Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ACM 2.2 Update / ACS セミナー for OMPP
Search
Sponsored
·
Ship Features Fearlessly
Turn features on and off without deploys. Used by thousands of Ruby developers.
→
Yuhki Hanada
June 18, 2021
Technology
260
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
ACM 2.2 Update / ACS セミナー for OMPP
ACM 2.2 Update と ACS についての概要セミナーです。
Yuhki Hanada
June 18, 2021
More Decks by Yuhki Hanada
See All by Yuhki Hanada
ROSA デザインパターン v1.2 (2026/06/26更新)
yuhkih
0
130
あちこちにある署名の世界
yuhkih
0
140
OpenShift IPI/UPI 解体新書
yuhkih
1
1.6k
Zenn用の挿絵(OpenShift 4.8 を vSphere 上にIPIインストールする)
yuhkih
0
5.3k
OMPP SRE Workshsop 2021 Day 4
yuhkih
0
4.4k
監視の世界へようこそ
yuhkih
0
150
OpenShift と Kubernetes の違い
yuhkih
2
3.5k
OpenShift の基礎 コンテナのメリット
yuhkih
0
400
ACM 2.3 install memo
yuhkih
0
120
Other Decks in Technology
See All in Technology
Deep Data Security 機能解説
oracle4engineer
PRO
2
120
【FinOps】データドリブンな意思決定を目指して
z63d
0
360
徹底討論!ECS vs EKS!
daitak
3
1.7k
自宅LLMの話
jacopen
1
720
FPGAの開発コンペでZephyrを使ってみた
iotengineer22
0
200
サイバーエージェントにおけるAI推進戦略と変革への取り組み
shotatsuge
0
570
[チョークトーク資料]AWS DevOps Agent を使いこなす / AWS Dev Ops Agent Chalk Talk AWS Summit Japan 2026
kinunori
4
770
作る力から、見極める力へ — AI時代に広がるエンジニアの価値と役割
rince
0
340
AWS Security Hub CSPMの成功・失敗体験
cmusudakeisuke
0
560
元銀行員がAIだけでアプリを量産!「バイブコーディング実演セミナー 」
tatsuya1970
0
110
AIAU_UMEMOGU_ninomiya_slide
ninomiya_ii
0
260
気軽に使える"情報のハブ"としてのNotion活用 〜フロー情報の集積点 と、 Claude Code × Notion AI〜
syucream
1
200
Featured
See All Featured
Designing Dashboards & Data Visualisations in Web Apps
destraynor
231
55k
Measuring & Analyzing Core Web Vitals
bluesmoon
9
870
AI: The stuff that nobody shows you
jnunemaker
PRO
8
730
Marketing to machines
jonoalderson
1
5.5k
What Being in a Rock Band Can Teach Us About Real World SEO
427marketing
0
1k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
123
22k
Ecommerce SEO: The Keys for Success Now & Beyond - #SERPConf2024
aleyda
1
2k
エンジニアに許された特別な時間の終わり
watany
107
250k
From π to Pie charts
rasagy
0
220
JAMstack: Web Apps at Ludicrous Speed - All Things Open 2022
reverentgeek
1
480
Code Reviewing Like a Champion
maltzj
528
40k
The SEO identity crisis: Don't let AI make you average
varn
0
500
Transcript
2021/06/18 ACM 2.2 Update & ACS セミナー for OMPP OMPP
(Red Hat OpenShift Managed Practice Program)
2 本日の OMPP Update アジェンダ 1. ACM for Kubernetes 製品概要
(おさらい) 2. Submariner のご紹介 3. Submariner デモ 4. ACS for Kubernetes 製品概要 5. ACS 概要 6. ACS デモ
Cloud Solution Architect Yuhki Hanada ACM for Kubernetes Update
