Upgrade to Pro — share decks privately, control downloads, hide ads and more …

マルチテナントEKSクラスタにおける開発者への権限移譲

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for Kenta Goto Kenta Goto
March 12, 2021
Technology
480
0

 マルチテナントEKSクラスタにおける開発者への権限移譲

マルチテナントEKSクラスタにおける開発者への権限移譲

Avatar for Kenta Goto

Kenta Goto

March 12, 2021

More Decks by Kenta Goto

See All by Kenta Goto
Amazon EKS を活⽤した LLM 推論基盤の全体像
Avatar for Kenta Goto kennygt51
0
76
KRMOps Dive Deep: kro を活⽤した Kubernetes の新たな抽象化
Avatar for Kenta Goto kennygt51
2
480
Amazon EKS の過去、現在、そして未来
Avatar for Kenta Goto kennygt51
1
340
Cluster API と VPC Lattice は Amazon EKS マルチクラスターの夢を見るか?
Avatar for Kenta Goto kennygt51
0
690
Vault + EKS + AWS SSOで実現する秘密情報管理
Avatar for Kenta Goto kennygt51
1
1.2k
Vault on Kubernetes
Avatar for Kenta Goto kennygt51
4
4.1k
社内でのサウナ布教活動
Avatar for Kenta Goto kennygt51
3
200
Dockerコンテナ@AWS ECSのモニタリングに入門した話
Avatar for Kenta Goto kennygt51
0
450

Other Decks in Technology

See All in Technology
Loadbalancing exporter internals
Avatar for ymotongpoo ymotongpoo
1
130
TSKaigi 2026 - 10秒のビルドを1秒へ:tsdownが切り拓く2026年のTypeScriptライブラリ開発
Avatar for teamLab teamlab
PRO
2
260
基礎から解説!Icebergで紐解くSnowflake×Databricks連携の現在地
Avatar for TomokiYasuhara cm_yasuhara
0
310
TSKaigi 2026 - 型プラグインシステムの実装に使われるテクニック
Avatar for teamLab teamlab
PRO
2
420
類似画像検索モデルの開発ノウハウ
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
3
840
GitHub Copilot CLI の Rubber Duck 機能を使ってコーディングの品質をあげよう #techbaton_findy
Avatar for すてにゃん stefafafan
2
1.1k
A Harness for Behaviour: how to get AI to generate code that does what we intend, or "TDD in the age of AI"
Avatar for Matteo Vaccari xpmatteo
0
420
最新技術を"今は選ばない"という技術選定
Avatar for Tech Leverages leveragestech
PRO
0
410
【ハノーバーメッセ振り返りイベントat名古屋】データは集約からAI起点の収集に ~組織内・組織間でのデータ連携~
Avatar for 田中 聖也 tanakaseiya
0
110
エンジニアは生成AIと どのように向き合うべきか? ことばの意味という観点から
Avatar for Hitomi Yanaka verypluming
3
200
ラズパイ & Picoで入門:Zephyr(RTOS)の環境構築からビルドまでの紹介
Avatar for misoji engineer iotengineer22
0
230
Python開発環境にハーネス適用を検討する
Avatar for yuuuka yuuka51
1
510

Featured

See All Featured
Faster Mobile Websites
Avatar for Dean Hume deanohume
310
31k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
Avatar for Eileen M. Uchitelle eileencodes
38
2.9k
Bioeconomy Workshop: Dr. Julius Ecuru, Opportunities for a Bioeconomy in West Africa
Avatar for AKADEMIYA2063 akademiya2063
PRO
1
120
The browser strikes back
Avatar for Jono Alderson jonoalderson
0
1.1k
The Invisible Side of Design
Avatar for Vitaly Friedman smashingmag
302
52k
DevOps and Value Stream Thinking: Enabling flow, efficiency and business value
Avatar for Helen Beal helenjbeal
1
190
Done Done
Avatar for chrislema chrislema
186
16k
Measuring & Analyzing Core Web Vitals
Avatar for Philip Tellis bluesmoon
9
830
Digital Ethics as a Driver of Design Innovation
Avatar for Per Axbom axbom
PRO
1
290
How STYLIGHT went responsive
Avatar for nonsquared nonsquared
100
6.1k
Making Projects Easy
Avatar for Brett Harned brettharned
120
6.6k
The Cost Of JavaScript in 2023
Avatar for Addy Osmani addyosmani
55
9.9k

