2019/05/17 に開催された Kubernetes Enterprise Tokyo #01 - Night Edition のイベントレポートです。

●イベント概要
昨今、KubernetesやCloud Nativeなツール（CNCF加盟企業）を本格的に利用したいというSI業界・商用利用を検討されているユーザー企業も増加しています。そうしたユーザー企業向けのコミュニティとして「Kubernetes Enterprise」を発足しました。

■Rancherで構築するオープンなKaaS基盤

新藤さん [Rancher Labs]

●自己紹介
・GWで全国行脚
　　@shindoy さんはやりすぎ男w
・全国的にDocker/k8sはこれから
　　安心して聞いてください

●Rancher Labs
・世界中にofficeがあります
　　エジプトにもありますw
・Rancherとつくものはたくさんあります
・今回はRancher
　　container management platform

●概要
・dockerコマンドでサクッと立ち上がります
・k8sがでてきてやることが多数
　　rancherで簡単に
・オンプレ(RKE)/EKS/GKE/AKS
　　rancherでまとめて管理
・キスモの機械学習基盤にも利用されています

・Rancherは全てOSS
　　有償サポートを年間契約で受けられます
・クラウドサービスの障害や終了（統合）
　　rancherで回避
・Disney での使い方
　　開発はクラウド
　　本番はオンプレ

●Rancher JPコミュニティ
・メンバーは 1500人超え
・meetupは 60超え
・slackの参加者は 680人
　　いろんなスキルセットに人が参加
　　質問すればだいたい答えてもらえる

●Support Matrix
・etcd, flannel, canal, nginx-ingress-controller
・EKS, GKE, AKS managedなk8s

●デモ
・dockerが入っていれば1台で立てられます
　　試すならこれで十分
・GUIでクラスター作成
　　今回はEC2
　　template管理できる
・モニタリング
　　GUIで有効化するだけ
　　prometheus
　　grafanaもセットでデプロイしてくれる
・アラート
　　CPU usage over X %
　　-> slack などもGUIで
・外部公開
　　nodeport
　　nginx-ingress
　　もGUIで

■Datadogで実現するこれからのコンテナ監視

狩野さん [Datadog]

●自己紹介
・salesエンジニア
・モニタリングツールの普及を通して、多くの人を幸せにする
　　含 障害対応で家に帰れない方
・weworkのビールおいしいw

●Datadog
・名前の由来
　　会社の文化でサーバに dogをつけていた
　　障害が多かったのがDBサーバ = Datadog
　　障害調査 = datadogする
・What is Datadog
　　クラウド時代のモニタリング&分析SaaS
　　リアルタイムパフォーマンス監視
　　強力なアラート
　　履歴の分析
　　　　15ヶ月まえまで見れます
　　根本原因の相関と分析
　　ダッシュボード公開
　　　　チーム間でコラボレーションできる

●三本柱
・Traces
　　APM
　　どこからどこにデータが流れていくのか
・Metrics
　　トレンドやパターンなどを把握
・Logs
　　イベントベース
-> 順に機能追加されてきた

●これからの監視に必要なポイント
・動的に変化するコンテナを監視
・マイクロサービス上のトレーサビリティ

●監視のしくみ
・agent方式
・k8s向けagent
　　daemonsetとして動かす
　　デプロイが始まった、rolling updateしているなど
　　service, namespace
　　k8s専用ダッシュボードも提供

●CloudNativeな監視
・複数のk8sクラスタを、複数チームが更新
・k8sがcontainerを移動させる
・どうやって監視する？
　-> 自動でタグ付け
　　バージョン、環境、役割など

●Cattle, not pets
　　集合で管理しよう

●デモ動画
・host map
　　環境でグルーピング
　　環境 & ロール
　　zoom inして、ホストごとに個別に見る
・service map
　　mouser overで対象serviceへのアクセスを表示
　　全てのデータが見えるから、サービス=チーム間の連携も見える
・APM 分散トレーシング
　　1リクエストがどんな構成要素で動いているか
　　host, logs, errors
　　trace/metrics/logsを紐付けて確認

●新機能
・Synthetics-API Tests: 外形監視
　　ping
・Synthetics-Browser Tests: 外形監視
　　Seleniumライク
　　GUIのクリックでシナリオを作成できる
　　AIを組み合わせている

■DevSecOpsを実現するコンテナ・セキュリティ -- Twistlock

野原さん [マクニカソリューションズ]

●コンテナセキュリティ分野でメジャーなもの
・Acqua Security
・Sysdig
・Twistlock

●セキュリティの重要性
・DockerHubでマイニングスクリプトが見つかった
・k8s, RunCに深刻な脆弱性が公表された

●CloudNativeな構成は複雑
・dockerのアーキテクチャ
　　Dockerfileの1行ずつがレイヤに
　　ハッシュだからどこに何があるかわからない
・コンテナ環境のスケール
　　自動、手動で任意の数にスケールアウト
　　スケールインはどれが消えるかわからない
・コンテナ環境のライフサイクル
　　ゴールデンイメージを今あるものと置き換える
・コンテナ実行環境の構成にも脆弱性が含まれる