4 Enterprise Kubernetes from Red Hat Data-driven insights Kubernetes cluster
services Automated Ops ⠇Over-the-air updates ⠇Monitoring ⠇Logging ⠇Registry ⠇Networking ⠇Router ⠇Virtualization ⠇OLM ⠇Helm Linux (container host OS) Kubernetes (orchestration) Service mesh ⠇Serverless Builds ⠇CI/CD pipelines Log management Cost management Platform services Languages & runtimes API management Integration Messaging Process Automation Application services Developer CLI ⠇IDE Plugins & extensions CodeReady Workspaces CodeReady Containers Developer services クラウド・ネイティブ アプリのビルド ワークロード管理 マルチクラスター管理 Observability | Discovery ⠇Policy ⠇Compliance ⠇Configuration ⠇Workloads Databases ⠇Cache Data ingest & prep Data analytics ⠇AI/ML Data mgmt & resilience Data services 高度なセキュリティ機能 Declarative security ⠇ Vulnerability management ⠇ Network segmentation ⠇ Threat detection & response 開発者の生産性 OpenShift Kubernetes Engine OpenShift Container Platform Red Hat Advanced Cluster Management for Kubernetes (ACM) Red Hat Advanced Cluster Security for Kubernetes (ACS) OpenShift ファミリー OpenShift Plus Global registry Image management | Security scanning | Geo- replication Mirroring | Image builds
5 HUB Cluster API Server API Server API Server API
Server API Server TLS Spoke Clusters Managed Clusters ACM for Kubernetes の概要 Hub Cluster のサポートは、OpenShift 4.4.3 以降 / 4.5.2以降 / 4.6.1以降 サポートのバージョンは資料作成時点の情報です。 詳細はこちらRed Hat Advanced Cluster Management for Kubernetes 2.2 Support Matrix - Red Hat Customer Portal GKE/EKS/IBM K8S/ AKS ACM 用の専用のクラスタが推奨 (Master + Worker) 管理される側のクラスターには「multicluster-endpoint」というネームスペースと管理のために必要な pod 等のリソースが作成されます。 ACM Hub ACM 管理用Pod ACM 管理用Pod ACM 管理用Pod ACM 管理用Pod ACM 管理用Pod 専用namespace が作られ、そこに導入されます。
Submariner (ACM 2.2 Tech Preview)
Worker Node Passive Gateway Node Active Gatway Node IPSEC トンネリング
Passive Gateway Node Worker Node Worker Node Worker Node Kubernetes Cluster A Kubernetes Cluster B Route Agent Gateway Engine Active Gatway Node fail over Lighthouse Agent Kubernetes Cluster (Broker) Broker Kubernetes API server Submariner Kubernetes 間をプライベートなネットワークで接続する Submariner - 赤帽エンジニアブログ (hatenablog.com)
Submariner デモ その他、参考になるブログ: Geographically Distributed Stateful Workloads Part One: Cluster
Preparation (openshift.com) Geographically Distributed Stateful Workloads Part Two: CockroachDB (openshift.com) デモビデオ
ACS (Advanced Cluster Security) for Kubernetes 製品概要 Cloud Solution Architect
Yuhki Hanada
StackRox の概要 • コンソール含め、Kubernetes クラスター上のアプリとして稼働 • Build / Deploy /
