Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ACM 2.2 Update / ACS セミナー for OMPP
Search
Yuhki Hanada
June 18, 2021
Technology
0
210
ACM 2.2 Update / ACS セミナー for OMPP
ACM 2.2 Update と ACS についての概要セミナーです。
Yuhki Hanada
June 18, 2021
Tweet
Share
More Decks by Yuhki Hanada
See All by Yuhki Hanada
あちこちにある署名の世界
yuhkih
0
98
OpenShift IPI/UPI 解体新書
yuhkih
0
1.2k
Zenn用の挿絵(OpenShift 4.8 を vSphere 上にIPIインストールする)
yuhkih
0
4.5k
OMPP SRE Workshsop 2021 Day 4
yuhkih
0
3k
監視の世界へようこそ
yuhkih
0
77
OpenShift と Kubernetes の違い
yuhkih
2
1.1k
OpenShift の基礎 コンテナのメリット
yuhkih
0
200
ACM 2.3 install memo
yuhkih
0
68
ACS (Advanced Cluster Security) 旧 StackRox 資料
yuhkih
1
3.9k
Other Decks in Technology
See All in Technology
TypeScript開発にモジュラーモノリスを持ち込む
sansantech
PRO
2
350
Working as a Server-side Engineer at LY Corporation
lycorp_recruit_jp
0
350
TSKaigi 2024 の登壇から広がったコミュニティ活動について
tsukuha
0
160
多様なメトリックとシステムの健全性維持
masaaki_k
0
110
pg_bigmをRustで実装する(第50回PostgreSQLアンカンファレンス@オンライン 発表資料)
shinyakato_
0
110
新機能VPCリソースエンドポイント機能検証から得られた考察
duelist2020jp
0
230
Wantedly での Datadog 活用事例
bgpat
2
630
DevFest 2024 Incheon / Songdo - Compose UI 조합 심화
wisemuji
0
140
プロダクト開発を加速させるためのQA文化の築き方 / How to build QA culture to accelerate product development
mii3king
1
280
LINEスキマニにおけるフロントエンド開発
lycorptech_jp
PRO
0
340
podman_update_2024-12
orimanabu
1
290
どちらを使う?GitHub or Azure DevOps Ver. 24H2
kkamegawa
0
1.1k
Featured
See All Featured
KATA
mclloyd
29
14k
A Tale of Four Properties
chriscoyier
157
23k
How to train your dragon (web standard)
notwaldorf
88
5.7k
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
8
1.2k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
111
49k
How To Stay Up To Date on Web Technology
chriscoyier
789
250k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
48
2.2k
Git: the NoSQL Database
bkeepers
PRO
427
64k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
47
5.1k
Designing for Performance
lara
604
68k
It's Worth the Effort
3n
183
28k
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
1
110
Transcript
2021/06/18 ACM 2.2 Update & ACS セミナー for OMPP OMPP
(Red Hat OpenShift Managed Practice Program)
2 本日の OMPP Update アジェンダ 1. ACM for Kubernetes 製品概要
(おさらい) 2. Submariner のご紹介 3. Submariner デモ 4. ACS for Kubernetes 製品概要 5. ACS 概要 6. ACS デモ
Cloud Solution Architect Yuhki Hanada ACM for Kubernetes Update
4 Enterprise Kubernetes from Red Hat Data-driven insights Kubernetes cluster
services Automated Ops ⠇Over-the-air updates ⠇Monitoring ⠇Logging ⠇Registry ⠇Networking ⠇Router ⠇Virtualization ⠇OLM ⠇Helm Linux (container host OS) Kubernetes (orchestration) Service mesh ⠇Serverless Builds ⠇CI/CD pipelines Log management Cost management Platform services Languages & runtimes API management Integration Messaging Process Automation Application services Developer CLI ⠇IDE Plugins & extensions CodeReady Workspaces CodeReady Containers Developer services クラウド・ネイティブ アプリのビルド ワークロード管理 マルチクラスター管理 Observability | Discovery ⠇Policy ⠇Compliance ⠇Configuration ⠇Workloads Databases ⠇Cache Data ingest & prep Data analytics ⠇AI/ML Data mgmt & resilience Data services 高度なセキュリティ機能 Declarative security ⠇ Vulnerability management ⠇ Network segmentation ⠇ Threat detection & response 開発者の生産性 OpenShift Kubernetes Engine OpenShift Container Platform Red Hat Advanced Cluster Management for Kubernetes (ACM) Red Hat Advanced Cluster Security for Kubernetes (ACS) OpenShift ファミリー OpenShift Plus Global registry Image management | Security scanning | Geo- replication Mirroring | Image builds
