本番環境と開発環境で 使えるコンテナイメージ 運用 Kubernetes Meetup Tokyo #2 By 真幡 康徳

自己紹介 ● 株式会社Orb - DevOps チームリード ● “mahata”@ GitHub / “Yasu” @ connpass ● 最近の主戦場 ○ Kubernetes (Docker) ○ AWSサービス群 ○ オーケストレーションツール群 ■ Ansible とか...

Kubernetes 本番で使いたい!

Kubernetes 本番運用に立ちはだかる壁 ● サービスのコンテナ化 ○ マイクロサービス化 ○ コンテナイメージの管理 ● (本番環境にあわせた) 開発環境の構築 ○ ステージング環境も! ● データの永続化

Kubernetes 本番運用に立ちはだかる壁 ● サービスのコンテナ化 ○ マイクロサービス化 ○ コンテナイメージの管理 ● (本番環境にあわせた) 開発環境の構築 ○ ステージング環境も! ● データの永続化

コンテナイメージ管理黎明期

素朴な VPC 構成 (AWS) S3 Private Registry VPC Public Private 踏み台 サーバ

素朴な SSH トンネル S3 Private Registry VPC Public Private 踏み台 サーバ docker pull/push

素朴なSSHトンネルの良し悪し ● 良し ○ 環境構築が簡単 ● 悪し ○ Private Registry のSSHキーさえあれば全て のコンテナにアクセス可能

ところで マイクロサービスって...

Why Microservices Matter (by Heroku) Microservice-based apps are composed of several small programs, each with a single responsibility. This allows teams of engineers to work relatively independently on different services. 意訳: マイクロサービスでチームごとに責任範囲が 明確になるし, 独立して働けるようになるよね Why Microservices Matter

独立して働けるように なるよね!!

サービス (チーム) ごとに独立したい ● 一部のサービス開発をアウトソースしたい ● アウトソース先に制約を課したい ○ 必要なコンテナだけ pull/push 可能に ○ 素朴な SSH トンネルだと難しそう...

Docker Hub のように認証をしたい ● “$ docker login registry.example.com” したい ● ログインユーザ毎にアクセス権を変えたい

Docker Registry v2 の認証モデル cesanta/docker_auth: Authentication server for Docker Registry 2 cesanta/docker_auth

docker_auth の設定ファイル (抜粋) users: "john": password: "SOME_PASSWORD_BCRYPTED" acl: - match: {account: "john", name: "hey"} # "pull", "push", "*" actions: ["pull"]

まとめ ● Kubernetes 楽しい! ● マイクロサービス楽しい! ● cesanta/docker_auth 便利!