Tanzu Kubernetes Guestbook のチュートリアル

Guestbook アプリケーションを Tanzu Kubernetes クラスタにデプロイして、サービスアカウントのポッドセキュリティポリシー、およびデプロイとサービスの作成について確認します。

Guestbook アプリケーションのデプロイは、Kubernetes を確認する際の一般的な手段です。Tanzu Kubernetes Grid サービスによってプロビジョニングされた Tanzu Kubernetes クラスタにすべてのゲストブック YAML ファイルをデプロイすると、アプリケーションポッドは正常に作成されません。kubectl describe pod コマンドを実行すると、次のエラーメッセージが表示されます。

“Error: container has runAsNonRoot and image will run as root”

Guestbook アプリケーションは、deployment と replicaset の両方のリソースを使用して特権コンテナをデフォルトの名前空間にデプロイします。Tanzu Kubernetes クラスタでは PodSecurityPolicy コントローラが有効になっているため、クラスタユーザーが Guestbook アプリケーションポッドを作成しようとすると、これらのコントローラのサービスアカウントが PodSecurityPolicy に対してチェックされます。適切な PSP がこれらのサービスアカウントにバインドされていない場合、アプリケーションはデプロイされません。

デフォルトでは、Tanzu Kubernetes 管理者はそれぞれのユーザーアカウントを使用して、任意の名前空間に特権ポッドを直接作成できます。ただし、Guestbook アプリケーションはサービスアカウントを使用して特権コンテナをデプロイします。クラスタ管理者は、kube-system 名前空間に Deployments、StatefulSets、および DaemonSet を作成できます。ただし、Guestbook アプリケーションはこれらのリソースをデフォルトの名前空間にデプロイします。また、管理者以外のユーザーは、適切な PSP やバインドがなければ特権ポッドも権限のないポッドも一切作成できません。

1 つの解決策は、デフォルトの特権 PSP へのバインドを作成して、Guestbook アプリケーションをデプロイできるようにすることです。特権 PodSecurityPolicy により、バインドされているアカウントに対して、root として実行されるポッドと特権コンテナが許可されます。vmware-system-privileged クラスタ全体に適用される ClusterRoleBinding を作成できますが、それによって必要以上の権限を付与することになり、最小限の権限の原則に違反する可能性があります。より適切な方法は、システムサービスアカウントにデフォルトの名前空間で特権 PodSecurityPolicy の使用を許可するよう RoleBinding を作成することです。詳細については、『ポッドセキュリティポリシーのロールバインドの例』を参照してください。

前提条件

次のトピックを参照してください。

Kubernetes ドキュメントの「Guestbook アプリケーションのチュートリアル」
Tanzu Kubernetes クラスタでのポッドセキュリティポリシーの使用
ポッドセキュリティポリシーのロールバインドの例

手順

Tanzu Kubernetes クラスタにログインします。vCenter Single Sign-On ユーザーとして Tanzu Kubernetes クラスタに接続を参照してください。
Guestbook 名前空間を作成します。
```
kubectl create namespace guestbook
```
以下を確認します。
```
kubectl get ns
```
デフォルトの特権 PSP を使用して、ロールベースのアクセス制御を作成します。
```
kubectl create clusterrolebinding default-tkg-admin-privileged-binding --clusterrole=psp:vmware-system-privileged --group=system:authenticated
```
注：セキュリティを強化する必要がある場合は、Guestbook 名前空間に RoleBinding を適用します。『ポッドセキュリティポリシーのロールバインドの例』を参照してください
ストレージクラスを検証するか、作成します。
既存のストレージクラスを検証するには、次の手順を実行します。
```
kubectl get storageclass
```
ストレージクラスを作成する手順については、 Tanzu Kubernetes ストレージクラスの例を参照してください。
ストレージクラスを使用するパーシステントボリュームの要求 (PVC) を作成します。
次の YAML ファイルを使用します。
- Redis リーダーの PVC
- Redis フォロワーの PVC
PVC を作成する手順については、 Tanzu Kubernetes パーシステントボリュームの要求例を参照してください。
Guestbook YAML ファイルを作成します。
次の YAML ファイルを使用します。
名前空間に Guestbook アプリケーションをデプロイします。
```
kubectl apply -f . --namespace guestbook
```

Guestbook リソースの作成を確認します。

kubectl get all -n guestbook

NAME                                                 READY   STATUS              RESTARTS   AGE
pod/guestbook-frontend-deployment-56fc5b6b47-cd58r   1/1     Running             0          65s
pod/guestbook-frontend-deployment-56fc5b6b47-fh6dp   1/1     Running             0          65s
pod/guestbook-frontend-deployment-56fc5b6b47-hgd2b   1/1     Running             0          65s
pod/redis-follower-deployment-6fc9cf5759-99fgw       1/1     Running             0          65s
pod/redis-follower-deployment-6fc9cf5759-rhxf7       1/1     Running             0          65s
pod/redis-leader-deployment-7d89bbdbcf-flt4q         1/1     Running             0          65s

NAME                                 TYPE           CLUSTER-IP       EXTERNAL-IP     PORT(S)        AGE
service/guestbook-frontend           LoadBalancer   10.10.89.59      10.19.15.99     80:31513/TCP   65s
service/redis-follower               ClusterIP      10.111.163.189   <none>          6379/TCP       65s
service/redis-leader                 ClusterIP      10.111.70.189    <none>          6379/TCP       65s

NAME                                            READY   UP-TO-DATE   AVAILABLE   AGE
deployment.apps/guestbook-frontend-deployment   3/3     3            3           65s
deployment.apps/redis-follower-deployment       1/2     2            1           65s
deployment.apps/redis-leader-deployment         1/1     1            1           65s

NAME                                                       DESIRED   CURRENT   READY   AGE
replicaset.apps/guestbook-frontend-deployment-56fc5b6b47   3         3         3       65s
replicaset.apps/redis-follower-deployment-6fc9cf5759       2         2         1       65s
replicaset.apps/redis-leader-deployment-7d89bbdbcf         1         1         1       65s

service/guestbook-frontend ロードバランサの External-IP アドレス（この例では 10.19.15.99）を使用して Guestbook Web ページにアクセスします。
Guestbook Web インターフェイスが表示され、Guestbook データベースに値を入力できます。アプリケーションを再起動すると、データは保持されます。