5 HUB Cluster API Server API Server API Server API
Server API Server TLS Spoke Clusters Managed Clusters ACM for Kubernetes の概要 Hub Cluster のサポートは、OpenShift 4.4.3 以降 / 4.5.2以降 / 4.6.1以降 サポートのバージョンは資料作成時点の情報です。 詳細はこちらRed Hat Advanced Cluster Management for Kubernetes 2.2 Support Matrix - Red Hat Customer Portal GKE/EKS/IBM K8S/ AKS ACM 用の専用のクラスタが推奨 (Master + Worker) 管理される側のクラスターには「multicluster-endpoint」というネームスペースと管理のために必要な pod 等のリソースが作成されます。 ACM Hub ACM 管理用Pod ACM 管理用Pod ACM 管理用Pod ACM 管理用Pod ACM 管理用Pod 専用namespace が作られ、そこに導入されます。
Submariner (ACM 2.2 Tech Preview)
Worker Node Passive Gateway Node Active Gatway Node IPSEC トンネリング
Passive Gateway Node Worker Node Worker Node Worker Node Kubernetes Cluster A Kubernetes Cluster B Route Agent Gateway Engine Active Gatway Node fail over Lighthouse Agent Kubernetes Cluster (Broker) Broker Kubernetes API server Submariner Kubernetes 間をプライベートなネットワークで接続する Submariner - 赤帽エンジニアブログ (hatenablog.com)
Submariner デモ その他、参考になるブログ: Geographically Distributed Stateful Workloads Part One: Cluster
Preparation (openshift.com) Geographically Distributed Stateful Workloads Part Two: CockroachDB (openshift.com) デモビデオ
ACS (Advanced Cluster Security) for Kubernetes 製品概要 Cloud Solution Architect
Yuhki Hanada
StackRox の概要 • コンソール含め、Kubernetes クラスター上のアプリとして稼働 • Build / Deploy /
Runtime(運用中) 時に、Policyに適合しているかチェック。 • Jenkins 側に脆弱性情報を提供し、Build時にひっかかった脆弱性情報を Jenkinsの中で 参照できる。 • Image Scanning ツールは、独自のもあるがQuay等も使用可能 • Policy は標準で、CIS benchmark、PCI、HIIPA、NIST 800-190/800-53等を持って いる。それ以外は自作する必要がある(Custom Policy)。 アーキテクチャー図 ダッシュボード Policyの設定 Build/Deploy/Runtimeのどの時点で、 このPolicyを有効にするか選択できる https://www.youtube.com/watch?v=1cHjGaCDtRQ
StackRox 導入企業様事例 Customers | StackRox より StackRoxの顧客は、SaaS、フィンテック、政府機 関を含め、様々な地域や業界にわたっています。 今日、クラウドネイティブ企業、フォーチュン500 企業、政府機関のDevOpsチームやセキュリティ・
チームは、StackRoxに基づいて、コンテナのライフ サイクル全体にわたってセキュリティやコンプライ アンス・ポリシーを実装しています。 StackRoxのソフトウェアは、Kubernetesネイティ ブなコンテナ・セキュリティ・プラットフォームと してIron Bankアーティファクト・リポジトリに含 まれ、米国国防総省(DoD:Departiment of Defence)のエンタープライズDevSecOpsコンテナ 強化ガイドへの準拠が認定されるとともに、自動テ ストおよびコンテナ・セキュリティを実現するため にDoDによる使用が認可されています
US Air Force、アメリカ国防総省 (Department of Defense) 事例 StackRox delivers container
and Kubernetes security to US Air Force | HG Insights 「継続的に革新的なソフトウェアを 提供し、アプリケーションとデータ の安全性を確保することは、我々の 準備態勢にとって不可欠です。我々 は、コンテナとKubernetesをベー スにした迅速な革新のためのハード リングされた環境として、Platform Oneソフトウェア・ファクトリーを 構築しました。 StackRoxがKubernetesネイティブ なアーキテクチャを活用してその環 境を保護してくれることで、ビルド からデプロイ、ランタイムまで、ア プリケーションのライフサイクル全 体でセキュリティを提供することが できます」(米空軍のロブ・スロー ター少佐)
13 Enterprise Kubernetes from Red Hat Data-driven insights Kubernetes cluster
