はじめに

• Kubernetesまわりについて復習したときのメモ

参考

• コンテナ・ベース・オーケストレーション
• しくみがわかるKubernetes
• ネットワークまわりを確認&勉強しながら、Kubernetesの環境構築をしてみた

メモ

Docker全般

• コンテナとは
  • ホストOS上に論理的な区画（コンテナ）を作って、一つのサーバのようにしたもの
• コンテナの利点
  • アプリケーションのポータビリティ
  • 軽量で高速に動作する
    • サーバ仮想サーバと比較してオーバーヘッドが少ない
• その他
  • プロキシ配下で使うとき
    • /etc/systemd/system/docker.service.d 配下にconfファイルを作成してフラッシュ & Dockerデーモン再起動

Kubernetes全般

• オーケストレーション
  • マルチホストで構成されたクラスタでコンテナを運用するのに必要になってくる
    • 起動停止、ホスト間のネットワーク接続、ストレージ管理、どのホストで稼働させるかなどのスケジューリング機能、監視
  • クラスタを構成するノードとリソースの管理
  • アプリケーションのスケジューリング
• Docker Compose
  • 複数のDockerコンテナをサービスとして定義/実行するための、コマンドラインツール
    • 複数コンテナ/イメージの同時構築・同時実行・ログ表示
  • -> しかし、コンテナの常時監視する機能がない、複数のクラスタにデプロイできない
  • -> Swarmが生まれた
• Kubernetes
  • コンテナに対応したアプリケーションクラスタ環境上へ自動的にデプロイするためのオープンソースのフレームワーク
  • Kubernetesが目指すところ
    • システム構築のための手作業を減らす
    • システムをセルフサービスで運用する
  • エコシステム
    • パッケージ管理: Helm(apt-get的な)
    • モニタリング: Prometheus
    • ログコレクタ: Fluentd
    • 分散KVS: etcd
    • コンテナランタイム: containerd
    • サービスメッシュ: Istio
  • 「宣言的設定」と「APIセントリック」が特徴
    • リソースのあるべき状態定義による宣言的アーキテクチャと、リソースの変更監視をトリガーとしたイベントドリブンアーキテクチャを組み合わせることで、疎結合でスケーラブルなクラスタ管理システムを実現している
  • 分散システム
    • 分散システムの設計と運用は、例外処理との戦い
  • kubectl
    • Kubernetesクラスタの状態を確認したり、構成を変更したりするためのもの
    • 認証
      • ~/.kube/configに書かれている情報をもとにクラスタへ接続する
      • 接続先のサーバ情報や認証情報
    • kubectl コマンド タイプ 名前 フラグ
      • リソース: Kubernetesでは、コンテナアプリケーションであれネットワークであれジョブの実行であれ、全てリソースという抽象化した概念で管理する
      • 名前: リソースには識別するための固有の名前がついている

Kubernetesのサーバ構成

• ハードウェア構成
  • クラスタを構成するマシンはMasterとNodeの二種類
  • Masterは奇数台。（etcdの特性に起因）

Kubernetesクラスタへのデプロイの仕組み

• ① Masterに対してデプロイすべきコンテナのイメージや個数などの情報を指示する
  • Masterが提供するAPIサーバーに対してRESTでリクエストを送信（通常はラップしたkubectl）
• ② Masterは指示された構成情報をetcdに永続化する
• ③ Masterは情報に基づいて、コンテナをデプロイすべきNodeを決定する
  • MasterのSchedulerが、コンテナなどのリソースをどのNodeにデプロイするかを決定する
• ④ MasterはNodeに対してコンテナの実行を指示する
  • NodeのKubeletがMasterと通信
• ⑤ Nodeは必要に応じて指定されたコンテナイメージをpullしたうえで実行する
  • MasterのContoroller Manager
    • 指定したコンテナが、指定した個数だけ稼働しているかチェックしてくれる
    • リソースの変更を監視しており、変更を検知すると必要なコントローラを実行してくれる

