Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Kubewarden を使って任意の言語でポリシを書こう #k8sjp / Kubernete...

Avatar for y_taka_23 y_taka_23
June 24, 2021
Technology
5
4.7k

Kubewarden を使って任意の言語でポリシを書こう #k8sjp / Kubernetes Meetup Tokyo 42nd

Kubernetes Meetup Tokyo #42 で利用したスライドです。

Kubernetes における Policy as Code の実装として最も広く使われているツールは Open Policy Agent (OPA) とその Kubernetes アダプタである Gatekeeper です。OPA は CNCF Graduated に位置付けられおり、デファクトスタンダードであると言えます。しかし OPA は記述言語として Rego を採用しており、学習コストの高さは否めません。

一方、OPA 以外のポリシエンジンとしては、Kyverno が CNCF Sandbox に登録されています。OPA と異なり Kyverno ではポリシの記述に YAML を用いるため学習コストは低いですが、その分、表現力に劣ります。

これらのツールに対して今回紹介する Kubewarden では、ポリシとして WebAssembly を採用しているため、WebAssembly が出力できる任意のプログラミング言語でロジックを実装することが可能です。また Kuberwarden でコンパイルしたポリシは、Docker Hub や AWS Elastic Container Registry のような OCI レジストリを用いて配布することもできます。

イベント概要:https://k8sjp.connpass.com/event/214286/
録画:https://youtu.be/FBnPVkxZFK4?t=7859
Avatar for y_taka_23

y_taka_23

June 24, 2021
Tweet

More Decks by y_taka_23

See All by y_taka_23
問 1:以下のコンパイラを証明せよ(予告編) #kernelvm / Kernel VM Study Kansai 11th
Avatar for y_taka_23 ytaka23
3
630
AWS のポリシー言語 Cedar を活用した高速かつスケーラブルな認可技術の探求 #phperkaigi / PHPerKaigi 2025
Avatar for y_taka_23 ytaka23
8
1.8k
NilAway による静的解析で「10 億ドル」を節約する #kyotogo / Kyoto Go 56th
Avatar for y_taka_23 ytaka23
4
650
形式手法の 10 メートル手前 #kernelvm / Kernel VM Study Hokuriku Part 7
Avatar for y_taka_23 ytaka23
7
1.3k
普通の Web エンジニアのための様相論理入門 #yapcjapan / YAPC Hakodate 2024
Avatar for y_taka_23 ytaka23
10
2.8k
kcp: Kubernetes APIs Are All You Need #techfeed_live / TechFeed Experts Night 28th
Avatar for y_taka_23 ytaka23
1
430
サーバーレスアーキテクチャの数理的理解と分析 #devsumi / Developers Summit 2023 Summer
Avatar for y_taka_23 ytaka23
9
5.3k
形式手法による分散システムの検証 〜S3 の一貫性モデルを例として〜 #ourdevday2023 / Our DevDay 2023
Avatar for y_taka_23 ytaka23
2
1.4k
Amazon S3 の一貫性モデル超入門 #ハードル激低LT大会 / Low-hurdle LT Meetup 2nd
Avatar for y_taka_23 ytaka23
3
2.2k

Other Decks in Technology

See All in Technology
計装を見直してアプリケーションパフォーマンスを改善させた話
Avatar for Kazuki Obata donkomura
2
180
20 Years of Domain-Driven Design: What I’ve Learned About DDD
Avatar for Eberhard Wolff ewolff
1
400
Google Cloud Next 2025 Recap マーケティング施策の運用及び開発を支援するAIの活用 / Use of AI to support operation and development of marketing campaign
Avatar for Atsushi Yoshikawa atsushiyoshikawa
0
340
さくらのクラウド開発の裏側
Avatar for metakoma metakoma
PRO
18
5.8k
雑に疎通確認だけしたい...せや!CloudShell使ったろ!
Avatar for Ryotaro Harada alchemy1115
0
240
WindowsでGenesisに挑戦した話
Avatar for Minoru Natsutani natsutan
0
120
SaaS公式MCPサーバーをリリースして得た学び
Avatar for ryo kawamataryo
5
1.4k
4月15日の AZ 障害をテクサポの中の人目線で振り返ってみる
Avatar for kazzpapa3 kazzpapa3
3
170
20250514 1Passwordを使い倒す道場 vol.1
Avatar for Takumi Abe east_takumi
0
150
SRE本出版からまもなく10年!〜これまでに何が起こり、これから何が起こるのか〜
Avatar for katsuhisa_ katsuhisa91
PRO
0
350
GPU 클라우드 환경에서의 회복탄력적 AI 운영 : 훈련 및 추론을 위한 견고한 아키텍처와 전략
Avatar for Jeongkyu Shin inureyes
PRO
0
110
ユーザーコミュニティが海外スタートアップのDevRelを補完する瞬間
Avatar for M Yano nagauta
1
200

