Upgrade to Pro — share decks privately, control downloads, hide ads and more …

CNDO2021 Open Policy Agent

02f940926caaa16d4657150117fc6438?s=47 Taisei Ito
March 11, 2021
Technology
1
800

CNDO2021 Open Policy Agent

CloudNative Days Spring 2021 ONLINE へ登壇した時の資料
https://event.cloudnativedays.jp/cndo2021/talks/811

02f940926caaa16d4657150117fc6438?s=128

Taisei Ito

March 11, 2021
Tweet

More Decks by Taisei Ito

See All by Taisei Ito
20220214_Future Tech Night
02f940926caaa16d4657150117fc6438?s=48 kaedemalu
0
570
20210910_nyle
02f940926caaa16d4657150117fc6438?s=48 kaedemalu
0
560
20210827 Future Tech Night
02f940926caaa16d4657150117fc6438?s=48 kaedemalu
0
3.2k
20210210 Terraform meetup ONLINE
02f940926caaa16d4657150117fc6438?s=48 kaedemalu
0
490
Future Talk Night 20201118
02f940926caaa16d4657150117fc6438?s=48 kaedemalu
0
86
20201114 GCPUG Shonan
02f940926caaa16d4657150117fc6438?s=48 kaedemalu
0
220
Future New Graduate Session
02f940926caaa16d4657150117fc6438?s=48 kaedemalu
0
48
Google Cloud Next '20 Recap Security Section
02f940926caaa16d4657150117fc6438?s=48 kaedemalu
1
220
ツールの多い時代のネットワーク(インフラ)エンジニアになって思うこと
02f940926caaa16d4657150117fc6438?s=48 kaedemalu
1
860

Other Decks in Technology

See All in Technology
Dagu | オンプレ向けワークフローエンジン(WebUI 同梱)
2a80a0a6f834a75cc418ef59175ecbb0?s=48 yohamta
0
150
Agile and Requirement : アジャイルな要件定義について考える
A64ac825509279a770c13c6fc517f11a?s=48 kawaguti
PRO
5
1.1k
CADDi HCMC Technology Center
E55fbffb4afd0a84d36c945ed68d8c19?s=48 caddi_eng
0
250
スクラムマスターの「観察」スキルを掘り下げる / Scrum Fest Niigata 2022
Da40bdb49bfb7a3fc9426dacac78a99c?s=48 ama_ch
0
490
SRE_チーム立ち上げから1年_気づいたら_SRE_っぽくない仕事まで貢献しちゃってる説
B35fa97f982d550e358a8c689c3f0fef?s=48 bitkey
PRO
0
2.1k
[SRE NEXT 2022]ヤプリのSREにおけるセキュリティ強化の取り組みを公開する
Ee9f5f5b17a075129d7c48ad157a9ab3?s=48 mmochi23
1
420
次期LTSに備えよ!AOS 6.1 HCI Core 編
A4d5b3aae2e67f31b513c88c726514c2?s=48 smzksts
0
180
1,000万人以上が利用する「家族アルバム みてね」のSRE組織は4年間でどのように作られてきたのか/SRE NEXT 2022
46839cf590a549efe13547c17a6b2fde?s=48 isaoshimizu
4
2.9k
OSINT/GEOINT ワークショップ 20220514 古橋資料
5314ec2302336bf68c95bdb5b1476227?s=48 furuhashilab
2
300
Scrum Fest Niigata 2022 開発エンジニアに聞いてみよう!
478bd912a17b65fa0ab8c1d81912b9b1?s=48 moritamasami
1
110
Graph API について
C0c0e8e4d7f83912cb1b1a0699df82a5?s=48 miyakemito
0
250
ドキュメントの翻訳に必要なこと
0d0586f83b68c623c4f04c752c4b515b?s=48 mayukosawai
0
160

Featured

See All Featured
Building Better People: How to give real-time feedback that sticks.
9952dfcd5d338f8a8e7175c8a8f65fb5?s=48 wjessup
343
17k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
C44e1f7e22c3f23cff7bc130871047ef?s=48 eileencodes
119
28k
How to Ace a Technical Interview
2f5463832ccb768ccb4a1ca3607c27ef?s=48 jacobian
265
21k
Creatively Recalculating Your Daily Design Routine
48c098b6579220a67a6ba949be6e4b5a?s=48 revolveconf
205
10k
Become a Pro
828ace851b606e1206900f26459f55ad?s=48 speakerdeck
PRO
3
780
Keith and Marios Guide to Fast Websites
E14f55d3f939977cecbf51b64ff6f861?s=48 keithpitt
404
21k
The Most Common Mistakes in Cover Letters
1ce0eb06fd6a9e9566a0cb310cfee635?s=48 jrick
PRO
4
24k
What's in a price? How to price your products and services
Dad095ea7038f89f760419ce475d5d14?s=48 michaelherold
229
9.3k
Dealing with People You Can't Stand - Big Design 2015
44b54d2ffcb7857004071cc6795dde11?s=48 cassininazir
350
21k
Making the Leap to Tech Lead
32de0bd2ba869609d26fd052a4622778?s=48 cromwellryan
113
6.9k
Designing Experiences People Love
1b75d89772b7eea1f6c89fbf362607d9?s=48 moore
130
22k
Documentation Writing (for coders)
61857dafbd287b3027c4dcea9008ad3c?s=48 carmenhchung
48
2.5k

Transcript

  1. Open Policy Agentで社内の コード統一する夢を見る CloudNative Days Spring 2021 ONLINE Taisei

    Ito

  2. 2 自己紹介 • 伊藤 太斉(Taisei Ito) ◦ @kaedemalu(Twitter, Github) ◦

    Future Corporation ▪ Technology Innovation Group / DX Unit ◦ コンサルタント&インフラエンジニア ◦ #GCP # AWS #Terraform #Ansible • Community ◦ GCPUG Shonan Organizer ◦ CloudNative Days Committee

