$30 off During Our Annual Pro Sale. View Details »

いまからでも遅くない!ROKS (RedHat OpenShift on IBM Cloud)...

いまからでも遅くない!ROKS (RedHat OpenShift on IBM Cloud) の運用

いまからでも遅くない!ROKS (RedHat OpenShift on IBM Cloud)の運用

HelenXiao

June 07, 2024
Tweet

More Decks by HelenXiao

Other Decks in Technology

Transcript

  1. 自己紹介 ヘレン ショウ Helen Xiao 日本アイ・ビー・エム株式会社 テクノロジー事業本部 カスタマーサクセスマネージャー・CSM IBM Cloud

    [email protected] アレックス シャン Alex Xiang 日本アイ・ビー・エム株式会社 テクノロジー事業本部 カスタマーサクセスマネージャー・CSM IBM Cloud [email protected]
  2. このセッションについて Cloud環境管理者 フルアクセス権限を持ち、 ROKS クラスターの運用責任も持つ Applicationの開発者や運用者 OpenShiftへのアクセスが必要、 Cloud Platformには詳しくない ROKSの運用、よく使う作業

    1. 新しいメンバーの招待と権限付与 2. ワーカーノードの追加 3. ROKS クラスターのバージョンアップ 4. ROKS クラスターのステータスチェック 5. アプリケーションサンプルの構築 6. アプリケーションへのアクセス制御 目的:ROKS (OpenShift on IBM Cloud)の運用に関してよく使う作業について知る ゴール:ROKSの運用でよく使う機能を体験する
  3. アジェンダ 内容 タイムテーブル クラスターのクラスターのバージョンアップ 13:00-13:15 クラスターのステータスチェック 13:15-13:25 サンプルのアプリケーションの構築 13:25-13:40 IPのホワイトリストによるアプリケーションへのアクセス制御

    13:40-13:55 まとめ&クロージング 13:55-14:00 2日目(ハンズオンあり) 内容 タイムテーブル オープンニング 13:00-13:10 ROKS Basic 13:10-13:25 新しいメンバーの招待と権限付与 13:25-13:40 クラスターの拡張:ワーカーノードの追加 13:40-13:55 1日目のまとめ 13:55-14:00 1日目(ハンズオンなし) https://ibm-developer.connpass.com/event/317244/ https://ibm-developer.connpass.com/event/317256/ Connpass Dojo:
  4. コンテナ技術を使ってアプリを開発、運用 アプリを コンテナ化する コンテナ実行環境に アプリをデプロイする ローカル環境: Docker, Podman オーケストレーション環境: Kubernetes

    出来上がったアプリをコンテナという イメージファイルにまとめる アプリケーション コード コンテナ イメージ アプリケーション 依存関係 Bins/Libs コンテナ ユーザー 実行環境
  5. IBM CloudのKubernetes Service 開発スピード ポータビリティ Serverless 開発スピートの最速化 仮想サーバー 既存の開発言語や ツールの活用

    Kubernetes / OpenShift ポータビリティの 最大化 x86 ベアメタル 最大のパフォーマンスと自在な コントロール VMware/AIX/ IBM i/zLinux LIFTに最適 VM パフォーマンス&コントロール IBM Cloud Kubernetes Service Red Hat OpenShift on IBM Cloud Kubernetesをマネージドサービスで提供 Red Hat OpenShift をマネージドサービスで提供
  6. ROKS: Red Hat OpenShift on IBM Cloud マネージド・サービスとして提供 TOK02 TOK04

    TOK05 Worker 1 Worker 1 Worker 2 Worker 2 Worker 1 Worker 1 Worker 2 Worker 2 Worker 1 Worker 1 Worker 2 Worker 2 Global Load Balancer Global Load Balancer Master Master Master ROKSの特徴: • シンプルなクラスター作成 • 複数AZに分散した高可用性 • Worker Nodeには仮想サーバー、 物理サーバーを選択可能 • Master Nodeは無料 • 柔軟な課金モデル • IBM Cloud サービスとの連携
  7. Why this task? Cloud環境管理者 フルアクセス権限を持ち、 ROKS クラスターの運用責任も持つ Applicationの開発者や運用者 OpenShiftへのアクセスが必要、 Cloud