Kubernetesのコンポーネント

• Master
  • API Server
    • リソース情報を管理するためのフロントエンドのREST API
    • 各コンポーネントからリソースの情報を受け取りデータストア（etcd）上に格納する
    • API Serverへのアクセスは基本的にkubectl
  • Scheduler
    • PodをどのNodeで動かすかを制御する（Podの配置先の割り当て）
  • Controller Manager
    • クラスタの状態を監視し、あるべき状態を維持する
    • 定義ファイルで指定したものと実際のNodeやコンテナで動作している状態をまとめて管理する
  • データストア（etcd）
    • どのようなPodをどう配置されるかなどの情報を持ち、API Serverから参照される
    • マニュフェストの内容が保存される
• Node
  • kubelet
    • エージェント
    • Podの定義ファイルに従ってコンテナを実行したりストレージをマウントしたり
    • • Nodeのステータスを定期的に監視、API Serverに通知する
  • kube-proxy
    • 様々な中継、変換を行うネットワークプロキシ

Kubernetesのリソース

アプリケーションの実行

• Pod
  • Kubernetesではコンテナを素の状態でデプロイしない
  • 一個以上のコンテナを包含する「Pod」という単位でデプロイする
  • 「1コンテナ:1プロセス」を守りつつ複数プロセスを協調動作させるための仕組みがPod
  • Pod内の全コンテナが同一のNodeにデプロイされることが保証される
  • Pod内の複数のコンテナで仮想NIC（プライベートIP）を共有する
  • localhostでコンテナ間が通信できる
• ReplicaSet
  • Deploymentとの使い分けに注意
  • オートヒーリングの機能を実現するためのリソース
  • Podを直接デプロイすることもできるが、Podに障害があっても自動回復しない
  • -> ReplicaSetは、稼働しているPodの数がreplicasと一致しているかどうかをチェックする
  • = クラスタ内で指定された数のPodを起動しておく仕組み
  • クラスタ内にPodをいくつ起動しておくかの値をレプリカ数と呼ぶ
  • もしPodが一つ異常終了したら、すぐに新しい別のPodを一つ起動する
  • Podのヘルスチェック
    • HTTP GetやExec（指定されたコマンドを実行し、ステータスコードが0であることを確認）
• Deployment
  • 単純なアプリケーションのデプロイは、Pod・ReplicaSet・Serviceでいい。
  • -> Podを一つずつ更新していく、ローリングアップデートやロールバックを宣言的に行う仕組み
  • -> Deploymentを利用する場合は、ReplicaSetを明示的に作成せず、Deploymentによって自動的に生成されたものを利用するようになります
  • ReplicaSetの履歴を持つことで、ローリングアップデート・ロールバックを可能にする
  • Deployment作成コマンド
    • kubectl create -f nginx-deployment.yaml --record
• DaemonSet
  • ReplicaSetは、どのマシンに配置されるが分からないが、どのノードにも配置したいPodがある
  • ログコレクタなど
  • 実はkube-proxyもこのDaemonSetを利用して動いている

ネットワークの管理

• Service
  • ネットワークを管理する仕組み
  • PodにアサインされるIPはランダムに割り当てられる
  • -> Serviceはあるサービスの入り口となり、複数のPodで構成されるサービスを代表する
  • いくつか種類がある
    • LoadBalancer
      • Serviceに対応するIPアドレス+ポート番号にアクセスすると、複数のPodに対するL4レベルの負荷分散が行われる
  • Cluster IP と External IP
    • Cluster IP: クラスタ内のPod同士で通信するためのプライベートIP。
    • External IP: クラスタの外部に公開するIP。環境変数として参照できる。
  • External Service
    • RDBに接続するなど、PodからKubernetes外のサービスにアクセスするための仕組み
    • 外部サービスをクラスタ内のサービスと同様に扱うことができる
• Ingress
  • L7の機能を提供

アプリケーション設定情報の管理

• ConfigMap
  • 環境依存情報をコンテナイメージに含めてしまうと、環境ごとにコンテナイメージをビルドし直すことになり、ポータビリティが損なわれてしまう
  • -> 環境情報はConfigMapに分離しておく
  • ボリュームとしてマウント、環境変数やPod定義のパラメータとして参照する
• Secret
  • 特殊なConfigMap
  • バイナリデータを格納（Base64エンコード）
  • データはメモリ上に展開される（ディスクに書き込まれない）
  • 暗号化された状態でetcdに書き込まれる

