Kubernetesガバナンス戦略を確立する方法

翻訳者 |李睿

校正：孫淑娟

ガバナンスにより一貫性と再現性がもたらされ、品質が決して損なわれることがなくなります。 Kubernetes ガバナンス モデルを開発すると、組織全体を正しい軌道に乗せることができます。さらに、Kubernetes ガバナンス モデルで提案されるポリシーは、リソースとデプロイメントのセキュリティ ベースラインに限定されません。

しかし、本当の疑問は、企業のクラウドネイティブ化の過程で、Kubernetes のガバナンスと戦略がどこで、なぜ必要なのかということです。

Kubernetes はロールベースのアクセス制御 (RBAC) 機能を提供します。この機能は、オペレーターやマネージャーのアクセス レベルを区別して、非常にきめ細かくアクセスを定義するのに役立ちます。

ロールベースのアクセス制御 (RBAC) の制限は、ユーザーがリソースの使用に制限を設定できないことです。ポリシーの境界を定義する際には、リソースにこれらの制限を設定することが重要です。

この記事では、Kubernetes ガバナンスとその重要性について紹介します。

Kubernetes ガバナンスとは何ですか?

「ガバナンス」とは、すべてのグループ、部門、または組織全体にわたって特定のルールとポリシーを強制する能力であると誰もが理解しています。同様に、Kubernetes ガバナンスについて説明する場合、すべての Kubernetes クラスターとそれらのクラスター上で実行されるアプリケーション全体で従われる特定の標準について言及しています。

物事を予測可能かつ安全に保つために標準的なプロセスが必要なのは、より理解しやすいことです。ユーザーが所有するクラスターの数が少なく、1 人のユーザーがそれらすべてを処理する場合、マージ正規化はやり過ぎのように思えるかもしれません。ただし、これは長期にわたってクラスターを維持する上で大きな労力となる可能性があります。

ここでは、ガバナンスの側面とは何か、また重複するポリシーが多すぎるのを防ぐ方法について学びます。

2. ガバナンスの側面

Kubernetes ガバナンスには 3 つの側面があります。

Kubernetes ガバナンスの側面

組織単位と技術単位の観点から実装する必要があります。組織単位は、ユーザー、グループ、チーム、部門で構成されます。

テクノロジー ユニットには、クラウド プロバイダー、データ センター、リージョン、クラスター グループ、ラベル セレクター、名前空間などが含まれます。静的リストから動的ルールまで、機能に基づいてスコープを定義することもできます。

ポリシーの目標に関しては、セキュリティ ポリシー、イメージ管理、ネットワーク ポリシー管理、構成の制約とポリシーに関して検討すべき点が多数あります。以下で詳しく見てみましょう。

3. ガバナンスの目標は何ですか?

Kubernetes ガバナンスの目標は、次のカテゴリに分類できます。

（１）安全保障戦略

（２）コンテナイメージ管理

（３）ネットワークポリシー管理

（4）アクセス管理

（５）制約とポリシーの設定

1. セキュリティポリシー

セキュリティ ポリシーについて話すとき、企業の運用チームが制御する必要があるさまざまな領域があります。

フレームワークのセキュリティ設定により、次のことが保証されます。

（1）クラスターまたはアプリケーションにアクセスできるのは誰ですか?

（２）部門ごとにアクセス権をカスタマイズする。

（３）アプリケーションがオペレーティングシステムの機能をどの程度使用するかを指定する。

たとえば、これがどのように機能するかというと、データ サイエンス部門によって作成されたすべてのクラスターに対して、ユーザーは特定のデフォルトの名前空間にのみアクセスできる必要があります。

2. コンテナイメージ管理

ガバナンスのもう一つの領域はイメージ管理です。この場合、企業は次のような一連のルールを作成できます。

（１）どのクラスターでどのコンテナイメージを使用するか。

（2）コンテナイメージを本番環境で使用する場合の基準は何ですか？

（３）コンテナレジストリが選定した規制基準と、その基準が侵害されることを防ぐ方法。

3. ネットワークポリシー管理

ユーザーは、どのポッドまたはコンテナが相互に通信できるかを定義することに重点を置く必要があります。簡単に言えば、ポッドのセキュリティ制約を保証するにはガバナンスが必要です。場合によっては、セキュリティ フレームワークによってこの問題を解決できることもあります。

セキュリティだけでなく、クラスター トポロジや一般的なクラスター構成の制約などの他の領域もカバーする共通のガバナンス フレームワークを用意しておくことは常に良いことです。

4. アクセスの実装と管理

ロールベースのアクセス制御 (RBAC) という人気の概念を紹介します。

このようにして、管理者は Kubernetes クラスターへのアクセスを制限できます。ロール、クラスター ロール、ロール バインディング、クラスター ロール バインディングなど、ロールベースのアクセス制御ポリシー (RBAC) の定義に役立つさまざまな Kubernetes オブジェクトがあります。これらを使用すると、アクセス制限を詳細に定義できます。

5. 制約とポリシーを構成する

リソースの構成可能な権限とリソースへのアクセスおよび制限を定義することです。仕組み - 異なるソフトウェア チームがあると仮定します。制約とポリシーを構成することで、チーム A は Azure と AWS 上にクラスターを作成できるようになり、チーム A が使用できるリソースの上限が定義されます。チーム A はこれらの構成の詳細を変更できないことに注意することが重要です。

