👢 👨🏾 📦 Kubernetesの階層名前付けを発表 ⏮️ 🕐 🔛

約transl。：最近、「HierarchicalNamespaces」プロジェクトがKubernetesブログで発表されました。正式には昨年末から存在していましたが、今では大勢の聴衆に階層型ネームスペースコントローラー（HNC）を発表することが適切であると著者は判断しました。目的と実装の詳細について-この資料を読んでください。HNCロードマップの翻訳も補足されています。

単一のKubernetesクラスターで多数のユーザーを安全にホストすることは常に困難でした。主な理由は、すべての組織でKubernetesの使用方法が異なるため、単一のマルチユーザーモデルがすべての人に役立つ可能性は低いためです。代わりに、Kubernetesは、Role Based Access Control（RBAC）やNetworkPoliciesなどの独自のソリューションを構築するためのコンポーネントを提供します。これらのコンポーネントが優れているほど、安全なマルチユーザークラスターの構築が容易になります。

名前空間が急いで救助に

これらのコンポーネントの中で最も重要なのは名前名です。これらは、Kubernetesのほぼすべてのセキュリティおよびコントロールプレーン共有ポリシーの基礎です。たとえば、RBAC、NetworkPolicies、およびResourceQuotasはデフォルトで名前名をサポートしますが、Secret、ServiceAccount、Ingressなどのオブジェクトは1つのスペース内で自由に利用できますが、他のスペースからは完全に分離されています。

名前空間には、ポリシーの実施に理想的ないくつかの重要な機能があります。まず、プロパティを表すために使用できます。ほとんどのKubernetesオブジェクトは任意の名前名になります。名前名を使用して所有権を表すことにより、いつでもそれらのオブジェクトが所有者を持つことを期待できます。

次に、適切な権限を持つユーザーのみが名前名を作成して使用できます。名前名を作成するには昇格された権限が必要であり、他のユーザーはそれらを操作するため、つまり、それらの名前名でオブジェクトを作成、表示、または変更するための明示的な権限が必要です。したがって、最初に複雑なポリシーのセットを使用して名前名が作成され、その後でのみ、特権のないユーザーがポッドやサービスなどの「通常の」オブジェクトを作成できます。

名前空間の制限

残念ながら、実際には、名前付けは十分な柔軟性がなく、いくつかの一般的な使用例にはうまく適合しません。たとえば、特定のチームは、異なるシークレットとクォータを持ついくつかのマイクロサービスを所有しています。理想的には、これらのサービスを別々の名前名に分割して互いに分離する必要がありますが、これには2つの問題があります。

まず、これらの名前名は、両方が同じチームによって所有されているにもかかわらず、所有権の単一の概念を欠いています。つまり、Kubernetesは、これらの名前空間に1人の所有者がいるという事実について何も知らないだけでなく、制御されているすべての名前空間にグローバルポリシーを一度に適用する機能もありません。

第二に、ご存知のように、自律性は効果的なチームワークの鍵です。名前名の作成には昇格された特権が必要なため、開発チームの誰もがこれらの特権を持っている可能性はほとんどありません。つまり、チームが新しい名前名を作成することを決定するたびに、クラスター管理者に連絡する必要があります。これは小さな会社にとっては完全に受け入れられるかもしれませんが、それが成長するにつれて、そのような組織の悪影響はより顕著になります。

階層型ネームスペースの紹介

階層型名前付けは、これらの問題に対処するためにKubernetesマルチテナンシー（wg-multitenancy）ワーキンググループによって開発された新しい概念です。簡略化された形式では、階層名義は通常のKubernetes名義であり、1つの（オプションの）親名義を指す小さなカスタムリソースが含まれています。これにより、所有権の概念が、名前名内のオブジェクトだけでなく、名前名自体にも拡張されます。

所有権の概念は、2つの追加タイプの関係も実装します。

: namespace , , , RoleBindings RBAC, .

: namespace' . : subnamespaces, .

