いまからでも遅くない！ROKS (RedHat OpenShift on IBM Cloud) の運用

Transcript

1. 日本アイ・ビー・エム株式会社 テクノロジー事業本部 カスタマー・サクセス事業部 カスタマー・サクセス・マネージャー Alex Xiang いまからでも遅くない！ ROKSの運用 Helen Xiao

2. 自己紹介 ヘレン ショウ Helen Xiao 日本アイ・ビー・エム株式会社 テクノロジー事業本部 カスタマーサクセスマネージャー・CSM IBM Cloud

   [email protected] アレックス シャン Alex Xiang 日本アイ・ビー・エム株式会社 テクノロジー事業本部 カスタマーサクセスマネージャー・CSM IBM Cloud [email protected]

3. このセッションについて Cloud環境管理者 フルアクセス権限を持ち、 ROKS クラスターの運用責任も持つ Applicationの開発者や運用者 OpenShiftへのアクセスが必要、 Cloud Platformには詳しくない ROKSの運用、よく使う作業

   1. 新しいメンバーの招待と権限付与 2. ワーカーノードの追加 3. ROKS クラスターのバージョンアップ 4. ROKS クラスターのステータスチェック 5. アプリケーションサンプルの構築 6. アプリケーションへのアクセス制御 目的：ROKS (OpenShift on IBM Cloud)の運用に関してよく使う作業について知る ゴール：ROKSの運用でよく使う機能を体験する

4. アジェンダ 内容 タイムテーブル クラスターのクラスターのバージョンアップ 13:00-13:15 クラスターのステータスチェック 13:15-13:25 サンプルのアプリケーションの構築 13:25-13:40 IPのホワイトリストによるアプリケーションへのアクセス制御

   13:40-13:55 まとめ＆クロージング 13:55-14:00 2日目(ハンズオンあり） 内容 タイムテーブル オープンニング 13:00-13:10 ROKS Basic 13:10-13:25 新しいメンバーの招待と権限付与 13:25-13:40 クラスターの拡張：ワーカーノードの追加 13:40-13:55 １日目のまとめ 13:55-14:00 1日目（ハンズオンなし） https://ibm-developer.connpass.com/event/317244/ https://ibm-developer.connpass.com/event/317256/ Connpass Dojo:

5. • 2日目のハンズオン前に、ハンズオン環境に登録するための メールアドレスのご用意・ご提供をお願いします。 • ハンズオン中に講演者の指示通りに操作をお願いします。 • 質問や発言したい場合は，チャット欄に「質問があります。」などと書き 込んで送信してください。 参加者の皆様へ

6. ROKSについて

7. コンテナ技術を使ってアプリを開発、運用 アプリを コンテナ化する コンテナ実行環境に アプリをデプロイする ローカル環境: Docker, Podman オーケストレーション環境: Kubernetes

   出来上がったアプリをコンテナという イメージファイルにまとめる アプリケーション コード コンテナ イメージ アプリケーション 依存関係 Bins/Libs コンテナ ユーザー 実行環境

8. IBM CloudのKubernetes Service 開発スピード ポータビリティ Serverless 開発スピートの最速化 仮想サーバー 既存の開発言語や ツールの活用

   Kubernetes / OpenShift ポータビリティの 最大化 x86 ベアメタル 最大のパフォーマンスと自在な コントロール VMware/AIX/ IBM i/zLinux LIFTに最適 VM パフォーマンス＆コントロール IBM Cloud Kubernetes Service Red Hat OpenShift on IBM Cloud Kubernetesをマネージドサービスで提供 Red Hat OpenShift をマネージドサービスで提供

9. Open SourceのKubernetesに対して、 OpenShiftは一般企業でもコンテナ環境を安全かつ容易に運用できる ように、アプリのデプロイに関わる自動化やセキュリティ機能、CI/CD機能などを充足したもの。 Red Hat OpenShiftとKubernetesの違い Kubernetes Kubernetes Automated

   Operations OpenShift 拡張部分 Cluster Services Application Services Developer Services Kubernetes cri-o RHEL Core OS containerd Ubuntu / CentOS… Linux

