[2021/11/05] 今週のKubernetes + Cloud Native + その他ニュース
普段は#kubenewsの2021年11月05日の回で話す、@bells17が今週気になったニュース記事をまとめたものなのですが、昨日〜今日は Cloud Native Days Tokyo 2021(#CNDT2021)が開催されていたため、今回はCNDT2021の中で僕が視聴したセッションを中心に紹介をしていきたいと思います。
配信URL:
Day1
クラウドネイティブが強み!イマドキの銀行システムの姿
みんなの銀行さんのパブリッククラウドでのシステム構築とそれに伴う組織構成の事例
ここしばらく金融系のシステムでパブリッククラウドを利用する事例が増えているが、みんなの銀行さんの事例だと全てクラウドにシステムを構築してるようなのがすごいなと思った
Mableの高速開発を支えるプラットフォーム
MUFG製のお金管理アプリ「Mable」開発の裏側を解説されている
個人的にはOpenShift on AWSな構成事例(それも金融系システムで!)を初めて見たけど、OpenShiftプラットフォーム上で利用できる様々なアプリケーションの商用サポートができるのはOpenShiftのとても強いところだなとこのセッションを見て思った
How We Harden Platform Security at Mercari
メルカリさんのセキュリティの取り組みを中心としたセッション
- デプロイなど必要なときに必要な権限を持ったServiceAccountのtemporaryなトークンを発行して作業をする
- https://github.com/grafeas/kritis を使ったデプロイ時のイメージチェック
-
https://github.com/lyft/clutch を使ったZero Touch Productionの実践
などなど面白そうな取り組みがたくさんあった
Grafana Lokiで構築する1日20TBの大規模ログモニタリング基盤
LINEのプライベートクラウド「Verda」で稼働しているログの可視化基盤としてGrafana Lokiがあり、このGrafana Lokiに1日約20TBのログデータを扱うための知見やGrafan Lokiのアーキテクチャなどについての解説
正直内容が難しかったので別途見直して理解していきたい。。
マイクロサービスにおける信頼性の高い分散認証アーキテクチャ
LINEのプライベートクラウド「Verda」ではOpenStackの「Keystone」をカスタマイズして認証基盤として利用している
この認証基盤で発生した2度の障害と、その原因からどのように認証基盤のアプリケーションを改善していったのかの事例
障害とその原因の特定〜原因に基づく対応策などが細かに解説されていて勉強になった
乗っ取れコンテナ!!〜開発者から見たコンテナセキュリティの考え方〜
Kubernetesの設定不備や実行するコンテナの脆弱性を利用した実際の攻撃事例をデモ形式で紹介し、どのような対策を取るべきなのか?をNIST SP800-190やNSA CIA Kubernetes Hardening Guideの内容を元に解説してくれている
個人的にはかなりデモでの攻撃事例がわかりやすく、こういう理由だからこういう設定をしておいた方が良いんだ、ということをわかりやすく体感させてくれたのでとても良かった
Kubernetesオペレータのアンチパターン&ベストプラクティス
controller-runtimeを利用してKubernetes Operatorを作る際のアンチパターン&ベストプラクティスを実例をベースに紹介してくれているセッション
各パターンで出てくる事例がだいたい自社のOSSやコントリビュートしているOSSでこういうケースがあってという説明なのが強いなと思った
にも実コード例をいくつも紹介してくれてめっちゃありがたい
Kubernetesリソースの誤削除からの保護: PV, PVC, Secret, そして…
KubernetesのSecretなどのリソース保護のためのin-use protectionの実装のためのKEPと、現在のKEPに至るまでの経緯を詳細に解説してくれている
このKEPの中で出てくるLiens(抵当権)とLiensを利用したAdmission Controller(Webhook?)によるリソース保護の話がかなり面白いなと思っていて、この事例の話ではSecretの削除保護をusecaseとして話が進むのだけれど、実装されればSecretに関わらず全てのk8sリソースの削除保護を行うための機能になりそうでめちゃくちゃきになった
こういうふうに普段からKubernetesコミュニティでコントリビューターとして活動してる方が様々なKEPなどの実例を解説してくれるのはめっちゃありがたい
クラウドネイティブ時代の大規模ウォーターフォール開発
大規模ウォーターフォール開発におけるアジャイルやIaCの取り組みについて解説してくれている
やっぱり猿のたとえ話が印象的で、はじめに「これはやってはいけない」というルールができると、なんでそういうルールができたのかの理由や背景を考慮しなくなるというのはかなり大事なキーワードだなと思った
Fluentd/Fluent Bitで実現する楽なKubernetesのログ運用
Fluentd/Fluent Bitの商用サポートや様々なコントリビュートを行っているクリアコードさんによるFluentd/Fluent Bitを使ったKubernetesログの転送方法についてのセッション
Fluentd/Fluent Bitの商用サポートや様々なコントリビュートを行っているという時点でだいぶ強いので、セッションもとてもおもしろかった
ちなみにFluentdのプラグインがどうやってKubernetesのメタデータを付加してデータを転送しているかを調べたセッションを以前しているので、興味がある方は是非見てもらえれば
「Small is beautiful 」 KubernetesにUnixの哲学を ~ Carvelの紹介 ~
CarvelというKubernetesへアプリケーションをデプロイするための様々なツール群についての紹介
個人的にはkapp-controllerという仕組みを使ったGitOps的な仕組みになっているツールや、Carvelの製品群以外との連携を連携してデプロイなどを行えるようになっている柔軟性の高さが興味深かった
Day2
世界中のユーザーが快適に利用できるクラウドネイティブなシステムを目指して
ミクシィが開発する「家族アルバム みてね」のKubernetes移行や運用、Observabilityについてのセッション
2年ほどの時間をかけて着実にみてねをKubernetesに載せ替えていったのはすごいなと思った
ステートフルアプリ on Kubernetesの現在と今後の展望 〜ステートフルの苦手意識を吹っ飛ばそう〜
コンテナでステートフルアプリを動かす際のパフォーマンス論文の紹介やこれからKubernetesに実装される可能性のあるKEPの紹介、Kubernetesを利用したDBなどの運用管理などの情報を紹介してくれた
個人的にはこれから実装予定のKEPの紹介が面白かった
元エンジニアが思う「もっとこうしておけばよかった」から学ぶDevSecOps
Open Standards: Anchoring Extensibility for Cloud-Native Tooling
Kubernetes On-premises is Hardway?
Cloud Native Adoption Journey
Kubernetesのワーカーノードを自動修復するために必要だったこと
安心・安全なCluster移行で実現するKubernetesのバージョンアップ
実践:Cloud Center of Excellence を中心としたクラウド戦略
自作して学ぶKubernetes scheduler入門
Kubernetesエコシステムのバージョン追従と柔軟な管理への挑
CiliumによるKubernetes Network Policyの実現
Discussion