Upgrade to Pro — share decks privately, control downloads, hide ads and more …

CNDO2021 Open Policy Agent

Taisei Ito
March 11, 2021
Technology
1
930

CNDO2021 Open Policy Agent

CloudNative Days Spring 2021 ONLINE へ登壇した時の資料
https://event.cloudnativedays.jp/cndo2021/talks/811

Taisei Ito

March 11, 2021
Tweet

More Decks by Taisei Ito

See All by Taisei Ito
20220214_Future Tech Night
kaedemalu
0
1.2k
20210910_nyle
kaedemalu
0
700
20210827 Future Tech Night
kaedemalu
0
3.7k
20210210 Terraform meetup ONLINE
kaedemalu
0
520
Future Talk Night 20201118
kaedemalu
0
120
20201114 GCPUG Shonan
kaedemalu
0
260
Future New Graduate Session
kaedemalu
0
50
Google Cloud Next '20 Recap Security Section
kaedemalu
1
260
ツールの多い時代のネットワーク(インフラ)エンジニアになって思うこと
kaedemalu
1
950

Other Decks in Technology

See All in Technology
ECテックカンファレンス2023 EC事業部のモバイル開発2023
tatsumi0000
0
310
Periodic Multi-Agent Path Planning
hziwara
0
110
ラズパイとGASで加湿器の消し忘れをLINEでリマインド&操作
minako__ph
0
150
CUEとKubernetesカスタムオペレータを用いた新しいネットワークコントローラをつくってみた
hrk091
1
280
SignalR を使ったアプリケーション開発をより快適に!
nenonaninu
0
630
PHPのimmutable arrayとは
hnw
1
160
Airdrop for Open Source Projects
epicsdao
0
700
Kaggleシミュレーションコンペの動向
nagiss
0
270
NGINXENG JP#2 - 1-NGINX-エンジニアリング勉強会-きょうの見どころ
hiropo20
0
110
Hatena Engineer Seminar #23 「チームとプロダクトを育てる Mackerel 開発合宿」
arthur1
0
520
ChatGPT for Hacking
anugrahsr
0
4.5k
経営統合をきっかけに会社をエンジニアリングした話 / btconjp-2023
carta_engineering
0
150

Featured

See All Featured
Producing Creativity
orderedlist
PRO
335
38k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
13
1.1k
Visualization
eitanlees
128
12k
Keith and Marios Guide to Fast Websites
keithpitt
407
21k
The Language of Interfaces
destraynor
149
21k
Scaling GitHub
holman
453
140k
Happy Clients
brianwarren
90
5.8k
A Tale of Four Properties
chriscoyier
149
21k
Making the Leap to Tech Lead
cromwellryan
117
7.7k
Art, The Web, and Tiny UX
lynnandtonic
284
18k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
38
3.6k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
349
27k

Transcript

  1. Open Policy Agentで社内の コード統一する夢を見る CloudNative Days Spring 2021 ONLINE Taisei

    Ito

  2. 2 自己紹介 • 伊藤 太斉(Taisei Ito) ◦ @kaedemalu(Twitter, Github) ◦

    Future Corporation ▪ Technology Innovation Group / DX Unit ◦ コンサルタント&インフラエンジニア ◦ #GCP # AWS #Terraform #Ansible • Community ◦ GCPUG Shonan Organizer ◦ CloudNative Days Committee

  3. 今の社内のロール • エンジニア ◦ インフラ〜ミドルウェアのチューニング ◦ 顧客のSRE(的な動き) ◦ 社内のOSS活用推進(コミットなど) ◦

    インフラのIaC化 • ブログ運営 3

  4. 今の社内のロール • エンジニア ◦ インフラ〜ミドルウェアのチューニング ◦ 顧客のSRE(的な動き) ◦ 社内のOSS活用推進(コミットなど) ◦

    インフラのIaC化 • ブログ運営 4

  5. IaCのメリット • 再現性が保てる • コードがパラメータシート ◦ ドキュメントよりメンテナンスしやすい • 可搬性がある •

    比較的読みやすい&入門しやすい 5

  6. IaCのメリット(特に社内) 6 プロジェクトA Terraform

  7. IaCのメリット(特に社内) 7 プロジェクトA Terraform プロジェクトB

  8. IaCのメリット(特に社内) 8 プロジェクトA Terraform プロジェクトB Terraform

  9. IaCのメリット(特に社内) 9 プロジェクトA Terraform プロジェクトB Terraform 展開可能!

  10. 生まれる流派 • Terraform ◦ Module vs. Workspaces ◦ Monorepo vs.

