Tweet
Tweet

Slide 1

Slide 1 text

vclusterで お手軽 Kubernetes マルチテナント

Slide 2

Slide 2 text

KAZUTO KUSAMA @jacopen Senior Cloud Native Architect @VMware 知らない間にタイトル変わってた

Slide 3

Slide 3 text

About me ● VMware Tanzuの導入支援や プラットフォームチームづくりの支援をしています ● CloudNative Days TokyoのCo-chairを@amsy810と 一緒にやっています ● DevOps Meetupで話すのは2回目かな?

Slide 4

Slide 4 text

Kubernetesクラスタ いくつ欲しいですか?

Slide 5

Slide 5 text

自由に使える Kubernetesクラスタ いくつ欲しいですか?

Slide 6

Slide 6 text

A. いっぱい欲しい

Slide 7

Slide 7 text

こんなん、なんぼあってもいいですからね

Slide 8

Slide 8 text

なんぼあってもいいKubernetesクラスタの理由 ● 気軽に作ったり壊したりしたい ● 周りを気にせず試行錯誤したい ● 用途を分けたい ● 障害時の影響範囲を分けたい

Slide 9

Slide 9 text

なんぼあってもいいKubernetesクラスタの理由 ● 気軽に作ったり壊したりしたい ● 周りを気にせず試行錯誤したい ● 用途を分けたい ● 障害時の影響範囲を分けたい Minikubeとかkindとかを活用 どうする?

Slide 10

Slide 10 text

1つのKubernetesで複数用途に使う場合 (Soft Multi-tenancy) ● Namespace ● RBAC (ClusterRole/Role) ● Network Policy ● ResourceQuota ● Pod Security Policy

Slide 11

Slide 11 text

Soft Multi-tenancyのつらいところ ● 管理者による適切な管理が必要 ● Cluster-wideな Resourceの管理が難しい(CRD, Ingress controllerなど) ● Helm chartでポンとアプリを入れるのすら難しい ● 複数バージョンのCRDを扱うことができない ● Noisy neighborを完全に排除できるわけではない

Slide 12

Slide 12 text

じゃあKubernetesクラスタを分けちゃう (Hard Multi-tenancy) ● Managed Kubernetesで複数のKubernetesクラスタを作る ● Tanzu Kubernetes Gridを使う! ○ Cluster APIでポンポンクラスタが作れる

Slide 13

Slide 13 text

Hard Multi-tenancyの辛いところ ● オーバーヘッドがデカい ○ クラスタ分だけリソースが必要 ● 共通リソースのセットアップがめんどくさい ○ 各環境にIngress controller入れないといけないとか ● プロビジョニングにちょっと時間がかかる ○ 10分とか15分とか。すごく困るわけではないけど、カンタンに作ったり 消したりは難しい

Slide 14

Slide 14 text

Kubenetesを使って Kubernetes立ち上げればいいのでは

Slide 15

Slide 15 text

No content

Slide 16

Slide 16 text

DEMO

Slide 17

Slide 17 text

DEMOで やった内容 あらかじめKubernetesクラスタを用意してあります。これは普段自分が いろんな用途に使っているクラスタです。これをそのまま流用します

Slide 18

Slide 18 text

DEMOで やった内容 vclusterコマンドでクラスタを作成します。 10秒も経たずにクラスタが立ち上がります

Slide 19

Slide 19 text

DEMOで やった内容 vcluster connectコマンドで接続します。立ち上がった KubernetesクラスタのAPIに ポートフォワードが行われる他、繋ぐための kubeconfigが作成されます

Slide 20

Slide 20 text

DEMOで やった内容 kubeconfigを指定してkubectl get allしてみます。corednsのみが立ち上がっている まっさらなKubernetesクラスタが立ち上がりました。

Slide 21

Slide 21 text

DEMOで やった内容 deploymentでnginxを立ち上げ、type LoadBalancerでexposeしてみます。ちゃんと LoadBlancer作られてますね

Slide 22

Slide 22 text

DEMOで やった内容 ちゃんと接続できました。 Kubernetesクラスタが1分も経たないうちに作成され、普通に使えているわけです

Slide 23

Slide 23 text

きっとここなら伝わる なるほど、”Nested”なクラスタが 作れるんだね (VMware DevOps Meetup)