Featured

See All Featured
Music & Morning Musume
Avatar for Bryan Veloso bryan
47
6.5k
Save Time (by Creating Custom Rails Generators)
Avatar for Garrett Dimon garrettdimon
PRO
31
1.2k
The Cost Of JavaScript in 2023
Avatar for Addy Osmani addyosmani
49
7.8k
GraphQLの誤解/rethinking-graphql
Avatar for sonatard sonatard
71
11k
How to train your dragon (web standard)
Avatar for Monica Dinculescu notwaldorf
91
6k
KATA
Avatar for Megan Lloyd mclloyd
29
14k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
Avatar for soudai sone soudai
179
53k
Speed Design
Avatar for Sergey Chernyshev sergeychernyshev
29
940
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
Avatar for Eileen M. Uchitelle eileencodes
137
33k
Designing Experiences People Love
Avatar for Jonathan Moore moore
142
24k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
Avatar for Aki / @LoveIdahoBurger aki_iinuma
122
52k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
Avatar for mongodb mongodb
45
9.5k

Transcript

  1. #k8sjp Kubewarden を使って 任意の言語でポリシを書こう チェシャ猫 (@y_taka_23) Kubernetes Meetup Tokyo #42

    (24th Jun. 2021)

  2. #k8sjp Policy as Code、やってますか?

  3. #k8sjp

  4. #k8sjp OPA

  5. #k8sjp Open Policy Agent (OPA) • 現在の最有力ツール ◦ Kubernetes に限らない汎用エンジン

    ◦ Gatekeeper を介して Kubernetes と統合 • ポリシの記述には Rego 言語を使用 ◦ Datalog (Prolog) をベースとした言語 ◦ 馴染みがなく、学習コストが高くて辛い

  6. #k8sjp Kyverno

  7. #k8sjp Kyverno • 2020 年 11 月に CNCF 入り ◦

    Kubernetes 上での利用が前提 • ポリシの記述には YAML を利用 ◦ OPA のように Manifest に他の言語を埋め込む必要がない ◦ =() で等価判定、+() で追加などの演算子を利用 ◦ 複雑なロジックを YAML で書くには表現力の限界が辛い

  8. #k8sjp Kubewarden

  9. #k8sjp Kubewarden • 2021 年 4 月にファーストリリース ◦ これも Kubernetes

    上での利用が前提 • ポリシの記述には WebAssembly を利用 ◦ OPA と違って Rego を改めて学ぶ必要がない ◦ Kyverno と違ってロジックがプログラミングできる ◦ ビルドされた Wasm は OCI レジストリで配布可能

  10. #k8sjp apiVersion: policies.kubewarden.io/v1alpha2 kind: ClusterAdmissionPolicy metadata: name: psp-capabilities spec: module:

    registry://ghcr.io/kubewarden/policies/psp-capabilities:v0.1.3 rules: - apiGroups: [""] apiVersions: ["v1"] resources: ["pods"] operations: - CREATE - UPDATE mutating: true settings: Allowed_capabilities: - CHOWN Required_drop_capabilities: - NET_ADMIN

  11. #k8sjp apiVersion: policies.kubewarden.io/v1alpha2 kind: ClusterAdmissionPolicy metadata: name: psp-capabilities spec: module:

    registry://ghcr.io/kubewarden/policies/psp-capabilities:v0.1.3 rules: - apiGroups: [""] apiVersions: ["v1"] resources: ["pods"] operations: - CREATE - UPDATE mutating: true settings: Allowed_capabilities: - CHOWN Required_drop_capabilities: - NET_ADMIN ビルド・アップロード済みの Wasm ポリシを指定 (ここでは公式が配布しているものを指定)

