Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Kubewarden を使って任意の言語でポリシを書こう #k8sjp / Kubernetes Meetup Tokyo 42nd

y_taka_23
June 24, 2021
Technology
5
3.9k

Kubewarden を使って任意の言語でポリシを書こう #k8sjp / Kubernetes Meetup Tokyo 42nd

Kubernetes Meetup Tokyo #42 で利用したスライドです。

Kubernetes における Policy as Code の実装として最も広く使われているツールは Open Policy Agent (OPA) とその Kubernetes アダプタである Gatekeeper です。OPA は CNCF Graduated に位置付けられおり、デファクトスタンダードであると言えます。しかし OPA は記述言語として Rego を採用しており、学習コストの高さは否めません。

一方、OPA 以外のポリシエンジンとしては、Kyverno が CNCF Sandbox に登録されています。OPA と異なり Kyverno ではポリシの記述に YAML を用いるため学習コストは低いですが、その分、表現力に劣ります。

これらのツールに対して今回紹介する Kubewarden では、ポリシとして WebAssembly を採用しているため、WebAssembly が出力できる任意のプログラミング言語でロジックを実装することが可能です。また Kuberwarden でコンパイルしたポリシは、Docker Hub や AWS Elastic Container Registry のような OCI レジストリを用いて配布することもできます。

イベント概要:https://k8sjp.connpass.com/event/214286/
録画:https://youtu.be/FBnPVkxZFK4?t=7859

y_taka_23

June 24, 2021
Tweet

More Decks by y_taka_23

See All by y_taka_23
サーバーレスアーキテクチャの数理的理解と分析 #devsumi / Developers Summit 2023 Summer
ytaka23
9
4k
形式手法による分散システムの検証 〜S3 の一貫性モデルを例として〜 #ourdevday2023 / Our DevDay 2023
ytaka23
1
1k
Amazon S3 の一貫性モデル超入門 #ハードル激低LT大会 / Low-hurdle LT Meetup 2nd
ytaka23
3
1.8k
謎は全て解けた!安楽椅子探偵に捧げる AWS ネットワーク分析入門 #CNDT2022 / CloudNative Days Tokyo 2022
ytaka23
2
2.8k
サーバーレスは操作的意味論の夢を見るか? #AWSDevDay / AWS Dev Day 2022 Japan
ytaka23
3
5.5k
賢く「振り分ける」ための Topology Aware Hints #k8sjp / Kubernetes Meetup Tokyo 52nd
ytaka23
4
2.6k
ネットワークはなぜつながらないのか 〜インフラの意味論的検査を目指して〜 #AWSDevDay / AWS Dev Day Online Japan 2021
ytaka23
4
7.1k
君のセキュリティはデプロイするまでもなく間違っている #CICD2021 / CICD Conference 2021
ytaka23
15
9.5k
AWS セキュリティは「論理」に訊け! Automated Reasoning の理論と実践 #JTF2021 / July Tech Festa 2021
ytaka23
6
5.9k

Other Decks in Technology

See All in Technology
**強い**エンジニアのなり方 - フィードバックサイクルを勝ち取る / grow one day each day
soudai
61
18k
元インフラエンジニアに成る / Human Resources to Human Relations
bobtani
3
820
ChatGPT for IT Service Management (IT Pro)
dahatake
3
220
Cloud Native Java with Spring Boot (CNCF Aarhus, April 2024)
thomasvitale
1
130
Aurora MySQL v3(MySQL8.0互換)の オンラインDDLの罠挙動を全バージョンで検証した
yutakikai
1
150
長期運用プロジェクトでのMySQLからTiDB移行の検証
colopl
2
680
[PlatformCon 24] Platform Orchestrators: The Missing Middle of Internal Developer Platforms?
danielbryantuk
1
180
人間の尊厳、幸福、アクセシビリティ / 第116回「WEB TOUCH MEETING」アクセシビリティSP
nulabinc
PRO
2
180
Google Cloud の AI を支える裏側のインフラを垣間見る!
maroon1st
0
200
4年前、あるじゃん老害エンジニアLT合戦に登壇、米国西海岸コンピュータ歴史博物館体験記の続編
toshi_atsumi
0
200
現代CSSフレームワークの内部実装とその仕組み
poteboy
4
1.4k
レガシーをぶっ壊せ。AEONで始めるDevRelの話 / Qiita Night 2024-2-22
aeonpeople
3
150