Slide 24

Slide 24 text

Nested Hardware Hypervisor VM Hypervisor Nested VM Nested VM VMを活用している人たちがイメージする Nested環境ってこんな感じですよね。 VMの 中にさらにハイパーバイザを立ち上げ、 VMをネストさせる。

Slide 25

Slide 25 text

Nested Hardware Hypervisor VM Hypervisor Nested VM Nested VM 便利だけど無視出来ない速度低下 便利な一方無視出来ない速度低下があり、検証用途にしか使えないイメージじゃな いでしょうか

Slide 26

Slide 26 text

vcluster - No Performance Degradation ただ、vclusterは性能低下がないことをウリにしています。これはどういうことでしょう か。

Slide 27

Slide 27 text

vcluster vclusterのしくみ Host Kubernetes Vcluster Control plane vclusterを立ち上げると、ホスト側の Kubernetesにk3sという軽量k8s ディストリビューションの Control PlaneがPodとして立ち上がります。 k3sによって、もう一つの Kubernetesが生まれたわけで、上の箱にそ れを表現しています

Slide 28

Slide 28 text

vclusterのしくみ Host Kubernetes Vcluster Control plane vcluster Namespace 1 Namespace 2 Pod svc Pod svc では、上の箱(仮想k8sクラスタ)にkubectlでPodを立ち上げます。仮想 k8sクラスタ側では当然、対象の NamespaceにPodやServiceが作ら れたように見えます。

Slide 29

Slide 29 text

vclusterのしくみ Host Kubernetes Vcluster Control plane vcluster syncer Namespace 1 Namespace 2 Pod svc Pod svc Pod svc Pod svc しかし、ここでsyncerというコンポーネントが動きます。 syncerはPodや Serviceの作成を検知すると、仮想 k8sではなくホストKubernetesのほ うにPod, Serviceを作成します。 実体はホスト側に出来るわけです。

Slide 30

Slide 30 text

vclusterのしくみ Host Kubernetes Vcluster Control plane vcluster syncer Namespace 1 Namespace 2 Pod svc Pod svc Pod svc Pod svc 実体がホスト側にあるが故に、仕組みとしては通常の k8sと同じであ り、性能低下は起きないというわけです。 Pod間ネットワークも、ホスト側のものをそのまま使います。

Slide 31

Slide 31 text

DEMO もうちょっと実物をみてみましょう

Slide 32

Slide 32 text

DEMOで やった内容 先ほどはvclusterコマンドを使いましたが、出力を見ると実際には helmコマンドを実 行していることが分かります。これを直接実行してもクラスタが作れます。 helmで作れるということは、 ArgoCDなどで自動化も可能ですね。

Slide 33

Slide 33 text

DEMOで やった内容 クラスタ作成時にオプションを渡すこともできます。 先ほどのデモではport forwardでAPIに繋いでいましたが、みんなで使うには不便で すよね。port forward無しでkubectl叩きたい。この例では、 TLSのSANにFQDNを指 定しています。

Slide 34

Slide 34 text

DEMOで やった内容 クラスタ作成後、ホスト側で NodePort, LoadBalancer, Ingressなどを使って仮想クラ スタのAPIをexposeします。今回はTLS passthroughを使いたかったので、 Contour のHTTPProxy(Ingressの高機能版)を使っています。 port forward無しでkubectl叩けるようになりました。

Slide 35

Slide 35 text

DEMOで やった内容 先ほどと同じように、 nginxをdefault namespaceに作成して、LoadBalancerで exposeしてみます。ふつうに立ち上がってますね。

Slide 36

Slide 36 text

DEMOで やった内容 ここでホスト側のKubernetesのPodを見てみると、vc3 namespaceにnginx, coredns, control planeが立ち上がっていることが分かります。仮想クラスタで作成さ れたPodは、ホスト側では全て同一の Namespaceに作成されるのです。

Slide 37

Slide 37 text

DEMOで やった内容 新しいnamespaceを作成し、そこにnginxとLBを立ち上げてみました。仮想クラスタ側 では当然指定したnamespace側に見えますが、ホスト側では vc3 namespaceにPod が作成されてますね。 pod名でどのns向けか判断できます。 LoadBalancerも同じようにホスト側に作成されているのが見えます。

Slide 38

Slide 38 text

手軽に動かせるので試してみて