Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Terraform と Kubernetes の共存による IaC の実践

Atsushi Tanaka
August 25, 2022
Programming
0
1.7k

Terraform と Kubernetes の共存による IaC の実践

Terraform と Kubernetes はどちらも宣言的に構成を定義し実際のインフラに反映させる IaC (Infrastructure as Code) が実現できるツールですが、反映タイミングやワークフローの構築コストは大きく異なります。本セッションでは Wantedly での Terraform と Kubernetes による構成を例に、状況に合わせてツールを使い分けて IaC を実現する方法について紹介します。
https://events.hashicorp.com/hashitalksjapan

Atsushi Tanaka

August 25, 2022
Tweet

More Decks by Atsushi Tanaka

See All by Atsushi Tanaka
KubernetesでDatadogを飼うならオートディスカバリーを使わないと損
bgpat
1
400
マイクロサービス基盤にフルマネージドサービスではなくKubernetesを選択する理由
bgpat
12
2.6k
400万ユーザーに価値を届けるエンジニアを を支えるインフラ基盤
bgpat
3
320
Ruby製社内ツールのGo移行
bgpat
2
530
導入から5年が経って見えた Datadog APM 運用の課題
bgpat
3
1.1k
取っていてよかった Kubernetes のバックアップ
bgpat
1
550
Kubernetes Cluster Migration
bgpat
4
4.5k
k8sとNginxでオートスケール / Autoscaling with k8s and Nginx
bgpat
2
1.3k
GCPのgemにコントリビュートした話
bgpat
0
740

Other Decks in Programming

See All in Programming
どうして僕の作ったクラスが手続き型と言われなきゃいけないんですか
akikogoto
1
120
EMになってからチームの成果を最大化するために取り組んだこと/ Maximize team performance as EM
nashiusagi
0
100
ふかぼれ!CSSセレクターモジュール / Fukabore! CSS Selectors Module
petamoriken
0
150
ヤプリ新卒SREの オンボーディング
masaki12
0
130
Tauriでネイティブアプリを作りたい
tsucchinoko
0
370
3 Effective Rules for Using Signals in Angular
manfredsteyer
PRO
0
100
見せてあげますよ、「本物のLaravel批判」ってやつを。
77web
7
7.8k
Contemporary Test Cases
maaretp
0
140
Compose 1.7のTextFieldはPOBox Plusで日本語変換できない
tomoya0x00
0
200
Ethereum_.pdf
nekomatu
0
470
Hotwire or React? ~アフタートーク・本編に含めなかった話~ / Hotwire or React? after talk
harunatsujita
1
120
NSOutlineView何もわからん:( 前編 / I Don't Understand About NSOutlineView :( Pt. 1
usagimaru
0
340

Featured

See All Featured
Docker and Python
trallard
40
3.1k
A better future with KSS
kneath
238
17k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
4
380
Imperfection Machines: The Place of Print at Facebook
scottboms
265
13k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
28
9.1k
How to Ace a Technical Interview
jacobian
276
23k
Mobile First: as difficult as doing things right
swwweet
222
8.9k
How STYLIGHT went responsive
nonsquared
95
5.2k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
PRO
10
720
Java REST API Framework Comparison - PWX 2021
mraible
PRO
28
8.2k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
25
1.8k
Unsuck your backbone
ammeep
668
57k

Transcript

  1. © 2022 Wantedly, Inc. Terraform と Kubernetes の 共存による IaC

    の実践 HashiTalks: Japan 2022 Aug. 25 2022 - Atsushi Tanaka

  2. 自己紹介 © 2022 Wantedly, Inc. https://www.wantedly.com/id/bgpat

  3. 今日話すこと © 2022 Wantedly, Inc. Kubernetes の機能拡張をするときは Kubernetes のエコシステムのみで実装するケースが多い かゆいところに手が届かないことがある

    ⇓ Terraform で実装することで改善できる

  4. Kubernetes について © 2022 Wantedly, Inc. • Cloud Native 技術の中心的プロジェクト

    • 管理対象を「リソース」として抽象化 • 拡張性が高く様々なプラットフォーム基盤としても利用される https://kubernetes.io/ja/docs/concepts/overview/what-is-kubernetes/

  5. 今日話すこと © 2022 Wantedly, Inc. Kubernetes の機能拡張をするときは Kubernetes のエコシステムのみで実装するケースが多い かゆいところに手が届かないことがある

    ⇓ Terraform で実装することで改善できる

  6. Terraform で k8s の機能拡張をする © 2022 Wantedly, Inc.

  7. Terraform と Kubernetes の共通点 © 2022 Wantedly, Inc. Infrastructure as

    Code が実現できる ◦ インフラリソースをコードとして宣言的に管理 ◦ インフラとコードに差分あったときは自動で修正

  8. IaC 観点での比較 Terraform Kubernetes 同期タイミング apply 実行時のみ 依存リソースの変更時 レビュータイミング API

    実行時 コードの apply 時 管理対象リソース インフラ全体 基本的にクラスタ内 外部リソースは専有前提 実装コスト Provider が対応していれば 比較的容易 既存実装が利用できれば楽 なければ自前実装が必要で大変 © 2022 Wantedly, Inc.