●従来のセキュリティとは異なるアプローチが必要
・なぜコンテナを使うの？
　　DevOps
　　ポータビリティ
　　効率化、シンプル化
・セキュリティどうしてますか？
　　-> やってません
　　　　パイプラインを止めたくない
・セキュリティのShift-Left
　　運用に行ってから脆弱性を発見すると手戻りが大きい
　　ポリシーを自動化
・コンテナセキュリティのフレームワーク
　　NIST SP.800-190
　　CISベンチマーク

●Twistlok社
・アメリカでできた
・NISTの著者がTwistlokにいる

●ライフサイクルすべての領域をカバー
・BUILD
　　imageができたらスキャン
　　脆弱性
　　コンプライアンス
・SHIP/RUN
　　クラウドネイティブファイアウォール
　　　　コンテナ間通信
　　ランタイム防御
　　　　AIで自動学習
　　アクセス制御
　　dockerコマンド、kubectlコマンドの実行制御

●Twistlockの画面で見えるもの
・全体での脆弱性/違反の推移
　　どこにどの脆弱性があるかドリルダウン
・コンテナ単位での脆弱性/違反
・コンテナイメージのレイヤ単位での脆弱性/違反

●Jenkins plugin
・docker buildの後でtwistlockを実行
　　違反があったらfail

●ルール定義
・デフォルトで一般的にこれで十分な定義を用意してある
・PCI DSS向けルール
・任意のスクリプトを追加
　　rootを使っていたらfailなど

●forensic data
・時系列でどんなコマンドが実行されていたか
・runtimeでもカスタムルールを追加できる

●L7 Firewall
・簡易WAFが設定できる
・SQLインジェクションをブロック
・user agentでブロック

●通知
・各種通知先と連携
・outgoing webhookも使える

●新機能
・ホストアプリでもforensicが見れるようになった

■APCのCloudNative技術教育サービス

市川さん [株式会社エーピーコミュニケーションズ]

●自己紹介
・エーピーコミュニケーションズ
・官公庁でインフラ -> フロント
・専門学校でOSSの非常勤講師
・RancherJPコミュニティ、くじらや、CloudNative DeepDive
・k8s黄色本
・Think IT rancher連載

●APC
・SIer
・クラウドネイティブ対応
・教育もやります

●Kubernetesの広まり
・2018にk8sがCNCFのインキュベーションから卒業
　　成熟した と認められた
・AWSでもEKS managed k8sを提供
　　AWSが他のものを取り入れてサービス化したのは初
・AzureでもAKSを提供
・GoogleではAnthosを発表
　　マルチクラウドでのk8s管理
　　Rancherと近い
　　　　ハイブリッド、マルチクラウド
・k8sはコンテナのOS
　　OSの上で何をするのかの段階

"クラウドの時代には、コミュニティがエンジニアの成長を支えていくのではないか"
​

・CloudNative関連の技術は多数
　　社内や仕事を通して学べる範囲を超えている
・最新をキャッチアップ、実践、共有
　　社内に一人でもいれば良いが、ムリ
・コミュニティはエンジニアの成長のために大事な場所
　　イベントへの参加
　　情報収集、発信、共有
　　　　ブログ、SNS、Slack
　　　　執筆 など
・コミュニティ活動
　　メリット
　　　　最新技術、事例のキャッチアップ
　　　　助け合えたりする人のつながり
　　　　技術、プレゼン、コミュニケーションのスキルアップ
　　　　社内フィードバック
　　デメリット
　　　　レベルが高くてついていけない

●実際の声
・ネガ
　　レベルが高くてついていけない
　　結局何からはじめて良いか分からない
　　本を買ったが挫折
　　近くに教えてくれる人はいない
・ポジ
　　入門のハンズオンは入りやすい
　　有識者に質問や相談できる
・実際に
　　ハンズオンは当日キャンセルが少ない
　　立ち見でも参加させてほしい な声も
　　-> くじらやでDocker入門ハンズオン
　　　 #kujiraya

●APCは、RancherLabsのパートナー
・Rancher公式トレーニング
　　ハンズオン & デモ
・Docker/Kubernetes/Rancher 入門トレーニング
　　doker 単体
　　docker compose
　　k8s
　　helm
　　Rancher
　　各種概念のそもそも

●APCは、Mirantisのパートナー
　　Mirantis公式トレーニング
　　k8sの実運用向け
　　Spinnaker管理入門
　　　　http://bit.ly/mirantis_training

■質疑応答

・アンケートで、コミュニティー自体をDevOps

・RancherのGUIがすごい な声があったが
　　RancherはGUI以外に、API / CLIも整っている
　　Twistlockも、GUIでできることは全てAPIでできる

・Rancherのデモで上げていた3ノードはどういう構成？
　　時間短縮のため
　　etcd, control, workerをまとめたノードを3台立てた
　　本来なら、役割ごとにnodeを分けて冗長構成にする

■感想

・導入の敷居の低さ、有償サポートの安心感
・ハイブリッドクラウド、マルチクラウドにむけた布石
・複雑になる構成の監視
・複雑になる構成のセキュリティ
・体系的な学びと、はじめの一歩を体験する場

エンプラでkubernetesを導入するために必要なポイントに沿って概要を聞かせていただきました。

・インターネットに繋がらない本番環境でkubernetesを使い始める
・小さく始めて、利用者を増やしていった経験
など
一歩踏み出したエンプラのノウハウを共有できるコミュニティになっていけたらすてきですね！

登壇者の皆さん、運営の皆さん 1日2イベント お疲れ様でした！
すてきな学びの場をありがとうございました！！