Featured

See All Featured
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
115
18k
Stop Working from a Prison Cell
hatefulcrawdad
266
19k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
9
8.3k
The Art of Programming - Codeland 2020
erikaheidi
41
12k
The Power of CSS Pseudo Elements
geoffreycrofte
59
5k
What the flash - Photography Introduction
edds
64
11k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
273
13k
How to name files
jennybc
64
92k
Why You Should Never Use an ORM
jnunemaker
PRO
50
8.6k
Optimising Largest Contentful Paint
csswizardry
7
2.3k
Creatively Recalculating Your Daily Design Routine
revolveconf
209
11k
Being A Developer After 40
akosma
56
580k

Transcript

  1. #k8sjp Kubewarden を使って 任意の言語でポリシを書こう チェシャ猫 (@y_taka_23) Kubernetes Meetup Tokyo #42

    (24th Jun. 2021)

  2. #k8sjp Policy as Code、やってますか?

  3. #k8sjp

  4. #k8sjp OPA

  5. #k8sjp Open Policy Agent (OPA) • 現在の最有力ツール ◦ Kubernetes に限らない汎用エンジン

    ◦ Gatekeeper を介して Kubernetes と統合 • ポリシの記述には Rego 言語を使用 ◦ Datalog (Prolog) をベースとした言語 ◦ 馴染みがなく、学習コストが高くて辛い

  6. #k8sjp Kyverno

  7. #k8sjp Kyverno • 2020 年 11 月に CNCF 入り ◦

    Kubernetes 上での利用が前提 • ポリシの記述には YAML を利用 ◦ OPA のように Manifest に他の言語を埋め込む必要がない ◦ =() で等価判定、+() で追加などの演算子を利用 ◦ 複雑なロジックを YAML で書くには表現力の限界が辛い

  8. #k8sjp Kubewarden

  9. #k8sjp Kubewarden • 2021 年 4 月にファーストリリース ◦ これも Kubernetes

    上での利用が前提 • ポリシの記述には WebAssembly を利用 ◦ OPA と違って Rego を改めて学ぶ必要がない ◦ Kyverno と違ってロジックがプログラミングできる ◦ ビルドされた Wasm は OCI レジストリで配布可能

  10. #k8sjp apiVersion: policies.kubewarden.io/v1alpha2 kind: ClusterAdmissionPolicy metadata: name: psp-capabilities spec: module:

    registry://ghcr.io/kubewarden/policies/psp-capabilities:v0.1.3 rules: - apiGroups: [""] apiVersions: ["v1"] resources: ["pods"] operations: - CREATE - UPDATE mutating: true settings: Allowed_capabilities: - CHOWN Required_drop_capabilities: - NET_ADMIN

  11. #k8sjp apiVersion: policies.kubewarden.io/v1alpha2 kind: ClusterAdmissionPolicy metadata: name: psp-capabilities spec: module:

    registry://ghcr.io/kubewarden/policies/psp-capabilities:v0.1.3 rules: - apiGroups: [""] apiVersions: ["v1"] resources: ["pods"] operations: - CREATE - UPDATE mutating: true settings: Allowed_capabilities: - CHOWN Required_drop_capabilities: - NET_ADMIN ビルド・アップロード済みの Wasm ポリシを指定 (ここでは公式が配布しているものを指定)

  12. #k8sjp apiVersion: policies.kubewarden.io/v1alpha2 kind: ClusterAdmissionPolicy metadata: name: psp-capabilities spec: module:

    registry://ghcr.io/kubewarden/policies/psp-capabilities:v0.1.3 rules: - apiGroups: [""] apiVersions: ["v1"] resources: ["pods"] operations: - CREATE - UPDATE mutating: true settings: Allowed_capabilities: - CHOWN Required_drop_capabilities: - NET_ADMIN ポリシの適用対象の指定

