コンテナ専用OS Talos LinuxによるKubernetesクラスタの構築

!NPDIJ[VLJ ίϯςφઐ༻04 5BMPT-JOVYʹΑΔ,VCFSOFUFTΫϥελͷߏங ,VCFSOFUFT/PWJDF5PLZP

XIPBNJ !NPDIJ[VLJ 🌕,FJUB.PDIJ[VLJ ❤,VCFSOFUFT 🚨"GPY OPUBSBDDPPOEPH

ͳʹ΍ΒΑͦ͞͏ͳຊ͕ൃച͞ΕͨΑ͏Ͱ͢ ,VCFSOFUFT4FDSFU؅ཧೖ໳)BTIJ$PSQ7BVMUͰ࣮ݱ͢ΔηΩϡΞͳӡ༻ ここから買えるよ！ ✅,VCFSOFUFTʹ͓͚Δ4FDSFU؅ཧํ๏ΛशಘͰ͖Δ ɹɹɹ,VCFSOFUFTͰͷൿີ৘ใ؅ཧʹ೰ΜͰ͍Δํ ɹɹɹ7BVMUͷ࢖͍ํΛֶΜͰΈ͍ͨํɹɹɹɹɹɹɹ ɹɹɹɹɹɹɹɹɹɹɹɹɹɹɹɹɹɹɹɹʹ͓͢͢ΊͰ͢ʂʂ ɹɹ ✅7BVMUͷ࢖͍ํΛϋϯζΦϯΛ௨ֶͯ͠΂Δ ɹɹɹखΛಈ͔͠ͳ͕Β۩ମతͳΠϝʔδΛֶ࣋ͬͯ΂·͢ʂʂ
✅ٕज़ॻయ7FSͱൺ΂ͯେ෯ʹύϫʔΞοϓʂ ɹલ൒͸جૅతͳ಺༰ʢٕज़ॻయ7FSͱಉ͡ʣɺޙ൒͸গ͠౿ΈࠐΜͩ಺༰ 13 "NB[PO

͸͡Ίʹ ,VCFSOFUFTΫϥελΛߏங͢Δࡍɺ/PEFʹ࢖༻͢Δ-JOVYσΟετϦϏϡʔγϣϯͷબ୒͸ ϢʔβʔʹҕͶΒΕ·͢ɻ Ұൠతʹ͸6CVOUV΍3)&-ͳͲͷσΟετϦϏϡʔγϣϯ͕࢖༻͞ΕΔ͜ͱ͕ଟ͍ҹ৅Ͱ͕͢ɺ ۙ೥Ͱ͸ίϯςφΛಈ͔͢͜ͱʹಛԽͨ͠-JOVYσΟετϦϏϡʔγϣϯʢίϯςφઐ༻04ʣ͕ଘࡏ͠ɺ ͦΕΒ͕ར༻͞ΕΔέʔε΋͋Γ·͢ɻ ຊηογϣϯͰ͸ίϯςφઐ༻04ͷͭͰ͋Δ5BMPT-JOVYΛ༻͍ͨ ,VCFSOFUFTΫϥελΛߏஙํ๏΍ͦͷಛ௃ʹ͍ͭͯղઆ͠·͢ɻ

͸͡Ίʹ ɾܝࡌ಺༰͸ݸਓͷݟղͰ͋Γɺॴଐ͢Δاۀ΍૊৫ͷཱ৔ɺઓུɺҙݟΛ୅ද͢Δ΋ͷͰ͸͋Γ·ͤΜ ɾهࡌ͞Ε͍ͯΔձ໊ࣾɺ঎඼໊ɺ·ͨ͸αʔϏε໊͸ɺ֤ࣾͷ঎ඪొ࿥·ͨ͸঎ඪͰ͢

͸͡Ίʹ ͪͳΈʹࠓ೔ͷൃද಺༰͸;FOOʹͯެ։தͰ͢ɻ ৄࡉͳखॱ౳͸ͪ͜ΒΛࢀর͍ͯͩ͘͠͞ɻ ίϯςφઐ༻045BMPT-JOVYΛ༻͍ͨ,VCFSOFUFTΫϥελʢߏஙฤʣ IUUQT[FOOEFWNPDIJ[VLJBSUJDMFTCDFCE ίϯςφઐ༻045BMPT-JOVYΛ༻͍ͨ,VCFSOFUFTΫϥελʢݕূฤʣ IUUQT[FOOEFWNPDIJ[VLJBSUJDMFTDD ߏஙฤ ݕূฤ

"HFOEB ͸͡Ίʹ ίϯςφઐ༻04 5BMPT-JOVY ɹ5BMPT-JOVYͷΠϯετʔϧ ɹ"1*ʹΑΔ5BMPT-JOVYͷૢ࡞ ɹ5BMPT-JOVYʹΑΔ,VCFSOFUFTΫϥελͷߏங

ίϯςφઐ༻04 ίϯςφʢ΍,VCFSOFUFTʣΛಈ͔͢͜ͱʹಛԽͨ͠-JOVYσΟετϦϏϡʔγϣϯ FH #PUUMFSPDLFU BXT ɺ$POUBJOFS0QUJNJ[FE04 (PPHMF$MPVE ɺ'FEPSB$PSF04 GFEPSB ɺ5BMPT-JOVY
4*%&30-"#4 ✅ӡ༻ੑͷ޲্ ίϯςφΛ࣮ߦ͢ΔͨΊͷ؀ڥ͕͋Β͔͡ΊηοτΞοϓ͞Ε͓ͯΓɺ ؀ڥߏங΍ߋ৽͕༰қɻ ✅ηΩϡϦςΟϨϕϧͷ޲্ ɹɹ൚༻తͳσΟετϦϏϡʔγϣϯͱൺ΂ؚͯ·ΕΔίϯϙʔωϯτ͕ ɹɹίϯςφͷ࣮ߦʹඞཁͳ΋ͷʹಛԽ͍ͯ͠ΔͨΊɺΞλοΫαʔϑΣεͷ࡟ݮʹܨ͕Δɻ ɹɹ·ͨɺηΩϡϦςΟΛҙࣝͨ͠ઃఆ͕͋Β͔͡Ίࢪ͞Ε͍ͯΔ৔߹͕͋Δɻ

