ValidKubeは、いくつかのツールを組み合わせた新しいオープンソースツールである。Kubernetes YAML構成ファイルの検証、クリーニング、保護が簡単にできるようになる。
最初のリリースでは、ValidKubeはKubernetesで使用される3つの一般的なツールを統合する。kubevalではKubernetes構成ファイルを検証できる。kubectl-neatでは、Kubernetesマニフェストの乱雑さを取り除くことができる。trivyでは、コンテナイメージ、ファイルシステム、Gitリポジトリの脆弱性のスキャナーである。この3つのツールは、Aqua SecurityとSnykによってイスラエルで開発された。
AquaSecurityのオープンソースディレクターでkubectl-neatの開発者であるItay Shakury氏によると、ValidKubeは、開発者の手にさらに力と責任を与えるという現在のトレンドに対応している。
セキュリティは、開発者にシフトしている責任の1つです。この「shift left」アプローチでは、開発ライフサイクルの早い段階でセキュリティプラクティスを適用することが奨励されています。ValidKubeは、開発者がKubernetesマニフェストをすばやく検証するのに役立つツールです。
ValidKubeはブラウザベースのツールだ。つまり、個々のツールをインストールしなくても、使ってみたい人は誰でもすぐに手に取ることができる。
InfoQは、ValidKubeの開発者でKomodorのCTO兼共同創設者のItiel Shwartz氏と、ValidKubeの詳細について話した。
InfoQ:ValidKubeには、すぐに利用できるAWSとのインテグレーションが付属しています。より多くのクラウドプロバイダーをサポートすることを計画していますか。
Itiel Shwartz: 私たちはこのことを考えています。そして、コミュニティが強く望むかもしれないと考えています。これは結局のところオープンソースプロジェクトです。サーバーレスフレームワークを使っているため、他のクラウドプロバイダー向けのValidKubeのブランチを作ることは比較的簡単です。
InfoQ: ValidKubeに含まれているツールが対応している「基本とベストプラクティス」を明確にさせてください。Kubernetesのリファレンスまたは標準プラクティスセットを採用しましたか。あるいは、基本とベストプラクティスを定義しようとしましたか。
Itiel Shwartz: これに答える最も簡単な方法は、ツールで提供するサンプルコードを実行することです。検証してみることで、どのようにしてValidKubeが構文エラーを指摘するかがすぐにわかります。また、コードをクリーニングしようとするときには、ツールによって同じYAMLがどのようにしてすっきりするかが示される。これは、動作中のKubectl-neatとKubevalです。セキュリティの面ではTrivyが保護するものがいくつかあります。例えば、誤って設定された特権昇格です。
InfoQ: ValidKubeのロードマップとして何を描いていますか。近い将来、他にどのような種類のツールを統合しようとしていますか。
Itiel Shwartz: すばらしい質問です。たまたま、私たちはすでに新しい機能をいくつか追加することを検討しています。たとえば、Kubernetesクラスターのベストプラクティスの検証に役立つPolarisとの統合を検討しています。私たちが検討しているもう1つの優れたプロジェクトは、Kubernetesオブジェクトの信頼性とセキュリティに役立つKube-Scoreです。他にも興味深いプロジェクトがいくつかあります。このアイデアは、ValidKubeのインテグレーションを拡張し続けて、ますます多くの価値を提供するようになります。
InfoQ: 検証、クリーニング、セキュリティ保護は、Kubernetesを正常に管理するための1つのステップにすぎません。他の重要なプラクティスは何ですか。
Itiel Shwartz: 常に順守されているわけではない共通のベストプラクティスという考えに戻ると、ラベルと注釈を適切に管理することが重要だと思います。堅固なCI/CDパイプラインを持つこともミッションクリティカルであり、Argoをまだ使用していない場合は、間違いなく使うべきです。とはいえ、効率的なKubernetes管理の主な成功要因は文化的なものであると私は信じています。採用を推進する際には、Kubernetesの知識を組織全体に拡大する必要があります。
Kubernetes関連のツールに関心のあるすべての読者のために、Itiel Shwartz氏は必読のリストも提供している。