Red Hatがセキュリティ強化と自動化がポイントのOpenShift 4.3をリリース

Red Hatが開発をリードするKubernetesの商用版製品、OpenShiftが最新バージョンの4.3としてリリースされた。Red HatはLinuxなどのオープンソースソフトウェアでビジネスを展開して成功したベンダーの代表格とも言えるが、そのビジネスの根幹はエンタープライズ企業に対するオープンソースソフトウェアへのサポートサービスだ。

Red Hatが提供するすべてのソフトウェアがオープンソースであることは知られているが、実際には「コミュニティ版」もしくは「Upstream」と呼ばれる最新の機能を取り入れたソフトウェアと、安定版とも言える長期のサポートが提供される企業向けソフトウェアの2つを常に用意して、企業のオープンソースソフトウェア導入を支援している。

OpenShiftにおいてもその戦略は変わらず、コミュニティ版はOKD（かつてはOpenShift Originと呼ばれており、今でもGitHubやドキュメントの中などにその呼称は存在するようだ）という名称で提供されており、主にデベロッパーのためのディストリビューションである。OpenShiftはその安定版として、さまざまなコンポーネントをRed Hatがテストした上で、サポートを付けた形で有償提供される製品となる。

OpenShiftはバージョン3が発表された際に、それまでのPaaSのコードを捨て、Kubernetesをベースにしたコンテナプラットフォームとして一新された。当時、OpenShiftはCloud Foundryに対して後発という位置付けで、あまり注目されていなかったように記憶している。そのOpenShiftが、これもまだ公開されたばかりのKubernetesに乗り換えたというのは、筆者としては衝撃的であった。2015年1月に行われた説明会で、できたばかりのGUIをデモしていたChris Morgan氏は今でもRed Hatで活躍中だ。

参考：OpenShift 3.0で既存コードを捨てコンテナーに賭けるRed Hat

今回のリリースについての詳細は、リリースノートを参照されたい。主要なポイントについてレッドハット株式会社のエンジニアからテレカンファレンスの際に聞いた解説を参考にしながら、今回のリリースを紹介したい。

リリースノート：OpenShift Container Platform 4.3 release notes

OpenShift 4.3の強化ポイントはセキュリティ

2020年1月15日に公開されたブログ記事では、主にセキュリティの強化が中心という内容になっているが、ポイントとしてはRed Hat Enterprise LinuxのFIPSモード^※が利用できるようになった点と、Kubernetesのデータストアの中核であるetcdの暗号化機能が有効になった点が挙げられる。特にFIPSモードは政府機関などでは強く求められる仕様として、今回の機能強化のポイントとなっている。

FIPS：Federal Information Processing Standard（連邦情報処理規準）アメリカ国立標準技術研究所（NIST）が発行する標準規格。

FIPS準拠とetcdの暗号化

RHEL7のライブラリーがFIPSに準拠

ブログ記事：Introducing Red Hat OpenShift 4.3 to Enhance Kubernetes Security

同時にOpenShift Container Storage 4も紹介されているが、このリリースはタイミングとして合ったというもので、OpenShiftそのものの機能強化とみなすよりは、ストレージの最新リリースと同期したとみなすのが妥当のようだ。

もうひとつの強化ポイントは、自動化のためのフレームワークOperatorである。これはKubernetesの運用や新しいソフトウェアの導入をマニュアルで行うのではなく、自動化するためのOperatorの機能に、OperatorHubと呼ばれるコンテナレジストリーが実装された形になる。具体的にはCoreOSが買収したQuay.ioが手掛けるコンテナレジストリーのQuayをOperatorHubに組み込んで実装したことで、企業内で利用するプライベートリポジトリーを可能にした。またコンテナのイメージスキャン機能であるClairも利用可能となった。Quay.ioはCoreOSが2014年に買収したQuay.ioが開発していたソフトウェアで、完全にオープンソースソフトウェアとして書き換えられ、OpenShift4.3に組み込まれた形になった。

ちなみにQuayと同様の機能を提供するソフトウェアとして、CNCFがホストし、VMware Chinaが開発をリードするHarborが挙げられる。レッドハットのエンジニアの説明によれば、コンテナレジストリーとしてHarborを使うことも可能であるという。

なお、OpenShift Container Storageについては以下のブログを参照されたい。

ブログ記事：：Introducing OpenShift Container Storage 4.2

またサービスメッシュについても強化されており、Istio 1.4が組み込まれている。ただIstioは1.5でこれまでのマイクロサービス的なアーキテクチャーから、istiodというモノリシックなコントロールプレーンに移行している。そのため、Istio 1.4のままでサービスメッシュを実装するのは避けたほうが良さそうだ。Istio 1.5がOpenShiftに取り込まれるのは少し先になりそうだが、後の移行作業を考えれば、Istio 1.5を待つべきだろう。

参考：Istioがマイクロサービスからモノリシックなアプリに変化。その背景とは

サービスメッシュも実装

またサーバーレスもKnative v0.10が採用され、テックプレビューながらも利用可能となった。

Knativeでサーバーレスも実装

CI/CDについてはGoogleが開発するTektonを利用して実装している。テックプレビューということで本番環境での利用は勧められてはいないが、実験的に利用することができる。Tektonのパイプラインを使ってCI/CDを実現している。

Tektonを使ったPipelineを利用可能

KubernetesのパッケージマネージャーであるHelmもテックプレビューとして採用された。しかしRed Hatとしては、Helmよりもより複雑な操作を可能にするOperatorを推進したいという意向があるように思える。実際にHelmはKubernetesのクラスターを実装するだけであればシンプルな選択肢だが、KubernetesのカスタマイゼーションのポイントであるCustom Resource Definitionを扱うためにはOperatorを使うことを推奨していると言える。

パッケージマネージャーであるHelm 3が利用可能

HelmとOperatorとの違いについては、Helmがインストールに特化しているのに比べてOperatorはDay 2オペレーション、つまり運用やアップグレードなどの幅広い用途に適しているという。

HelmとOperatorの違い

なお、HelmとOperatorに関してはMicrosoftのMatt Butcher氏がブログ記事で詳細に比較しているので参考にされたい。

参考：Is there a Helm and Operators showdown?

この他にも、分散処理システムでは要点となる複数のサーバーに対する段階的なアップグレードを可能にするフェーズドロールアウトもこのバージョンから採用された。

全体的にメジャーリリースというほどではなく、FIPS準拠や暗号化などセキュリティでの強化がポイントであるが、サービスメッシュやサーバーレス、CI/CDパイプラインなど新しいアプリケーションや運用方法などにも徐々にカバーする領域を拡大しているOpenShiftを実感させる内容となった。

ブリーフィングの際にレッドハットのエンジニアに「Kubernetesはデベロッパーにも運用チームにも支持されているプラットフォームであるが、現状では運用チームが責任を持っている場合が多い。これからサービスメッシュやサーバーレスが必要となった時に、もっとデベロッパー側の理解を深めることが必要では？」という問い掛けをしてみたところ、この問い掛けには同意が得られた。次に「レッドハット自体がまだインフラストラクチャーのための会社として認識されているのでは？」という質問に対して、「それはその通り。もっとデベロッパーに訴求していきたい」と語っていたのが印象的であった。

デベロッパーが関わったほうが良い結果が得られるというのがレッドハット自身の経験則のようだ。OpenShiftに関するWebinarもすでに定期的に開催されており、今後はデベロッパー向けの内容も強化して行く予定だという。今後もレッドハット、そしてOpenShiftに注目していきたい。