5BMPT-JOVY IUUQTXXXUBMPTEFW IUUQTXXXUBMPTEFWWMFBSONPSFQIJMPTPQIZ ✅%FTJHOFEGPS,VCFSOFUFT ɹɹɾඞཁͳίϯϙʔωϯτ͕ࣗಈతʹΠϯετʔϧ͞Ε͍ͯΔ ɹɹɾ࠷৽ͷ,VCFSOFUFTόʔδϣϯʹରԠ͍ͯ͠Δ ✅.JOJNBM ɹɹɾίϯςφΛಈ࡞ͤ͞Δͷʹඞཁ࠷খݶͷ΋ͷ͚ͩΛؚΜͰ͍ΔʢCBTI΍TTIͳ͠ʣ ɹɹɾ/*4541ͷϗετ04ʹؔ͢Δਪ঑ࣄ߲ʹ४ڌ ✅.BOBHFECZ"1*
ɹɹɾૢ࡞͸جຊ"1*ܦ༝ ɹɹɾ:".-ʹΑΔએݴత؅ཧ ✅4FDVSF ɹɹɾ͋Β͔͡ΊηΩϡϦςΟΛҙࣝͨ͠ઃఆ͕ࢪ͞Ε͍ͯΔ ɹɹɹɾ,FSOFM4FMG1SPUFDUJPO1SPKFDU ɹɹɹɾ$*4#FODINBSL ✅*NNVUBCMF&QIFNFSBM ɹɹɾSPPUGT͕3FBE0OMZͰϚ΢ϯτ͞Ε͍ͯΔʢ4RVBTI'4ʣ ɹɹɾॻ͖ࠐΈ͕ՄೳͳඞཁͳྖҬ͸UFNQGT ɹɹʢݫີʹ͸σΟεΫ͕Ϛ΢ϯτ͞ΕΔέʔε΋͋ΔFHWBSʣ

5BMPT-JOVY 5BMPT-JOVY͕Χόʔ͢ΔηΩϡϦςΟͷείʔϓ͸͜ͷ͋ͨΓɻ )PTU ,VCFSOFUFT $POUBJOFS $POUBJOFS*NBHF "QQMJDBUJPO 基本的にはコンテナホストとKubernetesがスコープ一部コンテナが影響を受けるものもある

5BMPT-JOVY IUUQTMBOETDBQFDODGJP IUUQTMBOETDBQFDODGJPHVJEFQMBUGPSNDFSUJ fi FELVCFSOFUFTJOTUBMMFS $/$'-BOETDBQFʹͯ$FSUJ fi FE,VCFSOFUFT*OTUBMMFSͱͯ͠ొ࿥͞Ε͍ͯΔɻ

5BMPT-JOVY IUUQTXXXUBMPTEFWWMFBSONPSFGBRTXIZUIFOBNFUBMPT IUUQTKBXJLJQFEJBPSHXJLJ &#'&"%&#$&#@&"&&""&#& "&"&&"# 5BMPT-JOVYͱ͍͏໊લ͸ΪϦγϟਆ࿩ʹొ৔͢Δࣗಈਓܗλϩεʹ༝དྷ 5BMPTXBTBOBVUPNBUPODSFBUFECZUIF(SFFL(PEPGUIFGPSHFUPQSPUFDUUIFJTMBOEPG $SFUF)FXPVMEQBUSPMUIFDPBTUBOEFOGPSDFMBXTUISPVHIPVUUIFMBOE8FGFMUJUXBTB fi UUJOHOBNFGPSBTFDVSJUZGPDVTFEPQFSBUJOHTZTUFNEFTJHOFEUPSVO,VCFSOFUFT

༷ʑͳΠϯετʔϧํ๏͕༻ҙ͞Ε͍ͯΔɻ IUUQTXXXUBMPTEFWWUBMPTHVJEFTJOTUBMM ࠓճ͸*40ʢWʣ͔ΒΠϯετʔϧɻ ɹαΠζ໿.#ʢ6CVOUVͷ*40͕(#ఔ౓Λ౿·͑Δͱ͔ͳΓܰྔʣ 5BMPT-JOVYͷΠϯετʔϧ جຊతʹίϯιʔϧ͔Β͸ ɹɾϗετ໊ ɹɾ*1ΞυϨεʢ%)$1ͷར༻΋Մʣ Λઃఆ͢Δఔ౓ ٯʹͦΕҎ্ͷ͜ͱ͸Ͱ͖ͳ͍ɻ