    Platformには詳しくない 開発チームメンバーに アクセス権限を付与 して下さい 設定完了しました。 確認して下さい
  8. ROKSのサービス作成・利用に必要な権限 Classicクラスターを 利用する場合 必須の作業: Service Name: Kubernetes Service プラットフォーム・アクセス役割 •

    リソース管理 • クラスターの作成 • ワーカーノードの追加 サービス・アクセス役割 • ダッシュボードなどへのアクセス • アプリ・デプロイメントの作成 • 名前空間の追加 クラスターを作成する場合: 関連サービスの権限: https://cloud.ibm.com/docs/openshift?topic=openshift-iam-platform-access-roles#cluster-create-permissions IBM Cloudのアクセス管理機能(IAM)を活用
  9. IBM Cloudのアカウント管理の全体イメージ アカウント所有者 ユーザー サービスID アクセスグループ クラシック インフラストラクチャー IAM対応サービス ユーザー

    リソース アカウント管理 (請求処理、サポート・センター、 ユーザー管理、など) アクセスポリシー アカウント管理機能
  10. 参考:ユーザー・権限管理のベストプラクティス IAMは実態に合わせて設定し常に最新の状態を維持してください。 ユーザー アカウント所有者 • 所有者により招待され、アカウント内の リソースに対して作業をする担当者 • IBMidにより認証される個人の利用者 •

    アカウント内のユーザーおよびリソースに関するすべての 権限を有する • アカウント内のユーザーにアクセス権限やポリシーを付与 できる 役割・権限 • 利用者の実態に合わせて最新化(定期的に棚卸を実施 する) • 付与する権限は必要最小限にする • 多要素認証を設定する • 操作元のIPアドレスの制限も必要に応じて設定する • アカウントの厳重な管理:パスワード漏洩などの不正利用 に厳重に注意する • 利用できる担当者は、可能な限り限定する • アカウント所有者の特権でのみ実行が可能な操作や作業時 のみ使用する (それ以外では原則、使用しない) • 多要素認証を設定する 管理上の注意点 アカウント所有者、ユーザー個別の注意点
  11. Why this task? Cloud環境管理者 フルアクセス権限を持ち、 ROKS クラスターの運用責任も持つ Applicationの開発者や運用者 OpenShiftへのアクセスが必要、 Cloud

    Platformには詳しくない アプリを展開して おきたいですが、 CPUリソースが足りない ようです。 クラスターを拡張しま した。ご確認下さい。
  12. ROKSクラスターの構成 シングルゾーン・クラスター MZR対応リージョンの場合、シングルゾーン構成でも マスターは3ゾーンに配置される マルチゾーン・クラスター TOK02 TOK04 TOK05 Worker 1

    Worker 1 Worker 2 Worker 2 Master TOK02 TOK04 TOK05 Worker 1 Worker 1 Worker 2 Worker 2 Worker 1 Worker 1 Worker 2 Worker 2 Worker 1 Worker 1 Worker 2 Worker 2 Global Load Balancer (Cloud Internet Services) Global Load Balancer (Cloud Internet Services) Master
  13. Day 1 まとめ *ご協力をお願い: 2回目のHandsonのため、IBM Cloudへ登録用メールアドレスのご用意・ご提供 内容 タイムテーブル オープンニング 13:00-13:10

    ROKS Basic 13:10-13:25 新しいメンバーの招待と権限付与 13:25-13:40 クラスターの拡張:ワーカーノードの追加 13:40-13:55 1日目のまとめ 13:55-14:00
  14. ROKSのバージョンとサポート状況 サポート終了日 リリース日付 サポート状況 OpenShiftバージョン 2026 年 1 月 8

