脱・塩漬け!サステナブルなKubernetesエコシステムの管理をしていくために

脱・塩漬け！サステナブルなKubernetesエコシステムの管理をしていくために鈴木祥太（@sshota0809） CloudNative Days Tokyo 2022

鈴木祥太　 @sshota0809 所属株式会社ユーザベース SRE B2B 向け SaaS プロダクトを横串で担当
Like Network / Golang / GCP / AWS / k8s / Service Mesh 自己紹介

Kubernetes とエコシステムのライフサイクルエコシステム運用の難しさサステナブルなエコシステム管理を目指してまとめアジェンダ

話すこと・Kubernetes エコシステムの運用について・helmﬁle + Renovate + GitOps を利用したエコシステム運用自動化について話さないこと
・Kubernetes 自体の運用について（アップグレード戦略など）・helm 以外を前提としたエコシステムのインストール方法などについて・GitOps の詳細について話すこと・話さないこと

Kubernetes とエコシステムのライフサイクル

Kubernetes とエコシステムのライフサイクル Kubernetes のライフサイクル 4 ヶ月ごとにマイナーバージョンのリリースがされ 1 年間のサポートをする方針参考：https://kubernetes.io/releases/ バージョンアップによって
API が非推奨になったり削除されたりする参考：https://kubernetes.io/docs/reference/using-api/deprecation-policy/ 出典：https://endoﬂife.date/kubernetes

Kubernetes とエコシステムのライフサイクル Kubernetes の運用を便利にするエコシステム各コミュニティで活発に開発される様々なエコシステムを利用することで、 Kubernetes の運用などを自動化・省エネ化することが可能 e.g. Istio /
cert-manager / External Secrets Operator / etc... エコシステムのライフサイクルエコシステムも 1 つのソフトウェアなので、当然リリース等のライフサイクルがあるエコシステムのバージョンによってサポートしている Kubernetes のバージョンも指定されている

Kubernetes とエコシステムのライフサイクル e.g. Istio のサポート情報出典：https://istio.io/latest/docs/releases/supported-releases/

Kubernetes とエコシステムのライフサイクル Kubernetes のサイクルエコシステムのサイクル v1.1.0 v1.2.0 v1.3.0 v1.4.0
v1.5.0 v1.6.0 v1.7.0 v1.8.0 v1.0.0 v2.0.0 v3.0.0 v4.0.0 v5.0.0 v6.0.0 v7.0.0 v8.0.0 Kubernetes とエコシステムどちらもしっかりバージョン追従する必要があるどちらをサボってしまってもエコシステムの動作に影響が出る可能性がある e.g. エコシステムが削除された Kubernetes の API にアクセスをしてしまう、etc... Kubernetes とエコシステムのライフサイクル例

エコシステム運用の難しさ

エコシステム運用の難しさ構成管理の戦略エコシステムのインストールは手段の 1 つとして helm Chart が提供されている場合が多いが helm
を利用したソフトウェアのインストールは手続き型となるそのため、どのバージョンの helm Chart がどのクラスタにインストールされているのか構成管理の戦略を考える必要がある　構成管理をしないとエコシステムやクラスタの数が増えた際に管理コストが顕著に増大する（体験談） $ helm repo add external-secrets https://charts.external-secrets.io $ helm install external-secrets \ external-secrets/external-secrets \ -n external-secrets \ --create-namespace \ helm コマンドによるインストール

エコシステム運用の難しさエコシステムのバージョン追従前述の通りエコシステムのバージョン追従を行う必要があるが、各エコシステムのリリース情報をキャッチアップして helm コマンドでアップグレードする事はかなり大変エコシステムとクラスタの数が掛け算で運用負荷となる・・・・・・エコシステム
Kubernetes ×

エコシステム運用の難しさ構成管理の戦略エコシステムのバージョン追従

エコシステム運用の難しさ構成管理の戦略エコシステムのバージョン追従便利なので様々なエコシステムをインストールしたくなるがその運用で考えるべきことはたくさんある

サステナブルなエコシステム管理を目指して

サステナブルなエコシステム管理を目指して構成管理の戦略 helmﬁle を利用した宣言的なエコシステム管理

サステナブルなエコシステム管理を目指して helmfile（https://github.com/helmfile/helmfile） helm Chart を宣言的に管理しデプロイできるようにするための helm のラッパーツール ‘’’Helmfile is a
declarative spec for deploying helm charts’’’ YAML ファイルでレポジトリやインストールするチャートを定義することでコマンドラインでの手続き的な管理から脱却することができる repositories: - name: external-secrets url: https://charts.external-secrets.io releases: - name: external-secrets-operator namespace: external-secrets-operator createNamespace: true chart: external-secrets/external-secrets version: 0.6.0 $ helm repo add external-secrets https://charts.external-secrets.io $ helm install external-secrets \ external-secrets/external-secrets \ --version 0.6.0 \ -n external-secrets \ --create-namespace \ helm を利用したコマンドラインでのインストール helmfile.yaml に宣言的に記載