5BMPT-JOVYͷૢ࡞͸جຊతʹ"1*ܦ༝Ͱߦ͏ɻ ɹએݴతͳߏ੒؅ཧ͕Մೳɺૢ࡞Λ੍ݶ ɹUBMPTDUM ɹɹ5BMPT-JOVYΛ"1*ܦ༝Ͱૢ࡞͢ΔͨΊͷ$-*πʔϧ ɹNBDIJOFDPO fi H ɹɹ5BMPT-JOVYʹର͢Δઃఆ৘ใΛ:".-ఆٛ ɹ ɹUBMPTDPO
fi H ɹɹ"1*ʹΞΫηε͢Δࡍͷೝূ৘ใ "1*ʹΑΔ5BMPT-JOVYͷૢ࡞ UBMPTDUMBQQMZDPO fi HGNBDIJOFDPO fi HZBNMUBMPTDPO fi HUBMPTDPO fi HZBNMFOEQPJOUT&/%10*/5OPEFT/0%& ユーザーから到達可能なエンドポイント（LoadBalancerとか） talosconfigの中に記載しておくことも可操作対象とするサーバー

5BMPT-JOVYͷૢ࡞͸جຊతʹ"1*ܦ༝Ͱߦ͏ɻ ɹએݴతͳߏ੒؅ཧ͕Մೳɺૢ࡞Λ੍ݶ ɹUBMPTDUM ɹɹ5BMPT-JOVYΛ"1*ܦ༝Ͱૢ࡞͢ΔͨΊͷ$-*πʔϧ ɹNBDIJOFDPO fi H ɹɹ5BMPT-JOVYʹର͢Δઃఆ৘ใΛ:".-ఆٛ ɹ ɹUBMPTDPO
fi H ɹɹ"1*ʹΞΫηε͢Δࡍͷೝূ৘ใ "1*ʹΑΔ5BMPT-JOVYͷૢ࡞ UBMPTDUMBQQMZDPO fi HGNBDIJOFDPO fi HZBNMUBMPTDPO fi HUBMPTDPO fi HZBNMFOEQPJOUT&/%10*/5OPEFT/0%& kubectlっぽい kubeconfigっぽい（ $HOME/.talos/configに格納すれば省略可） manifestっぽい kubectl apply -f manifet.yamlっぽい applyでもOK ユーザーから到達可能なエンドポイント（LoadBalancerとか） talosconfigの中に記載しておくことも可操作対象とするサーバー

5BMPT-JOVYʹΑΔ,VCFSOFUFTΫϥελͷߏங IUUQTXXXUBMPTEFWWJOUSPEVDUJPOHFUUJOHTUBSUFE DPO fi Hͷ࡞੒NBDIJOFDPO fi HʢDPOUSPMQMBOFXPSLFSʣͱUBMPTDPO fi H͕࡞੒͞ΕΔ UBMPTDUMHFODPO
fi HA$MVTUFS/BNFAIUUQT,VCFSOFUFT&OEQPJOU UBMPTDUMBQQMZDPO fi HJOTFDVSFOPEFTLTUBMPTDQGDPOUSPMQMBOFZBNM UBMPTDUMBQQMZDPO fi HJOTFDVSFOPEFTLTUBMPTOPEFGXPSLFSZBNM UBMPTDUMCPPUTUSBQUBMPTDPO fi HUBMPTDPO fi HOPEFTLTUBMPTDQFOEQPJOUTLTUBMPTDQ αʔόʔηοτΞοϓ ,VCFSOFUFTΫϥελͷߏங ,VCFSOFUFTΫϥελͷߏஙʹඞཁͳૢ࡞͸ҎԼͷεςοϓͷΈɻ

5BMPT-JOVYʹΑΔ,VCFSOFUFTΫϥελͷߏங NBDIJOFDPO fi HͷྫʢDPOUSPMQMBOFZBNMʣ WFSTJPOWBMQIB NBDIJOF UZQFDPOUSPMQMBOF LVCFMFU
JOTUBMM GFBUVSFT DMVTUFS DPOUSPM1MBOF FOEQPJOUIUUQTLTUBMPTDQ DMVTUFS/BNFLTUBMPTDMVTUFS OFUXPSL EOT%PNBJODMVTUFSMPDBM QPE4VCOFUT TFSWJDF4VCOFUT DOJ BQJ4FSWFS DPOUSPMMFS.BOBHFS QSPYZ TDIFEVMFS FUDE サーバー個別の設定 kubeletはここに含まれる kubernetesクラスタの設定

σϑΥϧτͷNBDIJOFDPO fi HͰಛʹؾʹͳΔ఺ᶃ 1PE4FDVSJUZ"ENJTTJPOͱ͍͏ϙϦγʔ੍ޚػೳ͕Ϋϥελશମʹରͯ͠σϑΥϧτͰ ༗ޮʹͳ͍ͬͯΔɻ͜ΕʹΑΓಛݖίϯςφΛ͸͡Ίͱͨ͠ηΩϡϦςΟϦεΫΛؚΉ1PEΛσϓϩΠ Ͱ͖ͳ͍Α͏ʹͳ͍ͬͯΔɻ BQJ4FSWFS BENJTTJPO$POUSPM OBNF1PE4FDVSJUZ
DPO fi HVSBUJPO BQJ7FSTJPOQPETFDVSJUZBENJTTJPODPO fi HLTJPWBMQIB EFGBVMUT BVEJUSFTUSJDUFE BVEJUWFSTJPOMBUFTU FOGPSDFCBTFMJOF FOGPSDFWFSTJPOMBUFTU XBSOSFTUSJDUFE XBSOWFSTJPOMBUFTU FYFNQUJPOT OBNFTQBDFT LVCFTZTUFN SVOUJNF$MBTTFT<> VTFSOBNFT<> LJOE1PE4FDVSJUZ$PO fi HVSBUJPO IUUQTXXXUBMPTEFWWLVCFSOFUFTHVJEFTDPO fi HVSBUJPOQPETFDVSJUZ DPOUSPMQMBOFZBNM AdmissionConfigurationとしてクラスタ全体に適用（kube-systemは除く）

