OpenShiftという選択肢 株式会社リクルートテクノロジーズ 瀧田直斗 2019年3月28日

目次 • 自己紹介 • 初めに • セキュリティインフラの運用 • コンテナの利用拡大 • 構築課題 • OpenShiftという選択肢 2 (C) Recruit Technologies Co., Ltd. All rights reserved.

自己紹介 瀧田 直斗 株式会社リクルートテクノロジーズ ITソリューション本部 インフラソリューション部 経歴 2011〜2016 製薬業界様向けのIT会社 - 営業支援システムのインフラ全般構築担当 2016/9〜 リクルートテクノロジーズ入社 - 商用インフラと社内インフラを担当 最近の技術興味 ・Linuxカーネル、Docker、Kubernetes、GoLang ・データ操作,ログまわりが好き ELS、fluentd/embulk、SQL、・・・ 3 (C) Recruit Technologies Co., Ltd. All rights reserved.

初めに • 我々の部署ではこれからOpenShiftを導入しようと考えて いるところです。 • 現在検証中の段階であるため、勉強不足の点は多々あり ますがご了承ください。 • これからOpenShiftを導入しようとしている方、 導入済みでバッチリ運用しているぜって方などと 今後、意見交換できたら幸いです。 4 (C) Recruit Technologies Co., Ltd. All rights reserved.

セキュリティインフラの運用 業務内容 リクルートIDポイント事業におけるインフラ環境の運用を担当。 オンプレミス環境で通称『ELIXIR』と呼ばれ、リクルートの中でも 高いセキュリティレベルが求められるセキュリティインフラ。 インフラ上ではPontaWebや各リクルートサービスのIDサービスが稼働し ている。 5 (C) Recruit Technologies Co., Ltd. All rights reserved. PontaWeb リクルートのサービス IDサービス 利用者が予約したり、 ポイントを貯めたりできる。

セキュリティインフラの運用 インフラ運用 インフラの中では外部向けのアプリケーションだけでなく、内部向けの アプリケーションに関しても高いセキュリティレベルが求められる。 内外関係なく、新しいアプリケーション構築時には主にセキュリティ専 門部隊と都度相談しながら設計・実装している。 ※本日は内部アプリケーションの部分です。 6 (C) Recruit Technologies Co., Ltd. All rights reserved. アクセス制御は？ ID管理は？ 認証は？ ログは？ 権限はXXのように 分離できるような 機能が必要だ XX単位でアクセス 制御する機能が 必要だ

コンテナの利用拡大 コンテナベースのアプリケーション その一方で、もっと運用や構築を効率化したい、楽にしたい、コストを下 げたいという欲求が当然でてきて、その中でもコンテナベースのアプリケー ションが増えてきた。 7 (C) Recruit Technologies Co., Ltd. All rights reserved. コンテナベース アプリケーション！！ コンテナベース アプリケーション！！！ コンテナベース アプリ！！！ ケーション！！！！

課題 課題 • セキュリティ、運用面などその都度セキュリティ専門部署とコミュニケー ションを取りながら設計・構築しており、双方の工数がかかり辛くなって きた。 • 個別で実装機能の場合、脆弱性対応やセキュリティアップデートするのが 辛くなってきた。 • そもそも個別の運用設計するのが辛くなっていた。 8 (C) Recruit Technologies Co., Ltd. All rights reserved. アクセス制御は？ ID管理は？ 認証は？ ログは？ 運用設計は？ 脆弱性対応は？ イメージ管理は？ ソース管理は？ ねぇねぇ？ ねぇねぇ？ ねぇねぇ？ コンテナベース アプリケーション・・・

OpenShiftという選択肢 9 (C) Recruit Technologies Co., Ltd. All rights reserved. 解決策としては２つ・・・ １：Kubernetesを時間をかけてすべてを望み通りに構築する。 ２：必要なものが既に含まれているKubernetes Distributionを利用する。 ※かつ自社要件としてオンプレミス限定 この２つを天秤にかけた時・・・ 我々の部署ではkubernetesのプロは存在しておらず、セキュリティや運用 設計を一から行っていくと、セキュリティ専門部隊との調整や構築、運用化 までに時間がかかり、結局コストと時間がかかってしまうと判断。 またインフラを提供している以上サポート有という点は軽視できない。 自分たちで構築〜サポート するためのスキル・コスト が必要(と我々は判断) 運用、セキュリティ面であ らかじめパッケージングさ れている RedHatサポート有り

OpenShiftという選択肢 10 (C) Recruit Technologies Co., Ltd. All rights reserved. OpenShiftで特に注目しているところ セキュリティ面 • コンテナイメージのセキュリティ RedHad検証済イメージの利用で信頼できるイメージを元に開発できる。 コントロールポリシーで脆弱性コンテナのデプロイを阻止できる。 • ユーザ・グループ管理 ロールベースのアクセス制御で管理者、役割、チーム、個人などのアクセス制 御ができる。 • 既に大体のロールが用意されているので容易に運用開始できそう。 • ネットワーク分離 ovs-networkpolicyの存在があり、Namespace/Project単位ではなくPodや Service単位で制御ができる。 • RedHadのサポートがあること バグやセキュリティのアップデートがあり、 さらに技術的な問い合わせもできる。

OpenShiftという選択肢 11 (C) Recruit Technologies Co., Ltd. All rights reserved. OpenShiftで特に注目しているところ 運用面 • Ansibleによる簡単な構築手順 基本的にAnsibleのInventoryファイルに書いて、 Playbookを実行するだけで マルチマスター、マルチノード環境の構築ができる。 • 管理GUI Docker/kubernetes/OpenShiftを詳しく知らない人でも、GUI操作だけで運用 &構築ができそう。 運用上必要な稼働状態やログ、イベントなど確認がGUIでできる。 • イメージ管理、CI/CDツールの統合、DevOpsのワークフロー イメージのバージョン管理、ベースイメージとアプリケーションコードの分離 のおかげで、よくわからないイメージを撲滅できそう。 予め用意されているフローでデプロイまでの手順を簡略化できそう。

おしまい ご清聴ありがとうございました！ 12 (C) Recruit Technologies Co., Ltd. All rights reserved.