Transcript

  1. マルチテナントEKSクラスタにおける開発者への権限移譲 CloudNative Days Spring 2021 ONLINE

  2. 自己紹介 後藤 健汰(gotoken) @kennygt51 • SIerでの運用系SEを経て、 2019年1月 マネーフォワード入社 • インフラエンジニア

    • アプリケーションのコンテナ化、サービ スのAWS移行

  3. 今日話すこと これから まとめ 苦労しているポイント マルチテナントEKSクラスタにおける権限移譲 複数のサービスが本番稼働するプラットフォームの構築

  4. 複数のサービスが本番稼働する プラットフォームの構築

  5. オンプレミス環境からAWSへの移行 • 2012 年の創業当初からオンプレミス@北海道 ◦ 物理サーバーを購入し、インフラ担当者がセットアップし運用 • 2018年下旬頃より、AWS移行プロジェクトが発足 ◦ オンプレミスで稼働するサービスの漸進的マイグレーション

    ◦ 複数のサービスが稼働することを見越したプラットフォームを構築 • 2021年3月現在、複数サービスがAWS上で本番稼働中

  6. マルチテナントEKS及びマルチアカウントアーキテクチャ • マルチテナントEKS及びマルチアカウントアーキテクチャを採用 • オンプレミス環境で稼働するサービスの移行及び新規サービスの受入を行ってい る 詳細については 弊社のエンジニアが登壇した   AWS Summit

    Online をチェック!

  7. 少しだけ深堀り • AWSアカウントは、サービス単位で払い出す ◦ 別途EKSクラスタ専用のアカウントがありTGWで接続 • Kubernetesクラスタ上では、サービス単位でNamepaceを分離 ◦ 今回はこちらについて詳しく紹介 •

    Vaultを使った秘匿情報管理の仕組みを構築 ◦ CNDT 2020「Vault + EKS + AWS SSOで実現する秘密情報管理」にて詳しく紹介 • CircleCI / ArgoCDを用いたデプロイパイプラインを構築

  8. マルチテナントEKSクラスタにお ける権限移譲

  9. マルチテナントEKSクラスタ aaa-web-namespace component-aaa-1 component-aaa-2 bbb-web-namespace component-bbb-1 component-bbb-2 ccc-web-namespace component-ccc-1 component-ccc-2

    k8s cluster

  10. そもそもなぜマルチテナントなのか? • マルチテナント/シングルテナントのメリット・デメリットを比較検討 • 今までインフラチームが全てを管理していた環境から、クラスタの 管理まで一気にサービスチームに委譲するのは、ギャップが大き すぎると判断 • サービスチームが触ることができる範囲を徐々に広げるために、 マルチテナントを採用

  11. 権限移譲の対象 • インフラに関するコードの管理及びレビュー • Argo CDのGUIを使ったリソースの参照・操作 • kubectlを使ったEKSクラスタへのアクセス

  12. 権限移譲の対象 • インフラに関するコードの管理及びレビュー • Argo CDのGUIを使ったリソースの参照・操作 • kubectlを使ったEKSクラスタへのアクセス

  13. インフラに関するコードの管理及びレビュー 要件 • サービスチームにインフラに関するコード( TerraformやKubernetesのマニフェスト)を管理 して欲しい ◦ 大量のサービスが稼働すると、インフラチームが全てのコードに責任を持つことは難し い 実現方式

    • Monorepoで管理 • 各サービスごとにディレクトリを分割。CODEOWNERSを用いてサービスチームのエ ンジニアが所属するGitHubのTeamをコードオーナーに設定。

  14. マニフェストの管理及びレビュー /services配下に、サービス単位でディレクトリを作成し マニフェストを管理 # /services 以外はインフラチームが管理 * @moneyforward/infra_reviewers # xxx-service

    /services/xxx-service/** @moneyforward/xxx_reviewers # yyy-service /services/yyy-service/** @moneyforward/yyy_reviewers # zzz-service /services/zzz-service/** @moneyforward/zzz_reviewers CODEOWNERSを設定 Monorepo