σϑΥϧτͷNBDIJOFDPO fi HͰಛʹؾʹͳΔ఺ᶃ

σϑΥϧτͷNBDIJOFDPO fi HͰಛʹؾʹͳΔ఺ᶄ 4FDDPNQ%FGBVMU͕σϑΥϧτͰ༗ޮʹͳ͓ͬͯΓɺ3VOUJNF%FGBVMUQSP fi MF͕ࣗಈతʹద༻͞ΕΔɻ ͜ΕʹΑΓίϯςφ͔Β࣮ߦՄೳͳγεςϜίʔϧ੍͕ݶ͞ΕΔɻ LVCFMFU JNBHFHIDSJPTJEFSPMBCTLVCFMFUW EFGBVMU3VOUJNF4FDDPNQ1SP
fi MF&OBCMFEUSVF IUUQTLVCFSOFUFTJPEPDTUVUPSJBMTTFDVSJUZTFDDPNQ DPOUSPMQMBOFZBNMXPSLFSZBNM kubelet（Node）毎に設定可能

σϑΥϧτͷNBDIJOFDPO fi HͰಛʹؾʹͳΔ఺ᶄ

5BMPT-JOVYʹΑΔ,VCFSOFUFTΫϥελͷߏங 5BMPT-JOVYΛ࢖༻͢Δ͜ͱͰ؆୯ʹɺηΩϡΞͳ,VCFSOFUFTΫϥελΛ ߏஙͰ͖·ͨ͠🎉 UBMPTDUMLVCFDPO fi HBMUFSOBUJWFLVCFDPO fi HOPEFTLTUBMPTDQFOEQPJOUTLTUBMPTDQUBMPTDPO fi HUBMPTDPO
fi H LVCFDUMLVCFDPO fi HBMUFSOBUJWFLVCFDPO fi HHFUOPEFPXJEF /".&45"56430-&4"(&7&34*0/*/5&3/"-*1&95&3/"-*104*."(&,&3/&-7&34*0/$0/5"*/&336/5*.& LTUBMPTDQ/PU3FBEZDPOUSPMQMBOFNTWOPOF5BMPT W UBMPTDPOUBJOFSE LTUBMPTOPEF/PU3FBEZOPOFNTWOPOF5BMPT W UBMPTDPOUBJOFSE LTUBMPTOPEF/PU3FBEZOPOFNTWOPOF5BMPT W UBMPTDPOUBJOFSE ҼΈʹ,VCFSOFUFT΍5BMPT-JOVYͷόʔδϣϯΞοϓ΋UBMPTDUMܦ༝Ͱ࣮ࢪ UBMPTDUMVQHSBEFLTUP UBMPTDUMVQHSBEFJNBHFHIDSJPTJEFSPMBCTJOTUBMMFSW IUUQTXXXUBMPTEFWWLVCFSOFUFTHVJEFTVQHSBEJOHLVCFSOFUFT IUUQTXXXUBMPTEFWWUBMPTHVJEFTVQHSBEJOHUBMPT

ͪΐͬͱ͚ͩ%FFQ%JWF 1MVT

"HFOEB ஡൪ 5BMPT-JOVYͷΞʔΩςΫνϟ σόοά1PEʹΑΔ5BMPT-JOVYͷௐࠪ ίϯςφϒϨΠΫΞ΢τͷݕূ ˞͔͜͜ΒͷݕূͰ͸5BMPT-JOVYσϑΥϧτͰઃఆ͞ΕΔ ɹ1PE4FDVSJUZ"ENJTTJPOʢϙϦγʔ੍ޚػೳʣΛແޮԽ͍ͯ͠·͢ɻ

5BMPT-JOVYͷΞʔΩςΫνϟ IUUQTXXXUBMPTEFWWMFBSONPSFDPNQPOFOUT

5BMPT-JOVYͷΞʔΩςΫνϟ BQJE 5BMPT-JOVYͷ"1*ʢH31$ʣΛެ։ ɹUBMPTDUM͔ΒͷϦΫΤετ͸BQJE͕ड͚෇͚Δ &OEQPJOUʢFOEQPJOUTʣͱͯ͠ड͚෇͚ͨϦΫΤετΛ/PEFʢOPEFTʣʹసૹ͢Δ BQJE BQJE LTUBMPTDQ LTUBMPTOPEF UBMPTDUM
FOEQPJOUT-PBE#BMBODFS OPEFTLTUBMPTOPEF -PBE#BMBODFS

5BMPT-JOVYͷΞʔΩςΫνϟ NBDIJOFE 5BMPT-JOVYͷJOJUϓϩηεʢ࣮૷͸(Pݴޠʣ ಺෦Ͱ༷ʑͳ$POUSPMMFS͕࣮ߦ͞Ε͍ͯΔ ɹ5BMPT-JOVY͸3FTPVSDFͱ$POUSPMMFSʹΑΓ಺෦ͷঢ়ଶΛ؅ཧ ɹɹɹɹɾ04ʹؔ͢Δઃఆ FHϗετ໊ɺ/8ઃఆɺΧʔωϧύϥϝʔλ ɹɹɹɹɾ,VCFSOFUFTʹؔ͢Δઃఆ FHLVCFDPO
fi Hɺ֤छίϯϙʔωϯτ ɹɹ,VCFSOFUFTͷ0QFSBUPS1BUUFSOͱඇৗʹΑ͘ࣅͨࢥ૝͕༻͍ΒΕ͍ͯΔʢ3FDPODJMFʣ $POUSPMMFS $POUSPMMFS $POUSPMMFST 3FTPVSDFT Resourceに基づき設定を反映読み取り・更新・作成 IUUQTXXXUBMPTEFWWMFBSONPSFDPOUSPMMFSTSFTPVSDFT Resourceとして状態を管理