バッチジョブの管理

• Job/CronJob
  • Podは停止=異常終了だが、JobまたはCronJobは停止=ジョブの終了
  • ReplicaSetのバッチジョブ対応版
  • なぜJobを使うのか
    • Node障害時に別のNodeで実行
    • プロセス異常終了時の再起動
      • 処理が成功するまで、JobコントローラがPodを作り直す
    • タイムアウト
    • 実行回数と並列度

その他のリソース

• ボリューム系
  • emptyDir
    • Podと同じライフサイクル
    • Podの消滅時に削除される
    • -> 同一Pod内の複数コンテナ間でのファイル共有のために利用される
  • 外部ストレージ
    • NFSやAWS EBSなど
    • Podの定義の中で、ボリュームの定義 -> コンテナのvolumesMountsの定義から参照し、コンテナ内のマウントパスを指定、もできる
    • -> が、Pod定義が環境依存になるので、PersistentVolumeを使う
  • PersistentVolume
    • 外部ストレージを、Podから見て抽象化
    • 利用フロー
      • インフラ担当がNFSなどを用意
      • -> クラスタ担当がPVとしてKubernetesに登録
      • -> アプリケーション提供者がPVCを作成
      • -> KubernetesがPVCの条件に合致するPVがあればPVCとPVをバインドする
    • -> が、クラスタ管理者がPVを事前に準備しておく必要があるので、ダイナミックプロビジョニングを使う

Kubernetesの運用

拡張性

• HorizontalPodAutoscaler（HPA）
  • 指定したメトリックをコントローラがチェックし、負荷に応じて必要なPodのレプリカ数になるよう自動でPodを増減する
  • Metric Serverを使ってリソースの使用状況を収集する
  • マニュフェストとしては、kindがHorizontalPodAutoscalerで、scaleTargetRefにスケールするReplicaSetを指定する
  • メトリックの収集は、Nodeで動くkubeletのcAdviserというエージェントで行う
  • メトリックをまとめて管理するのがMetric Server。Podの一つとして動いている。収集したメトリックの情報はメモリ上で管理する。
• ノードのスケール
  • HPAとCluster Autoscalerは共存できる
  • 自動スケールのメトリックとして、外部のメトリックを使ったりもできる
    • メッセージキューを使うことが多い

運用作業

• バージョンは、MasterおよびNodeの両方に気を配る必要がある
• NodeのバージョンがMasterのバージョンより3つ以上古くなると、そのNodeは正しく動作しない場合がある
• サーバのアップデート=OSや導入しているパッケージのアップデートを指す
• unattended-upgradesパッケージを使ったり
• 再起動をどうするかがポイント
  • Cordon/Uncordon/Drain

監視

• Liveness Probe

その他

• アドオンコンポーネントのPodはMasterではなくNodeに配置される
• リソース分離で一番分かりやすいのはクラスタの分離。次に大きいのはNameSpace。
• User Account と Service Account
  • Kubernetesは「人」を管理する仕組みがない
  • 一般ユーザを管理せず、統合管理できる外部のID管理システムにそれを任せている

Kubernetesの設計のポイント

• ラベルのルール
  • 本番/開発環境
  • プロジェクト
  • GPU付き
• リソース分離
  • NameSpace
    • プロジェクト
    • defaultは使わないように？
• NodeSelector
• Resource Requests
  • Podをスケジューリングするときは、実際のノードの使用量をチェックするわけではない
• Limit Range
  • Namespaceで動く一つ一つのPodのリソース上限（総量ではない）
• ResourceQuota
  • 総量を制限
• 監視
  • メトリックバックエンド、ログ収集、ログバックエンド、可視化、アラート、サービス監視（外形監視）、オールインワン

問題

• ABC172-D_SumofDivisors

問題概要

Xの正の約数の個数をf(X)とするとき、∑K×f(K)

解法

ポイント

• 整数問題は書き出して規則を捉える
  • 1から始まるときは（ある特定の区間でないときは）特に、一発で答えが出たりする
• 横に集計しても、縦に集計しても同じ
  • -> 横に集計しづらいときは、縦に集計してみる
• 約数の問題は、都度約数を求める場合と、小さい方から予めn倍して格納しておくといい場合がある

コード

• かつっぱさんのコード
  • pypyだと268ms, pythonだと3101ms

n = int(input())

def calc(b, e):
    # 等差数列の和
    cnt = e // b
    return (b + e) * cnt // 2

ans = 0

for i in range(1, n+1):
    ans += calc(i, n//i * i)

print(ans)