10. ROKS: Red Hat OpenShift on IBM Cloud マネージド・サービスとして提供 TOK02 TOK04

    TOK05 Worker 1 Worker 1 Worker 2 Worker 2 Worker 1 Worker 1 Worker 2 Worker 2 Worker 1 Worker 1 Worker 2 Worker 2 Global Load Balancer Global Load Balancer Master Master Master ROKSの特徴： • シンプルなクラスター作成 • 複数AZに分散した高可用性 • Worker Nodeには仮想サーバー、 物理サーバーを選択可能 • Master Nodeは無料 • 柔軟な課金モデル • IBM Cloud サービスとの連携

11. Task 1 新しいメンバーの招待と権限付与

12. Why this task? Cloud環境管理者 フルアクセス権限を持ち、 ROKS クラスターの運用責任も持つ Applicationの開発者や運用者 OpenShiftへのアクセスが必要、 Cloud

    Platformには詳しくない 開発チームメンバーに アクセス権限を付与 して下さい 設定完了しました。 確認して下さい

13. ROKSのサービス作成・利用に必要な権限 Classicクラスターを 利用する場合 必須の作業： Service Name: Kubernetes Service プラットフォーム・アクセス役割 •

    リソース管理 • クラスターの作成 • ワーカーノードの追加 サービス・アクセス役割 • ダッシュボードなどへのアクセス • アプリ・デプロイメントの作成 • 名前空間の追加 クラスターを作成する場合： 関連サービスの権限： https://cloud.ibm.com/docs/openshift?topic=openshift-iam-platform-access-roles#cluster-create-permissions IBM Cloudのアクセス管理機能(IAM)を活用

14. IBM Cloudのアカウント管理の全体イメージ アカウント所有者 ユーザー サービスID アクセスグループ クラシック インフラストラクチャー IAM対応サービス ユーザー

    リソース アカウント管理 (請求処理、サポート・センター、 ユーザー管理、など） アクセスポリシー アカウント管理機能

15. アクセス権限の付与 アクセスグループを作って、グループに権限付与 ユーザーに個別に権限付与 お勧め ユーザー リソース アクセス・グループ リソース

16. 既存のVPC Clusterにアクセスできるように、 新しいメンバーの招待と権限付与： 1. アクセスグループの作成 2. アクセスグループにアクセス権限付与 3. ユーザーをアカウントに招待し、アクセスグループに追加

17. 参考：アプリ開発者の権限設定の例

18. 参考：ユーザー・権限管理のベストプラクティス IAMは実態に合わせて設定し常に最新の状態を維持してください。 ユーザー アカウント所有者 • 所有者により招待され、アカウント内の リソースに対して作業をする担当者 • IBMidにより認証される個人の利用者 •

    アカウント内のユーザーおよびリソースに関するすべての 権限を有する • アカウント内のユーザーにアクセス権限やポリシーを付与 できる 役割・権限 • 利用者の実態に合わせて最新化（定期的に棚卸を実施 する） • 付与する権限は必要最小限にする • 多要素認証を設定する • 操作元のIPアドレスの制限も必要に応じて設定する • アカウントの厳重な管理：パスワード漏洩などの不正利用 に厳重に注意する • 利用できる担当者は、可能な限り限定する • アカウント所有者の特権でのみ実行が可能な操作や作業時 のみ使用する （それ以外では原則、使用しない） • 多要素認証を設定する 管理上の注意点 アカウント所有者、ユーザー個別の注意点

19. © 2024 IBM Corporation 19 Task 2 クラスターの拡張： ワーカーノードの追加

20. Why this task? Cloud環境管理者 フルアクセス権限を持ち、 ROKS クラスターの運用責任も持つ Applicationの開発者や運用者 OpenShiftへのアクセスが必要、 Cloud

    Platformには詳しくない アプリを展開して おきたいですが、 CPUリソースが足りない ようです。 クラスターを拡張しま した。ご確認下さい。

21. ROKSクラスターの構成 シングルゾーン・クラスター MZR対応リージョンの場合、シングルゾーン構成でも マスターは3ゾーンに配置される マルチゾーン・クラスター TOK02 TOK04 TOK05 Worker 1

    Worker 1 Worker 2 Worker 2 Master TOK02 TOK04 TOK05 Worker 1 Worker 1 Worker 2 Worker 2 Worker 1 Worker 1 Worker 2 Worker 2 Worker 1 Worker 1 Worker 2 Worker 2 Global Load Balancer (Cloud Internet Services) Global Load Balancer (Cloud Internet Services) Master