サステナブルなエコシステム管理を目指して helmfile と GitOps helmfile と GitOps を組み合わせることで宣言的にエコシステムを管理できる世界観を実現 GitOps の構成パターン（例）
1. CICD パイプラインによって helmfile からマニフェストファイルを生成しそれを ArgoCD 等で同期 2. 自作/有志が公開している ArgoCD の helmfile プラグインを利用して同期例 1 のフロー helmfile を管理しているレポジトリ GitHub Actions マニフェスト用リポジトリ・・・ ArgoCD k8s クラスタ helmfile.yaml helmfile.yaml や values.yaml の変更検知でワークフローを実行 helmfile.yaml からマニフェストを生成してマニフェスト用リポジトリにコミット（$ helmfile template） ArgoCDがマニフェストの差分検知差分をクラスタに反映

サステナブルなエコシステム管理を目指してエコシステムのバージョン追従 Renovate を利用した helmﬁle の自動更新

サステナブルなエコシステム管理を目指して Renovate（https://github.com/renovatebot/renovate）リポジトリ内の依存関係のスキャンおよび更新を自動化するツール依存関係の更新を自動で検知してアップグレードを施す PR を自動で発行、多数のコンフィグレーションにより Renovate の柔軟な制御が可能多くのパッケージマネージャーに対応しており
helmﬁle にもネイティブで対応参考：https://docs.renovatebot.com/modules/manager/ … releases: - name: external-secrets-operator namespace: external-secrets-operator createNamespace: true chart: external-secrets/external-secrets version: 0.6.0 helm repository メンテナー Create v0.7.0 helmﬁle.yaml 内で指定したバージョンを参照リポジトリスキャン + 依存関係検知 v0.7.0 の存在を検知 + PR 作成 − version: 0.6.0 + version: 0.7.0

サステナブルなエコシステム管理を目指して Renovate によるアップグレード自動化 with helmfile helmfile.yaml のバージョンアップグレードは Renovateの責務となる Renovate が作成した
PR をどう扱うか組織によって柔軟に選択が可能 1. 人によるレビューを行い承認したら PR をマージしてワークフローを発火 2. PR をトリガーに何かしらのテストを実行しパスしたら自動マージしてワークフローを発火　etc... 例 1 のフロー helmfile を管理しているレポジトリ GitHub Actions マニフェスト用リポジトリ・・・ ArgoCD k8s クラスタ helmfile.yaml helmfile.yaml や values.yaml の変更検知でワークフローを実行 helmfile.yaml からマニフェストを生成してマニフェスト用リポジトリにコミット（$ helmfile template） ArgoCDがマニフェストの差分検知差分をクラスタに反映バージョンアップグレードを施す PR を作成

サステナブルなエコシステム管理を目指して弊社で実際に運用しているフローの全体像バージョンのアップグレードによってマニフェストがどのように変わるか差分をコメント差分を確認し問題なければ PR を手動マージ（人間による介入はここのみ） ArgoCD マニフェスト用リポジトリ（e.g.
sp-manifest） helmfile を管理しているレポジトリ Renovate GitHub Actions SRE GitHub Actions helmfileで管理されているソフトウェアにアップグレードがあり次第自動検知 + アップグレードを施す PR 作成差分を確認して問題なさそうであれば PR をマージ差分を自動検知し自動的にクラスタに反映（新しいバージョンのエコシステムをインストール） helmfile.yaml マニフェスト・・・ k8s クラスタバージョンアップした際のマニフェストファイルの差分を PR にコメントバージョンアップ後のマニフェストファイルをマニフェスト用リポジトリにコミット

