Kubernetes 初心者の僕からの JKD 参加報告
1 like392 views
JapanContainerDays v18.12 報告会@福岡 での発表資料です。
Kubernetes 初心者の僕からの JKD 参加報告
- 1. Kubernetes 初心者の僕からの JKD 参加報告 JapanContainerDays v18.12 報告会@福岡 (株)ビットフォレスト 野村 健太郎
- 3. ● 野村 健太郎 (@nomnux) ● 大分県日田市出身 ● これまでの仕事 ○ 主に認証技術の分野でお仕事 ○ LDAP / SAML / OAuth 2.0 / OpenID Connect ○ インフラ(AWS / Docker / Ansible) ● いまの仕事 ○ 2018/04 ビットフォレスト入社 (東京オフィス) ○ 2018/09 ビットフォレスト福岡オフィスに転勤 (九州にUターン) ○ セキュリティサービス(WAF)のインフラ周りを担当 自己紹介
- 4. 私のコンテナ歴 ● 2007年: Live CD Linux の ISO イメージをリマスタリング ○ 正確には今のコンテナ技術とは違うけど... ○ ISO イメージを展開して、そこに chroot して、俺専用 Live CD Linux イメー ジに仕立てる ○ chroot コマンドに感動 ● 2015年: Docker を使い始める(開発環境) ○ OpenLDAP / OpenAM / Shibboleth IdP ● 2017年: AWS ECS を本番環境で 利用 ○ オペレーションは Ansible の AWS ECS モジュールを利用 ● Kubernetes は未経験...
- 5. 参加報告
- 6. JKD 参加目的 ● コンテナ技術の最新情報収集 ● Kubernetes の情報収集
- 7. 特におもしろかったセッション ● コンテナネットワーキング(CNI)最前線 ● Kubernetes ネットワーキングのすべて ● Dockerセキュリティ: 今すぐ役に立つテクニックから,次世代技術まで ● CRIUの概要とその活用 - 未来のコンテナ技術について
- 8. 特におもしろかったセッション ● Kubernetes上で動作する機械学習モジュールの配信&管理基盤 Rekcurd につ いて ● とある30秒でできるKubernetes + GPU 開発環境 ○ 本当に 30 秒でできた! (Linux の snap を利用) ● Operatorが拓く次世代のKubernetesエコシステム ● 2019年はコンテナよりもクラウドネイティブ!? Knativeのすべて ● 2020年のコンテナはどうなる!? コンテナプラットフォームのこれまでとこれから (パネルディスカッション)
- 9. ネットワーク
- 10. 聴講したセッション ● 「コンテナネットワーキング(CNI)最前線」 ○ Flannel / Calico / Canal / NSX-T Container Plug-in の解説 ○ Flannel や Calico のローレイヤな感じは楽しそうだけど、自分で運用したい ものではないかなぁ(^^; ● 「Kubernetes ネットワーキングのすべて 」 ○ https://www.slideshare.net/linecorp/kubernetes-124878915 ○ 「このセッションで Kubernetes の全てを理解できます」 ■ ひたすら iptables ルールの解説w コンテナのネットワーク
- 11. 感想 ● 発表者の方曰く「闇多い」w ● とにかく iptalbes のルールが大変なことになるというのはよくわかったw 勉強になったこと ● これからは ipvs proxy がおすすめ(iptalbes proxy よりも) コンテナのネットワーク
- 12. セキュリティ
- 13. コンテナのセキュリティ 聴講したセッション ● 「Dockerセキュリティ: 今すぐ役に立つテクニックから,次世代技術まで」 ○ https://www.slideshare.net/AkihiroSuda/docker-125002128
- 14. コンテナのセキュリティ 勉強になったこと ● docker build --secret ○ “Secret file to expose to the build (only if BuildKit enabled)” ● docker build --ssh ○ “SSH agent socket or keys to expose to the build (only if BuildKit enabled)“
- 15. コンテナのセキュリティ 勉強になったこと ● イメージスキャナ比較 ○ Anchore Engine / Aqua Microscanner / Clair / Dagda / Twistlock ○ https://kubedex.com/follow-up-container-scanning-comparison/ ○ この比較におていは、「これだ!」とどれか一つに決められるものではない模 様 ● dockerd --userns-remap ● Rootless モード (Docker 19.03 ないし 19.09 から利用可能とのこと)
- 16. コンテナのセキュリティ 感想 ● 「最低限これはやろう」的なベストプラクティスがあったら嬉しい ○ SELinux とか AppArmor まではちょっと... (石川さんごめんなさい...) ○ non-root ユーザーでの実行 ? ○ unprivileged ? ○ read-only filesystem ? ○ 不要な Linux capabilities を削る ?
- 17. その他のコンテナ技術
- 18. CRIU 「CRIUの概要とその活用 - 未来のコンテナ技術について」 ● docker checkpoint コマンド 知りませんでした ● CRIU 利用ケースの migration おもしろそう
- 21. コンテナ技術の今後 クラスター環境は Kubernetes 最強 ● 拡張性が高い ● マルチクラウド対応 (クラウドベンダーロックイン回避)
- 22. コンテナ技術の今後 コンテナ技術の領域で次に来そうなもの ● サービスメッシュ ● Knative ● Rio (Rancher) ● Kubernetes は構築・運用が大変なので、それを楽にするソリューション ○ 事例系セッションでも、いかに Docker/Kubernetes を意識せずに開発者に 使ってもらうか、という工夫が散見された
- 23. まとめ
- 24. 参加しての感想 ● Kubernetes クラスターを自分で構築・運用することはないかな(^^; ○ マネージドサービスを利用すればおk ● クラウドネイティブらしいソリューション・サービスに期待 ○ Knative ○ Operator (?) ● Linux の snap 便利だなぁ ● LXC(LXD) とかみんな使っないのかな? (個人的には興味あり)
- 25. 今後自分がやりたいこと ● Kubernetes ● CI/CD 環境でのコンテナ活用 ○ 業務でクラウド型の Web アプリ脆弱性検査ツールを展開している ○ CI/CD 環境で脆弱性検査できると便利なので、Docker などで何かやりたい