Upgrade to Pro — share decks privately, control downloads, hide ads and more …

🐙 KubernetesのマルチテナントパターンとArgoCDの実践テナント設計

長谷川 広樹
December 21, 2023
Programming
4
2.3k

🐙 KubernetesのマルチテナントパターンとArgoCDの実践テナント設計

Kubernetes Novice Tokyo』の登壇資料です

・Kubernetesのマルチテナントパターンの種類
・ArgoCDのAppProjectテナントとNamespacedスコープモード
・ArgoCDのテナントが防いでくれる誤った操作の具体例

を紹介しました

ArgoCDのマニフェストの実装例を解説できませんでしたので、ぜひ元記事 (KubernetesのマルチテナントパターンとArgoCDの実践テナント設計) もご参照ください👍🏻

🐦 ツイート:https://x.com/Hiroki__IT/status/1737778249021952458

長谷川 広樹

December 21, 2023
Tweet

More Decks by 長谷川 広樹

See All by 長谷川 広樹
♾️ マルチプロダクトの組織でマイクロサービスアーキテクチャを支えるCICDプラットフォーム設計
hiroki_hasegawa
4
2.2k
🧑‍🚀 tfstate の分割パターンとディレクトリ構成への適用
hiroki_hasegawa
8
5.8k
⛵️ Istioのサービス間通信を実現するサービスディスカバリーの仕組み
hiroki_hasegawa
3
6.1k
🔍 可観測性に入門しよう
hiroki_hasegawa
1
1k
🏗️ ドメイン駆動設計と依存性逆転の原則
hiroki_hasegawa
14
8.8k
🤝🏻 依存関係と依存オブジェクト注入
hiroki_hasegawa
1
1.2k
🐭 Goに入門しよう
hiroki_hasegawa
0
640
♾️ SREに入門しよう
hiroki_hasegawa
1
770
🐭 Lambda関数をGoで実装してみた話
hiroki_hasegawa
0
790

Other Decks in Programming

See All in Programming
Quine, Polyglot, 良いコード
qnighy
4
640
Compose 1.7のTextFieldはPOBox Plusで日本語変換できない
tomoya0x00
0
190
Generative AI Use Cases JP (略称:GenU)奮闘記
hideg
1
290
3 Effective Rules for Using Signals in Angular
manfredsteyer
PRO
1
100
Macとオーディオ再生 2024/11/02
yusukeito
0
370
Duckdb-Wasmでローカルダッシュボードを作ってみた
nkforwork
0
120
3 Effective Rules for Using Signals in Angular
manfredsteyer
PRO
0
110
Jakarta EE meets AI
ivargrimstad
0
120
Jakarta EE meets AI
ivargrimstad
0
580
Creating a Free Video Ad Network on the Edge
mizoguchicoji
0
110
TypeScriptでライブラリとの依存を限定的にする方法
tutinoko
2
660
CSC509 Lecture 09
javiergs
PRO
0
140

Featured

See All Featured
Rails Girls Zürich Keynote
gr2m
94
13k
Making the Leap to Tech Lead
cromwellryan
133
8.9k
A Philosophy of Restraint
colly
203
16k
A designer walks into a library…
pauljervisheath
203
24k
No one is an island. Learnings from fostering a developers community.
thoeni
19
3k
Building an army of robots
kneath
302
43k
Build your cross-platform service in a week with App Engine
jlugia
229
18k
Code Review Best Practice
trishagee
64
17k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
329
21k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
38
1.8k
Designing on Purpose - Digital PM Summit 2013
jponch
115
7k
A Modern Web Designer's Workflow
chriscoyier
693
190k

Transcript

  1. 2023/12/21 Kubernetes Novice Tokyo #29 株式会社スリーシェイク 長谷川広樹 @Hiroki_IT github.com/hiroki-it hiroki-hasegawa.hatenablog.jp

    はてな Kubernetes のマルチテナントパターン と ArgoCD の実践テナント設計

  2. マイクロサービスアーキのインフラ領域が仕事 ・マイクロサービスアーキを支えるインフラ技術 ・ドメイン駆動設計 俺です 社内で色々ふざけ過ぎてるので、そろそろ怒られるかもー ・サービスメッシュ (Istio ←推し❤) ・IaC (Kubernetes,

    Helm, Terraform) ・CICD (GitLab CI, ArgoCD) ・監視 (Prometheus, Fluentd, Kiali, OpenTelemetry入門中) ・クラウドインフラ (AWS, ちょいGoogle Cloud) マイクロサービスアーキ関連の技術が好き 虫捕りついでに 虫食ってた話 する?

