Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
OpenShiftという選択肢
Search
Recruit Technologies
March 28, 2019
Technology
0
590
OpenShiftという選択肢
2019/3/28 OpenShift Meetup Tokyo #3での、瀧田の講演資料になります
Recruit Technologies
March 28, 2019
Tweet
Share
More Decks by Recruit Technologies
See All by Recruit Technologies
障害はチャンスだ! 障害を前向きに捉える
rtechkouhou
1
570
Flutter移行の苦労と、乗り越えた先に得られたもの
rtechkouhou
3
10k
ここ数年間のタウンワークiOSアプリのエンジニアのチャレンジ
rtechkouhou
1
1.4k
大規模環境をAWS Transit Gatewayで設計/移行する前に考える3つのポイントと移行への挑戦
rtechkouhou
1
1.8k
【61期 新人BootCamp】TOC入門
rtechkouhou
3
40k
【RTC新人研修 】 TPS
rtechkouhou
1
39k
Android Boot Camp 2020
rtechkouhou
0
40k
HTML/CSS
rtechkouhou
10
48k
TypeScript Bootcamp 2020
rtechkouhou
9
44k
Other Decks in Technology
See All in Technology
LangSmith入門―トレース/評価/プロンプト管理などを担うLLMアプリ開発プラットフォーム
os1ma
3
280
MapLibreとAmazon Location Service
dayjournal
1
160
Azure Container Apps + Bicep 〜 こんな感じで運用しています
kaz29
2
480
On Your Data を超えていく!
hirotomotaguchi
2
690
障害対応をちょっとずつよくしていくための 演習の作りかた
heleeen
0
230
ServiceNow Knowledge Learning Rise up
manarobot
0
210
【NW X Security JAWS#3】L3-4:AWS環境のIPv6移行に向けて知っておきたいこと
shotashiratori
0
330
Azureの基本的な権限管理の勉強会
yhana
0
580
プロンプトエンジニアリングでがんばらない-Agentic Workflow へ-近藤憲児
kenjikondobai
2
770
プロトタイピングによる不確実性の低減 / Reducing Uncertainty through Prototyping
ohbarye
5
390
推しは推せるときに推せ! プロダクトにフィードバックしていこう
nakasho
0
320
ServiceNow Knowledge 24の歩き方 EYストラテジー・アンド・コンサルティング
manarobot
0
200
Featured
See All Featured
The Brand Is Dead. Long Live the Brand.
mthomps
49
29k
Producing Creativity
orderedlist
PRO
337
39k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
78
42k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
7
1k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
274
13k
Writing Fast Ruby
sferik
621
60k
Fantastic passwords and where to find them - at NoRuKo
philnash
37
2.5k
Ruby is Unlike a Banana
tanoku
96
10k
The Invisible Side of Design
smashingmag
294
49k
Code Review Best Practice
trishagee
55
15k
Bootstrapping a Software Product
garrettdimon
PRO
302
110k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
659
120k
Transcript
OpenShiftという選択肢 株式会社リクルートテクノロジーズ 瀧田直斗 2019年3月28日
目次 • 自己紹介 • 初めに • セキュリティインフラの運用 • コンテナの利用拡大 •
構築課題 • OpenShiftという選択肢 2 (C) Recruit Technologies Co., Ltd. All rights reserved.
自己紹介 瀧田 直斗 株式会社リクルートテクノロジーズ ITソリューション本部 インフラソリューション部 経歴 2011〜2016 製薬業界様向けのIT会社 -
営業支援システムのインフラ全般構築担当 2016/9〜 リクルートテクノロジーズ入社 - 商用インフラと社内インフラを担当 最近の技術興味 ・Linuxカーネル、Docker、Kubernetes、GoLang ・データ操作,ログまわりが好き ELS、fluentd/embulk、SQL、・・・ 3 (C) Recruit Technologies Co., Ltd. All rights reserved.
初めに • 我々の部署ではこれからOpenShiftを導入しようと考えて いるところです。 • 現在検証中の段階であるため、勉強不足の点は多々あり ますがご了承ください。 • これからOpenShiftを導入しようとしている方、 導入済みでバッチリ運用しているぜって方などと
今後、意見交換できたら幸いです。 4 (C) Recruit Technologies Co., Ltd. All rights reserved.
