KubeCon + CloudNativeCon Europe 2024 Day 4

はじめに

ZIPAIRの技術チームメンバーでKubeCon + CloudNativeCon Europe 2024へ参加しています。イベントもいよいよ最終日です！この記事ではDay 4に参加したセッションのレポートをお届けします。Day 1、Day 2、Day 3もありますのでぜひご覧ください。Day 1 ~ 3と同様に詳細は各担当者が追って記事を投稿いたしますが、本ブログでは概要だけお伝えいたします。

参加したセッション

Day 4にて次のセッションへ参加しました。

Enhancing Reliability Through Multi-Cluster Deployment: Leveraging the Power of Karmada

Karmadaはマルチクラスタのオーケストレーションです。OSSであるため、ベンダーロックインを避けられるメリットがあります。加えてクラスタ間のPodの移動がサポートされており、あるクラスタの機能が停止した場合、Podのマイグレーションが自動的に行われるようです。しかしながら、StatefulSetのマイグレーションはサポートされていないようでした。またArgoCDとのインテグレーションも用意されており、拡張性も十分担保されている印象でした。

Testing K8s Cluster and VNFs in Telco Staging Environments

Kubernetesクラスタをエッジロケーションにて運用している環境下において、どのようにGitOpsを用いてVNFをテストするか、というセッションでした。リソースが限られたエッジロケーションにてGitOpsを運用する環境を構築しており、通信業界に疎い私でもそのすごさを実感できました。全てを自動化しようとしないこと、そしてOSSを用いることによってメンテナンス性を担保する、という提言が印象に残りました。

Building Container Images the Modern Way

このセッションでは、現代的な手法を用いてコンテナイメージをビルドする方法が紹介されました。Dockerビルドから始まり、マルチステージビルド、さらにはBazel、Apko、Daggerを用いたイメージビルドが、デモを交えて詳しく説明されました。特に、ApkoはSBOMの生成までサポートしており、その先進性に感動しました。チームメンバーの一部は、過去にDocker以外のイメージビルドツールの導入に挫折した経験があります。しかし、イメージビルドの技術も進化し続けており、再度チャレンジし、セキュアで軽量なイメージを追求することが有益だと感じました。

Knative Functions Deep-Dive: Why You Should Use Knative Functions For Your Next Microservices Application

Knative Functionsを使用するといかに効率的にアプリケーションを展開できるかをデモを中心に説明されたセッションでした。Knative Functionsを使用することでKubernetesのリソースを意識することなくスケーラブルなアプリケーションを素早くデプロイ可能な様子を目の当たりにしました。Knative FunctionsをZIPAIRの一部のサービスではCloud Runを使用しています。Cloud RunはKnativeをベースとしたGoogle Cloudのソリューションのため、より深く理解できる足掛かりとなるセッションでした。

The gRPCRoute to Success: Idiomatically Routing and Balancing GRPC Traffic with the Gateway APIs

gRPCのメンテナーが登壇されていたセッションでした。Kubernetes v1.29にてGAになったGateway APIを使用してgRPCトラフィックの効率的なルーティングとバランシングについて説明されました。特に、gRPCに特化したGRPCRouteというリソースが導入され、メソッドのマッチングやトラフィックの変換などの細かい設定が可能になったようです。技術チームとして効率的な通信を実現できるgRPCには注目しています。gRPCのエコシステムの発展が見られる嬉しいセッションでした。

Lesson Learned from Generating 100M SBOMs

巨大IT企業Googleにおける全製品のソフトウェア・ビル・オブ・マテリアル(SBOM)管理の方法が社内ポリシーの策定レベルから詳しく説明されました。GoogleはNTIAの要件に従い、ランタイムの依存関係を含む全製品のSBOMを管理するという規定を設けています。SBOMを生成するタイミングは彼らをも悩ませた問題です。ソースから生成するとノイズが多く、アーティファクトからだと情報が少ないという問題から、ビルド時に生成することを決定したとのことです。我々もApkoのようなツールを使い、同様のフローを達成できるのではないかと感じました。

Kubernetes Security Blind Spot: Misconfigured System Pods

このセッションでは、システムポッドの設定ミスがどのようにセキュリティの問題となるかが詳しく説明されました。ストレージポッド、シークレット管理ポッド、ロギングポッドなどのシステムポッドは通常のポッドよりも高いシステム権限を持っているため、攻撃者にとって魅力的なターゲットとなります。過去には、FluentBitに存在したぜい弱性が一例として挙げられました。具体的には、/var/lib/kubeletのボリュームがマウントされ、Kubernetes APIへのアクセスによって特権昇格が可能になるという例でした。このような攻撃を防ぐにはランタイムの保護やKubernetes APIへのアクセスの監視が必要ではないでしょうか?

Living off the Land Techniques in Managed Kubernetes Clusters

"Living off the Land"という検出の難しい攻撃手法がKubernetesでどのように実行されるかについてのセッションでした。特に印象的だったのは、マネージドKubernetesクラスタであってもデフォルトで、curlやbash, pythonといった、攻撃手法で利用可能なライブラリが複数インストールされている点でした。セッション後に登壇者の方と話し、これらの攻撃からシステムを守るためには、KSPMを用いてより広範な視野からのセキュリティ監視とアセスメントが必要であるという意見を聞きました。また、KDR（Kubernetes Detection and Response）についても、重要なセキュリティ要素の一つであると紹介されました。

まとめ

KubeCon + CloudNativeCon Europe 2024のDay 4の各セクションの内容を速報形式にてお伝えしました。本記事をもってKubeCon + CloudNativeCon Europe 2024の速報記事は終了となります。各セッションの詳細は後日また記事として投稿する予定です。お見逃しのないようフォローのほど、よろしくお願いいたします。