デプロイされたアプリケーションに関連付けられたガバナンス ルールは、上で説明したセキュリティ ルールと非常によく似ています。これには、ネットワーク ポリシーや、ポッドの相互作用方法の定義 (アプリケーション レベルの制約と呼ばれる) が含まれます。すべてのアプリケーションのリソース使用量、リクエスト、制限に制約を設定することもできます。

4. Kubernetes マルチクラスタ管理とガバナンスの重要性

マルチクラスター管理とガバナンスを実装する主な利点は次のとおりです。

（1）管理の複雑さの軽減 - エンジニアリングチームが一連のルールに従うと、あらゆる形の無駄や過剰なコミットメントを防ぐことが容易になります。

（2）クラスターの可視性の強化 - ワークロード管理の改善とリソースの最適な使用。ノード間でのアプリケーション ポッドの不均等な分散を防ぎます。

（3）アプリケーションの可用性の向上 - 最も近い可用性ゾーンにアプリケーションを展開することが容易になります。

（4）監視とログ記録の改善 - 問題のトラブルシューティングが容易になり、ダウンタイムが最小限に抑えられます。

（5）一貫性とコンプライアンスの確保 – 従業員が定義されたポリシーに従うことで一貫性が生まれ、物事が予測可能になります。

（6）遅延の削減 - 強力な監視により、逸脱を予測し、より適切な準備を行うことが容易になります。

災害復旧の改善。

（7）マルチクラウド/ハイブリッドクラウド環境全体にレガシーアプリケーションとクラウドネイティブアプリケーションを展開する機能。

（８）標準化と自動化の組み込みにより運用コストが削減され、効率が向上します。

（9）強化されたセキュリティ体制 - 包括的な可視性、集中管理、一貫性、標準化。

5. Kubernetes ガバナンス フレームワークを実装するにはどうすればよいですか?

その前に、Kubernetes ガバナンス フレームワークがどのようなものかを理解する必要があります。

複数の専門的なガバナンス フレームワークを 1 つの包括的なソリューションに統合します。これには、クラウド コスト管理、クラウド リソース管理、可観測性と監視、セキュリティなど、さまざまな目的に合わせてさまざまなツールを使用することが含まれます。包括的なソリューションの問題は、これらのさまざまなツールが必ずしも相互に通信および統合されるわけではないことです。

これを行う最善の方法は、Kubernetes 管理プラットフォームを使用することです。セキュリティ、可観測性、コスト管理などのベストプラクティスに準拠したローコード プラットフォーム。

1. セキュリティのベストプラクティス

（1）継続的インテグレーション（CI）/継続的デリバリー（CD）パイプラインに統合された強力なイメージスキャンプロセスにより、ソフトウェア開発ライフサイクル（SDLC）のビルドフェーズと実行フェーズですべてのエンタープライズアプリケーションがスキャンされることが保証されます。

（２）インターネットセキュリティセンター（CIS）の基準を満たすツールを使用する。

（３）機密システムやデータへのアクセスを制限する。

（4）HashiCorp Vaultなどのツールを使用して、デジタル認証資格情報をより適切に管理します。

2. 監視と観測可能性のベストプラクティス

（1）Kubernetesクラスター内で何が起こっているかをきめ細かく可視化することに重点を置いた監視戦略。

（２）サービス検出を自動化し、詳細なアプリケーション監視を実行し、アクション指向の推奨事項をリアルタイムで提供します。

3. ネットワークの課題を軽減するためのベストプラクティス

カスタム設定のサポート:

コンテナ ネットワーク インターフェイス (CNI) – ビジネス コミュニケーションの複雑さが増すにつれて、セキュリティの脅威に対する脆弱性も高まります。コンテナ ネットワーク名前空間にネットワーク インターフェイスを挿入するコンテナ ネットワーク インターフェイス (CNI) プラグイン。

パブリックおよび保護されたイングレス ポイントを作成して、「構成よりも規約」を展開します。

アプリケーションのインフラストラクチャ層と統合されたサービス メッシュをデプロイします。これにより、ネットワーク上のサービス間の通信が安全かつ信頼できるものになります。

4. クラウドコンピューティングのコスト管理の実践

（１）スポットインスタンス（AWS）/スポットVM（Azure）/プリエンプティブルVM（GCP）によるコスト最適化：ミッションクリティカルでないタスクは、スポットインスタンス上で実行できます。直感的なプラットフォームは、これらのインスタンスが取り消されたときにデータが削除されないようにすることでこれをサポートします。

（２）シャットダウンスケジューリング：目的もなく稼働している環境をすべてシャットダウンできるため、インフラコストを節約できます。

（３）レプリカセットを使用して、常に同じ数のポッドが利用可能であることを保証します。

VI.結論

Kubernetes ガバナンスを優先することで、企業は最も価値のある資産を確実に保護するために必要な保護を実現できます。さらに、これらの資産のスケーラビリティを実現し、より安全で堅牢なものにします。

オリジナルリンク: https://dzone.com/articles/establishing-kubernetes-governance-strategy