  15. 権限移譲の対象 • インフラに関するコードの管理及びレビュー • Argo CDのGUIを使ったリソースの参照・操作 • kubectlを使ったEKSクラスタへのアクセス

  16. Argo CDのGUIを使ったリソースの参照・操作 要件 • サービス開発者にArgo CDのGUIを操作して欲しい ◦ デプロイしたリソースの状態確認、 Rolling Updateなど

    • ただし他のサービスに影響を及ぼす操作を防ぎたい ◦ ログインしたユーザが管理するサービスに閉じた権限のみ付与したい 実現方式 • AppProject / Application をサービス単位で分割 • Project RoleによるRBAC ◦ 特定のApp Projectに閉じたRBAC これにより、各サービスの開発者が適切な権限でArgo CDのGUIを操作することができる

  17. Project Role roles: - name: developers policies: - p, proj:hoge-service:developers,

    applications, sync, *-hoge/*, allow - p, proj:hoge-service:developers, applications, action/apps/Deployment/restart, *-hoge/*, allow groups: - moneyforward:hoge_developer • GitHubのhoge_developerチームに所属しているユーザがログインしたら • hoge-serviceというAppProjectに属するApplicationで管理するリソースに対して、 Sync及びRestart(Rolling Update)ができる

  18. 権限移譲の対象 • インフラに関するコードの管理及びレビュー • Argo CDのGUIを使ったリソースの参照・操作 • kubectlを使ったEKSクラスタへのアクセス

  19. kubectlを使ったEKSクラスタへのアクセス 要件 • サービス開発者がkubectl経由でEKSクラスタにアクセスできるようにしたい • ただしマルチテナントなのでクラスタ全体に影響を及ぼす操作を防ぎたい ◦ 管理するサービスの Namespaceに閉じた権限のみ付与したい 実現方式

    • aws-auth によるRBAC ◦ IAMロールとKubernetesにおけるgroupをマッピング ◦ groupに対してサービス開発者に付与する権限を定義したRoleをRoleBinding これにより、各サービスの開発者が適切な権限でEKSクラスタにアクセスすることができる

  20. RBACの流れ Role hoge_developers (group) aws-auth RoleBinding hogeサービスのAWSアカウント EKSクラスタのAWSアカウント hoge IAMロール

    - rolearn: arn:aws:iam::111111111111:role/AWSReservedSSO_ReadOnly_XXXX username: mf:hoge_developer:{{SessionName}} groups: - mf:hoge_developers apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: name: hoge-developers roleRef: apiGroup: rbac.authorization.k8s.io kind: Role name: hoge-developers subjects: - kind: Group name: mf:hoge_developers apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: name: hoge-developers rules: - apiGroups: - batch resources: - cronjobs - jobs verbs: (略)

  21. 苦労しているポイント

  22. 本番運用が始まって1年ほど経過 • プラットフォームの本番運用が始まって1年ほど経過 • 10以上のサービスが本番稼働している • 「開発者への権限委譲」という文脈で、いくつか課題も見えてきた

  23. ポイント • 開発者にどこまで権限を付与するべきか(最小権限) • 初期構築時のレビュワー不足 • スキルトランスファー(ある程度k8sの知識が必要) • 乗るサービスが増えると問い合わせの数も増えていく ◦

    クラスタ管理者のコミュニケーションコスト増

  24. これから

  25. これから • サービスチームへの運用の委譲を加速 ◦ https://moneyforward.com/engineers_blog/2020/12/28/infra-study-abroad/ • ドキュメントの充実 • さらなる権限の委譲 ◦

    委譲で来ていないコードの管理を委譲 ◦ AWS SSOのコード化

  26. まとめ

  27. まとめ • オンプレからクラウド(EKS)に移行することで間違いなく権限移譲の為の手 札は増えた ◦ IaCを徹底することでコード管理をサービスチームへ委譲 ◦ Kubernetes/Argo CDのRBACを適切に設計することで、最小権限で運 用を委譲

    • 「作って終わり」ではないということを実感 ◦ 文化の醸成・スキトラ ◦ 継続的なプラットフォームの改善

  28. We’re hiring! ※記載されている会社名および商品・製品・サービス名(ロゴマーク等を含む)は、各社の商標または各権利者の登録商標です。