Upgrade to Pro — share decks privately, control downloads, hide ads and more …

組織の壁と戦うための Hierarchical Namespace #InfraStudy / Infra Study Meetup 5th

y_taka_23
August 31, 2020
Technology
4
3.9k

組織の壁と戦うための Hierarchical Namespace #InfraStudy / Infra Study Meetup 5th

Infra Study Meetup #5 で使用したスライドです。

複数のチームでひとつの Kubernetes クラスタを共有したい場合、Namespace に紐づいた Role や Policy を使用することでチームごとに環境の管理が容易になります。しかし通常の Namespace はフラットな構造しか表現できないため、ある程度複雑な組織では Namespace を用いた各チームへの管理の移譲がうまくいかないケースがあります。

この問題を解決するために、階層構造を持つ Namespace を仮想的に扱うためのツール Hierarchical Namespace Controller (HNC) の開発が進められています。本セッションでは、デモを交えて HNC の仕組みについて紹介しました。

イベント概要:https://forkwell.connpass.com/event/183909/
録画:https://youtu.be/P04oTmX2S3E?t=5290

y_taka_23

August 31, 2020
Tweet

More Decks by y_taka_23

See All by y_taka_23
サーバーレスアーキテクチャの数理的理解と分析 #devsumi / Developers Summit 2023 Summer
ytaka23
9
3.1k
形式手法による分散システムの検証 〜S3 の一貫性モデルを例として〜 #ourdevday2023 / Our DevDay 2023
ytaka23
1
830
Amazon S3 の一貫性モデル超入門 #ハードル激低LT大会 / Low-hurdle LT Meetup 2nd
ytaka23
3
1.5k
謎は全て解けた!安楽椅子探偵に捧げる AWS ネットワーク分析入門 #CNDT2022 / CloudNative Days Tokyo 2022
ytaka23
2
2.1k
サーバーレスは操作的意味論の夢を見るか? #AWSDevDay / AWS Dev Day 2022 Japan
ytaka23
3
4.7k
賢く「振り分ける」ための Topology Aware Hints #k8sjp / Kubernetes Meetup Tokyo 52nd
ytaka23
3
2.1k
ネットワークはなぜつながらないのか 〜インフラの意味論的検査を目指して〜 #AWSDevDay / AWS Dev Day Online Japan 2021
ytaka23
4
6.4k
君のセキュリティはデプロイするまでもなく間違っている #CICD2021 / CICD Conference 2021
ytaka23
15
8.8k
AWS セキュリティは「論理」に訊け! Automated Reasoning の理論と実践 #JTF2021 / July Tech Festa 2021
ytaka23
6
5.4k

Other Decks in Technology

See All in Technology
様々なユースケースに利用できる "パスキー" の 導入事例の紹介とUXの課題解説 @ DroidKaigi 2023
ritou
1
1.8k
20230914_FinJAWS
takuyay0ne
2
410
沖縄観光、名物を一挙紹介!
bumptakayuki
PRO
0
140
[PHPカンファレンス沖縄2023]【実践編】良いプロダクト作りのための組織育成 健全なコードは健全な組織、健全なチームから
ikezoemakoto
1
190
モチベーションサイクルという観点でQAをしよう
mixi_engineers
PRO
1
140
仲間から嫌われがちだった私が、アジャイルに出会い、仲間から慕われるようになるまでの道のり / I was often disliked by my peers, but then I met Agile, How I came to be admired by my peers
pauli
0
520
物理シミュレーションと数理最適化の知見を導入した機械学習手法
yellowshippo
1
930
動画配信サービスの 人気番組配信のスパイクアクセスに、 サーバレスキャッシュで立ち向かう
miu_crescent
1
270
2023 CSS
nishiharatsubasa
6
3.1k
変化する組織の中で運用するフロントエンドエコシステム / Frontend Ecosystem in Organizational Changes
i524
1
470
refactoring-serverless
gawa
1
330
PHPからはじめるコンピュータア ーキテクチャ / PHP Meets Silicon: A Fun Dive into Computer Structures
tomzoh
4
200

