CloudNative Days Tokyo 2021
Track C 2021/11/05 15:20-15:40
中級者 Operation / Monitoring / Logging
CyberAgentではプライベートクラウド上で多数のKubernetesクラスタが稼働しており、ノードの自動修復機能を実装することで運用コストを削減しました。本発表では、似たような自動修復を実現したいオンプレミスKubernetesの運用者にむけて、KubernetesにおけるノードのNotReadyの定義から、OverlayFSで実現した再起動でディスクの変更が揮発する仕組みまで紹介します。
CloudNative Days Tokyo 2021
Track C 2021/11/05 15:20-15:40
中級者 Operation / Monitoring / Logging
CyberAgentではプライベートクラウド上で多数のKubernetesクラスタが稼働しており、ノードの自動修復機能を実装することで運用コストを削減しました。本発表では、似たような自動修復を実現したいオンプレミスKubernetesの運用者にむけて、KubernetesにおけるノードのNotReadyの定義から、OverlayFSで実現した再起動でディスクの変更が揮発する仕組みまで紹介します。
Herokuはクラウドアプリケーションを効率よく開発するためのPaaS (Platform as a Service)として、スタートアップ企業やB2Cサービスを提供する企業の開発者から支持されていますが、近年ではエンタープライズシステムにおける需要も非常に多くあります。
直近でも2018年9月25日に米国サンフランシスコで行われた「Dreamforce 2018」イベントにあわせて、Heroku は多くのエンタープライズ向け機能追加が行われており、ますます企業利用にとっても最適なPaaSとなりました。
直近発表された最新機能の中から、開発者にとって重要と思われるものをピックアップして、デモを交えながら紹介します。
KueCon 2020 NA Recap - Building a Global Supercomputer with Virtual Kubelet /...Preferred Networks
KubeCon + CloudNativeCon North America 2020 における Building a Global Supercomputer with Virtual Kubelet という講演を振り返りながら、Kubernetes における multi-cluster scheduling の最新情報と現時点での課題を紹介します。
PFN福田圭祐による東大大学院「融合情報学特別講義Ⅲ」(2022年10月19日)の講義資料です。
・Introduction to Preferred Networks
・Our developments to date
・Our research & platform
・Simulation ✕ AI
15. 15
● Gatekeeper では pod の属性ごとに制約が別々のリソースになる
○ 制約リソースごとに適用対象も別々となりうる
● → どんな制約リソースを作るか、どう組織化するかの設計が重要
○ セキュリティポリシを Pod に漏れなく適用
○ Pod にどの制約が適用されるか簡単に把握
設計の必要性
kind: K8sPSPPrivilegedContainer
metadata:
name: privileged-container-0
kind: K8sPSPCapabilities
metadata:
name: capabilities-0
Pod
Pod
Pod
Pod
適用
26. 26
1. Gatekeeper の制約リソースを spec.enforcementAction: warn で作成
a. 違反時も pod 作成・更新は拒否せず、警告のみ
b. クラスタアドオンを稼働させたままにできる
2. ポリシ違反が解消されるまで、クラスタアドオンを一つずつ修正
a. Gatekeeper の audit controller のログで違反を確認
i. 定期的にクラスタ上の pod を検査
b. ほとんどのアドオンは securityContext を明示的に設定すること
で restricted ポリシに適合できた
クラスタアドオンのポリシ違反をすべて修正