はじめに

表題のイベントに参加してきましたので備忘録をば。

connpass.com

HashiCorpの伊藤さんによる製品説明

HashiCorpの伊藤さんがHashiCorp製品について1時間くらい喋ってくれた。話した内容は覚えてる範囲では以下のこと

• terraform enterpriseの諸機能
  • SaaS
  • Policy as code
  • 間違ったregionへのdeploy禁止
  • インスタンス作りすぎ防止
  • 国をまたいだ制約
  • SaaSでやってるサービスをプライベートで構築するPrivate Installということもできる
  • Terraform Enterpriseの秘密情報は実は裏でVaultを使って管理してる
  • terraformのコードを更新してmaster branchが変更されるとterraform enterpriseが動き出してplanが自動的に動く。設定によってはそのままapplyもする。
  • 30日間無料体験可
  • HA, DR機能。OSS版でもできなくはないが、enterprise版では面倒くさいところを全部面倒見てくれる
  • 鍵作成、暗号化、複合、電子署名、そのverification、鍵のローテンション、などなど全部できる
  • vaultによる暗号化はsecretでないもの、かつ、key valueのvalue最大サイズに収まる程度の小さいもの
  • Adobeの事例がある
• Nomad
  • jobをsubmitするとnomad serverが空いてるところで適当に仕事を投げていく…のかな？
  • jobを投げる側も投げられる側もシングルバイナリで実現。たとえばk8sのようなブートストラップがしんどいということがない
  • k8sなどの大げさな仕組みが必要ない場合に使える。k8sなどとの比較はこちら
  • jobはコンテナになっていることもあればそうでないこともある。詳しくはNomadのドキュメントを参照
  • vault on k8sには消極的
• HashiCorpは日本にはオフィスが無い。社員2人でリモートでやってる
• 参加者30人くらいのうちvaultを知っている人が10人くらい、実際に使っているのは一人。
• HashiCorp製品に関する情報はgoogleで検索すればだいたい出てくる
• 製品開発はドキュメントファースト
• 勉強用の資料が充実している

learn.hashicorp.com

質疑

自分がした質問とその回答リスト。

• Q: Vaultのdata encryption機能のusecaseは?

• A: Vaultによる暗号化はsecretでないもの、かつ、key valueのvalue最大サイズに収まる程度の小さいもの。

• Q: Vaultのデータを保存するにはMySQLなどを選べるようだがVault EnterpriseのHA機能やDR機能の裏にはRDBクラスタ?

• A: yes

• Q: vault on k8sに消極的な理由は何か

• A: k8sの証明書を誰が管理するか問題がある。などなど。社としては「Vaultは他のサービスの外に」と言いたい

• Q: `vault write auth/approle/loginにおけるsercret_idなど、秘密情報が端末上で丸出しになることがある。回避策はあるか

• A: ここを見るとよい

その他

• HashiCorpの箸というノベルティグッズをもらった

• 質疑が活発で非常によかった
• 伊藤さんはすべての質問を軽く打ち返してくれた。技術がわかる人なので非常によい
• HashiCorpのブログがある