    日 (暫定) 2024 年 4 月 24 日 サポートあり 4.15 2026 年 1 月 8 日 2023 年 12 月 13 日 サポートあり 4.14 2025 年 2 月 26 日 2023 年 6 月 14 日 サポートあり 4.13 2025 年 2 月 26 日 2023 年 2 月 23 日 サポートあり 4.12 2024 年 3 月 6日 2022 年 8 月 31 日 サポート切れ 4.11 デフォルト 最新 OpenShiftバージョン: <メジャー>.<マイナー>.<パッチ> (例:4.14.22)
  15. 知っ得く情報:ROKSを使用する際の責任分担 内容 責任 タイプ別の責任 • ワーカーノードのプロビジョニング、追加と削除 • クラスター管理コンポーネントをセットアップおよびプロビジョニング IBM クラウド・インフラストラク

    チャー • コンピュートおよびストレージ容量の調整 • ワークロードのニーズを満たすようにネットワーク構成 お客様 • クラスタの構築、運用、監視及びクラスタ管理用のAPI、CLI、コンソールの提供 (MZR提供地域でのマルチマスター構成、etcd のバックアップおよびリカバリー) • クラシックインフラストラクチャーと統合するためのプラグイン提供など • マスター及びワーカーノードに対してOS、バージョン、およびセキュリティーのバージョン更新を適用できるように提供 IBM 管理対象クラスター • マスターノード、ワーカーノードのバージョン更新の適用 (パッチバージョンの場合、マスターノードには自動適用されます) お客様 • PCI DSS など、さまざまな業界のコンプライアンス規格に対応した制御を維持 • マスターとワーカー・ノードの間の通信を TLS で暗号化 • ワーカーノードのストレージ暗号化、SSHの無効化 • Kubernetes 役割ベース・アクセス制御 IBM セキュリティーが充実した環境 • ワークロードのニーズを満たすように追加のセキュリティー設定 お客様 • Istio や Knative など、多くの管理対象アドオンを提供 • IBM Cloud上の様々なサービスとの統合(Container Registry、Log Analysis、Cloud Monitoringなど) • サービス公開するためのロード・バランサーおよび Ingress ルートをサポート IBM アプリのオーケストレーション • 提供されたツールおよび機能を使用して、構成とデプロイ、許可のセットアップ、他のサービスとの統合、 外部からの処理、正常性の モニター、データの保存、バックアップ、およびリストアを行い、それ以外の場合は可用性が高く、回復力の高いワークロードを管理 お客様
  16. OpenShiftのダッシュボード - Web コンソールのパースペクティブ - 管理者向け表示:クラスターインベントリー、容量、全般的および特定の使用に関 する情報、および重要なイベントのストリームを表示する - 開発者:アプリケーション、サービス、データベースをデプロイするために組み込 まれたさまざまな手法を提供する

    - OpenShift ダッシュボード:管理者向け表示  ホーム  概要 詳細:クラスター情報の概要 クラスターインベントリー:リソースの数 ステータス:クラスターのHealthとAlertの一覧 クラスターの使用率:指定された期間における各種リソースの容量 アクティビティー :Pod の作成または別のホストへの仮想マシンの移行などのクラスター内の最近のアクティビティー に関連したメッセージを一覧 ① ② ③ ④ ⑤
  17. Why this task? Cloud環境管理者 フルアクセス権限を持ち、 ROKS クラスターの運用責任も持つ Applicationの開発者や運用者 OpenShiftへのアクセスが必要、 Cloud

    Platformには詳しくない メンテナンス作業があり ましたが、クラスターは 今、大丈夫? Sampleアプリを作って クラスターの動作を 確認します。
  18. oc new project student1 oc new-app https://github.com/openshift/ruby-hello-world --name=ruby-hello oc expose

    service ruby-hello oc get all (Optional)OpenShift CLIよりSample Appの構築 余裕がある方のみ。
  19. Why this task? Cloud環境管理者 フルアクセス権限を持ち、 ROKS クラスターの運用責任も持つ Applicationの開発者や運用者 OpenShiftへのアクセスが必要、 Cloud

    Platformには詳しくない Webアプリを展開しました。 誰でもアクセスできて、 危ないかな。。。 プラットフォームにはセキュリ ティ機能がありますよ。アプリア クセスのホワイトリストを 作成しましょう。
  20. APP on VPC ROKS:Networking & アクセス制限 IBM Cloud Region VPC