これにより、一般的な開発チームの両方の問題が解決されます。クラスター管理者は、必要なポリシーとともに1つの「ルート」スペースを作成し、サブスペースを作成する権限をチームメンバーに委任できます。このようにして、開発者は、クラスター管理者によって設定されたポリシーに違反することなく、自分で使用するためのサブネームスペースを作成できます。

少し練習

階層ネームスペースは、Hierarchical NamespaceControllerまたはHNCと呼ばれるKubernetes拡張機能を使用して実装されます。HNCは、次の2つのコンポーネントで構成されています。

Managerはクラスターで動作し、サブネームスペースを管理し、ポリシーオブジェクトを配布し、階層が有効であることを確認し、拡張ポイントを管理します。

kubectl-hnsそれと呼ばれるkubectlプラグインにより、ユーザーはマネージャーと対話できます。

コンポーネントのインストールガイドは、プロジェクトリポジトリのリリースページにあります。

HNCがどのように機能するかを見てみましょう。名前名を作成する権限がないとしますが、名前名team-aを参照して、その中にサブ名前空間を作成できます*。プラグインを使用すると、次のコマンドを入力できます。

$ kubectl hns create svc1-team-a -n team-a

*技術的には、親スペースに「サブネームスペースアンカー」と呼ばれる小さなオブジェクトを作成してから、HNCがサブネームスペースを作成します。

これにより、名前が作成されますsvc1-team-a。サブネームスペースは通常のKubernetesネームスペースと同じであるため、名前は一意である必要があることに注意してください。

次のコマンドを使用して、結果の構造を表示できますtree。

$ kubectl hns tree team-a
# Output:
team-a
└── svc1-team-a

親スペースにポリシーがある場合、それらは子にコピーされます*。たとえば、とteam-a呼ばれるRBACRoleBindingがあるとしsresます。このRoleBindingは、対応する名前名にも表示されます。

$ kubectl describe rolebinding sres -n svc1-team-a
# Output:
Name:         sres
Labels:       hnc.x-k8s.io/inheritedFrom=team-a  # inserted by HNC
Annotations:  <none>
Role:
  Kind:  ClusterRole
  Name:  admin
Subjects: …

*デフォルトでは、RBACのRolesとRoleBindingsのみが再配布されますが、Kubernetesオブジェクトを伝播するようにHNCを構成できます。

最後に、HNCは、階層に関する有用な情報を含むラベルをこれらの名前名に追加します。これらは、他のポリシーを適用するために使用できます。たとえば、次のNetworkPolicyを作成できます。

kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: allow-team-a
  namespace: team-a
spec:
  ingress:
  - from:
    - namespaceSelector:
        matchExpressions:
          - key: 'team-a.tree.hnc.x-k8s.io/depth' # Label created by HNC
            operator: Exists

このポリシーは、子孫に伝播されますteam-aとなりますまた、これらの名前空間のすべての間で入力トラフィックを許可します。HNCのみがラベル「ツリー」を割り当てることができます。現在の階層を反映することが保証されています。

HNC機能の詳細については、ユーザーマニュアルを参照してください。

次のステップとプロセスへの参加

階層型名前空間が組織で役立つと思われる場合は、バージョンHNC v0.5.1がGitHubで 利用可能です（8月28日からリリースv0.5.2まで利用可能-約Perevi ..）。あなたがそれについてどう思うか、あなたがそれでどんな問題を解決するか、そしてあなたがそれにどんな機能を追加したいかを知りたいです。開発の初期段階にある他のソフトウェアと同様に、本番環境でHNCを使用する場合は注意が必要です。また、フィードバックが多ければ多いほど、HNC1.0に早く到達できます。

また、サードパーティの寄稿者からの寄稿を歓迎します。バグ修正やそれらに関する情報、例外、監視の改善、階層的なリソースの見積もり、構成の最適化などの新機能のプロトタイピングに役立ちます。

リポジトリ、ニュースレター、またはSlackでお問い合わせください。ご意見をお待ちしております！

最初の発表は、Hierarchical NamespaceControllerのソフトウェアエンジニア兼テクニカルリードであるAdrianLudwinによって行われました。

ボーナス！ロードマップと問題

問題を投稿してください-もっと楽しいです！バグは最初に分析され、機能要求が優先され、その後、作業計画またはバックログに含まれます。

HNCはまだGAステータスに達していないため、失うわけにはいかない構成オブジェクト（Gitリポジトリに保存されていないオブジェクトなど）を含むクラスターでHNCを使用する場合は注意が必要です。

すべてのHNCの問題は、対応する作業計画に含まれています。現在、この計画の次の主要な段階が実施または計画されています。

v1.0：Iの終わり-2021年のII四半期の始まり。生産にはHNCをお勧めします。
v0.8：2021年初頭。新しい重要な機能が表示される場合があります。
v0.7：2020年末。ほとんどの場合、v1beta1APIが表示されます。
v0.6: 2020-; v1alpha2 API .
v0.5: 2020-; , .
v0.4: 2020-; API production-.
v0.3: 2020-; UX subnamespace'.
v0.2: 2019-; non-production.
v0.1: 2019-; . , - .
: .

翻訳者からのPS

私たちのブログも読んでください：

Kubernetesの階層名前付けを発表