Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Kubewarden を使って任意の言語でポリシを書こう #k8sjp / Kubernete...

y_taka_23
June 24, 2021
Technology
5
4.4k

Kubewarden を使って任意の言語でポリシを書こう #k8sjp / Kubernetes Meetup Tokyo 42nd

Kubernetes Meetup Tokyo #42 で利用したスライドです。

Kubernetes における Policy as Code の実装として最も広く使われているツールは Open Policy Agent (OPA) とその Kubernetes アダプタである Gatekeeper です。OPA は CNCF Graduated に位置付けられおり、デファクトスタンダードであると言えます。しかし OPA は記述言語として Rego を採用しており、学習コストの高さは否めません。

一方、OPA 以外のポリシエンジンとしては、Kyverno が CNCF Sandbox に登録されています。OPA と異なり Kyverno ではポリシの記述に YAML を用いるため学習コストは低いですが、その分、表現力に劣ります。

これらのツールに対して今回紹介する Kubewarden では、ポリシとして WebAssembly を採用しているため、WebAssembly が出力できる任意のプログラミング言語でロジックを実装することが可能です。また Kuberwarden でコンパイルしたポリシは、Docker Hub や AWS Elastic Container Registry のような OCI レジストリを用いて配布することもできます。

イベント概要:https://k8sjp.connpass.com/event/214286/
録画:https://youtu.be/FBnPVkxZFK4?t=7859

y_taka_23

June 24, 2021
Tweet

More Decks by y_taka_23

See All by y_taka_23
形式手法の 10 メートル手前 #kernelvm / Kernel VM Study Hokuriku Part 7
ytaka23
5
870
普通の Web エンジニアのための様相論理入門 #yapcjapan / YAPC Hakodate 2024
ytaka23
7
2k
kcp: Kubernetes APIs Are All You Need #techfeed_live / TechFeed Experts Night 28th
ytaka23
1
290
サーバーレスアーキテクチャの数理的理解と分析 #devsumi / Developers Summit 2023 Summer
ytaka23
9
4.8k
形式手法による分散システムの検証 〜S3 の一貫性モデルを例として〜 #ourdevday2023 / Our DevDay 2023
ytaka23
2
1.2k
Amazon S3 の一貫性モデル超入門 #ハードル激低LT大会 / Low-hurdle LT Meetup 2nd
ytaka23
3
2.1k
謎は全て解けた!安楽椅子探偵に捧げる AWS ネットワーク分析入門 #CNDT2022 / CloudNative Days Tokyo 2022
ytaka23
2
3.5k
サーバーレスは操作的意味論の夢を見るか? #AWSDevDay / AWS Dev Day 2022 Japan
ytaka23
4
6.4k
賢く「振り分ける」ための Topology Aware Hints #k8sjp / Kubernetes Meetup Tokyo 52nd
ytaka23
4
3.2k

Other Decks in Technology

See All in Technology
The Rise of LLMOps
asei
5
1.2k
OCI Security サービス 概要
oracle4engineer
PRO
0
6.5k
エンジニア人生の拡張性を高める 「探索型キャリア設計」の提案
tenshoku_draft
1
120
Exadata Database Service on Dedicated Infrastructure(ExaDB-D) UI スクリーン・キャプチャ集
oracle4engineer
PRO
2
3.2k
サイバーセキュリティと認知バイアス:対策の隙を埋める心理学的アプローチ
shumei_ito
0
380
スクラム成熟度セルフチェックツールを作って得た学びとその活用法
coincheck_recruit
1
140
オープンソースAIとは何か? --「オープンソースAIの定義 v1.0」詳細解説
shujisado
5
590
安心してください、日本語使えますよ―Ubuntu日本語Remix提供休止に寄せて― 2024-11-17
nobutomurata
0
980
AWS Lambdaと歩んだ“サーバーレス”と今後 #lambda_10years
yoshidashingo
1
170
透過型SMTPプロキシによる送信メールの可観測性向上: Update Edition / Improved observability of outgoing emails with transparent smtp proxy: Update edition
linyows
2
210
元旅行会社の情シス部員が教えるおすすめなre:Inventへの行き方 / What is the most efficient way to re:Invent
naospon
2
330
dev 補講: プロダクトセキュリティ / Product security overview
wa6sn
1
2.3k

