Tailscaleで簡単にセキュアなk8s Private Clusterを建てる

Transcript

1. Tailscaleで簡単にセキュアなk8s Private Clusterを建てる 株式会社Gaudiy 安藤 史将

2. Private Clusterって？

3. Private Cluster VPC Private Cluster Cluster Node Control Plane Kubernetes

   Pod Kubernetes API Server Engineer Kubectl Peering Private Clusterは、ネットワークアクセスの観点から分離‧保護された Kubernetesクラスターのことで、以下の特性を持っています。 • ノードが内部IPのみ - 外部からの直接アクセス不可 • コントロールプレーンの外部IP⾮公開 - API Serverへの直接アクセス不可

4. Private Cluster VPC Private Cluster Cluster Node Control Plane Kubernetes

   Pod Kubernetes API Server Engineer Kubectl Peering メリット • 外部からのアクセスを遮断し、より堅牢なクラスタを作成 デメリット • ただし、正当なアクセスも遮断され経路が複雑になる。

5. Private Clusterのつらみ 運⽤コスト VPN/踏み台サーバーの必要性 • 同⼀VPC内の踏み台サーバー設置 • 複雑なVPN設定 VPC VPC

   Private Cluster Control Plane Kubernetes Kubernetes API Server VPN 踏み台 Compute Engine Engineer ※繋ぎ⽅は他にも⽅法あります。 開発者体験の低下 複雑なセットアップ • kubectlのための準備 • 多段階アクセス

6. Tailscale Kubernetes Operatorという解決策

7. Tailscaleとは？ TailscaleはWireGuardをベースとしたVPNサービス。 Tailscaleアカウントが所持する「デバイス,VM,コンテナ」同⼠を Tailnet と呼ばれる仮想的なプ ライベートネットワーク内で⾼速にP2P通信することができる。 • ゼロトラストセキュリティ - ACLによる細かい制御

   • NAT/ファイアウォール透過 - どんな環境でも接続 • ユーザーフレンドリー - 開発者でも使いやすいUI Tailscale Kubernetes Operator = Tailscale Network(VPN)上にKubernetesを公開するやつ

8. どう解決するか API Server Proxyの提供 • Tailnet 上で Kubernetes API にアクセス

   VPC Private Cluster Cluster Node Control Plane Google Cloud Managed Pod Kubernetes API Server Tailscale Operator Engineer Kubectl Peering Tailnet

9. インストール‧接続 helm chart Terminal

10. Role管理もお任せ Tailscale ACL k8s ClusterRoleBinding ACLとRBACの連携 Tailscale ACL と ClusterRoleBinding

    を紐づけることができる。

11. その他機能 • Ingress • Egress • CrossCluster - マルチクラスター間の通信 •

    App Connector - 外部アプリケーションへ のアクセス ◦ GitHub, Linear, Adobe • Exit Node • etc..

12. まとめ

13. Tailscaleでできること セキュリティと利便性を両⽴ • Private Clusterの⾼いセキュリティを維持 • 開発者体験の⼤幅な向上 権限管理の⼀元化 • ACL、RBACの連携

    • ユーザー/グループ管理の⼀貫性 etc.. Tailscale Kubernetes Operator を試してみてください！

14. 採用ページ Zenn 構築など詳細は Zenn で