KOF2019 Why Rancher?

STRICTLY CONFIDENTIAL 2019/11/8 Alpaca Japan Shinya Sasaki Why Rancher ?

STRICTLY CONFIDENTIAL Who? Shinya Sasaki Head of Infrastructure Engineering at
AlpacaJapan Co., Ltd. Osaka, Japan 2

STRICTLY CONFIDENTIAL Why Rancher ?

STRICTLY CONFIDENTIAL KubernetesとRancherと私

STRICTLY CONFIDENTIAL Kubernetes 検証開始 (2017年位)

STRICTLY CONFIDENTIAL ➢ 苦行・・・ Kubernetesクラスタ構築 8

STRICTLY CONFIDENTIAL Kubernetes 検証開始 (2017年位)

STRICTLY CONFIDENTIAL Kubernetes 検証開始 (2017年位) → クラスタ構築にRancherを投入

STRICTLY CONFIDENTIAL ➢ GUI ➢ AWS上でつくるであれ、AccessKey情報だけでつくれた Rancherで構築
11

STRICTLY CONFIDENTIAL Kubernetes 検証開始 (2017年位) → クラスタ構築にRancherを投入

STRICTLY CONFIDENTIAL Kubernetes 検証開始 (2017年位) → クラスタ構築にRancherを投入マネージドサービスが出揃う (2018年位)

STRICTLY CONFIDENTIAL マネージドサービス登場 14

STRICTLY CONFIDENTIAL Kubernetes 検証開始 (2017年位) → クラスタ構築にRancherを投入マネージドサービスが出揃う (2018年位)

STRICTLY CONFIDENTIAL Kubernetes 検証開始 (2017年位) → クラスタ構築にRancherを投入マネージドサービスが出揃う (2018年位) →
Rancher こと忘れる

Rancher こと忘れる本番環境へ Kubernetes導入、運用開始 (2019年)

Rancher こと忘れる本番環境へ Kubernetes導入、運用開始 (2019年) → Rancher再投入

STRICTLY CONFIDENTIAL kubernetes運用を始めると出てきた課題 20 1. クラスタ増加 2. 利用ユーザ増加
3. 利用シーン増加

STRICTLY CONFIDENTIAL 1. クラスタ増加どレベルでクラスタをつくるか？ • シングルクラスタ •
1つ、もしくある程度大きなクラスタで運用 • 用途ごとにNamespaceを分ける • マルチクラスタ • 用途ごとに個々にクラスタをつくる • サービスごと • 環境(Production、Staging、Development)ごと 21

STRICTLY CONFIDENTIAL 1. クラスタ増加どレベルでクラスタをつくるか？ • シングルクラスタ •
1つ、もしくある程度大きなクラスタで運用 • 用途ごとにNamespaceを分ける • マルチクラスタ • 用途ごとに個々にクラスタをつくる • サービスごと • 環境(Production、Staging、Development)ごと 22

STRICTLY CONFIDENTIAL シングルクラスタデメリット • バージョンアップ等メンテナンス、障害時影響大 • 作業調整が大変
• 影響が把握できない • ポリシー管理が複雑 • セキュリティグループ、IAMポリシー 23

STRICTLY CONFIDENTIAL マルチクラスタデメリット • 複数 API URL、kubeconfig 24

STRICTLY CONFIDENTIAL 2. 利用ユーザ増加 • 運用負荷増加 • 利用方法
説明 • クラスタ追加時アクセス方法通知 • kubeconfig 配布 • アクセス権 • ユーザごとに権限を変えたい • Namespaceレベル • リソースレベル • RW/RO → RBAC 25

STRICTLY CONFIDENTIAL EKSでユーザアクセス制限 1. AWS側でIAMユーザを作成 2. kubernetes側でRBAC設定適用 3. kubernetes側でconfigmap/aws-authを編集し、IAM
ユーザに紐づけ 26 $ kubectl edit -n kube-system configmap/aws-auth • 問題点 • aws-auth ワーカーノード IAMロールも含まれるで、Git管理しにくい • あとから確認しにくい https://docs.aws.amazon.com/ja_jp/eks/latest/userguide/add-user-role.html

STRICTLY CONFIDENTIAL 3. 利用シーン増加 • 環境違い • 普段
セットアップされたローカルPC or Macからkubectlを実行 • 一時的にローカル環境使えない場合とか • ユーザーごと Kubernetes理解度、利用頻度違い • kubectl? なにそれ？ • こコンテナ実行したいだけなんだけど • こ yaml実行したいだけなんだけど 27

STRICTLY CONFIDENTIAL 1. クラスタ増加へ対応 • 複数 API URL、kubeconfig
28

STRICTLY CONFIDENTIAL 1. クラスタ増加へ対応 • 複数 API URL、kubeconfig
29 Rancher URLさえわかっていれ

STRICTLY CONFIDENTIAL 2. 利用ユーザ増加へ対応 • 運用負荷増加 •
利用方法説明 • クラスタ追加時アクセス方法通知 • kubeconfig 配布 • アクセス権 • ユーザごとに権限を変えたい • Namespaceレベル • リソースレベル • RW/RO → RBAC 30

利用方法説明 • クラスタ追加時アクセス方法通知 • kubeconfig 配布 • アクセス権 • ユーザごとに権限を変えたい • Namespaceレベル • リソースレベル • RW/RO → RBAC 31 外部認証に対応クラスタごと、プロジェクトごとにユーザ権限が設定可能

利用方法説明 • クラスタ追加時アクセス方法通知 • kubeconfig 配布 • アクセス権 • ユーザごとに権限を変えたい • Namespaceレベル • リソースレベル • RW/RO → RBAC 32 ユーザに権限を付与すれ、アクセス可能なクラスタ /プロジェクトみ表示

STRICTLY CONFIDENTIAL 3. 利用シーン増加へ対応 • 環境違い •
普段セットアップされたローカルPC or Macからkubectlを実行 • 一時的にローカル環境使えない場合とか • ユーザーごと Kubernetes理解度、利用頻度違い • kubectl? なにそれ？ • こコンテナ実行したいだけなんだけど • こ yaml実行したいだけなんだけど 33

STRICTLY CONFIDENTIAL 3. 利用シーン増加へ対応 • 環境違い •
普段セットアップされたローカルPC or Macからkubectlを実行 • 一時的にローカル環境使えない場合とか • ユーザーごと Kubernetes理解度、利用頻度違い • kubectl? なにそれ？ • こコンテナ実行したいだけなんだけど • こ yaml実行したいだけなんだけど 34 ブラウザ上で kubectl yamlファイルコピペ GUIでコンテナ、パラメータ指定複数デプロイ方法に対応

STRICTLY CONFIDENTIAL まとめ • マネージドサービスを使っていても出てくる課題 • クラスタ増加 • 利用ユーザ
増加 • 利用シーン増加 • Rancherと使うとクラスタ管理楽になる(かも) 35

STRICTLY CONFIDENTIAL Thank you

KOF2019 Why Rancher?

KOF2019 Why Rancher?

More Decks by sasaki

Other Decks in Technology

Featured

Transcript