Runtime(運用中) 時に、Policyに適合しているかチェック。 • Jenkins 側に脆弱性情報を提供し、Build時にひっかかった脆弱性情報を Jenkinsの中で 参照できる。 • Image Scanning ツールは、独自のもあるがQuay等も使用可能 • Policy は標準で、CIS benchmark、PCI、HIIPA、NIST 800-190/800-53等を持って いる。それ以外は自作する必要がある(Custom Policy)。 アーキテクチャー図 ダッシュボード Policyの設定 Build/Deploy/Runtimeのどの時点で、 このPolicyを有効にするか選択できる https://www.youtube.com/watch?v=1cHjGaCDtRQ
StackRox 導入企業様事例 Customers | StackRox より StackRoxの顧客は、SaaS、フィンテック、政府機 関を含め、様々な地域や業界にわたっています。 今日、クラウドネイティブ企業、フォーチュン500 企業、政府機関のDevOpsチームやセキュリティ・
チームは、StackRoxに基づいて、コンテナのライフ サイクル全体にわたってセキュリティやコンプライ アンス・ポリシーを実装しています。 StackRoxのソフトウェアは、Kubernetesネイティ ブなコンテナ・セキュリティ・プラットフォームと してIron Bankアーティファクト・リポジトリに含 まれ、米国国防総省(DoD:Departiment of Defence)のエンタープライズDevSecOpsコンテナ 強化ガイドへの準拠が認定されるとともに、自動テ ストおよびコンテナ・セキュリティを実現するため にDoDによる使用が認可されています
US Air Force、アメリカ国防総省 (Department of Defense) 事例 StackRox delivers container
and Kubernetes security to US Air Force | HG Insights 「継続的に革新的なソフトウェアを 提供し、アプリケーションとデータ の安全性を確保することは、我々の 準備態勢にとって不可欠です。我々 は、コンテナとKubernetesをベー スにした迅速な革新のためのハード リングされた環境として、Platform Oneソフトウェア・ファクトリーを 構築しました。 StackRoxがKubernetesネイティブ なアーキテクチャを活用してその環 境を保護してくれることで、ビルド からデプロイ、ランタイムまで、ア プリケーションのライフサイクル全 体でセキュリティを提供することが できます」(米空軍のロブ・スロー ター少佐)
13 Enterprise Kubernetes from Red Hat Data-driven insights Kubernetes cluster
services Automated Ops ⠇Over-the-air updates ⠇Monitoring ⠇Logging ⠇Registry ⠇Networking ⠇Router ⠇Virtualization ⠇OLM ⠇Helm Linux (container host OS) Kubernetes (orchestration) Service mesh ⠇Serverless Builds ⠇CI/CD pipelines Log management Cost management Platform services Languages & runtimes API management Integration Messaging Process Automation Application services Developer CLI ⠇IDE Plugins & extensions CodeReady Workspaces CodeReady Containers Developer services クラウド・ネイティブ アプリのビルド ワークロード管理 マルチクラスター管理 Observability | Discovery ⠇Policy ⠇Compliance ⠇Configuration ⠇Workloads Databases ⠇Cache Data ingest & prep Data analytics ⠇AI/ML Data mgmt & resilience Data services 高度なセキュリティ機能 Declarative security ⠇ Vulnerability management ⠇ Network segmentation ⠇ Threat detection & response 開発者の生産性 OpenShift Kubernetes Engine OpenShift Container Platform Red Hat Advanced Cluster Management for Kubernetes (ACM) Red Hat Advanced Cluster Security for Kubernetes (ACS) OpenShift ファミリー OpenShift Plus Global registry Image management | Security scanning | Geo- replication Mirroring | Image builds
Host Host ACS のカバレッジ コンテナのベース・ イメージ(外部) ユーザーが作成し た独自のイメージ 新しいコンテナの作成 マニフェスト(YAML)