はじめに

システム構築案件が立ち上がったときにインフラ担当としてまずやっていることをメモしました。抜け漏れはあります。

やったこと

1. スケジュール・マイルストーン確認

• マスタスケジュール
  • 他システム、アプリ含めたスケジュール
  • → 全体の整合性を確認
• インフラ構築スケジュール
  • 顧客、関連ベンダ含めた役割分担を認識合わせするため
    • 特にテストフェーズ
      • 仕様書作成
      • 環境構築
      • テスト実施
      • テスト結果レビュー、etc
  • マイルストーン確認
    • 対顧客、対アプリチーム
    • アプリチームへの環境引き渡しタイミングなど
  • 環境利用計画確認
    • 何面作ることになるか。いつまでに必要か。
• → いつ誰が何をやるか、明確に

2. 成果物確認

• 非機能要件定義書
  • 基礎数値表等
• インフラ基本設計書
  • システム化方針
  • 全体システム俯瞰
  • アーキテクチャ構成
  • ネットワーク構成
  • ハードウェア構成
  • ソフトウェア構成
  • 処理方式概要
  • 製品・技術要素選定根拠
• 監視設定一覧
  • 死活監視
  • ログ監視
  • リソース監視
• バックアップ・リストア・改廃設定一覧（運用設定書）
• 運用設計書
  • システム概要（サービス対象範囲）
  • 運用体制
  • 運用方針（サービス時間等）
  • 運用業務詳細
• 運用作業手順書
  • リソース拡張
  • 監視設定追加・非監視設定
  • デプロイ
  • リストア
• 非機能テスト仕様書
  • （インフラ単体テスト）
    • パラメタ設定
    • 起動停止
    • 基本機能提供
  • （インフラ結合テスト）
    • 業務処理通信
    • 運用処理通信
    • バックアップ改廃
    • アラート
    • 耐障害性
  • （セキュリティテスト）
  • 障害テスト
    • 可用性テスト
    • 監視通知テスト
  • 性能テスト
    • 負荷テスト
    • 限界テスト
    • 耐久テスト
  • （運用テスト）
    • キャパシティ管理
    • システムメンテナンス
    • システム監視
    • データ抽出
    • バックアップリストア
    • リリース
    • ログ管理
    • 障害対応
    • 定常作業
• ソース

3. 直近のタスク確認

ヒアリング事項整理

• 役割分担、制約条件をまず確認する

役割分担

• Who: 担当者、関連ベンダ確認
• Where, How: 作業担当スコープ整理+環境アクセス方法・モジュール連携方法確認
  • アカウント契約
  • DX契約
  • 構築作業
• When: マイルストーン確認

制約条件

• 非機能要件定義フェーズで考えること
  • 特に # その他（基本設計に向けて）

4. wiki整備（内部向け）

• アプリ担当者向け
  • 環境構成図
  • 接続情報
  • 障害対応手順
• インフラ担当者向け
  • 開発規約
  • ネットワーク
  • セキュリティ
  • デプロイ
  • 監視
  • バックアップ・リストア・改廃
  • テスト
  • 運用

5. WBS作成

• 非機能要件定義作成
• インフラ基本設計書作成
• アカウント作成
• ストレージ
• ネットワーク
• ルーティング
• サービス
• データストア
• 運用環境（デプロイ）
• 運用環境（セキュリティ）
• 運用環境（監視）
• 運用環境（バックアップ・リストア・改廃）
• インフラ単体テスト
• インフラ結合テスト
• 性能テスト
• 障害テスト
• 運用テスト
• 運用設計書作成
• 運用作業手順書作成
• 運用引き継ぎ

インフラエンジニアとしての心構え

• システム（環境）全体を見れる立場から、早めにリスクを検知して潰し込み、リリースに着地させる義務がある
  • プロジェクトは想定通り行かない。想定外の事象が発生したときに、影響調査をして、誰がいつ何をすべきかを整理してインプットしていく。
  • 浮いてるタスクを検知し、論点を明確にした上で選択肢とメリデメを提示&ポジションを取る。

参考

• インフラ構築の各フェーズで考えること（非機能要件定義・基本設計・詳細設計）