  13. #k8sjp apiVersion: policies.kubewarden.io/v1alpha2 kind: ClusterAdmissionPolicy metadata: name: psp-capabilities spec: module:

    registry://ghcr.io/kubewarden/policies/psp-capabilities:v0.1.3 rules: - apiGroups: [""] apiVersions: ["v1"] resources: ["pods"] operations: - CREATE - UPDATE mutating: true settings: Allowed_capabilities: - CHOWN Required_drop_capabilities: - NET_ADMIN ポリシの実装者が自由に 指定できるパラメータ

  14. #k8sjp https://docs.kubewarden.io/architecture.html

  15. #k8sjp https://docs.kubewarden.io/architecture.html あらかじめクラスタに Kubewarden Controller をデプロイ

  16. #k8sjp https://docs.kubewarden.io/architecture.html ユーザが Policy の Manifest を apply

  17. #k8sjp https://docs.kubewarden.io/architecture.html Policy Server を立ち上げ Wasm モジュールを DL、読み込み

  18. #k8sjp https://docs.kubewarden.io/architecture.html Admission Webhook を作成

  19. #k8sjp https://docs.kubewarden.io/architecture.html リソースに対する Policy のチェック

  20. #k8sjp WebAssebmly 自体、学習コスト高くない?

  21. #k8sjp Go による Kubewarden の利用 • TinyGo で Wasm にビルド、そこまで難しくない

    ◦ テンプレートを git clone して make すれば OK ◦ encoding/json が使えない(gjson で代用)等の制限あり • 運用は管理用ツール kwctl が隠蔽 ◦ ビルドした Wasm の状態での pre-deploy テスト ◦ メタデータ付加や OCI レジストリへのアップロード

  22. #k8sjp package main import ( wapc "github.com/wapc/wapc-guest-tinygo" ) func main()

    { wapc.RegisterFunctions(wapc.Functions{ "validate_settings": validateSettings, "validate": validate, }) } func validateSettings(payload []byte) ([]byte, error) { ... } func validate(payload []byte) ([]byte, error) { ... }

  23. #k8sjp package main import ( wapc "github.com/wapc/wapc-guest-tinygo" ) func main()

    { wapc.RegisterFunctions(wapc.Functions{ "validate_settings": validateSettings, "validate": validate, }) } func validateSettings(payload []byte) ([]byte, error) { ... } func validate(payload []byte) ([]byte, error) { ... } Policy Server から waPC (WebAssembly Procedure Call) で プラグイン的に呼び出される

  24. #k8sjp package main import ( wapc "github.com/wapc/wapc-guest-tinygo" ) func main()

    { wapc.RegisterFunctions(wapc.Functions{ "validate_settings": validateSettings, "validate": validate, }) } func validateSettings(payload []byte) ([]byte, error) { ... } func validate(payload []byte) ([]byte, error) { ... } Policy 自体の作成時、 パラメータのバリデーション

  25. #k8sjp package main import ( wapc "github.com/wapc/wapc-guest-tinygo" ) func main()

    { wapc.RegisterFunctions(wapc.Functions{ "validate_settings": validateSettings, "validate": validate, }) } func validateSettings(payload []byte) ([]byte, error) { ... } func validate(payload []byte) ([]byte, error) { ... } Policy が作用する リソースのバリデーション

  26. #k8sjp まとめ • Policy as Code のツール選択 ◦ 既存の OPA

    / Kyverno はポリシの記述にそれぞれ難あり • 新登場の第三極ツール Kubewarden ◦ WebAssembly でポリシを記述、OCI レジストリで配布 ◦ 理論上は WebAssembly を出力する任意の言語が利用可 ◦ Kubernetes コミュニティなら Go のスキルが活かせる

  27. #k8sjp Build, Ship and Enforce Anywhere! Presented by チェシャ猫 (@y_taka_23)