米空軍が45日間でF-16戦闘機にKubernetesとIstioを導入した方法

ハイブリッドクラウド戦略の人気が高まるにつれ、米軍も自らのニーズに合った独自の開発計画を採用し始めています。

サンディエゴで開催されたKubeCon 2019カンファレンスで米空軍の最高ソフトウェア責任者であるニコラス・シャイラン氏が発表したレポートによると、空軍は現在、KubernetesやIstioなどの一連のオープンソースクラウドツールを使用してビジネスシステムをサポートしようとしている。これらのツールは、兵器システムや戦闘機など、さまざまな非従来型プラットフォームに導入されることがよくあります。実際、軍は F-16 戦闘機の内蔵ハードウェア上で Kubernetes を実行しようと試みました。

「チームにとって今の主な仕事は、これが実現可能であることを証明することだ」とシャイラン氏は語った。彼は空軍とそのパートナーに対し、45日以内にジェット機でKubernetesを実行し、航空機が正常に機能することを保証するよう課題を与えた。かなり難しそうに聞こえますが、チームはタスクを無事完了し、現在 F-16 戦闘機では 3 つの Kubernetes クラスターが同時に実行されています。

この時点で、多くの友人は自然に次の質問を思いつくでしょう。「これをする理由は何ですか？」 KubeCon 初日の短い基調講演で、Chaillan 氏は、コンテナ、Kubernetes、Istio の導入プロジェクトの実行方法など、彼のリーダーシップの下で米国空軍と国防総省の他のいくつかの部門がコンテナ技術の実験を積極的に推進してきた様子を紹介しました。これは、さまざまな軍事サービスの内部ソフトウェア チームにとって柔軟で汎用的な開発プラットフォームとなり、ベンダー ロックインの問題の発生を効果的に防ぐことができます。

シャイラン氏は、空軍がこのプロジェクトを開始する約18か月前、ほとんどの軍用ソフトウェアチームは依然として古いウォーターフォールプロセスを使用してソフトウェアを構築しており、新しく書かれたコードが実際に使用されるようになるまでには数年かかることが多かったと述べた。さらに恐ろしいのは、民間部門ではとっくに完全に自動化されているアップデート、テスト、さらにはセキュリティレビューなどのタスクを、軍隊が依然として手作業に大きく依存していることである。

軍事組織が担う国家防衛と安全保障の重要な責任を考慮すると、技術面で主流に長期間遅れをとることはできないのは明らかです。競合他社がソフトウェア機能に投資し、戦場で優位に立つと、国家安全保障はすぐに脅かされることになる。さらに、重要なアプリケーションの更新が遅いと、無視できない重大な悪影響が生じる可能性があります。

「そのため、攻撃対象領域を減らし、脅威レベルを下げることが、当社にとって最優先事項となっている」とシャイラン氏は語った。

国防総省エンタープライズDevSecOpsプログラム

Chaillan 氏と彼のチームは、新しい開発プラットフォームの基盤としてオープンソース ソフトウェアを使用することを決定し、国防総省エンタープライズ DevSecOps プログラムを設立しました。この計画では、Kubernetes、Istio、Knative、および一連の内部開発仕様（より厳格なセキュリティ要件を満たすためにコンテナ技術を強化するために使用される）を組み合わせて、軍全体のデフォルトのソフトウェア開発プラットフォームを構築することになっています。

さまざまな支部や地域のソフトウェア チームは、独自のツールを選択する際にある程度の裁量権を持ちますが、Air Force Platform One チームが提供する基盤となるソリューションに基づいて構築する必要があります。シャイラン氏は、当事者らは基本計画にいかなる変更も加えてはならないと強調した。

シャイラン氏は、スピーチ後にクラウドネイティブコンピューティング財団が開催した記者会見で、この問題についてさらに詳しく説明した。 「私たちはあらゆる制約から解放されたかったのです」と彼は説明する。それを念頭に置いて、チームは Kubernetes を他のプロジェクトと組み合わせて使用​​することを決定しました。シャイラン氏は、Istio のようなプロジェクトは国防総省スタックのネットワーク層にセキュリティを提供できると述べ、「軍全体のスタックで Istio が引き続き動作するようにしたい」と語った。

もちろん、プロセス全体を通してさまざまな実際的な課題もあります。 Chaillan氏は、Kubernetesはもともと、米軍が直面する不連続なアプリケーションシナリオ、特に長期間のネットワーク切断を伴う使用環境を考慮して設計されたものではないと指摘した。彼は、国防総省がKubernetesコミュニティの開発に参加し、プロジェクトのメンテナーに適切な提案を提供することで、Kubernetesがさまざまな機密性の高い運用環境に参入する道を開くだろうと示唆した。

「私たちはソフトウェアのアップデートにインターネットを使い、いつでもインターネットにアクセスして必要なリソースをダウンロードすることに慣れています」と彼は語った。しかし、この技術スタックのすべてをジェット戦闘機や兵器システムに移植するには、インターネットに接続できない状況を考慮する必要があります。

国防総省がハイパースケールのオープンソーススタックを構築

国防総省の活動は、ほとんどの民間組織の活動よりも大規模です。 Chaillan は 10 万人の軍人に対して DevSecOps の原則をトレーニングし、新しいツールの使い方を教えなければなりません。 「これは非常に興味深い文化的変化となるだろう」と彼は記者会見で控えめに語った。

このような大規模さは、国防総省がこの新しい開発プラットフォームを使用して、さまざまな日常的な非機密アプリケーションを処理する必要があるという事実も反映しています。現在の米軍人員は 200 万人を超えていますが、そのほとんどは Kubernetes を実行する F-16 戦闘機に接触したことがないことはもちろんです。

「この戦闘機は非常に興味深いが、我々が取り組んでいることのほんの一部に過ぎない」とシャイラン氏は語った。 「当社では、多くのビジネス システムをクラウド ネイティブ環境やマイクロサービス アーキテクチャに移行し、あらゆる種類の新しいソリューションをゼロから構築しています。」

DoD Enterprise DevSecOps イニシアチブ全体は、軍のあらゆるメンバーが使用できるオープンソース テクノロジー スタックに完全に基づいています。同氏は、米軍は今後さらに多くの作業をオープンソースコミュニティに引き渡すことになるだろうと指摘し、「我々はオープンソースソフトウェアをフォークすることはない」と強調した。