KubeCon + CloudNativeCon Europe 2024 Day 2

はじめに

ZIPAIRの技術チームメンバーでKubeCon + CloudNativeCon Europe 2024へ参加しています。この記事ではDay 2に参加したセッションのレポートをお届けします。Day 1の記事もありますのでぜひご覧ください。Day 1と同様に詳細は各担当者が追って記事を投稿いたしますが、本ブログでは概要だけお伝えいたします。

参加したセッション

Day 2にて次のセッションへ参加しました。

American Airlines Increases Velocity by Leveraging K8s at Scale and Autonomous App-level Optimization

このセッションでは、アメリカン航空が自社のKubernetesクラスタにIntel Granulateを導入した事例について紹介されました。具体的には、インフラのコスト改善が実現されたこと、そしてそれが最近のトレンドであるFinOpsとも合致していると感じられました。

Is Your Image Really Distroless?

まずDistrolessコンテナについての紹介と、マルチステージビルドやBuildKitを用いたアプリケーションのコンテナイメージのビルド方法について説明がありました。続いて、データベースのコンテキストでは、テーブルなどの作成にスクリプトを用いる事前の初期化処理が必要であると述べられていました。コンテナイメージに初期化処理を含めると、不要なデータやライブラリがインストールされてしまうため、結果的にコンテナイメージがセキュアでなくなるという問題点が指摘されました。このような課題に対処するため、KubernetesのInit Containersの活用が推奨されました。

Tutorial: Cloud Native WebAssembly and How to Use It

WASI 0.2.0、Wasm Components、Composable Componentsなど、WebAssemblyに関する基本的な用語についての説明がありました。Day 1の内容と一部重複する箇所もありましたが、こちらのセッションはより基本的な概念に焦点を当てていました。WASIのバージョン0.2.0は2023年末にリリースされ、次のバージョン0.3.0は2024年末にリリース予定です。続いて、WasmEdge Runtimeに関する発表が行われ、エッジコンピューティング環境で動作するWebAssemblyのランタイムについて説明されました。サポートされている言語にはC++とRustが含まれており、リソース消費を抑えた効率的なWebAssemblyの実行が意図されていることが伺えました。

10 Years of Kubernetes Patterns Evolution

オライリーが出版しているKubernetes Patternsという書籍の著者であるBilgin Ibryam氏とRoland Huss氏が登壇し、会場の外まで人があふれる人気のセッションでした。Kubernetesが登場してから10年を迎える歴史の中でデザインパターンが重要視されるようになったことを触れ、いくつかのデザインパターンが紹介されていました。プログラミングと同様に、Kubernetesにもデザインパターンが存在し、Kubernetesの運用上の課題と直面した際にパターンへ立ち返ることで素早く解決する糸口となることを学びました。

Enforcable Software Supply Chain Policies and Attestations Using in

このセッションではサプライチェーン攻撃への防御策としてin-totoというツールがデモを交えて紹介されていました。in-totoではアプリケーションがデリバリーされるまでどのようなサプライチェーンを経るべきかを事前に定義します。テストやビルドの各ステップでメタデータを追加し、最終的に定義したサプライチェーンとの整合性を検証することで基準を満たすサプライチェーンを通ったアプリケーションであることを保証します。航空業界をドメインとするサービスではより高いセキュリティレベルが要求されます。昨今話題となっているSBOMとも合わせてこのようなツールを導入することでより業界の基準を超えたセキュリティを実現できそうだと感じました。

Choose Your Own Adventure: The Struggle for Security

Kubernetes上でアプリケーションをセキュアに動作させるためのツールを導入するデモが主な内容でした。ツールは聴講者からの投票によってリアルタイムに選ばれるインタラクティブなセッションでした。登壇者も愉快なトークを繰り広げ、会場全体が笑いに包まれていました。ツール選定は、Podのリソースポリシー制御、ランタイムポリシー制御、シークレットへのアクセス制御、ネットワークポリシー制御を対象として行われていました。投票により、KubeArmorやCiliumといったeBPF技術を使用したツールが選ばれており、セキュリティの文脈におけるeBPFの盛り上がりを肌で感じることができました。

Simplifying Multi-Cluster and Multi-Cloud Deployments with Cilium

Ciliumを使用して複数のKubernetesクラスタ間の通信を制御する手法が紹介されていました。Ciliumを使用してCluster Meshを構成することにより、異なるクラウド、リージョンに存在するクラスタであってもルーティングやサービスディスカバリーが容易に実現できることに感動しました。Ciliumを使用しているため、アフィニティやネットワークポリシーの設定なども合わせて可能なのも利点の様でした。複数クラスタを運用する際は積極的に導入を検討して良いのではないでしょうか。

Playing Defense: The Reactive Cloud Native Security Battle

CSF2.0に新たに追加されたソフトウェアサプライチェーンのセキュリティに焦点を当てていました。マイクロサービスの採用が進み、複数のコンテナがデプロイされる現代において、わずか12%の組織がぜい弱性管理に関するSLO（サービスレベル目標）を達成していないと報告しています。この問題の一因は、外部ベンダーから提供されたシステムのぜい弱性を十分に把握できない、または把握することが困難であることにあります。サプライチェーンセキュリティを強化するためには、プロアクティブなぜい弱性開示、SBOM規格の統一、そしてSBOMの継続的なモニタリングが不可欠であるとの見解が示されました。

Securing the Supply Chain with Sigstore Artifacts Signatures at Scale

キーレス署名が可能なオープンソースソフトウェア、Sigstoreについて紹介されました。Sigstoreを使用すると、署名に使用された秘密鍵の保持が不要になり、これまで煩雑だったコンテナイメージの署名プロセスを簡単に行うことが可能になります。例として、Googleが公開しているDistrolessイメージもSigstoreで署名されています。開発環境からステージング、プロダクションへとデプロイする際のパイプラインにて全てのコンテナイメージに対する署名と認証を実施することにより、最先端のセキュリティ対策を講じることが期待されます。

SLSA and FRSCA: Beyond Snacks and Soda

サプライチェーンセキュリティは、現在セキュリティ業界でもっとも注目されているトピックの一つです。SLSA（Supply-chain Levels for Software Artifacts）は、この分野の文書化された基準の一例です。ZIPAIRの開発を通じて、どのようにセキュリティを保証し、向上させていくか、どのようにして最新のセキュリティや概念を継続的に取り入れていくかを考える際、SLSAは有効な指標となり得ると感じました。

まとめ

KubeCon + CloudNativeCon Europe 2024のDay 2の各セクションの内容を速報形式にてお伝えしました。各セッションの詳細は後日また記事として投稿する予定です。お見逃しのないようフォローのほど、よろしくお願いいたします。