Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Abstract Sentinel

Junki Mano
August 26, 2019
Technology
0
110

Abstract Sentinel

社内LT用に作成したHelmfileの概要資料です

チームのDaily Standup Meeting後に、Kubernetes周りのエコシステムやツールがテーマであるLTがありそこで発表しました

Junki Mano

August 26, 2019
Tweet

More Decks by Junki Mano

See All by Junki Mano
ソフトウェアアーキテクトって何やるの? ~知っておくと役立つ考え方を共有します~ | 技育祭2022秋
laqiiz
3
2.2k
Goで工場を制御する要であるPLCにアクセスする / go-plc
laqiiz
0
2.5k
CNCF
laqiiz
1
110
Local_Kubernetes.pdf
laqiiz
1
110
Abstract Helmfile
laqiiz
1
100
Abstract GitOps
laqiiz
1
170
公開用_WebDBForum2018_テクノロジーショーケース_業務IoTストリーミング基盤.pdf
laqiiz
1
310

Other Decks in Technology

See All in Technology
ソフトウェア開発現代史: なぜ日本のソフトウェア開発は「滝」なのか?製造業の成功体験とのギャップ #jassttokyo
takabow
2
1.6k
Keynote - KCD Brazil - Platform Engineering on K8s (portuguese)
salaboy
0
130
OCI見積もり入門セミナー
oracle4engineer
PRO
0
120
20250326_管理ツールの権限管理で改善したこと
sasata299
1
390
データベースで見る『家族アルバム みてね』の変遷 / The Evolution of Family Album Through the Lens of Databases
kohbis
2
550
30 代子育て SRE が考える SRE ナレッジマネジメントの現在と将来
kworkdev
PRO
0
130
頻繁リリース × 高品質 = 無理ゲー? いや、できます!/20250306 Shoki Hyo
shift_evolve
0
160
Go の analysis パッケージで自作するリファクタリングツール
kworkdev
PRO
1
420
Agile TPIを活用した品質改善事例
tomasagi
0
350
20250328_OpenAI製DeepResearchは既に一種のAGIだと思う話
doradora09
PRO
0
150
問題解決に役立つ数理工学
recruitengineers
PRO
7
2.3k
Dapr For Java Developers SouJava 25
salaboy
1
130

Featured

See All Featured
Become a Pro
speakerdeck
PRO
27
5.2k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
31
4.8k
Embracing the Ebb and Flow
colly
85
4.6k
Fontdeck: Realign not Redesign
paulrobertlloyd
83
5.5k
Java REST API Framework Comparison - PWX 2021
mraible
29
8.5k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
160
15k
Done Done
chrislema
183
16k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
7
620
What’s in a name? Adding method to the madness
productmarketing
PRO
22
3.4k
The Invisible Side of Design
smashingmag
299
50k
Building an army of robots
kneath
304
45k
VelocityConf: Rendering Performance Case Studies
addyosmani
328
24k

Transcript

  1. Sentinel Future-Daily-Standup-Meeting Kubernetes Ecosystem Study 2019-08-26 Mano Junki

  2. What is Sentinel?

  3. Sentinel Sentinelは、インフラの変更が安全であることを確実にするた めに、ビジネスポリシーと規制ポリシーをコード化することで変 更範囲を制限します。infrastructure as codeとpolicy as codeを 統合することで、利用者はインフラ管理を安全に自動化できます 2017年にHashiCorpが提唱。アクセスポリシーをコードとして

    記述可能にするという意味で、同社ツールが実現してきた 「Infrastructure as Code」に掛けて「Policy as Code」とした。 実現するためのツールは”Sentinel”。 https://www.publickey1.jp/blog/17/hashicorpsentinelpolicy_as_codehashiconf17.html

  4. What is “Policy as a Code”?

  5. Policy as a Code • Infrastructure as Codeの普及から、Terraform(HCL)や Kubernetes Menifest(YAML)などの宣言的なコンフィグの

    複雑性が勃興 • これらの定義は宣言的であるので、チェックが難しい(レビュアーや規約 でガンバって後はテスト)。その割に神経質になる必要がありツラミ。 • 例えば、命名ルールや、設定された値について(k8sのレプリカ数が Staging以降は3以上であるべきなどは暗黙値化しやすい) →Policy as a Codeと呼ばれるツール

  6. Usage

  7. RE: Sentinel • Policy as a Codeを実現するための草分け的なツール • HashiCorpエンタープライズに入れば利用可能 •

    専用のDSLでルールを記載

  8. Example • ステージングが「us-east-1」リージョンにデプロイされ、本番環境が「us-west-1」にデプロイ されることを保証するSentinelポリシーの例です。 https://www.hashicorp.com/blog/why-policy-as-code

  9. sentinel test sentinel test で検証

  10. DevOps

  11. CI • 機械的にチェックできることはルールセットを定義して、それ をもとに lint でチェックして CI で失敗させるのが効率的 • 人が意思入れしたものを、コードで宣言的に表現できる

    (Bastionサーバだけはプレフィスクを付ける、リソースリ ミットをこのクラスタには入れる、など)

  12. (個人的)チェックしたいこと

  13. (個人的)チェックしたいこと一覧 Terraformに対して • 命名規約系 • 環境数ごとのvariableがあるか(prd, stg, etc.) • GKE最大ノード数、マシンタイプ

    • 外部IP付与 • Firewall Ruleプロトコル(ssh, https) • Firewall Ruleの優先度(他のリソースとの依存性) • LoadBalancerに固定IPが必須(エフェメラルNG) • etc. →クリエイティブな仕事

  14. まとめ

  15. まとめ • SentinelはPolicy as a Codeと呼ばれる静的解析のLinter • Linterのルールには、各自ポリシーや業務ルールを組み込め、 より宣言的に、よりCI組み込みにフレンドリー •

    ただし、Sentinelの利用にはEnterprise*利用 * 現状、OSS版の提供は無し https://www.hashicorp.com/products/terraform/offerings

  16. Thank you