    Multirepo • Ansible ◦ ini vs. YAML 10

  11. 起こりうること① 11 プロジェクトA Terraform プロジェクトB Terraform 規約A 規約B

  12. 起こりうること① 12 プロジェクトA プロジェクトB 規約A 規約B Terraform Terraform

  13. 起こりうること① 13 プロジェクトA プロジェクトB 規約A 規約B Terraform Terraform 流派が違う!

  14. 起こりうること② 14 プロジェクトA Terraform プロジェクトB Terraform 規約A 規約B

  15. プロジェクトA Terraform プロジェクトB Terraform 起こりうること② 15 規約A 規約B

  16. プロジェクトA Terraform プロジェクトB Terraform 起こりうること② 16 規約A 規約B 異なる可能性

  17. 社内標準化が必要 • 将来的を見据えた取り組みが必要 ◦ PJ間での展開 ◦ メンバーのインプット負荷の軽減 ◦ 人による癖をなくす 17

  18. これまでフューチャーは 18 引用:Javaコーディング規約

  19. Terraform版を作りたい 19

  20. いや、 20

  21. 作らないといけない(と思った) (使命感) 21

  22. 今回のトピック • Open Policy Agentについて • 実際にTerraformのコード評価に使う • 将来的に行いたいこと 22

  23. Open Policy Agentについて 1

  24. Open Policy Agent(OPA)について • OSSで開発 • CNCFのGraduated Project(になった🎉) • Policy

    as Codeを実現するツール ◦ Regoという独自のポリシー記述言語 ◦ Kubernetes以外にも制約なく汎用的に利用できる 24

  25. Open Policy Agent(OPA)について 25 引用:Policy as Codeを実現するOpen Policy Agentに憧れて。ポリシーコードで API仕様をLintする

  26. Policy as Codeの技術選定 • Sentinel ◦ HashiCorp社が開発したPaCツール ◦ Terraform Cloudで利用できる(有償)

    • OPA ◦ 先に上げた通り ◦ OSSのツール 26

  27. Policy as Codeの技術選定 • Sentinel ◦ HashiCorp社が開発したPaCツール ◦ Terraform Cloudで利用できる(有償)

    • OPA ◦ 先に上げた通り ◦ OSSのツール 27

  28. Policy as Codeの技術選定 • Sentinel ◦ HashiCorp社が開発したPaCツール ◦ Terraform Cloudで利用できる(有償)

    • OPA ◦ 先に上げた通り ◦ OSSのツール 28 利用の幅が広い

  29. 実際に動かす 2

  30. デモやります 30

  31. Rego • Terraformのリソース名を制御する 31

  32. Terraform • EC2を2台作成するコード 32 OKとしたい NGとしたい

  33. ステップ① Plan結果をバイナリ化 • terraform plan -out tfplan.binary で保存 33

  34. ステップ② バイナリからJSON変換 • tf show -json tfplan.binary | jq .

    > tfplan.json 34

  35. ステップ③ Regoで評価する • opa eval --format json --data test.rego \

    --input tfplan.json "data.test.lint" 35 mail-instanceはNG web_instanceはOKになった ハイフン区切りは制御できる

  36. 所感とこれから 3

  37. OPAができること • リソースの制限という意味のポリシー ◦ インスタンスタイプ ◦ リージョン ◦ タグ ◦

    etc... 37

  38. OPAができないこと • Terraform自体の構文チェック ◦ Terraformで利用するリソース名はできる ◦ ファイルごと規約としてコードにはできない 38

  39. まずはドキュメンテーション • こういったサイトも参考にしながら。。 39 引用:Terraform Best Practices

  40. まとめ • インフラの横展開を進めるにあたり、コードが大事 ◦ インフラの構成→Terraform, Ansible ◦ IaCのポリシー制御→OPA, Sentinel •

    OSSで利用できる方が幅広く対応できる • コードの平和を守るにはOPAだけでなく、複合的に制御 することが大事そう 40

  41. 宣伝 4

  42. 42 フューチャーについて • 大崎にあるITコンサル会社 • 経営戦略から実装、運用までを全てこなす • ベンダーニュートラルの考え方 • 「ないものは作る」

  43. 43 こんな人がいます • Real World HTTPの著者 • Vue.jsのコミッター • Apache

    Software Foundationのボードメンバー • OSS「Vuls」の作成者

  44. 44 ブログも出しています

  45. - fin -