サステナブルなエコシステム管理を目指してバージョンアップに伴う差分をビジュアリング PR に GitHub Actions からコメント

サステナブルなエコシステム管理を目指して helmfile と Renovate の Tips どちらもプライベートな helm repository を参照することができるため
非公開の helm Chart も管理することができる（弊社では自作 Chart もすべて管理） 1. helmfile で helm repository に対する認証情報の設定する（サンプルを参照ください） 2. Renovate で helm repository に対する認証情報を設定する（サンプルを参照ください） Renovate の PR の単位はコンフィグレーションで柔軟に制御が可能なので開発と本番環境用に別々の PR を発行するといったことも可能 1. helmfile.yaml を /dev/ と /prd/ ディレクトリ以下にそれぞれ配置 2. Renovate の設定でディレクトリごとに PR を分ける（サンプルを参照ください） 3. /dev/ に対する PR をマージ、開発クラスタ上での動作確認時間の関係で説明し切れない部分はサンプルリポジトリを用意したのでご参照ください https://github.com/sshota0809/cndt2022-helmfile-renovate-sample ROOT dev/ prd/ helmfile.yaml helmfile.yaml

まとめ

Kubernetes とエコシステムのライフサイクルエコシステムは運用自動化ができたり大変便利だが、しっかりとバージョン追従をすることが大切エコシステム運用の難しさ特にエコシステムやクラスタの数が増えるとエコシステム自体の構成管理やバージョンアップにかかる運用工数など様々な課題が表面化するサステナブルなエコシステム管理を目指して helmﬁle と
Renovate を利用することでエコシステムの構成管理、自動的なバージョンアップを行うことができるそれによってエコシステムやクラスタの数が増えても持続可能な運用を行うことができるまとめ

脱・塩漬け!サステナブルなKubernetesエコシステムの管理をしていくために

脱・塩漬け!サステナブルなKubernetesエコシステムの管理をしていくために

Shota Suzuki

More Decks by Shota Suzuki

Other Decks in Technology

Featured

Transcript

脱・塩漬け！サステナブルなKubernetesエコシステムの管理をしていくために鈴木祥太（@sshota0809） CloudNative Days Tokyo 2022

鈴木祥太　 @sshota0809 所属株式会社ユーザベース SRE B2B 向け SaaS プロダクトを横串で担当

Kubernetes とエコシステムのライフサイクルエコシステム運用の難しさサステナブルなエコシステム管理を目指してまとめアジェンダ

話すこと・Kubernetes エコシステムの運用について・helmﬁle + Renovate + GitOps を利用したエコシステム運用自動化について話さないこと

Kubernetes とエコシステムのライフサイクル

Kubernetes とエコシステムのライフサイクル Kubernetes のライフサイクル 4 ヶ月ごとにマイナーバージョンのリリースがされ 1 年間のサポートをする方針参考：https://kubernetes.io/releases/ バージョンアップによって

Kubernetes とエコシステムのライフサイクル e.g. Istio のサポート情報出典：https://istio.io/latest/docs/releases/supported-releases/

Kubernetes とエコシステムのライフサイクル Kubernetes のサイクルエコシステムのサイクル v1.1.0 v1.2.0 v1.3.0 v1.4.0

エコシステム運用の難しさ

エコシステム運用の難しさ構成管理の戦略エコシステムのインストールは手段の 1 つとして helm Chart が提供されている場合が多いが helm

エコシステム運用の難しさ構成管理の戦略エコシステムのバージョン追従

エコシステム運用の難しさ構成管理の戦略エコシステムのバージョン追従便利なので様々なエコシステムをインストールしたくなるがその運用で考えるべきことはたくさんある

サステナブルなエコシステム管理を目指して

サステナブルなエコシステム管理を目指して構成管理の戦略 helmﬁle を利用した宣言的なエコシステム管理

サステナブルなエコシステム管理を目指して helmfile（https://github.com/helmfile/helmfile） helm Chart を宣言的に管理しデプロイできるようにするための helm のラッパーツール ‘’’Helmfile is a

サステナブルなエコシステム管理を目指して helmﬁle と GitOps helmﬁle と GitOps を組み合わせることで宣言的にエコシステムを管理できる世界観を実現 GitOps の構成パターン（例）

エコシステム運用の難しさ構成管理の戦略エコシステムのバージョン追従

サステナブルなエコシステム管理を目指してエコシステムのバージョン追従 Renovate を利用した helmﬁle の自動更新

サステナブルなエコシステム管理を目指して Renovate によるアップグレード自動化 with helmﬁle helmﬁle.yaml のバージョンアップグレードは Renovateの責務となる Renovate が作成した

エコシステム運用の難しさ構成管理の戦略エコシステムのバージョン追従

サステナブルなエコシステム管理を目指してバージョンアップに伴う差分をビジュアリング PR に GitHub Actions からコメント

サステナブルなエコシステム管理を目指して helmﬁle と Renovate の Tips どちらもプライベートな helm repository を参照することができるため

まとめ