    Zone Subnet ROKS Worker Node INTERNET PUBLIC GATEWAY Zone Subnet ROKS Worker Node PUBLIC GATEWAY LOAD BALANCER USER SECURITY GROUP FOR VPC Worker Node Access App Access
  21. APP on VPC ROKS:Security Groupの設定 Tokyo RegionのControl Plane IP Public

    GatewayのPublic IP (こちらの検証環境がTwo Zoneであり、Public Gatewayも2台あります。 許可される端末のIP
  22. IPのWhite ListによるAPPへのアクセス制御: • Security Groupの作成 • Security GroupをLoad Balancerに関連付け •

    端末からアクセスできるか、確認 前提: - Task 5のアプリ構築が完了。
  23. このセッションについて Cloud環境管理者 フルアクセス権限を持ち、 ROKS クラスターの運用責任も持つ Applicationの開発者や運用者 OpenShiftへのアクセスが必要、 Cloud Platformには詳しくない ROKSの運用、よく使う作業

    1. 新しいメンバーの招待と権限付与 2. ワーカーノードの追加 3. ROKS クラスターのバージョンアップ 4. ROKS クラスターのステータスチェック 5. アプリケーションサンプルの構築 6. アプリケーションへのアクセス制御 ROKS (OpenShift on IBM Cloud)の運用に関してよく使う作業について説明とデモ 一部のタスクはHands-on可能。
  24. ワークショップ、セッション、および資料は、IBMまたはセッション発表者によって準備され、それぞれ独自の見解を反映したものです。それらは情報 提供の目的のみで提供されており、いかなる参加者に対しても法律的またはその他の指導や助言を意図したものではなく、またIBM製品やサービスがお 客様に適用ある特定の法令に適合することを保証するものでもありません。本講演資料に含まれている情報については、完全性と正確性を期するよう努 めておりますが、「現状のまま」提供され、明示または黙示にかかわらず、商業性、特定の目的への適合性、非侵害性を含め、いかなる保証も伴わない ものとします。本講演資料またはその他の資料の使用によって、あるいはその他の関連によって、いかなる損害が生じた場合も、IBMは責任を負わない ものとします。 本講演資料で言及されるIBM製品、プログラム、またはサービスは、IBMがビジネスを行っているすべての国・地域でご提供可能なわけ ではありません。本講演資料で言及される将来の展望(製品リリース日付や製品機能を含む)は、市場機会またはその他の要因に基づいてIBM独自の決 定権をもっていつでも変更できるものとし、将来の製品または機能が使用可能になること、もしくは特定の結果を確約することを意図するものではあり ません。本講演資料は、言及される

    IBM製品またはサービスに適用ある契約条件を変更するものでも、追加の表明または保証を意図するものでもありま せん。 本講演資料に含まれている内容は、参加者の活動によって特定の結果が生じると述べる、または暗示することを意図したものでも、またそのような結果 を生むものでもありません。 パフォーマンスは、管理された環境において標準的なIBMベンチマークを使用した測定と予測に基づいています。ユーザー が経験する実際のスループットやパフォーマンスは、ユーザーのジョブ・ストリームにおけるマルチプログラミングの量、入出力構成、ストレージ構成、 および処理されるワークロードなどの考慮事項を含む、数多くの要因に応じて変化します。したがって、個々のユーザーがここで述べられているものと 同様の結果を得られると確約するものではありません。記述されているすべてのお客様事例は、それらのお客様がどのようにIBM製品を使用したか、ま たそれらのお客様が達成した結果の実例として示されたものです。実際の環境コストおよびパフォーマンス特性は、お客様ごとに異なる場合があります。 • IBM、IBM ロゴ、ibm.com、IBM Cloudは、 世界の多くの国で登録されたInternational Business Machines Corporationの商標です。他の製品名お よびサービス名等は、それぞれIBMまたは各社の商標である場合があります。現時点での IBM の商標リストについては、 www.ibm.com/legal/copytrade.shtmlをご覧ください。 • Red Hat, Red Hat OpenShiftは、世界の多くの国で登録されたRed Hat, Inc.の商標です。