5BMPT-JOVYͷΞʔΩςΫνϟ UBMPTDUMίϚϯυΛ༻͍ͯ࣍ͷΑ͏ʹ3FTPVSDFͷ৘ใΛ֬ೝͰ͖Δɻ ˞Ϧιʔε৘ใ͸ݪଇϝϞϦʹอଘ͞ΕΔ ɹୠ͠.BDIJOF$PO fi H͸ϑΝΠϧͱͯ͠TZTUFNTUBUFDPO fi HZBNMʹอଘ͞ΕΔ UBMPTDUMOLTUBMPTDQFLTUBMPTDQHFUNBDIJOFDPO fi
H /0%&/".&41"$&5:1&*%7&34*0/ LTUBMPTDQDPO fi H.BDIJOF$PO fi HWBMQIB UBMPTDUMOLTUBMPTDQFLTUBMPTDQHFULVCFMFUDPO fi H /0%&/".&41"$&5:1&*%7&34*0/ LTUBMPTDQLT,VCFMFU$PO fi HLVCFMFU UBMPTDUMOLTUBMPTDQFLTUBMPTDQHFUTUBUJDQPET /0%&/".&41"$&5:1&*%7&34*0/ LTUBMPTDQLT4UBUJD1PELVCFBQJTFSWFS LTUBMPTDQLT4UBUJD1PELVCFDPOUSPMMFSNBOBHFS LTUBMPTDQLT4UBUJD1PELVCFTDIFEVMFS Static Podに関するリソース kubeletの設定に関するリソース machine configの適用に伴い作成される

5BMPT-JOVYͷΞʔΩςΫνϟ LT,VCFMFU$PO fi H$POUSPMMFS LTOPEF/BNF$POUSPMMFS LT/PEF*1$POUSPMMFS LT,VCFMFU4QFD$POUSPMMFS .BDIJOF$PO fi HDPO
fi HUBMPTEFW /PEFOBNFTLVCFSOFUFTUBMPTEFW ,VCFMFU$PO fi HTLVCFSOFUFTUBMPTEFW /PEF*1TLVCFSOFUFTUBMPTEFW ,VCFMFU4QFDTLVCFSOFUFTUBMPTEFW ,VCFMFU4FDSFUTTFDSFUTUBMPTEFW TFDSFUT,VCFMFU$POUSPMMFS LT,VCFMFU4FSWJDF$POUSPMMFS LT/PEF*1$PO fi H$POUSPMMFS /PEF*1$PO fi HLVCFSOFUFTUBMPTEFW LVCFMFUʹؔ͢Δ3FTPVSDF؅ཧͷྫ

5BMPT-JOVYͷΞʔΩςΫνϟ ଞͷͱ͜Ζ͸ͲΜͳײ͔͡ؾʹͳΔʁ

5BMPT-JOVYͷΞʔΩςΫνϟ ˞UBMPTDUMHFUSFTPVSDFEF fi OJUJPOTίϚϯυͰࢀরՄೳ શମ૾

σόοά1PEʹΑΔ5BMPT-JOVYͷௐࠪ 5BMPT-JOVYʹ͸CBTI΍TTIؚ͕·Ε͓ͯΒͣɺ௨ৗͷ-JOVYͷΑ͏ʹ೚ҙͷίϚϯυΛ༻͍ͯ ௚઀ૢ࡞Ͱ͖ͳ͍ɻ FHϧʔτϑΝΠϧγεςϜʹؚ·ΕΔϑΝΠϧҰཡΛ֬ೝ͢Δͱ͔ ˞UBMPTDUMΛ࢖༻ͯ͠Ͱ͖Δ΋ͷ΋͋Δ ͕͔ͩ͠͠ख͸͋Δ

σόοά1PEʹΑΔ5BMPT-JOVYͷௐࠪ $POUBJOFS &QIFNFSBM $POUBJOFS %FCVH1PE DPQZ $PQJFE1PE "DDFTT LVCFDUMEFCVH &QIFNFSBM$POUBJOFS
ͱ͍͏ίϯςφΛσόοάର৅ͷ 1PEʹૠೖ σόοάର৅ͷ1PEΛෳ੡ ˞ίϯςφͷ௥Ճ΍ίϚϯυͷมߋՄ σόοάର৅ͷ/PEFʹ ಛघͳ1PEΛσϓϩΠ͠ɺ ͔͋ͨ΋TTI͍ͯ͠ΔΑ͏ͳঢ়گΛ࠶ݱ ύλʔϯ &QIFNFSBM$POUBJOFS ύλʔϯ $PQJFE1PE ύλʔϯ /PEF%FCVH IUUQTLVCFSOFUFTJPEPDTUBTLTEFCVHEFCVHBQQMJDBUJPOEFCVHSVOOJOHQPE