  3. 発表の元記事 解説できなかったArgoCDのマニフェストの実装例 については元記事を見てね 🔎 (本発表の参考リンクも記事中にあるよ) https://hiroki-hasegawa.hatenablog.jp/entry/2023/05/02/145115

  4. スライドで使っている図の凡例です

  5. なぜ ArgoCDでマルチテナントが必要なのか

  6. なんか間違えてる気がするけど ( ΦωΦ)σ ヨシ! 利用者は 全プロダクトApplicationを 操作できる 誤ったプロダクトに マニフェストを デプロイできちゃう

    ( ΦωΦ)σ

  7. 󰘐 デプロイさせないマン 利用者は 正しいテナントのみに リクエストできる 誤ったプロダクトに マニフェストを デプロイさせない󰘐

  8. Kubernetesのマルチテナントパターン

  9. Kubernetesでは適切なテナントパターンを採用しよう Clusters as-a-Service Control Planes as-a-Service Namespaces as-a-Service カスタムリソース テナント

    テナント 単位 実際のCluster 仮想Cluster Namespace ツール固有の論理空間 説明 テナントごとに 独立した Cluster テナントごとに 独立した コントロールプレーン (仮想Cluster) テナントごとに 独立した Namespace テナントごとに 独立した ツール固有の論理空間 ツール  ⚫ AWS EKS  ⚫ GCP GKE  ⚫ Azure AKE  ⚫ Kubeadm    ・Kcp    ・tensile-kube    ・vcluster    ・VirtualCluster -  ⚫ ArgoCD (AppProject)  ⚫ Capsule (Tenant)  ⚫ Kiosk (Account)  ⚫ KubeZoo (Tenant)

  10. ArgoCDの実践テナント設計

  11. KubernetesのテナントパターンをArgoCDで “実践” する 実Cluster テナント 仮想Cluster テナント Namespace テナント AppProject

    テナント CLモード AppProject テナント NSモード 対応する テナントパターン Clusters as-a-Service Control Planes as-a-Service Namespaces as-a-Service カスタムリソーステナント ArgoCDが テナント間で 占有 / 共有 占有 占有 占有 共有 占有 おすすめ ★ ★★ 今回 紹介する実践 ✅ ✅

  12. AppProjectテナントは ”Namespace” と ”AppProject” の二重テナント まずNamespace、次にAppProjectによるテナント

  13. スコープモードが異なると、テナント間でArgoCDを 共有 / 占有 が異なる Clusterスコープモード (ArgoCD共有) Namespacedスコープモード (ArgoCD占有)

  14. 比べるとNamespacedスコープモードの方がおすすめ Namespacedスコープモードは テナント間でArgoCDを占有できる 各テナントのArgoCDは ⚫ テナントごと設定値を変更できる ⚫ 他ArgoCDの障害に影響されない 一方でClusterスコープモードだと ⚫

    テナントごと設定値を変更できず ⚫ ArgoCDが単一障害点になる

  15. AppProjectテナント & Namespacedスコープモード で最強のテナントを作る Namespacedスコープモード AppProjectテナント ⚫ Namespace = プロダクト

    ⚫ AppProject = サブチーム 誤ったプロダクトや 誤ったサブチーム管理下に マニフェストを デプロイさせない󰘐 &

  16. 最強のテナントは どのような誤った操作を 防いでくれるのか

  17. 正しいテナントを選べば マニフェストをデプロイできる 文字が見えない箇所は 拡大してね🔍 fooプロダクトinfraチーム󰱢が NamespaceかつAppProject内の Applicationを操作する テナントが正しければ エラーなく マニフェストをデプロイできる

  18. 🚫 デプロイ制限-1 文字が見えない箇所は拡大してね🔍 fooプロダクトinfraチーム󰱢が barプロダクトNamespace内の Applicationを操作する Namespaceが誤っているため 操作時にエラーを返し デプロイさせない󰘐

  19. 🚫 デプロイ制限-2 fooプロダクトinfraチーム󰱢が app AppProject内の Applicationを操作する 文字が見えない箇所は 拡大してね🔍 AppProjectが誤っているため 操作時にエラーを返し

    デプロイさせない󰘐

  20. 🚫 デプロイ制限-3 fooプロダクトinfraチーム󰱢が fooテナント内のApplicationから barプロダクトClusterを デプロイ先に指定する 文字が見えない箇所は 拡大してね🔍 デプロイ先が誤っているため 指定時にエラーを返し

    デプロイさせない󰘐

  21. 🚫 デプロイ制限-4 文字が見えない箇所は 拡大してね🔍 fooプロダクトinfraチーム󰱢が infra AppProject内から app Namespaceを デプロイ先に指定する

    デプロイ先が誤っているため 指定時にエラーを返し デプロイさせない󰘐

  22. fooプロダクトのArgoCDが fooテナント内に Reconciliation テナントが正しいため エラーなく Reconciliationできる 正しいテナントならReconciliationできる

  23. fooプロダクトのArgoCDが barプロダクトNamespace内に Reconciliation Namespaceが誤っているため エラーを返し Reconciliationさせない󰘐 🚫 Reconciliation制限

  24. 次回 Kubernetes Kanzen Ni Rikaishita Tokyo 登壇します