22. ROKS Worker Nodeの選択 仮想サーバー（共有/専有）またはベアメタ ルサーバー（Classicのみ）を選択可能： • 異なる種類・スペックをMix可能 • 少なくとも２台 •

    仮想サーバー（共有/専有）：時間課金 • ベアメタルサーバー：月額課金

23. 既存のVPC Clusterを拡張する： • やり方１：新しいWorker Poolの作成 • やり方２：既存のWorker PoolのResize

24. 知っ得情報：ワーカーノードの予約済みリソース _ CPU 予約されたCPUおよび メモリーリソースは、ワーカーノード上のPodには使用できません。

25. 知っ得情報：ワーカーノードの予約済みリソース _ Memory 予約されたCPUおよび メモリーリソースは、ワーカーノード上のPodには使用できません。

26. Day 1 まとめ *ご協力をお願い： ２回目のHandsonのため、IBM Cloudへ登録用メールアドレスのご用意・ご提供 内容 タイムテーブル オープンニング 13:00-13:10

    ROKS Basic 13:10-13:25 新しいメンバーの招待と権限付与 13:25-13:40 クラスターの拡張：ワーカーノードの追加 13:40-13:55 １日目のまとめ 13:55-14:00

27. 27 © 2024 IBM Corporation Task 3 クラスターのクラスターの バージョンアップ

28. Cloud環境管理者 フルアクセス権限を持ち、 ROKS クラスターの運用責任も持つ Applicationの開発者や運用者 OpenShiftへのアクセスが必要、 Cloud Platformには詳しくない 現在のバージョンが 来年にサポート切れと

    なります。 バージョンアップを 進めて下さい Why this task?

29. ROKSのバージョンとサポート状況 サポート終了日 リリース日付 サポート状況 OpenShiftバージョン 2026 年 1 月 8

    日 (暫定) 2024 年 4 月 24 日 サポートあり 4.15 2026 年 1 月 8 日 2023 年 12 月 13 日 サポートあり 4.14 2025 年 2 月 26 日 2023 年 6 月 14 日 サポートあり 4.13 2025 年 2 月 26 日 2023 年 2 月 23 日 サポートあり 4.12 2024 年 3 月 6日 2022 年 8 月 31 日 サポート切れ 4.11 デフォルト 最新 OpenShiftバージョン: <メジャー>.<マイナー>.<パッチ> (例：4.14.22)

30. • マスターを更新できるのは 1 つ先のマイナー・バージョンまでです。 • ワーカー・ノードは、マスターよりも大きい Kubernetes メジャー・バージョンまたはマイナー・バージョンを実行できません。 • クラスターのバージョンアップはバージョンアップ先が「サポートあり」「非推奨」期間のみ実施できます。

    • それ以外ではクラスターの再作成が必要となります。 • アドオンについてもサポート対象のバーションにバージョンアップください。 ROKSバージョンアップの注意事項

31. ROKSバージョンアップの種類と流れ https://cloud.ibm.com/docs/openshift?topic=openshift-update 稼働中のクラスターのバージョンアップでは、 先ずはマスターノードを更新、その後ワーカーノードを更新する必要。 メジャーバージョン（例：4.x.x）、マイナーバージョン（例：x.12.x） 利用者にて更新を行います １．利用者がマスターノードを更新 ２．利用者がワーカーノードごとに個別で更新 パッチバージョン（例：x.x.4_1510） IBMと利用者にて更新を行います

    １．IBMがマスターノードにパッチを自動適用（デフォルト） ２．利用者がワーカーノードごとに個別で更新 マスターの更新

32. Worker Nodeをバージョンアップする（マイナー）

33. 知っ得く情報：ROKSを使用する際の責任分担 内容 責任 タイプ別の責任 • ワーカーノードのプロビジョニング、追加と削除 • クラスター管理コンポーネントをセットアップおよびプロビジョニング IBM クラウド・インフラストラク