  9. IaC 観点での比較 © 2022 Wantedly, Inc. Terraform: apply 実行時のみ •

    同期は terraform apply の実行 時にしか行わない • terraform apply は頻繁には実 行できない ➡ コードとインフラの間に差分(ドリフ ト)が生じる可能性 同期タイミング Kubernetes: 依存リソースの変更時 • Reconciliation Loop によって 自動で同期された状態が保たれる ➡ 理論上ドリフトは発生しない

  10. IaC 観点での比較 © 2022 Wantedly, Inc. レビュータイミング Terraform: API 実行時

    • terraform apply を実行すると 差分が表示されて 続行 or 中断 の判断を求められる • API の実行は手動ともみなせる ➡ 人間がレビューすることで より安全に処理を実行できる Kubernetes: コードの apply 時 • コードをクラスタに apply するタイミ ングで差分の確認ができる • Reconciliation Loop によって 自動で API が実行される ➡ 人間は処理内容を確認できない 不要であれば手間が省ける レビュータイミング = 変更内容の確認と 続行 or 中断 の判断ができる最後のタイミング

  11. IaC 観点での比較 © 2022 Wantedly, Inc. 管理対象リソース Terraform: インフラ全体 •

    特定の k8s クラスタに依らない • 複数 k8s クラスタを管理できる • k8s クラスタ以外の外部リソースも 問題なく管理できる Kubernetes: 基本的にクラスタ内 • 管理対象のリソースは特定の k8s クラスタ内に閉じている • 外部リソースはクラスタが専有して いる前提で扱わないと競合してしま う

  12. IaC 観点での比較 © 2022 Wantedly, Inc. 実装コスト 実装コストが低い順に 1. 既存実装を利用

    ◦ Kubernetes のエコシステムに沿ったものが多い ◦ 設定を書くだけなので一番楽 2. Terraform で実装 ◦ API 実行等の手続き処理を考える必要がなく宣言的なコードだけで実装できる ◦ できることは Provider が対応しているリソースに縛られる 3. Kubernetes のエコシステムを利用して自前実装 ◦ 宣言されたコードを手続き処理に変換する必要がある ◦ Go 言語で実装して k8s クラスタにデプロイする必要がある

  13. Terraform による Kubernetes 拡張 © 2022 Wantedly, Inc. 制約 •

    ドリフトが許容できる Terraform による機能拡張が有効なケース • 切り戻しが難しい作業等で API 実行前にレビューしたい • クラスタで専有できないリソースを扱いたい • 新しい自動化の仕組みを簡単に実装したい

  14. Wantedly での実践例 © 2022 Wantedly, Inc.

  15. Wantedly での実践例 1. 外部公開エンドポイントの DNS 設定 2. プレビュー用 wildcard domain

    の発行 © 2022 Wantedly, Inc.

  16. Wantedly での実践例 1. 外部公開エンドポイントの DNS 設定 ◦ モチベーション ▪ クラスタの引っ越しをするときに

    DNS で切り替えをしたい ▪ DNS 設定を反映するタイミングをコントロールしたい ◦ 管理するリソース ▪ DNS レコード ▪ 監視設定 2. プレビュー用 wildcard domain の発行 © 2022 Wantedly, Inc.

  17. Wantedly での実践例 © 2022 Wantedly, Inc. 外部公開エンドポイントの DNS 設定 Cluster

    Pod Ingress (LB) Pod Cluster Pod Ingress (LB) Pod DNS 旧クラスタから新クラスタに切り替え example.com エンドポイントを監視

  18. Wantedly での実践例 © 2022 Wantedly, Inc. 外部公開エンドポイントの DNS 設定 制約

    ⭕ ドリフトが許容できる Terraform が有利なケース ⭕ 切り戻しが難しい作業等で API 実行前にレビューしたい ⭕ クラスタで専有できないリソースを扱いたい ❌ 新しい自動化の仕組みを簡単に実装したい 外部公開エンドポイントが追加・削除される頻度は多くない 向き先になるロードバランサのエンドポイントは基本的に変更されない 同じ DNS レコードは2つのクラスタの両方から専有することができない DNS レコード変更時の切り戻しには時間がかかるため慎重に実行したい external-dns という OSS の Custom Controller が利用できる

  19. Wantedly での実践例 1. 外部公開エンドポイントの DNS 設定 2. プレビュー用 wildcard domain

    の発行 ◦ モチベーション ▪ 開発用に推測しやすいプレビュー用ドメインを発行したい 例: service.example.com → *.service.example.com ◦ 管理するリソース ▪ ロードバランサー ▪ TLS 証明書 ▪ DNS レコード © 2022 Wantedly, Inc.

  20. Wantedly での実践例 © 2022 Wantedly, Inc. プレビュー用 wildcard domain の発行

    https://speakerdeck.com/potsbo/copy-kubernetes-clusters-really-fast?slide=37

  21. 制約 ⭕ ドリフトが許容できる Terraform が有利なケース ❌ 切り戻しが難しい作業等で API 実行前にレビューしたい ❌

    クラスタで専有できないリソースを扱いたい ⭕ 新しい自動化の仕組みを簡単に実装したい Wantedly での実践例 © 2022 Wantedly, Inc. プレビュー用 wildcard domain の発行 開発用なので多少壊れても問題ない 対象クラスタ専用のリソースなので専有できる API 実行時のレビューは不要 Terraform の Official Provider だけで実現可能 利用できそうな Kubernetes Custom Controller がない

  22. まとめ • Kubernetes の機能拡張に Terraform が活用できる • ドリフトが許容できれば Terraform が適用できる箇所は多い

    • 適材適所の技術選択でよりよいアーキテクチャに © 2022 Wantedly, Inc.

  23. エンジニア組織拡大中! Wantedly はエンジニア絶賛採用中です。 • 興味を持ってくれた方はぜひ話を聞きにきてください • Wantedly Engineering Handbook も公開中

    © 2022 Wantedly, Inc. 🎁 物理本も届きます! https://docs.wantedly.dev