Featured

See All Featured
Principles of Awesome APIs and How to Build Them.
keavy
126
17k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
44
2.2k
GitHub's CSS Performance
jonrohan
1030
460k
For a Future-Friendly Web
brad_frost
175
9.4k
Building a Scalable Design System with Sketch
lauravandoore
459
33k
BBQ
matthewcrist
85
9.3k
Product Roadmaps are Hard
iamctodd
PRO
49
11k
It's Worth the Effort
3n
183
27k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
26
1.4k
Art, The Web, and Tiny UX
lynnandtonic
297
20k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
159
15k
[RailsConf 2023] Rails as a piece of cake
palkan
52
4.9k

Transcript

  1. #k8sjp Kubewarden を使って 任意の言語でポリシを書こう チェシャ猫 (@y_taka_23) Kubernetes Meetup Tokyo #42

    (24th Jun. 2021)

  2. #k8sjp Policy as Code、やってますか?

  3. #k8sjp

  4. #k8sjp OPA

  5. #k8sjp Open Policy Agent (OPA) • 現在の最有力ツール ◦ Kubernetes に限らない汎用エンジン

    ◦ Gatekeeper を介して Kubernetes と統合 • ポリシの記述には Rego 言語を使用 ◦ Datalog (Prolog) をベースとした言語 ◦ 馴染みがなく、学習コストが高くて辛い

  6. #k8sjp Kyverno

  7. #k8sjp Kyverno • 2020 年 11 月に CNCF 入り ◦

    Kubernetes 上での利用が前提 • ポリシの記述には YAML を利用 ◦ OPA のように Manifest に他の言語を埋め込む必要がない ◦ =() で等価判定、+() で追加などの演算子を利用 ◦ 複雑なロジックを YAML で書くには表現力の限界が辛い

  8. #k8sjp Kubewarden

  9. #k8sjp Kubewarden • 2021 年 4 月にファーストリリース ◦ これも Kubernetes

    上での利用が前提 • ポリシの記述には WebAssembly を利用 ◦ OPA と違って Rego を改めて学ぶ必要がない ◦ Kyverno と違ってロジックがプログラミングできる ◦ ビルドされた Wasm は OCI レジストリで配布可能

  10. #k8sjp apiVersion: policies.kubewarden.io/v1alpha2 kind: ClusterAdmissionPolicy metadata: name: psp-capabilities spec: module:

    registry://ghcr.io/kubewarden/policies/psp-capabilities:v0.1.3 rules: - apiGroups: [""] apiVersions: ["v1"] resources: ["pods"] operations: - CREATE - UPDATE mutating: true settings: Allowed_capabilities: - CHOWN Required_drop_capabilities: - NET_ADMIN

  11. #k8sjp apiVersion: policies.kubewarden.io/v1alpha2 kind: ClusterAdmissionPolicy metadata: name: psp-capabilities spec: module:

    registry://ghcr.io/kubewarden/policies/psp-capabilities:v0.1.3 rules: - apiGroups: [""] apiVersions: ["v1"] resources: ["pods"] operations: - CREATE - UPDATE mutating: true settings: Allowed_capabilities: - CHOWN Required_drop_capabilities: - NET_ADMIN ビルド・アップロード済みの Wasm ポリシを指定 (ここでは公式が配布しているものを指定)

  12. #k8sjp apiVersion: policies.kubewarden.io/v1alpha2 kind: ClusterAdmissionPolicy metadata: name: psp-capabilities spec: module:

    registry://ghcr.io/kubewarden/policies/psp-capabilities:v0.1.3 rules: - apiGroups: [""] apiVersions: ["v1"] resources: ["pods"] operations: - CREATE - UPDATE mutating: true settings: Allowed_capabilities: - CHOWN Required_drop_capabilities: - NET_ADMIN ポリシの適用対象の指定