RHEL8のイメージ Ubuntuのイメージ テスト Kubernetes Host RHEL8 ユーザー コンテナ ユーザー コンテナ RHEL8 ユーザー コンテナ プログ ラム 実行 環境 + + = 使用するイメージ レプリカ数 PVのサイズ etc GitHub Quay Red Hat Eco System Catalog オーケストレーター管理者の設定 root 権限での実行 不十分なコンテナ間分離 Host にアクセス アプリの脆弱性 コンテナランタイムの設定 Docker Hub Docker Registry 適当なストレージ イメージの「ビルド」 マニフェストの作成 ③コンテナのリスク ⑤ホストOSのリスク ②レジストリのリスク ①イメージのリスク 知的財産の流出 秘密鍵の埋め込まれたコンテナ 出所不明のイメージ 脆弱性(意図的な埋込) 脆弱性(古いイメージ) レジストリへのアクセス権限 脆弱性(古いイメージ) OSへの侵入 脆弱性の放置 ④オーケストレータ ーのリスク ※ 文言は、NIST SP800-190 をそのまま書き写しているわけではなく、抜粋アレンジしています。 コンテナオーケストレーター セキュアなアクセス Kubernetes の世界では、ユーザーが k8sに直接 アプリをインストールする事はなく、k8sが「マ ニフェスト」に書かれたイメージをレジストリー から引っ張ってくる。 レジストリ レジストリ レジストリ Kubernetes の世界では、 アプリケーションの不具合、 脆弱性の「パッチ適用」は、 ここで行われる。
Host Host ACS のカバレッジ コンテナのベース・ イメージ(外部) ユーザーが作成し た独自のイメージ 新しいコンテナの作成 マニフェスト(YAML)
RHEL8のイメージ Ubuntuのイメージ テスト Kubernetes Host RHEL8 ユーザー コンテナ ユーザー コンテナ RHEL8 ユーザー コンテナ プログ ラム 実行 環境 + + = 使用するイメージ レプリカ数 PVのサイズ etc GitHub Quay Red Hat Eco System Catalog オーケストレーター管理者の設定 root 権限での実行 不十分なコンテナ間分離 Host にアクセス アプリの脆弱性 コンテナランタイムの設定 Docker Hub Docker Registry 適当なストレージ イメージの「ビルド」 マニフェストの作成 ③コンテナのリスク ⑤ホストOSのリスク ②レジストリのリスク ①イメージのリスク 知的財産の流出 秘密鍵の埋め込まれたコンテナ 出所不明のイメージ 脆弱性(意図的な埋込) 脆弱性(古いイメージ) レジストリへのアクセス権限 脆弱性(古いイメージ) OSへの侵入 脆弱性の放置 ④オーケストレータ ーのリスク ※ 文言は、NIST SP800-190 をそのまま書き写しているわけではなく、抜粋アレンジしています。 コンテナオーケストレーター セキュアなアクセス Kubernetes の世界では、ユーザーが k8sに直接 アプリをインストールする事はなく、k8sが「マ ニフェスト」に書かれたイメージをレジストリー から引っ張ってくる。 レジストリ レジストリ レジストリ Kubernetes の世界では、 アプリケーションの不具合、 脆弱性の「パッチ適用」は、 ここで行われる。 ACSのカバー範囲 ※Registry, CI/CD ツー ル / Kuberentes そのも のは含まない ※この部分は Kuberentes に格納された後 に見られ ている
ACSアーキテクチャー 16 Architecture
DevSecOps とシフトレフト 17 Image scanning Registries CI/CD tools DevOps notification
SIEM Build Secure supply chain Deploy Secure infrastructure Run Secure workloads Policy engine API AWS Security Hub Run anywhere OpenShift Amazon EKS Google GKE Azure AKS 3rd Party ツール群 ビルド時に、危険な構成や、 脆弱性を見つけて開発者に エラーを返す コンテナが Kuberentes に Deploy される前にイ メージに問題が無いか チェック コンテナ内から必要 の無いプログラムが 起動していないか等 セキュリティの対策は、できるだけ開発の初期から行う(シフト・レフト)
ACS ダッシュボード 一覧 詳細 コンプライアンス遵守状況 Policy 違反状況 • ACSが把握している状況を一 覧で把握するためのメインの
ダッシュボード • デフォルトの Policy、ユー ザー定義の Policy の違反状 況 • コンプライアンスのベンチマ ークの遵守状況 (CIS / HIPAA / NIST SP 800-190 / NIST SP 800-53 / PCI DSS) 詳細 Dashboard 一覧
ACS デモ 19
リソース • マニュアル (StackRox) https://help.stackrox.com/ • デモビデオ (440) OCB: StackRox
Overview and Demo - YouTube
Q&A
Red Hat is the world’s leading provider of enterprise open
source software solutions. Award-winning support, training, and consulting services make Red Hat a trusted adviser to the Fortune 500. Thank you 22