    チャー • コンピュートおよびストレージ容量の調整 • ワークロードのニーズを満たすようにネットワーク構成 お客様 • クラスタの構築、運用、監視及びクラスタ管理用のAPI、CLI、コンソールの提供 （MZR提供地域でのマルチマスター構成、etcd のバックアップおよびリカバリー） • クラシックインフラストラクチャーと統合するためのプラグイン提供など • マスター及びワーカーノードに対してOS、バージョン、およびセキュリティーのバージョン更新を適用できるように提供 IBM 管理対象クラスター • マスターノード、ワーカーノードのバージョン更新の適用 （パッチバージョンの場合、マスターノードには自動適用されます） お客様 • PCI DSS など、さまざまな業界のコンプライアンス規格に対応した制御を維持 • マスターとワーカー・ノードの間の通信を TLS で暗号化 • ワーカーノードのストレージ暗号化、SSHの無効化 • Kubernetes 役割ベース・アクセス制御 IBM セキュリティーが充実した環境 • ワークロードのニーズを満たすように追加のセキュリティー設定 お客様 • Istio や Knative など、多くの管理対象アドオンを提供 • IBM Cloud上の様々なサービスとの統合（Container Registry、Log Analysis、Cloud Monitoringなど） • サービス公開するためのロード・バランサーおよび Ingress ルートをサポート IBM アプリのオーケストレーション • 提供されたツールおよび機能を使用して、構成とデプロイ、許可のセットアップ、他のサービスとの統合、 外部からの処理、正常性の モニター、データの保存、バックアップ、およびリストアを行い、それ以外の場合は可用性が高く、回復力の高いワークロードを管理 お客様

34. 34 © 2024 IBM Corporation Task 4 クラスターのステータスチェック

35. Cloud環境管理者 フルアクセス権限を持ち、 ROKS クラスターの運用責任も持つ Applicationの開発者や運用者 OpenShiftへのアクセスが必要、 Cloud Platformには詳しくない 最近、サーバーが高負荷状態と なっており、CPU/メモリの

    状態を確認したい ダッシュボードで 確認してみては？ Why this task?

36. IBM Cloud Portalのクラスター詳細画面

37. OpenShiftのダッシュボード

38. OpenShiftのダッシュボード － Web コンソールのパースペクティブ － 管理者向け表示：クラスターインベントリー、容量、全般的および特定の使用に関 する情報、および重要なイベントのストリームを表示する － 開発者：アプリケーション、サービス、データベースをデプロイするために組み込 まれたさまざまな手法を提供する

    － OpenShift ダッシュボード：管理者向け表示  ホーム  概要 詳細：クラスター情報の概要 クラスターインベントリー：リソースの数 ステータス：クラスターのHealthとAlertの一覧 クラスターの使用率：指定された期間における各種リソースの容量 アクティビティー ：Pod の作成または別のホストへの仮想マシンの移行などのクラスター内の最近のアクティビティー に関連したメッセージを一覧 ① ② ③ ④ ⑤

39. 10min 1. IBM Cloud Portalへアクセス 2. OpenShiftのダッシュボードへアクセス 3. OC CLI操作

    （余裕がある方のみ） 4. ROKSのステータスチェック

40. 1. IBM Cloud Portalへアクセス Mail #1 Mail #2 https://cloud.ibm.com/

41. Task 5 サンプルのアプリケーションの構築

42. Why this task? Cloud環境管理者 フルアクセス権限を持ち、 ROKS クラスターの運用責任も持つ Applicationの開発者や運用者 OpenShiftへのアクセスが必要、 Cloud

    Platformには詳しくない メンテナンス作業があり ましたが、クラスターは 今、大丈夫？ Sampleアプリを作って クラスターの動作を 確認します。

43. OpenShift DashboardにてSample Appの構築 • (Optional)OpenShift CLIよりSample Appの構築 参考書類：https://cloud.ibm.com/docs/openshift?topic=openshift-getting-started#getting-started-deploy-app 10min 余裕がある方のみ。

44. oc new project student1 oc new-app https://github.com/openshift/ruby-hello-world --name=ruby-hello oc expose

    service ruby-hello oc get all (Optional)OpenShift CLIよりSample Appの構築 余裕がある方のみ。

45. Task 6 アプリケーションへのアクセス制御

46. Why this task? Cloud環境管理者 フルアクセス権限を持ち、 ROKS クラスターの運用責任も持つ Applicationの開発者や運用者 OpenShiftへのアクセスが必要、 Cloud

    Platformには詳しくない Webアプリを展開しました。 誰でもアクセスできて、 危ないかな。。。 プラットフォームにはセキュリ ティ機能がありますよ。アプリア クセスのホワイトリストを 作成しましょう。

47. APP on VPC ROKS：Networking & アクセス制限 IBM Cloud Region VPC

    Zone Subnet ROKS Worker Node INTERNET PUBLIC GATEWAY Zone Subnet ROKS Worker Node PUBLIC GATEWAY LOAD BALANCER USER SECURITY GROUP FOR VPC Worker Node Access App Access