  13. #k8sjp apiVersion: policies.kubewarden.io/v1alpha2 kind: ClusterAdmissionPolicy metadata: name: psp-capabilities spec: module:

    registry://ghcr.io/kubewarden/policies/psp-capabilities:v0.1.3 rules: - apiGroups: [""] apiVersions: ["v1"] resources: ["pods"] operations: - CREATE - UPDATE mutating: true settings: Allowed_capabilities: - CHOWN Required_drop_capabilities: - NET_ADMIN ポリシの実装者が自由に 指定できるパラメータ

  14. #k8sjp https://docs.kubewarden.io/architecture.html

  15. #k8sjp https://docs.kubewarden.io/architecture.html あらかじめクラスタに Kubewarden Controller をデプロイ

  16. #k8sjp https://docs.kubewarden.io/architecture.html ユーザが Policy の Manifest を apply

  17. #k8sjp https://docs.kubewarden.io/architecture.html Policy Server を立ち上げ Wasm モジュールを DL、読み込み

  18. #k8sjp https://docs.kubewarden.io/architecture.html Admission Webhook を作成

  19. #k8sjp https://docs.kubewarden.io/architecture.html リソースに対する Policy のチェック

  20. #k8sjp WebAssebmly 自体、学習コスト高くない?

  21. #k8sjp Go による Kubewarden の利用 • TinyGo で Wasm にビルド、そこまで難しくない

    ◦ テンプレートを git clone して make すれば OK ◦ encoding/json が使えない(gjson で代用)等の制限あり • 運用は管理用ツール kwctl が隠蔽 ◦ ビルドした Wasm の状態での pre-deploy テスト ◦ メタデータ付加や OCI レジストリへのアップロード

  22. #k8sjp package main import ( wapc "github.com/wapc/wapc-guest-tinygo" ) func main()

    { wapc.RegisterFunctions(wapc.Functions{ "validate_settings": validateSettings, "validate": validate, }) } func validateSettings(payload []byte) ([]byte, error) { ... } func validate(payload []byte) ([]byte, error) { ... }

  23. #k8sjp package main import ( wapc "github.com/wapc/wapc-guest-tinygo" ) func main()

    { wapc.RegisterFunctions(wapc.Functions{ "validate_settings": validateSettings, "validate": validate, }) } func validateSettings(payload []byte) ([]byte, error) { ... } func validate(payload []byte) ([]byte, error) { ... } Policy Server から waPC (WebAssembly Procedure Call) で プラグイン的に呼び出される

  24. #k8sjp package main import ( wapc "github.com/wapc/wapc-guest-tinygo" ) func main()

    { wapc.RegisterFunctions(wapc.Functions{ "validate_settings": validateSettings, "validate": validate, }) } func validateSettings(payload []byte) ([]byte, error) { ... } func validate(payload []byte) ([]byte, error) { ... } Policy 自体の作成時、 パラメータのバリデーション

  25. #k8sjp package main import ( wapc "github.com/wapc/wapc-guest-tinygo" ) func main()

    { wapc.RegisterFunctions(wapc.Functions{ "validate_settings": validateSettings, "validate": validate, }) } func validateSettings(payload []byte) ([]byte, error) { ... } func validate(payload []byte) ([]byte, error) { ... } Policy が作用する リソースのバリデーション

  26. #k8sjp まとめ • Policy as Code のツール選択 ◦ 既存の OPA

    / Kyverno はポリシの記述にそれぞれ難あり • 新登場の第三極ツール Kubewarden ◦ WebAssembly でポリシを記述、OCI レジストリで配布 ◦ 理論上は WebAssembly を出力する任意の言語が利用可 ◦ Kubernetes コミュニティなら Go のスキルが活かせる

  27. #k8sjp Build, Ship and Enforce Anywhere! Presented by チェシャ猫 (@y_taka_23)