック
・user agentでブロック
●通知
・各種通知先と連携
・outgoing webhookも使える
●新機能
・ホストアプリでもforensicが見れるようになった
■APCのCloudNative技術教育サービス
市川さん [株式会社エーピーコミュニケーションズ]
●自己紹介
・エーピーコミュニケーションズ
・官公庁でインフラ -> フロント
・専門学校でOSSの非常勤講師
・RancherJPコミュニティ、くじらや、CloudNative DeepDive
・k8s黄色本
・Think IT rancher連載
●APC
・SIer
・クラウドネイティブ対応
・教育もやります
●Kubernetesの広まり
・2018にk8sがCNCFのインキュベーションから卒業
成熟した と認められた
・AWSでもEKS managed k8sを提供
AWSが他のものを取り入れてサービス化したのは初
・AzureでもAKSを提供
・GoogleではAnthosを発表
マルチクラウドでのk8s管理
Rancherと近い
ハイブリッド、マルチクラウド
・k8sはコンテナのOS
OSの上で何をするのかの段階
"クラウドの時代には、コミュニティがエンジニアの成長を支えていくのではないか"
・CloudNative関連の技術は多数
社内や仕事を通して学べる範囲を超えている
・最新をキャッチアップ、実践、共有
社内に一人でもいれば良いが、ムリ
・コミュニティはエンジニアの成長のために大事な場所
イベントへの参加
情報収集、発信、共有
ブログ、SNS、Slack
執筆 など
・コミュニティ活動
メリット
最新技術、事例のキャッチアップ
助け合えたりする人のつながり
技術、プレゼン、コミュニケーションのスキルアップ
社内フィードバック
デメリット
レベルが高くてついていけない
●実際の声
・ネガ
レベルが高くてついていけない
結局何からはじめて良いか分からない
本を買ったが挫折
近くに教えてくれる人はいない
・ポジ
入門のハンズオンは入りやすい
有識者に質問や相談できる
・実際に
ハンズオンは当日キャンセルが少ない
立ち見でも参加させてほしい な声も
-> くじらやでDocker入門ハンズオン
#kujiraya
●APCは、RancherLabsのパートナー
・Rancher公式トレーニング
ハンズオン & デモ
・Docker/Kubernetes/Rancher 入門トレーニング
doker 単体
docker compose
k8s
helm
Rancher
各種概念のそもそも
●APCは、Mirantisのパートナー
Mirantis公式トレーニング
k8sの実運用向け
Spinnaker管理入門
http://bit.ly/mirantis_training
■質疑応答
・アンケートで、コミュニティー自体をDevOps
・RancherのGUIがすごい な声があったが
RancherはGUI以外に、API / CLIも整っている
Twistlockも、GUIでできることは全てAPIでできる
・Rancherのデモで上げていた3ノードはどういう構成?
時間短縮のため
etcd, control, workerをまとめたノードを3台立てた
本来なら、役割ごとにnodeを分けて冗長構成にする
■感想
・導入の敷居の低さ、有償サポートの安心感
・ハイブリッドクラウド、マルチクラウドにむけた布石
・複雑になる構成の監視
・複雑になる構成のセキュリティ
・体系的な学びと、はじめの一歩を体験する場
エンプラでkubernetesを導入するために必要なポイントに沿って概要を聞かせていただきました。
・インターネットに繋がらない本番環境でkubernetesを使い始める
・小さく始めて、利用者を増やしていった経験
など
一歩踏み出したエンプラのノウハウを共有できるコミュニティになっていけたらすてきですね!
登壇者の皆さん、運営の皆さん 1日2イベント お疲れ様でした!
すてきな学びの場をありがとうございました!!
この記事が参加している募集
いつも応援していただいている皆さん支えられています。