σόοά1PEʹΑΔ5BMPT-JOVYͷௐࠪ LVCFDUMEFCVHOPEFLTUBMPTDQQSP fi MFTZTBENJOJUJNBHFVCVOUVCJOCBTI SPPU!LTUBMPTDQIPTUOBNF LTUBMPTDQ SPPU!LTUBMPTDQMTIPTU CJOCPPUEFWFUDMJCNOUPQUQSPDSPPUSVOTCJOTZTTZTUFNUNQVTSWBS LVCFDUMEFCVHίϚϯυΛར༻ͯ͠5BMPT-JOVYʹ৵ೖͯ͠ΈΔɻ σόοά1PE͸ίϯςφʹؚ·Ε͍ͯΔίϚϯυΛ/PEF্Ͱ࣮ߦ͢ΔΠϝʔδɻ
Talos LinuxのNodeに接続できた！ Nodeの/はコンテナから見た/host配下にマウントされているコンテナに含まれるコマンドをNode空間で実行特権を付与 %FCVHHJOH1SP fi MFTʢগ͠લʹ๻͕ॻ͖·ͨ͠✌ʣ IUUQTLVCFSOFUFTJPEPDTUBTLTEFCVHEFCVHBQQMJDBUJPOEFCVHSVOOJOHQPEEFCVHHJOHQSP fi MFT

σόοά1PEʹΑΔ5BMPT-JOVYͷௐࠪ SPPU!LTUBMPTDQMTIPTUCJO DPOUBJOFSEDPOUBJOFSETIJNDPOUBJOFSETIJNSVODWSVOD SPPU!LTUBMPTDQMTIPTUVTSCJO VEFWBEN SPPU!LTUBMPTDQMTIPTUTCJO CMLEFBDUJWBUFGTDLYGTJQUBCMFTMFHBDZTBWFJQUBCMFTMFHBDZSFTUPSFMWDSFBUFMWNEFWJDFTMWSFNPWFNPEQSPCFQWNPWF VEFWBENWHDPOWFSUWHJNQPSUDMPOFWHSFOBNFYUBCMFTMFHBDZNVMUJ EBTICPBSEJOJUJQUBCMFTSFTUPSFJQUBCMFTMFHBDZTBWFMWEJTQMBZMWNEJTLTDBOMWSFOBNFQPXFSP ff
QWSFNPWFVEFWE WHDSFBUFWHJNQPSUEFWJDFTWHT ENTFUVQJQUBCMFTJQUBCMFTTBWFJQUBCMFTSFTUPSFMWFYUFOEMWNEVNQMWSFTJ[FQWDIBOHFQWSFTJ[FWHDGHCBDLVQ WHEJTQMBZWHNFSHFWHTDBO ENTUBUTJQUBCMFTBQQMZJQUBCMFTJQUBCMFTTBWFMWNMWNTBEDMWTQWDLQWTWHDGHSFTUPSFWHFYQPSU WHNLOPEFTWHTQMJU ENTUBUTTUBUJDJQUBCMFTMFHBDZJQUBCMFTBQQMZMWDIBOHFMWN@JNQPSU@WEPMWNTBSMWTDBOQWDSFBUFQWTDBOWHDIBOHF WHFYUFOEWHSFEVDFXSBQQFSE GTBENJQUBCMFTMFHBDZSFTUPSFJQUBCMFTMFHBDZMWDPOWFSUMWNDPO fi HMWSFEVDFNLGTYGTQWEJTQMBZTIVUEPXOWHDL WHJNQPSUWHSFNPWFYGT@SFQBJS 5BMPT-JOVYʹؚ·Ε͍ͯΔίϚϯυͷ֬ೝ ɹؚ·Ε͍ͯΔίϯϙʔωϯτ͕ѹ౗తʹগͳ͍ コンテナランタイムしか含まれていない通常daemonとして動くkubeletのバイナリがない...?

σόοά1PEʹΑΔ5BMPT-JOVYͷௐࠪ SPPU!LTUBMPTDQQTBVYG 64&31*%$16.&.74;34455:45"545"355*.&$0.."/% SPPU 4M+VOTCJOJOJU SPPU 4M+VOCJODPOUBJOFSEBEESFTTSVODPOUBJOFSEDPOUBJOFSETPDLDPO fi
HFUDDSJDPOUBJOFSEUPNM SPPU 4M+VOCJODPOUBJOFSETIJNSVODWOBNFTQBDFTZTUFNJEUSVTUEBEESFTTTZTUFNSVODPOUBJOFSEDPOUBJOFSETPDL 4TM+VOa@USVTUE SPPU 4M+VOCJODPOUBJOFSETIJNSVODWOBNFTQBDFTZTUFNJEBQJEBEESFTTTZTUFNSVODPOUBJOFSEDPOUBJOFSETPDL 4TM+VOa@BQJEFOBCMFSCBDFOBCMFFYULFZVTBHFDIFDL SPPU 4M+VOCJODPOUBJOFSETIJNSVODWOBNFTQBDFTZTUFNJELVCFMFUBEESFTTSVODPOUBJOFSEDPOUBJOFSETPDL SPPU 4TM+VOa@VTSMPDBMCJOLVCFMFUCPPUTUSBQLVCFDPO fi HFUDLVCFSOFUFTCPPUTUSBQLVCFDPO fi H SPPU 4M+VOCJODPOUBJOFSETIJNSVODWOBNFTQBDFTZTUFNJEFUDEBEESFTTSVODPOUBJOFSEDPOUBJOFSETPDL 4TM+VOa@VTSMPDBMCJOFUDEBEWFSUJTFDMJFOUVSMTIUUQT SPPU 4M+VOCJODPOUBJOFSETIJNSVODWOBNFTQBDFLTJPJEBCFFGCBFBEESFTTSVODPOUBJOFSEDPOUBJOFSETPDL OPCPEZ 4T+VOa@QBVTF OPCPEZ 4TM+VOa@VTSMPDBMCJOLVCFBQJTFSWFSBENJTTJPODPOUSPMDPO fi H fi MF ىಈϓϩηεͷ֬ೝ ɹ5BMPT-JOVYͷίϯϙʔωϯτͰ͋ΔBQJEɺUSVTUE΍LVCFMFUɺFUDE͕ίϯςφͱͯ͠ىಈ ɹɹୠ͠TZTUFNͱ͍͏DPOUBJOFSEͷ/BNFTQBDFͰ࣮ߦ͞Ε͍ͯΔͷͰ,VCFSOFUFT͔Β͸ݟ͑ͳ͍ ɹɹ˞,VCFSOFUFT͔Βݟ͑Δ΋ͷ͸LTJPͱ͍͏/BNFTQBDF