48. APP on VPC ROKS：Security Groupの設定 Tokyo RegionのControl Plane IP Public

    GatewayのPublic IP (こちらの検証環境がTwo Zoneであり、Public Gatewayも2台あります。 許可される端末のIP

49. GitHubに公開済み：https://github.com/IBM-Cloud/kube-samples/tree/master/control-plane-ips ROKSのControl Plane IPs

50. 参考: Canary TrafficのPath Canary TrafficがPodから発生し、VPCのPublic Gatewayを通過して、VPCのLoad Balancerのパブリック側に到着する。 Security GroupのIngress RuleにPublic

    GatewayのPublic IPを許可しないと、Canary TrafficがCluster内に入ることができない。

51. IPのWhite ListによるAPPへのアクセス制御： • Security Groupの作成 • Security GroupをLoad Balancerに関連付け •

    端末からアクセスできるか、確認 前提： - Task 5のアプリ構築が完了。

52. Day2 まとめ

53. このセッションについて Cloud環境管理者 フルアクセス権限を持ち、 ROKS クラスターの運用責任も持つ Applicationの開発者や運用者 OpenShiftへのアクセスが必要、 Cloud Platformには詳しくない ROKSの運用、よく使う作業

    1. 新しいメンバーの招待と権限付与 2. ワーカーノードの追加 3. ROKS クラスターのバージョンアップ 4. ROKS クラスターのステータスチェック 5. アプリケーションサンプルの構築 6. アプリケーションへのアクセス制御 ROKS (OpenShift on IBM Cloud)の運用に関してよく使う作業について説明とデモ 一部のタスクはHands-on可能。

54. Question ?

55. 来場者アンケートのお願い https://app.sli.do/event/57gPxMcsRDCi7XmrF3zfd3

56. ワークショップ、セッション、および資料は、IBMまたはセッション発表者によって準備され、それぞれ独自の見解を反映したものです。それらは情報 提供の目的のみで提供されており、いかなる参加者に対しても法律的またはその他の指導や助言を意図したものではなく、またIBM製品やサービスがお 客様に適用ある特定の法令に適合することを保証するものでもありません。本講演資料に含まれている情報については、完全性と正確性を期するよう努 めておりますが、「現状のまま」提供され、明示または黙示にかかわらず、商業性、特定の目的への適合性、非侵害性を含め、いかなる保証も伴わない ものとします。本講演資料またはその他の資料の使用によって、あるいはその他の関連によって、いかなる損害が生じた場合も、IBMは責任を負わない ものとします。 本講演資料で言及されるIBM製品、プログラム、またはサービスは、IBMがビジネスを行っているすべての国・地域でご提供可能なわけ ではありません。本講演資料で言及される将来の展望（製品リリース日付や製品機能を含む）は、市場機会またはその他の要因に基づいてIBM独自の決 定権をもっていつでも変更できるものとし、将来の製品または機能が使用可能になること、もしくは特定の結果を確約することを意図するものではあり ません。本講演資料は、言及される

    IBM製品またはサービスに適用ある契約条件を変更するものでも、追加の表明または保証を意図するものでもありま せん。 本講演資料に含まれている内容は、参加者の活動によって特定の結果が生じると述べる、または暗示することを意図したものでも、またそのような結果 を生むものでもありません。 パフォーマンスは、管理された環境において標準的なIBMベンチマークを使用した測定と予測に基づいています。ユーザー が経験する実際のスループットやパフォーマンスは、ユーザーのジョブ・ストリームにおけるマルチプログラミングの量、入出力構成、ストレージ構成、 および処理されるワークロードなどの考慮事項を含む、数多くの要因に応じて変化します。したがって、個々のユーザーがここで述べられているものと 同様の結果を得られると確約するものではありません。記述されているすべてのお客様事例は、それらのお客様がどのようにIBM製品を使用したか、ま たそれらのお客様が達成した結果の実例として示されたものです。実際の環境コストおよびパフォーマンス特性は、お客様ごとに異なる場合があります。 • IBM、IBM ロゴ、ibm.com、IBM Cloudは、 世界の多くの国で登録されたInternational Business Machines Corporationの商標です。他の製品名お よびサービス名等は、それぞれIBMまたは各社の商標である場合があります。現時点での IBM の商標リストについては、 www.ibm.com/legal/copytrade.shtmlをご覧ください。 • Red Hat, Red Hat OpenShiftは、世界の多くの国で登録されたRed Hat, Inc.の商標です。

57. © 2024 IBM Corporation 57