Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Abstract Sentinel

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for Junki Mano Junki Mano
August 26, 2019
Technology
0
140

Abstract Sentinel

社内LT用に作成したHelmfileの概要資料です

チームのDaily Standup Meeting後に、Kubernetes周りのエコシステムやツールがテーマであるLTがありそこで発表しました

Avatar for Junki Mano

Junki Mano

August 26, 2019
Tweet

More Decks by Junki Mano

See All by Junki Mano
ソフトウェアアーキテクトって何やるの? ~知っておくと役立つ考え方を共有します~ | 技育祭2022秋
Avatar for Junki Mano laqiiz
3
2.3k
Goで工場を制御する要であるPLCにアクセスする / go-plc
Avatar for Junki Mano laqiiz
0
2.8k
CNCF
Avatar for Junki Mano laqiiz
1
150
Local_Kubernetes.pdf
Avatar for Junki Mano laqiiz
1
150
Abstract Helmfile
Avatar for Junki Mano laqiiz
1
130
Abstract GitOps
Avatar for Junki Mano laqiiz
1
210
公開用_WebDBForum2018_テクノロジーショーケース_業務IoTストリーミング基盤.pdf
Avatar for Junki Mano laqiiz
1
410

Other Decks in Technology

See All in Technology
NewSQL_ ストレージ分離と分散合意を用いたスケーラブルアーキテクチャ
Avatar for hacomono Inc. hacomono
PRO
4
390
WebアクセシビリティをCI/CDで担保する ― axe DevTools × Playwright C#実践ガイド
Avatar for tomokusaba tomokusaba
2
160
Kiro Powers 入門
Avatar for Kazuki Adachi k_adachi_01
0
110
Claude Code Skills 勉強会 (DevelersIO向けに調整済み) / claude code skills for devio
Avatar for MasahiroKawahara masahirokawahara
1
22k
組織全体で実現する標準監視設計
Avatar for Yuto Obayashi yuobayashi
3
490
実践 Datadog MCP Server
Avatar for 株式会社ヌーラボ nulabinc
PRO
2
240
システム標準化PMOから ガバメントクラウドCoEへ
Avatar for 高橋広和 techniczna
1
130
Sansanでの認証基盤内製化と移行
Avatar for SansanTech sansantech
PRO
0
570
20260311 ビジネスSWG活動報告(デジタルアイデンティティ人材育成推進WG Ph2 活動報告会)
Avatar for OpenID Foundation Japan oidfj
0
350
The_Evolution_of_Bits_AI_SRE.pdf
Avatar for 株式会社ヌーラボ nulabinc
PRO
0
240
会社紹介資料 / Sansan Company Profile
Avatar for Sansan, Inc. sansan33
PRO
16
410k
AI時代の「本当の」ハイブリッドクラウド — エージェントが実現した、あの頃の夢
Avatar for Masahiko Ebisuda ebibibi
0
150

Featured

See All Featured
Jess Joyce - The Pitfalls of Following Frameworks
Avatar for Tech SEO Connect techseoconnect
PRO
1
110
Utilizing Notion as your number one productivity tool
Avatar for Mfonobong Umondia mfonobong
4
260
The #1 spot is gone: here's how to win anyway
Avatar for Tamara Novitovic tamaranovitovic
2
990
How to Build an AI Search Optimization Roadmap - Criteria and Steps to Take #SEOIRL
Avatar for Aleyda Solis aleyda
1
2k
The Limits of Empathy - UXLibs8
Avatar for Cassini Nazir cassininazir
1
260
Thoughts on Productivity
Avatar for Jon Yablonski jonyablonski
75
5.1k
Mozcon NYC 2025: Stop Losing SEO Traffic
Avatar for Sam Torres samtorres
0
180
GraphQLの誤解/rethinking-graphql
Avatar for sonatard sonatard
75
11k
How GitHub (no longer) Works
Avatar for Zach Holman holman
316
150k
職位にかかわらず全員がリーダーシップを発揮するチーム作り / Building a team where everyone can demonstrate leadership regardless of position
Avatar for MADOX madoxten
62
52k
The Illustrated Guide to Node.js - THAT Conference 2024
Avatar for David Neal reverentgeek
1
310
Balancing Empowerment & Direction
Avatar for Lara Hogan lara
5
950

Transcript

  1. Sentinel Future-Daily-Standup-Meeting Kubernetes Ecosystem Study 2019-08-26 Mano Junki

  2. What is Sentinel?

  3. Sentinel Sentinelは、インフラの変更が安全であることを確実にするた めに、ビジネスポリシーと規制ポリシーをコード化することで変 更範囲を制限します。infrastructure as codeとpolicy as codeを 統合することで、利用者はインフラ管理を安全に自動化できます 2017年にHashiCorpが提唱。アクセスポリシーをコードとして

    記述可能にするという意味で、同社ツールが実現してきた 「Infrastructure as Code」に掛けて「Policy as Code」とした。 実現するためのツールは”Sentinel”。 https://www.publickey1.jp/blog/17/hashicorpsentinelpolicy_as_codehashiconf17.html

  4. What is “Policy as a Code”?

  5. Policy as a Code • Infrastructure as Codeの普及から、Terraform(HCL)や Kubernetes Menifest(YAML)などの宣言的なコンフィグの

    複雑性が勃興 • これらの定義は宣言的であるので、チェックが難しい(レビュアーや規約 でガンバって後はテスト)。その割に神経質になる必要がありツラミ。 • 例えば、命名ルールや、設定された値について(k8sのレプリカ数が Staging以降は3以上であるべきなどは暗黙値化しやすい) →Policy as a Codeと呼ばれるツール

  6. Usage

  7. RE: Sentinel • Policy as a Codeを実現するための草分け的なツール • HashiCorpエンタープライズに入れば利用可能 •

    専用のDSLでルールを記載

  8. Example • ステージングが「us-east-1」リージョンにデプロイされ、本番環境が「us-west-1」にデプロイ されることを保証するSentinelポリシーの例です。 https://www.hashicorp.com/blog/why-policy-as-code

  9. sentinel test sentinel test で検証

  10. DevOps

  11. CI • 機械的にチェックできることはルールセットを定義して、それ をもとに lint でチェックして CI で失敗させるのが効率的 • 人が意思入れしたものを、コードで宣言的に表現できる

    (Bastionサーバだけはプレフィスクを付ける、リソースリ ミットをこのクラスタには入れる、など)

  12. (個人的)チェックしたいこと

  13. (個人的)チェックしたいこと一覧 Terraformに対して • 命名規約系 • 環境数ごとのvariableがあるか(prd, stg, etc.) • GKE最大ノード数、マシンタイプ

    • 外部IP付与 • Firewall Ruleプロトコル(ssh, https) • Firewall Ruleの優先度(他のリソースとの依存性) • LoadBalancerに固定IPが必須(エフェメラルNG) • etc. →クリエイティブな仕事

  14. まとめ

  15. まとめ • SentinelはPolicy as a Codeと呼ばれる静的解析のLinter • Linterのルールには、各自ポリシーや業務ルールを組み込め、 より宣言的に、よりCI組み込みにフレンドリー •

    ただし、Sentinelの利用にはEnterprise*利用 * 現状、OSS版の提供は無し https://www.hashicorp.com/products/terraform/offerings

  16. Thank you