σόοά1PEʹΑΔ5BMPT-JOVYͷௐࠪ SPPU!LTUBMPTDQDBUIPTUQSPDNPVOUT EFWUNQGTEFWEFWUNQGTSX OPTVJE SFMBUJNF TJ[FL OS@JOPEFT NPEF QSPDQSPDQSPDSX OPTVJE
OPEFW OPFYFD SFMBUJNF TZTGTTZTTZTGTSX SFMBUJNF UNQGTSVOUNQGTSX OPTVJE OPFYFD SFMBUJNF NPEF UNQGTTZTUFNUNQGTSX SFMBUJNF NPEF EFWMPPQTRVBTIGTSP SFMBUJNF FSSPSTDPOUJOVF EFWTEBTZTUFNTUBUFYGTSX OPBUJNF BUUS JOPEF MPHCVGT MPHCTJ[FL OPRVPUB EFWTEBWBSYGTSX OPBUJNF BUUS JOPEF MPHCVGT MPHCTJ[FL QSKRVPUB machine configが含まれるコンテナのoverlayfs等が含まれる rootfsがReadOnlyでマウントされている Ϛ΢ϯτςʔϒϧͷ֬ೝ ˞NPVOUίϚϯυΛ௚઀࣮ߦ͢ΔͱίϯςφϓϩηεͷϚ΢ϯτςʔϒϧ͕ݟ͑ͯ͠·͏ͨΊ/PEFͷ1*%ͷϓϩηε৘ใ͔Βࢀর Talos LinuxやKubernetesに関する設定ファイルが含まれる ※tempfsなので揮発性（Controllerが起動時に都度作成）

ίϯςφϒϨΠΫΞ΢τͷݕূ ίϯςφ͔Βίϯςφϗετʢ/PEFʣʹ৵ೖͨ͠Γׯব͢ΔߦҝΛίϯςφϒϨΠΫΞ΢τͱݺͼ·͢ɻ ສҰ߈ܸऀʹ1PEʹ৵ೖ͞Εɺ͔ͦ͜Β͞Βʹ/PEFʹ·Ͱ৵ೖ͞Εͯ͠·͏ͱɺ ༷ʑͳϦεΫʹܨ͕ΓಘΔͷ͸ݴ͏·Ͱ΋͋Γ·ͤΜɻ ίϯςφϒϨΠΫΞ΢τ͕੒ཱ͢ΔཁҼʹ͸ίϯςφͷઃఆෆඋ΍੬ऑੑͳͲ͕͋Γ·͢ɻ ίϯςφϗετ ίϯςφ ίϯςφ

ίϯςφϒϨΠΫΞ΢τͷݕূ BQJ7FSTJPOW LJOE1PE NFUBEBUB OBNFVCVOUVQSJWJMFHFE MBCFMT BQQVCVOUV TQFD IPTU1*%USVF DPOUBJOFST
OBNFVCVOUV JNBHFVCVOUV DPNNBOE<CJOTMFFQ JO fi OJUZ> TFDVSJUZ$POUFYU QSJWJMFHFEUSVF UFSNJOBUJPO(SBDF1FSJPE4FDPOET VCVOUVQSJWJMFHFEZBNM Ұൠతͳ؀ڥͰ͋Ε͹ɺྫ͑͹࣍ͷΑ͏ͳखॱͰίϯςφϒϨΠΫΞ΢τΛߦ͏͜ͱ͕Ͱ͖·͢ɻ LVCFDUMBQQMZGVCVOUVQSJWJMFHFEZBNM LVCFDUMFYFDJUVCVOUVQSJWJMFHFECJOCBTI SPPU!VCVOUVQSJWJMFHFEOTFOUFSUBCJOCBTI SPPU!LTDMVTUFSOPEFIPTUOBNF LTDMVTUFSOPEF Podをデプロイ Podに侵入（された想定） Nodeに侵入 Nodeで任意の操作が可能 ˞ѱ༻͠ͳ͍Ͱ͍ͩ͘͞

ίϯςφϒϨΠΫΞ΢τͷݕূ Ұํ5BMPT-JOVYͰߏஙͨ͠,VCFSOFUFTΫϥελͰಉ͡ૢ࡞Λߦͬͯ΋ɺ ίϯςφϒϨΠΫΞ΢τ͸ࣦഊ͠·͢ɻ ͜ͷख๏Ͱ͸ίϯςφϗετʹؚ·ΕΔCBTIίϯςφ͔Β࣮ߦ͢Δ͜ͱͰίϯςφϒϨΠΫΞ΢τ Λ࣮ݱ͍ͯ͠·͢ɻ ͔͠͠5BMPT-JOVYʹ͸CBTIΛؚΊ΄ͱΜͲίϚϯυؚ͕·Ε͍ͯͳ͍ͨΊ߈ܸ͕੒ཱ͠·ͤΜͰͨ͠ɻ ίϯςφϒϨΠΫΞ΢τͷख๏ʹ͸ίϯςφϗετʹؚ·ΕΔίϚϯυΛར༻͢Δ΋ͷ΋ଟ͘ɺ ͦ͏͍ͬͨख๏ʹରͯ͠5BMPT-JOVYͷ.JOJNBMͱ͍͏ಛੑ͕͏·͘ػೳ͍ͯ͠Δͱݴ͑·͢ɻ LVCFDUMBQQMZGVCVOUVQSJWJMFHFEZBNM LVCFDUMFYFDJUVCVOUVQSJWJMFHFECJOCBTI
SPPU!VCVOUVQSJWJMFHFEOTFOUFSUBCJOCBTI OTFOUFSGBJMFEUPFYFDVUFCJOCBTI/PTVDI fi MFPSEJSFDUPSZ Podをデプロイ Podに侵入（された想定） Nodeへの侵入に失敗

