Upgrade to Pro — share decks privately, control downloads, hide ads and more …

組織の壁と戦うための Hierarchical Namespace #InfraStudy /...

y_taka_23
August 31, 2020
Technology
4
4.2k

組織の壁と戦うための Hierarchical Namespace #InfraStudy / Infra Study Meetup 5th

Infra Study Meetup #5 で使用したスライドです。

複数のチームでひとつの Kubernetes クラスタを共有したい場合、Namespace に紐づいた Role や Policy を使用することでチームごとに環境の管理が容易になります。しかし通常の Namespace はフラットな構造しか表現できないため、ある程度複雑な組織では Namespace を用いた各チームへの管理の移譲がうまくいかないケースがあります。

この問題を解決するために、階層構造を持つ Namespace を仮想的に扱うためのツール Hierarchical Namespace Controller (HNC) の開発が進められています。本セッションでは、デモを交えて HNC の仕組みについて紹介しました。

イベント概要:https://forkwell.connpass.com/event/183909/
録画:https://youtu.be/P04oTmX2S3E?t=5290

y_taka_23

August 31, 2020
Tweet

More Decks by y_taka_23

See All by y_taka_23
形式手法の 10 メートル手前 #kernelvm / Kernel VM Study Hokuriku Part 7
ytaka23
5
820
普通の Web エンジニアのための様相論理入門 #yapcjapan / YAPC Hakodate 2024
ytaka23
7
2k
kcp: Kubernetes APIs Are All You Need #techfeed_live / TechFeed Experts Night 28th
ytaka23
1
280
サーバーレスアーキテクチャの数理的理解と分析 #devsumi / Developers Summit 2023 Summer
ytaka23
9
4.8k
形式手法による分散システムの検証 〜S3 の一貫性モデルを例として〜 #ourdevday2023 / Our DevDay 2023
ytaka23
2
1.2k
Amazon S3 の一貫性モデル超入門 #ハードル激低LT大会 / Low-hurdle LT Meetup 2nd
ytaka23
3
2k
謎は全て解けた!安楽椅子探偵に捧げる AWS ネットワーク分析入門 #CNDT2022 / CloudNative Days Tokyo 2022
ytaka23
2
3.5k
サーバーレスは操作的意味論の夢を見るか? #AWSDevDay / AWS Dev Day 2022 Japan
ytaka23
4
6.4k
賢く「振り分ける」ための Topology Aware Hints #k8sjp / Kubernetes Meetup Tokyo 52nd
ytaka23
4
3.2k

Other Decks in Technology

See All in Technology
ISUCONに強くなるかもしれない日々の過ごしかた/Findy ISUCON 2024-11-14
fujiwara3
8
800
Can We Measure Developer Productivity?
ewolff
1
120
組み込みLinuxの時系列
puhitaku
4
1.1k
強いチームと開発生産性
onk
PRO
28
8.9k
Shopifyアプリ開発における Shopifyの機能活用
sonatard
4
210
なぜ今 AI Agent なのか _近藤憲児
kenjikondobai
2
1.2k
RubyのWebアプリケーションを50倍速くする方法 / How to Make a Ruby Web Application 50 Times Faster
hogelog
2
860
ドメイン名の終活について - JPAAWG 7th -
mikit
32
19k
Redmine 6.0 新機能評価ガイド
vividtone
0
320
TinyGoを使ったVSCode拡張機能実装
askua
2
210
ExaDB-D dbaascli で出来ること
oracle4engineer
PRO
0
3.8k
Windows Autopilot Deployment by OSD Guy
tamaiyutaro
0
380

Featured

See All Featured
The Power of CSS Pseudo Elements
geoffreycrofte
73
5.3k
GraphQLの誤解/rethinking-graphql
sonatard
67
10k
Writing Fast Ruby
sferik
627
61k
VelocityConf: Rendering Performance Case Studies
addyosmani
325
24k
Typedesign – Prime Four
hannesfritz
40
2.4k
Building Flexible Design Systems
yeseniaperezcruz
327
38k
The Straight Up "How To Draw Better" Workshop
denniskardys
232
140k
Producing Creativity
orderedlist
PRO
341
39k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
131
33k
Build your cross-platform service in a week with App Engine
jlugia
229
18k
Testing 201, or: Great Expectations
jmmastey
38
7.1k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
26
2.1k

Transcript

  1. 組織の壁と戦うための Hierarchical Namespace チェシャ猫 (@y_taka_23) Infra Study Meetup #5 (31st

    Aug. 2020)

  2. \Kubernetes クラスタをチーム間で共有/

  3. Namespace が分割の基本単位 • Role / RoleBinding ◦ 操作できるリソースを制限 • ResourceQuota

    / LimitRange ◦ 巨大・大量 Pod のリソース消費を制限 • NetworkPolicy ◦ Namespace 間の通信を制限

  4. Namespace 自体は Namespaced なリソースではない

  5. 階層的な組織の憂鬱 • Namespace はフラットな構造 • 階層を表現するのが難しい ◦ 親レベルで定義されるべき設定のコピーが必要 ◦ 子

    Namespace を作成するのに強い権限が必要

  6. Hierarchical Namespace Controller

  7. DEMO:階層構造の作成

  8. 階層構造の作成

  9. 階層構造の作成 kubectl プラグインを介して 親子関係を作成

  10. 階層構造の作成 kubectl プラグインを介して木構造を確認

  11. 階層構造の作成(直接)

  12. 階層構造の作成(直接) SubnamespaceAnchor カスタムリソース

  13. 階層構造の作成(直接) SubnamespaceAnchor 自身は myapp-dev に 属する = 権限が myapp-dev 内で完結する

  14. 階層構造の作成(直接) 子 Namespace が自動で作成される + 親から子へのリンク

  15. DEMO:リソースの伝播

  16. リソースの伝播

  17. リソースの伝播 親に対して作成した Role が 自動的に子にも伝搬

  18. リソースの伝播 伝播元を削除すると全て消滅

  19. リソースの伝播

  20. リソースの伝播 伝播元となった Namespace を Label で管理

  21. DEMO:整合性の担保

  22. Admission Webhook による整合性

  23. Admission Webhook による整合性 伝播された側のリソースは直接消せない

  24. Admission Webhook による整合性 子 Namespace は直接消せない

  25. Admission Webhook による整合性 代わりに SubnamespaceAnchor (subns) を削除

  26. DEMO:伝播するリソースの指定

  27. 伝播するリソースの指定

  28. 伝播するリソースの指定 伝播に関する設定は HncConfiguration リソースが保持

  29. 伝播するリソースの指定 デフォルトでは Role / RoleBinding のみ伝播対象

  30. 伝播するリソースの指定

  31. 伝播するリソースの指定 kubectl プラグイン経由で伝播対象を追加可能

  32. まとめ • Namespace によるクラスタの分割 ◦ フラットな構造なので階層型管理とは相性悪い • Hierarchical Namespace Controller

    (HNC) ◦ 階層を定義し、親から子へリソースを伝播させる ◦ 伝播するリソースは設定で変更できる • 実体は SubnamespaceAnchor ◦ kubectl のプラグインを通して操作できる

  33. Enjoy the (In)Flexible Hierarchy! Presented by チェシャ猫 (@y_taka_23)