米空軍が45日間でF-16戦闘機にKubernetesとIstioを導入した方法

著者: トム・クレイジット

企画 |星軒

制作 | 51CTO テクノロジースタック (WeChat ID: blog)

Kubernetes、Istio、knative、および内部開発された「強化された」コンテナ仕様は、現在、軍隊全体のデフォルトのソフトウェア開発プラットフォームとなっています。

1. 米国の最高ソフトウェア責任者：軍はテクノロジーから大きく遅れをとることはできない

ハイブリッド クラウド戦略に関しては、米軍は確かに独自のアプローチを採用しています。

サンディエゴで開催された KubeCon 2019 で、米国最高ソフトウェア責任者の Nicholas Chaillan 氏が述べたところによると、他のほとんどすべてのものと同様、軍事組織もソフトウェアへの依存度が高まっており、Kubernetes や Istio などのさまざまなオープンソース クラウド ツールを活用して業務を遂行しているという。これらのツールは、兵器システムから戦闘機まで、非常に興味深い場所に配備されています。はい、F-16 はこれらの航空機に組み込まれた古いハードウェア上で Kubernetes を実行しています。

「チームの大きな焦点は、これが実行可能であることを証明することです」とチャイラン氏は語った。彼は空軍とそのパートナーに、45 日以内にジェット機で Kubernetes を稼働させるという課題を与えました。これは困難に思えますが、チームは目標を達成し、現在 F-16 では 3 つの同時 Kubernetes クラスターが稼働していると彼は語りました。

次に、Chaillan 氏は、空軍 (そして現在は彼の指導の下、国防総省の残りの組織) がコンテナ、Istio、Kubernetes に大きく賭けている理由を説明します。これは、ベンダー ロックインを防ぐ、軍隊全体のソフトウェア チーム向けの柔軟かつ共通の開発プラットフォームです。

空軍が約18か月前にこのプロジェクトを開始する前は、ほとんどの軍用ソフトウェアチームは旧式のウォーターフォールプロセスを使用してソフトウェアを構築しており、新しいコードが完全に実稼働するまでには何年もかかることがあったとチャイラン氏は語った。それでも、アップデート、テスト、さらにはセキュリティレビューなど、ビジネス部門が長い間自動化すべきだと判断してきたタスクの実行には、人間に大きく依存しています。

軍隊は、任務を遂行するために必要な技術に関して、主流から大きく遅れをとるわけにはいかない。競合他社が自社のソフトウェア機能に投資すると、戦場で優位に立つことができます。軍の最も重要なアプリケーションの一部を更新するために必要な非常に遅いプロセスが安全に与える影響は明らかです。

「攻撃対象領域を減らし、脅威を軽減できることは、私たちにとって非常に重要です」とシャイラン氏は語った。

2. 米国国防総省が採用したエンタープライズDevSecOps

Chaillan 氏と彼のチームは、新しい開発プラットフォームの基盤としてオープンソース ソフトウェアを使用することを決定し、これを DoD Enterprise DevSecOps Initiative と名付けました。この取り組みでは、軍全体のデフォルトのソフトウェア開発プラットフォームとして、厳格なセキュリティ要件を備えたコンテナを「強化」するためのKubernetes、Istio、knative、および社内で開発された仕様の組み合わせを指定します。

シャイラン氏は、異なる支部や地域のソフトウェア チームは、利用可能なツールをどのように使用するかについてある程度の裁量権を持っているが、すべては空軍プラットフォーム 1 チームが提供するレイヤー上に構築する必要があり、チームが変更できないものもいくつかあると述べた。説明する。興味深いことに、国防総省が先月マイクロソフトに授与した 10 年間の JEDI クラウド契約をめぐる騒ぎを考えると、スタック全体が Amazon Web Services の GovCloud または Microsoft Azure のいずれかで実行されるように設計されています。

シャイヤン氏は、スピーチ後にクラウドネイティブコンピューティング財団主催の記者会見でこの点についてさらに詳しく説明し、「私たちは何か一つのことにこだわりたくなかった」と説明した。このため、チームはDoDスタックのネットワーク層のセキュリティを確保するために、KubernetesとIstioなどの他のプロジェクトを使用することを選択しました。「スタック全体でIstioが確実に実行されるようにしたかったのです」とChaillan氏は言います。

もちろん、その過程では多くの課題もありました。チャイラン氏は、Kubernetes は、インターネットに流すべきでないデータを扱う多くの状況で軍隊が使用しなければならない切断された環境向けに設計されたものではない、と述べた。同氏は、国防総省がプロジェクトのこの部分に取り組むにあたり、Kubernetes のメンテナーに多くのアドバイスを与えるだろうと示唆し、それが他の機密性の高い運用環境での Kubernetes の使用への道を開くことになるかもしれないと述べた。

「我々はアップデートのためにインターネットを使い、インターネットに接続してインターネットから直接アップデートを取得することに慣れています。それを実現するには、設計上インターネットから切り離された航空機や兵器システムにスタック全体を搭載する必要があります」と彼は語った。

3. DoD規模のオープンソーススタック

国防総省は、ほとんどあらゆる商業活動とは異なる規模で活動しています。 Chaillan 氏は、新しいツールはもちろんのこと、DevSecOps の原則についても 10 万人にトレーニングする必要がありました。 「文化の変化は興味深い」と彼は当時の記者会見でやや控えめに語った。

この規模は、国防総省が新しい開発プラットフォームを使用する多くの日常的かつ非機密のアプリケーションを反映しています。200 万人を超える人々が軍隊で働いていますが、そのほとんどは Kubernetes を実行する F-16 を操縦しているわけではありません。

「飛行機は興味深いが、それは我々が取り組んでいることのほんの一部に過ぎない。我々はクラウドネイティブ環境やマイクロサービスに移行し、ゼロから構築しているビジネスシステムを数多く抱えている」とチャイラン氏は語った。

シャイラン氏は、DoD Enterprise DevSecOps Initiative スタック全体がオープンソースであり、誰でもレビューできると述べた。同氏は、軍機関はオープンソースコミュニティに自分たちの成果をより多く公開する「より良い仕事をしている」と述べ、「（オープンソースの）ソフトウェアをフォークすることはない」と指摘した。

参考リンク: https://thenewstack.io/how-the-us-air-force-deployed-kubernetes-and-istio-on-an-f-16-in-45-days/

AIGC の詳細については、次の Web サイトをご覧ください。

51CTO AI.x コミュニティ

https://www..com/aigc/