services Automated Ops ⠇Over-the-air updates ⠇Monitoring ⠇Logging ⠇Registry ⠇Networking ⠇Router ⠇Virtualization ⠇OLM ⠇Helm Linux (container host OS) Kubernetes (orchestration) Service mesh ⠇Serverless Builds ⠇CI/CD pipelines Log management Cost management Platform services Languages & runtimes API management Integration Messaging Process Automation Application services Developer CLI ⠇IDE Plugins & extensions CodeReady Workspaces CodeReady Containers Developer services クラウド・ネイティブ アプリのビルド ワークロード管理 マルチクラスター管理 Observability | Discovery ⠇Policy ⠇Compliance ⠇Configuration ⠇Workloads Databases ⠇Cache Data ingest & prep Data analytics ⠇AI/ML Data mgmt & resilience Data services 高度なセキュリティ機能 Declarative security ⠇ Vulnerability management ⠇ Network segmentation ⠇ Threat detection & response 開発者の生産性 OpenShift Kubernetes Engine OpenShift Container Platform Red Hat Advanced Cluster Management for Kubernetes (ACM) Red Hat Advanced Cluster Security for Kubernetes (ACS) OpenShift ファミリー OpenShift Plus Global registry Image management | Security scanning | Geo- replication Mirroring | Image builds
Host Host ACS のカバレッジ コンテナのベース・ イメージ(外部) ユーザーが作成し た独自のイメージ 新しいコンテナの作成 マニフェスト(YAML)
RHEL8のイメージ Ubuntuのイメージ テスト Kubernetes Host RHEL8 ユーザー コンテナ ユーザー コンテナ RHEL8 ユーザー コンテナ プログ ラム 実行 環境 + + = 使用するイメージ レプリカ数 PVのサイズ etc GitHub Quay Red Hat Eco System Catalog オーケストレーター管理者の設定 root 権限での実行 不十分なコンテナ間分離 Host にアクセス アプリの脆弱性 コンテナランタイムの設定 Docker Hub Docker Registry 適当なストレージ イメージの「ビルド」 マニフェストの作成 ③コンテナのリスク ⑤ホストOSのリスク ②レジストリのリスク ①イメージのリスク 知的財産の流出 秘密鍵の埋め込まれたコンテナ 出所不明のイメージ 脆弱性(意図的な埋込) 脆弱性(古いイメージ) レジストリへのアクセス権限 脆弱性(古いイメージ) OSへの侵入 脆弱性の放置 ④オーケストレータ ーのリスク ※ 文言は、NIST SP800-190 をそのまま書き写しているわけではなく、抜粋アレンジしています。 コンテナオーケストレーター セキュアなアクセス Kubernetes の世界では、ユーザーが k8sに直接 アプリをインストールする事はなく、k8sが「マ ニフェスト」に書かれたイメージをレジストリー から引っ張ってくる。 レジストリ レジストリ レジストリ Kubernetes の世界では、 アプリケーションの不具合、 脆弱性の「パッチ適用」は、 ここで行われる。
Host Host ACS のカバレッジ コンテナのベース・ イメージ(外部) ユーザーが作成し た独自のイメージ 新しいコンテナの作成 マニフェスト(YAML)
RHEL8のイメージ Ubuntuのイメージ テスト Kubernetes Host RHEL8 ユーザー コンテナ ユーザー コンテナ RHEL8 ユーザー コンテナ プログ ラム 実行 環境 + + = 使用するイメージ レプリカ数 PVのサイズ etc GitHub Quay Red Hat Eco System Catalog オーケストレーター管理者の設定 root 権限での実行 不十分なコンテナ間分離 Host にアクセス アプリの脆弱性 コンテナランタイムの設定 Docker Hub Docker Registry 適当なストレージ イメージの「ビルド」 マニフェストの作成 ③コンテナのリスク ⑤ホストOSのリスク ②レジストリのリスク ①イメージのリスク 知的財産の流出 秘密鍵の埋め込まれたコンテナ 出所不明のイメージ 脆弱性(意図的な埋込) 脆弱性(古いイメージ) レジストリへのアクセス権限 脆弱性(古いイメージ) OSへの侵入 脆弱性の放置 ④オーケストレータ ーのリスク ※ 文言は、NIST SP800-190 をそのまま書き写しているわけではなく、抜粋アレンジしています。 コンテナオーケストレーター セキュアなアクセス Kubernetes の世界では、ユーザーが k8sに直接 アプリをインストールする事はなく、k8sが「マ ニフェスト」に書かれたイメージをレジストリー から引っ張ってくる。 レジストリ レジストリ レジストリ Kubernetes の世界では、 アプリケーションの不具合、 脆弱性の「パッチ適用」は、 ここで行われる。 ACSのカバー範囲 ※Registry, CI/CD ツー ル / Kuberentes そのも のは含まない ※この部分は Kuberentes に格納された後 に見られ ている
ACSアーキテクチャー 16 Architecture
DevSecOps とシフトレフト 17 Image scanning Registries CI/CD tools DevOps notification
SIEM Build Secure supply chain Deploy Secure infrastructure Run Secure workloads Policy engine API AWS Security Hub Run anywhere OpenShift Amazon EKS Google GKE Azure AKS 3rd Party ツール群 ビルド時に、危険な構成や、 脆弱性を見つけて開発者に エラーを返す コンテナが Kuberentes に Deploy される前にイ メージに問題が無いか チェック コンテナ内から必要 の無いプログラムが 起動していないか等 セキュリティの対策は、できるだけ開発の初期から行う(シフト・レフト)
ACS ダッシュボード 一覧 詳細 コンプライアンス遵守状況 Policy 違反状況 • ACSが把握している状況を一 覧で把握するためのメインの
ダッシュボード • デフォルトの Policy、ユー ザー定義の Policy の違反状 況 • コンプライアンスのベンチマ ークの遵守状況 (CIS / HIPAA / NIST SP 800-190 / NIST SP 800-53 / PCI DSS) 詳細 Dashboard 一覧
ACS デモ 19
リソース • マニュアル (StackRox) https://help.stackrox.com/ • デモビデオ (440) OCB: StackRox
Overview and Demo - YouTube
Q&A
Red Hat is the world’s leading provider of enterprise open
source software solutions. Award-winning support, training, and consulting services make Red Hat a trusted adviser to the Fortune 500. Thank you 22