ίϯςφϒϨΠΫΞ΢τͷݕূ ͨͩ͠ʮίϯςφ͸ίϯςφϗετͷΧʔωϧΛڞ༗͍ͯ͠Δʯͱ͍͏ಛੑʹىҼ͢Δ߈ܸʹ͸ɺ ରॲͰ͖ͳ͍ͨΊ஫ҙ͕ඞཁͰ͢ɻ ࣍ͷख๏Ͱ͸ɺ-JOVYͷ.BHJD4ZTUFN3FRVFTU,FZͱ͍͏࢓૊ΈΛར༻ͯ͠ ίϯςφ͔Βίϯςφϗετͷγϟοτμ΢ϯΛߦ͍ͬͯ·͢ɻ SPPU!VCVOUVQSJWJMFHFEFDIPPQSPDTZTSRUSJHHFS 😇 LVCFDUMHFUOPEF /".&45"56430-&4"(&7&34*0/ LTUBMPTDQ3FBEZDPOUSPMQMBOFEIW
LTUBMPTOPEF/PU3FBEZOPOFEIW LTUBMPTOPEF3FBEZOPOFEIW IUUQTXXXLFSOFMPSHEPDIUNMWBENJOHVJEFTZTSRIUNM

·ͱΊ 5BMPT-JOVYΛ༻͍ͨ,VCFSOFUFTΫϥελͷߏஙɺݕূΛߦͬͨ ɹɹ04ࣗମ͕,VCFSOFUFTʹಛԽ͍ͯͨ͠Γ"1*Ͱͷએݴతͳ؅ཧ͕ߦ͑Δ ɹɹηΩϡϦςΟ໘΁ͷڧ͍ҙ͕ࣝײ͡ΒΕΔʢNJOJNBMɺJNNVUBCMFɺFQIFNFSBMʣ ɹɹɹҰൠతͳ04ͱѻ͍͕ҟͳΔͷͰӡ༻ʹ͸Ұఆͷϊ΢ϋ΢͕ඞཁʹͳΓͦ͏ ɹɹɹɹެࣜυΩϡϝϯτ͕͔ͳΓॆ࣮͍ͯ͠ΔͷͰॿ͚ʹͳΓͦ͏ ࢓૊Έͷ໘Ͱ΋ڵຯਂ͍ʢಛʹ0QFSBUPS1BUUFSO͕࠾༻͞Ε͍ͯΔ఺ʣ ɹɹެࣜυΩϡϝϯτͷ-FBSO.PSFʹࡉ͔ͳ࢓༷͕ղઆ͞Ε͍ͯΔͷͰಡΜͰΈΔͱ໘ന͍͔΋ ɹɹɹ-FBSO.PSFIUUQTXXXUBMPTEFWWMFBSONPSF

ޙ൒গ͠ίϯςφηΩϡϦςΟʹؔ͢Δ࿩Λ͠·͕ͨ͠

✅ίϯςφ։ൃऀʹ޲͚ͨίϯςφηΩϡϦςΟͷೖ໳ॻ ɹɹɹ,VCFSOFUFTΛج൫ͱͯ͠׆༻͍ͯ͠Δํ ɹɹɹ͜Ε͔ΒίϯςφηΩϡϦςΟΛֶͼ࢝ΊΔํ ɹɹɹɹɹɹɹɹɹɹɹɹɹɹɹɹɹɹɹͱ͍͏ํʹࣗ৴Λ͓࣋ͬͯ͢͢Ί͠·͢👍 ✅ϦεΫΛى఺ͱͯ͠ରࡦ΍ߟ͑ํΛϋϯζΦϯΛ௨ͯ͠ղઆ ɹɹɹίϯςφͷ࢓૊Έ΍,VCFSOFUFTͷػೳʹج͖ͮ୅දతͳέʔεʴЋΛ༻ҙ ɹɹɹɹFH ίϯςφϒϨΠΫΞ΢τɺίϯςφͷվ᜵ɺίϯςφ΁ͷ৵ೖ ✅🎉೥݄೔ൃച༧ఆ🎉 ͳʹ΍ΒΑͦ͞͏ͳຊ͕ൃച͞ΕΔΑ͏Ͱ͢
ϦεΫ͔ΒֶͿ,VCFSOFUFTίϯςφηΩϡϦςΟ ίϯςφ։ൃऀ͕͓͓͑ͯ͘͞΂͖جૅ஌ࣝ 絶賛予約受付中！！ 13 "NB[PO $ PWFS% FTJHO $ PN N JOH4 PPO ٕज़ཁૉ ੝Γ୔ࢁʂ ๬݄ܟଠஶ

5IBOL:PV

コンテナ専用OS Talos LinuxによるKubernetesクラスタの構築

コンテナ専用OS Talos LinuxによるKubernetesクラスタの構築

More Decks by mochizuki875

Other Decks in Technology

Featured

Transcript