Upgrade to Pro — share decks privately, control downloads, hide ads and more …

組織の壁と戦うための Hierarchical Namespace #InfraStudy / Infra Study Meetup 5th

y_taka_23
August 31, 2020
Technology
4
4k

組織の壁と戦うための Hierarchical Namespace #InfraStudy / Infra Study Meetup 5th

Infra Study Meetup #5 で使用したスライドです。

複数のチームでひとつの Kubernetes クラスタを共有したい場合、Namespace に紐づいた Role や Policy を使用することでチームごとに環境の管理が容易になります。しかし通常の Namespace はフラットな構造しか表現できないため、ある程度複雑な組織では Namespace を用いた各チームへの管理の移譲がうまくいかないケースがあります。

この問題を解決するために、階層構造を持つ Namespace を仮想的に扱うためのツール Hierarchical Namespace Controller (HNC) の開発が進められています。本セッションでは、デモを交えて HNC の仕組みについて紹介しました。

イベント概要:https://forkwell.connpass.com/event/183909/
録画:https://youtu.be/P04oTmX2S3E?t=5290

y_taka_23

August 31, 2020
Tweet

More Decks by y_taka_23

See All by y_taka_23
サーバーレスアーキテクチャの数理的理解と分析 #devsumi / Developers Summit 2023 Summer
ytaka23
9
4k
形式手法による分散システムの検証 〜S3 の一貫性モデルを例として〜 #ourdevday2023 / Our DevDay 2023
ytaka23
1
1k
Amazon S3 の一貫性モデル超入門 #ハードル激低LT大会 / Low-hurdle LT Meetup 2nd
ytaka23
3
1.8k
謎は全て解けた!安楽椅子探偵に捧げる AWS ネットワーク分析入門 #CNDT2022 / CloudNative Days Tokyo 2022
ytaka23
2
2.8k
サーバーレスは操作的意味論の夢を見るか? #AWSDevDay / AWS Dev Day 2022 Japan
ytaka23
3
5.5k
賢く「振り分ける」ための Topology Aware Hints #k8sjp / Kubernetes Meetup Tokyo 52nd
ytaka23
4
2.6k
ネットワークはなぜつながらないのか 〜インフラの意味論的検査を目指して〜 #AWSDevDay / AWS Dev Day Online Japan 2021
ytaka23
4
7.1k
君のセキュリティはデプロイするまでもなく間違っている #CICD2021 / CICD Conference 2021
ytaka23
15
9.5k
AWS セキュリティは「論理」に訊け! Automated Reasoning の理論と実践 #JTF2021 / July Tech Festa 2021
ytaka23
6
5.9k

Other Decks in Technology

See All in Technology
エンタープライズ環境下での Active Directory の運用 TIPS
tamaiyutaro
1
1.5k
The AI Revolution Will Not Be Monopolized: How open-source beats economies of scale, even for LLMs (QCon London)
inesmontani
PRO
0
150
Databricksを活用してDELISH KITCHENのレシピレコメンドを開発した話
furu8
0
250
2024-04-06 AMeDAS to Lagoon SORACOM UG 2024-04-06
anysonica
0
120
【SORACOM UG】(2024年度版) SIMってなんだ? ~セルラー通信がつながる仕組み、解説します~
soracom
PRO
0
210
ここが嬉しいABAC ここが辛いよABAC #再解説+補足編
masahirokawahara
0
190
強みを伸ばすキャリアデザイン
yug1224
0
200
4年前、あるじゃん老害エンジニアLT合戦に登壇、米国西海岸コンピュータ歴史博物館体験記の続編
toshi_atsumi
0
190
PHP"オレ"カンファレンスの告知
ysknsid25
0
320
小さな開発会社がWebサービスを作る理由
polidog
PRO
0
130
株式会社EventHub・エンジニア採用資料
eventhub
0
1.9k
「手動オペレーションに定評がある」と言われた私が心がけていること / phpcon_odawara2024
blue_goheimochi
1
310

Featured

See All Featured
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
5
1.5k
The Invisible Side of Design
smashingmag
293
49k
Being A Developer After 40
akosma
56
580k
The Power of CSS Pseudo Elements
geoffreycrofte
58
5k
From Idea to $5000 a Month in 5 Months
shpigford
377
45k
Java REST API Framework Comparison - PWX 2021
mraible
PRO
18
6.9k
A Philosophy of Restraint
colly
195
16k
Infographics Made Easy
chrislema
237
18k
Scaling GitHub
holman
457
140k
ParisWeb 2013: Learning to Love: Crash Course in Emotional UX Design
dotmariusz
103
6.6k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
320
20k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
118
38k

Transcript

  1. 組織の壁と戦うための Hierarchical Namespace チェシャ猫 (@y_taka_23) Infra Study Meetup #5 (31st

    Aug. 2020)

  2. \Kubernetes クラスタをチーム間で共有/

  3. Namespace が分割の基本単位 • Role / RoleBinding ◦ 操作できるリソースを制限 • ResourceQuota

    / LimitRange ◦ 巨大・大量 Pod のリソース消費を制限 • NetworkPolicy ◦ Namespace 間の通信を制限

  4. Namespace 自体は Namespaced なリソースではない

  5. 階層的な組織の憂鬱 • Namespace はフラットな構造 • 階層を表現するのが難しい ◦ 親レベルで定義されるべき設定のコピーが必要 ◦ 子

    Namespace を作成するのに強い権限が必要

  6. Hierarchical Namespace Controller

  7. DEMO:階層構造の作成

  8. 階層構造の作成

  9. 階層構造の作成 kubectl プラグインを介して 親子関係を作成

  10. 階層構造の作成 kubectl プラグインを介して木構造を確認

  11. 階層構造の作成(直接)

  12. 階層構造の作成(直接) SubnamespaceAnchor カスタムリソース

  13. 階層構造の作成(直接) SubnamespaceAnchor 自身は myapp-dev に 属する = 権限が myapp-dev 内で完結する

  14. 階層構造の作成(直接) 子 Namespace が自動で作成される + 親から子へのリンク

  15. DEMO:リソースの伝播

  16. リソースの伝播

  17. リソースの伝播 親に対して作成した Role が 自動的に子にも伝搬

  18. リソースの伝播 伝播元を削除すると全て消滅

  19. リソースの伝播

  20. リソースの伝播 伝播元となった Namespace を Label で管理

  21. DEMO:整合性の担保

  22. Admission Webhook による整合性

  23. Admission Webhook による整合性 伝播された側のリソースは直接消せない

  24. Admission Webhook による整合性 子 Namespace は直接消せない

  25. Admission Webhook による整合性 代わりに SubnamespaceAnchor (subns) を削除

  26. DEMO:伝播するリソースの指定

  27. 伝播するリソースの指定

  28. 伝播するリソースの指定 伝播に関する設定は HncConfiguration リソースが保持

  29. 伝播するリソースの指定 デフォルトでは Role / RoleBinding のみ伝播対象

  30. 伝播するリソースの指定

  31. 伝播するリソースの指定 kubectl プラグイン経由で伝播対象を追加可能

  32. まとめ • Namespace によるクラスタの分割 ◦ フラットな構造なので階層型管理とは相性悪い • Hierarchical Namespace Controller

    (HNC) ◦ 階層を定義し、親から子へリソースを伝播させる ◦ 伝播するリソースは設定で変更できる • 実体は SubnamespaceAnchor ◦ kubectl のプラグインを通して操作できる

  33. Enjoy the (In)Flexible Hierarchy! Presented by チェシャ猫 (@y_taka_23)