セキュリティインフラの運用 業務内容 リクルートIDポイント事業におけるインフラ環境の運用を担当。 オンプレミス環境で通称『ELIXIR』と呼ばれ、リクルートの中でも 高いセキュリティレベルが求められるセキュリティインフラ。 インフラ上ではPontaWebや各リクルートサービスのIDサービスが稼働し ている。 5 (C) Recruit
Technologies Co., Ltd. All rights reserved. PontaWeb リクルートのサービス IDサービス 利用者が予約したり、 ポイントを貯めたりできる。
セキュリティインフラの運用 インフラ運用 インフラの中では外部向けのアプリケーションだけでなく、内部向けの アプリケーションに関しても高いセキュリティレベルが求められる。 内外関係なく、新しいアプリケーション構築時には主にセキュリティ専 門部隊と都度相談しながら設計・実装している。 ※本日は内部アプリケーションの部分です。 6 (C) Recruit
Technologies Co., Ltd. All rights reserved. アクセス制御は? ID管理は? 認証は? ログは? 権限はXXのように 分離できるような 機能が必要だ XX単位でアクセス 制御する機能が 必要だ
コンテナの利用拡大 コンテナベースのアプリケーション その一方で、もっと運用や構築を効率化したい、楽にしたい、コストを下 げたいという欲求が当然でてきて、その中でもコンテナベースのアプリケー ションが増えてきた。 7 (C) Recruit Technologies Co.,
Ltd. All rights reserved. コンテナベース アプリケーション!! コンテナベース アプリケーション!!! コンテナベース アプリ!!! ケーション!!!!
課題 課題 • セキュリティ、運用面などその都度セキュリティ専門部署とコミュニケー ションを取りながら設計・構築しており、双方の工数がかかり辛くなって きた。 • 個別で実装機能の場合、脆弱性対応やセキュリティアップデートするのが 辛くなってきた。 •
そもそも個別の運用設計するのが辛くなっていた。 8 (C) Recruit Technologies Co., Ltd. All rights reserved. アクセス制御は? ID管理は? 認証は? ログは? 運用設計は? 脆弱性対応は? イメージ管理は? ソース管理は? ねぇねぇ? ねぇねぇ? ねぇねぇ? コンテナベース アプリケーション・・・
OpenShiftという選択肢 9 (C) Recruit Technologies Co., Ltd. All rights reserved.
解決策としては2つ・・・ 1:Kubernetesを時間をかけてすべてを望み通りに構築する。 2:必要なものが既に含まれているKubernetes Distributionを利用する。 ※かつ自社要件としてオンプレミス限定 この2つを天秤にかけた時・・・ 我々の部署ではkubernetesのプロは存在しておらず、セキュリティや運用 設計を一から行っていくと、セキュリティ専門部隊との調整や構築、運用化 までに時間がかかり、結局コストと時間がかかってしまうと判断。 またインフラを提供している以上サポート有という点は軽視できない。 自分たちで構築〜サポート するためのスキル・コスト が必要(と我々は判断) 運用、セキュリティ面であ らかじめパッケージングさ れている RedHatサポート有り
OpenShiftという選択肢 10 (C) Recruit Technologies Co., Ltd. All rights reserved.
OpenShiftで特に注目しているところ セキュリティ面 • コンテナイメージのセキュリティ RedHad検証済イメージの利用で信頼できるイメージを元に開発できる。 コントロールポリシーで脆弱性コンテナのデプロイを阻止できる。 • ユーザ・グループ管理 ロールベースのアクセス制御で管理者、役割、チーム、個人などのアクセス制 御ができる。 • 既に大体のロールが用意されているので容易に運用開始できそう。 • ネットワーク分離 ovs-networkpolicyの存在があり、Namespace/Project単位ではなくPodや Service単位で制御ができる。 • RedHadのサポートがあること バグやセキュリティのアップデートがあり、 さらに技術的な問い合わせもできる。
OpenShiftという選択肢 11 (C) Recruit Technologies Co., Ltd. All rights reserved.
OpenShiftで特に注目しているところ 運用面 • Ansibleによる簡単な構築手順 基本的にAnsibleのInventoryファイルに書いて、 Playbookを実行するだけで マルチマスター、マルチノード環境の構築ができる。 • 管理GUI Docker/kubernetes/OpenShiftを詳しく知らない人でも、GUI操作だけで運用 &構築ができそう。 運用上必要な稼働状態やログ、イベントなど確認がGUIでできる。 • イメージ管理、CI/CDツールの統合、DevOpsのワークフロー イメージのバージョン管理、ベースイメージとアプリケーションコードの分離 のおかげで、よくわからないイメージを撲滅できそう。 予め用意されているフローでデプロイまでの手順を簡略化できそう。
おしまい ご清聴ありがとうございました! 12 (C) Recruit Technologies Co., Ltd. All rights
reserved.