Featured

See All Featured
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
123
30k
What's new in Ruby 2.0
geeforr
336
30k
The Illustrated Children's Guide to Kubernetes
chrisshort
26
45k
Art Directing for the Web. Five minutes with CSS Template Areas
malarkey
197
11k
Build your cross-platform service in a week with App Engine
jlugia
223
17k
Rebuilding a faster, lazier Slack
samanthasiow
71
7.8k
Building a Scalable Design System with Sketch
lauravandoore
453
31k
From Idea to $5000 a Month in 5 Months
shpigford
376
45k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
33
8.6k
Why You Should Never Use an ORM
jnunemaker
PRO
49
8.2k
Rails Girls Zürich Keynote
gr2m
90
12k
Keith and Marios Guide to Fast Websites
keithpitt
407
21k

Transcript

  1. 組織の壁と戦うための
    Hierarchical Namespace
    チェシャ猫 (@y_taka_23)
    Infra Study Meetup #5 (31st Aug. 2020)

    View Slide

  2. \Kubernetes クラスタをチーム間で共有/

    View Slide

  3. Namespace が分割の基本単位
    ● Role / RoleBinding
    ○ 操作できるリソースを制限
    ● ResourceQuota / LimitRange
    ○ 巨大・大量 Pod のリソース消費を制限
    ● NetworkPolicy
    ○ Namespace 間の通信を制限

    View Slide

  4. Namespace 自体は
    Namespaced なリソースではない

    View Slide

  5. 階層的な組織の憂鬱
    ● Namespace はフラットな構造
    ● 階層を表現するのが難しい
    ○ 親レベルで定義されるべき設定のコピーが必要
    ○ 子 Namespace を作成するのに強い権限が必要

    View Slide

  6. Hierarchical Namespace
    Controller

    View Slide

  7. DEMO:階層構造の作成

    View Slide

  8. 階層構造の作成

    View Slide

  9. 階層構造の作成
    kubectl プラグインを介して
    親子関係を作成

    View Slide

  10. 階層構造の作成
    kubectl プラグインを介して木構造を確認

    View Slide

  11. 階層構造の作成(直接)

    View Slide

  12. 階層構造の作成(直接)
    SubnamespaceAnchor
    カスタムリソース

    View Slide

  13. 階層構造の作成(直接)
    SubnamespaceAnchor 自身は myapp-dev に
    属する = 権限が myapp-dev 内で完結する

    View Slide

  14. 階層構造の作成(直接)
    子 Namespace が自動で作成される +
    親から子へのリンク

    View Slide

  15. DEMO:リソースの伝播

    View Slide

  16. リソースの伝播

    View Slide

  17. リソースの伝播
    親に対して作成した Role が
    自動的に子にも伝搬

    View Slide

  18. リソースの伝播
    伝播元を削除すると全て消滅

    View Slide

  19. リソースの伝播

    View Slide

  20. リソースの伝播
    伝播元となった Namespace を Label で管理

    View Slide

  21. DEMO:整合性の担保

    View Slide

  22. Admission Webhook による整合性

    View Slide

  23. Admission Webhook による整合性
    伝播された側のリソースは直接消せない

    View Slide

  24. Admission Webhook による整合性
    子 Namespace は直接消せない

    View Slide

  25. Admission Webhook による整合性
    代わりに SubnamespaceAnchor (subns) を削除

    View Slide

  26. DEMO:伝播するリソースの指定

    View Slide

  27. 伝播するリソースの指定

    View Slide

  28. 伝播するリソースの指定
    伝播に関する設定は HncConfiguration リソースが保持

    View Slide

  29. 伝播するリソースの指定
    デフォルトでは Role / RoleBinding のみ伝播対象

    View Slide

  30. 伝播するリソースの指定

    View Slide

  31. 伝播するリソースの指定
    kubectl プラグイン経由で伝播対象を追加可能

    View Slide

  32. まとめ
    ● Namespace によるクラスタの分割
    ○ フラットな構造なので階層型管理とは相性悪い
    ● Hierarchical Namespace Controller (HNC)
    ○ 階層を定義し、親から子へリソースを伝播させる
    ○ 伝播するリソースは設定で変更できる
    ● 実体は SubnamespaceAnchor
    ○ kubectl のプラグインを通して操作できる

    View Slide

  33. Enjoy the (In)Flexible Hierarchy!
    Presented by チェシャ猫 (@y_taka_23)

    View Slide