20180911 Cloud Native Meetup Tokyo #4
20180911 Cloud Native Meetup Tokyo #4
所感
- いろいろ追いつけていないところが多く、キャッチアップが必要
istioとEnvoy
- Istio
- Istio 1.0の機能
- envoy
- 高いパフォーマンスでL4/L7を理解できるネットワークプロキシ
- ロードバランス
- L7(アプリレベル)でログが履ける
- 1.7.1リリース
- 1.8が9月末にリリース予定
- 1.7 の新機能
- RBACのフィルター
- ルートURL単位のHTTPフィルター
- 別フィルターを複数設定できるように
- xDS APIがある
- Envoyで実装された新機能はどの程度遅れてIstioに入るのか?
- Envoy自体はMasterがRCとしてReleaseまで早いので利用できるようになるまでは早い。Istioのほうで抽象化して利用可能になるまでに若干時間がかかるかもしれない。
Open Policy Agent is 何?
- https://github.com/open-policy-agent/opa
- https://www.openpolicyagent.org/
- https://speakerdeck.com/ken5scal/introduction-to-open-policy-agent
- オーパと呼ぶ
- CNCFにホストされている
- システムに関する動作を規制するルール
- RBAC is HARD:実際の業務に合わせたロールの管理大変
- Policy Engine:オライリーのZero Trust Network本に記載あり
- ポリシーとビジネスロジックが混ざってしまっていた
- 実は分離されていても問題ないはず
- Decision(Policy Engine:OPAとか)とEnforcement(Kubernetesとか)が分離される
- Base:REST APIで参照や更新ができる
- Policy(Rule)
- Regoで書かれている
- ユースケース
- Docker、Web-Service、Terraform
- opa-istio-pluginもある
- https://github.com/open-policy-agent/opa-istio-plugin/