  12. #k8sjp apiVersion: policies.kubewarden.io/v1alpha2 kind: ClusterAdmissionPolicy metadata: name: psp-capabilities spec: module:

    registry://ghcr.io/kubewarden/policies/psp-capabilities:v0.1.3 rules: - apiGroups: [""] apiVersions: ["v1"] resources: ["pods"] operations: - CREATE - UPDATE mutating: true settings: Allowed_capabilities: - CHOWN Required_drop_capabilities: - NET_ADMIN ポリシの適用対象の指定

  13. #k8sjp apiVersion: policies.kubewarden.io/v1alpha2 kind: ClusterAdmissionPolicy metadata: name: psp-capabilities spec: module:

    registry://ghcr.io/kubewarden/policies/psp-capabilities:v0.1.3 rules: - apiGroups: [""] apiVersions: ["v1"] resources: ["pods"] operations: - CREATE - UPDATE mutating: true settings: Allowed_capabilities: - CHOWN Required_drop_capabilities: - NET_ADMIN ポリシの実装者が自由に 指定できるパラメータ

  14. #k8sjp https://docs.kubewarden.io/architecture.html

  15. #k8sjp https://docs.kubewarden.io/architecture.html あらかじめクラスタに Kubewarden Controller をデプロイ

  16. #k8sjp https://docs.kubewarden.io/architecture.html ユーザが Policy の Manifest を apply

  17. #k8sjp https://docs.kubewarden.io/architecture.html Policy Server を立ち上げ Wasm モジュールを DL、読み込み

  18. #k8sjp https://docs.kubewarden.io/architecture.html Admission Webhook を作成

  19. #k8sjp https://docs.kubewarden.io/architecture.html リソースに対する Policy のチェック

  20. #k8sjp WebAssebmly 自体、学習コスト高くない?

  21. #k8sjp Go による Kubewarden の利用 • TinyGo で Wasm にビルド、そこまで難しくない

    ◦ テンプレートを git clone して make すれば OK ◦ encoding/json が使えない(gjson で代用)等の制限あり • 運用は管理用ツール kwctl が隠蔽 ◦ ビルドした Wasm の状態での pre-deploy テスト ◦ メタデータ付加や OCI レジストリへのアップロード

  22. #k8sjp package main import ( wapc "github.com/wapc/wapc-guest-tinygo" ) func main()

    { wapc.RegisterFunctions(wapc.Functions{ "validate_settings": validateSettings, "validate": validate, }) } func validateSettings(payload []byte) ([]byte, error) { ... } func validate(payload []byte) ([]byte, error) { ... }

  23. #k8sjp package main import ( wapc "github.com/wapc/wapc-guest-tinygo" ) func main()

    { wapc.RegisterFunctions(wapc.Functions{ "validate_settings": validateSettings, "validate": validate, }) } func validateSettings(payload []byte) ([]byte, error) { ... } func validate(payload []byte) ([]byte, error) { ... } Policy Server から waPC (WebAssembly Procedure Call) で プラグイン的に呼び出される

  24. #k8sjp package main import ( wapc "github.com/wapc/wapc-guest-tinygo" ) func main()

    { wapc.RegisterFunctions(wapc.Functions{ "validate_settings": validateSettings, "validate": validate, }) } func validateSettings(payload []byte) ([]byte, error) { ... } func validate(payload []byte) ([]byte, error) { ... } Policy 自体の作成時、 パラメータのバリデーション

  25. #k8sjp package main import ( wapc "github.com/wapc/wapc-guest-tinygo" ) func main()

    { wapc.RegisterFunctions(wapc.Functions{ "validate_settings": validateSettings, "validate": validate, }) } func validateSettings(payload []byte) ([]byte, error) { ... } func validate(payload []byte) ([]byte, error) { ... } Policy が作用する リソースのバリデーション

  26. #k8sjp まとめ • Policy as Code のツール選択 ◦ 既存の OPA

    / Kyverno はポリシの記述にそれぞれ難あり • 新登場の第三極ツール Kubewarden ◦ WebAssembly でポリシを記述、OCI レジストリで配布 ◦ 理論上は WebAssembly を出力する任意の言語が利用可 ◦ Kubernetes コミュニティなら Go のスキルが活かせる

  27. #k8sjp Build, Ship and Enforce Anywhere! Presented by チェシャ猫 (@y_taka_23)