  3. 今の社内のロール • エンジニア ◦ インフラ〜ミドルウェアのチューニング ◦ 顧客のSRE(的な動き) ◦ 社内のOSS活用推進(コミットなど) ◦

    インフラのIaC化 • ブログ運営 3

  4. 今の社内のロール • エンジニア ◦ インフラ〜ミドルウェアのチューニング ◦ 顧客のSRE(的な動き) ◦ 社内のOSS活用推進(コミットなど) ◦

    インフラのIaC化 • ブログ運営 4

  5. IaCのメリット • 再現性が保てる • コードがパラメータシート ◦ ドキュメントよりメンテナンスしやすい • 可搬性がある •

    比較的読みやすい&入門しやすい 5

  6. IaCのメリット(特に社内) 6 プロジェクトA Terraform

  7. IaCのメリット(特に社内) 7 プロジェクトA Terraform プロジェクトB

  8. IaCのメリット(特に社内) 8 プロジェクトA Terraform プロジェクトB Terraform

  9. IaCのメリット(特に社内) 9 プロジェクトA Terraform プロジェクトB Terraform 展開可能!

  10. 生まれる流派 • Terraform ◦ Module vs. Workspaces ◦ Monorepo vs.

    Multirepo • Ansible ◦ ini vs. YAML 10

  11. 起こりうること① 11 プロジェクトA Terraform プロジェクトB Terraform 規約A 規約B

  12. 起こりうること① 12 プロジェクトA プロジェクトB 規約A 規約B Terraform Terraform

  13. 起こりうること① 13 プロジェクトA プロジェクトB 規約A 規約B Terraform Terraform 流派が違う!

  14. 起こりうること② 14 プロジェクトA Terraform プロジェクトB Terraform 規約A 規約B

  15. プロジェクトA Terraform プロジェクトB Terraform 起こりうること② 15 規約A 規約B

  16. プロジェクトA Terraform プロジェクトB Terraform 起こりうること② 16 規約A 規約B 異なる可能性

  17. 社内標準化が必要 • 将来的を見据えた取り組みが必要 ◦ PJ間での展開 ◦ メンバーのインプット負荷の軽減 ◦ 人による癖をなくす 17

  18. これまでフューチャーは 18 引用:Javaコーディング規約

  19. Terraform版を作りたい 19

  20. いや、 20

  21. 作らないといけない(と思った) (使命感) 21

  22. 今回のトピック • Open Policy Agentについて • 実際にTerraformのコード評価に使う • 将来的に行いたいこと 22

  23. Open Policy Agentについて 1

  24. Open Policy Agent(OPA)について • OSSで開発 • CNCFのGraduated Project(になった🎉) • Policy

    as Codeを実現するツール ◦ Regoという独自のポリシー記述言語 ◦ Kubernetes以外にも制約なく汎用的に利用できる 24

  25. Open Policy Agent(OPA)について 25 引用:Policy as Codeを実現するOpen Policy Agentに憧れて。ポリシーコードで API仕様をLintする

  26. Policy as Codeの技術選定 • Sentinel ◦ HashiCorp社が開発したPaCツール ◦ Terraform Cloudで利用できる(有償)

    • OPA ◦ 先に上げた通り ◦ OSSのツール 26

  27. Policy as Codeの技術選定 • Sentinel ◦ HashiCorp社が開発したPaCツール ◦ Terraform Cloudで利用できる(有償)

    • OPA ◦ 先に上げた通り ◦ OSSのツール 27

  28. Policy as Codeの技術選定 • Sentinel ◦ HashiCorp社が開発したPaCツール ◦ Terraform Cloudで利用できる(有償)

    • OPA ◦ 先に上げた通り ◦ OSSのツール 28 利用の幅が広い

  29. 実際に動かす 2

  30. デモやります 30

  31. Rego • Terraformのリソース名を制御する 31

  32. Terraform • EC2を2台作成するコード 32 OKとしたい NGとしたい

  33. ステップ① Plan結果をバイナリ化 • terraform plan -out tfplan.binary で保存 33

  34. ステップ② バイナリからJSON変換 • tf show -json tfplan.binary | jq .

    > tfplan.json 34

  35. ステップ③ Regoで評価する • opa eval --format json --data test.rego \

    --input tfplan.json "data.test.lint" 35 mail-instanceはNG web_instanceはOKになった ハイフン区切りは制御できる

  36. 所感とこれから 3

  37. OPAができること • リソースの制限という意味のポリシー ◦ インスタンスタイプ ◦ リージョン ◦ タグ ◦

    etc... 37

  38. OPAができないこと • Terraform自体の構文チェック ◦ Terraformで利用するリソース名はできる ◦ ファイルごと規約としてコードにはできない 38

  39. まずはドキュメンテーション • こういったサイトも参考にしながら。。 39 引用:Terraform Best Practices

  40. まとめ • インフラの横展開を進めるにあたり、コードが大事 ◦ インフラの構成→Terraform, Ansible ◦ IaCのポリシー制御→OPA, Sentinel •

    OSSで利用できる方が幅広く対応できる • コードの平和を守るにはOPAだけでなく、複合的に制御 することが大事そう 40

  41. 宣伝 4

  42. 42 フューチャーについて • 大崎にあるITコンサル会社 • 経営戦略から実装、運用までを全てこなす • ベンダーニュートラルの考え方 • 「ないものは作る」

  43. 43 こんな人がいます • Real World HTTPの著者 • Vue.jsのコミッター • Apache

    Software Foundationのボードメンバー • OSS「Vuls」の作成者

  44. 44 ブログも出しています

  45. - fin -