Menu
  1. DevOps Hub
  2. ブログ
  3. コラム
  4. 必見!~Sysdig PoC検証レポート~
2020.07.09

必見!~Sysdig PoC検証レポート~

合屋純
株式会社リアルグローブ・オートメーティッド
技師
このエントリーをはてなブックマークに追加

はじめに

株式会社リアルグローブ・オートメーティッドの合屋 純(ごうや じゅん)と申します。今回はコンテナセキュリティーツール「Sysdig」のPoC検証結果についてお送りいたします。

PoCのキッカケ

世はクラウド時代なれど、その監視・分析のツールの選択肢は多く悩ましいものです。また単に監視と言ってもセキュリティーか、稼働状況かと分かれ、各々の専用ツールでモニタリングをすることが殆どだと思われます。

今回、こういったセキュアな面や稼働状況などの監視・分析を纏めたツールとしてSysdigに目をつけました。試用期間は30日と長く、お試しとして丁度良いもの。今回PoCを行う目的は、Sysdigの導入しやすさと、モニタリング機能の検証です。

Sysdigとは

Sysdigについて簡単に述べると

1. コンテナKubernetes(k8s)のセキュリティーや稼働状況の監視・分析用ツール。
2. 複数のOSSで構成され、リッチな監視環境が整えられる。
3. イメージスキャン機能はCI/CDツールと連携もできる。

といった特徴があります。

メインの機能は「k8sのホストから様々なメトリクスを取得し、セキュリティーチェックも行い、纏めてモニタリングをする」というもので、Sysdig SecureSysdig Monitorという2種類のプラットフォームが利用できます。加えて、対象は Amazon Web Service (AWS) などのクラウドサービス環境も含まれます。

SysdigPoc_01.png

対象にしたいホストにSysdig Agentをデプロイすると、AgentがデータをSysdigバックエンドに収集して管理します。このSysdigバックエンドはSysdig社が提供するSaaS環境を使うのが一番手軽ですが、オンプレミスやパブリッククラウド上にバックエンドを構築することも可能です。

SysdigPoc_02.png

これらの監視・分析の機能は

  • anchore
  • Falco
  • prometheus
  • sysdig inspect
    (上記の詳細についてはコチラをご参照ください。)

などのOSSをベースとして構成され、Agentのデプロイだけでこれらを使用したモニタリングが可能です。
また、イメージスキャン機能はJenkinsなどのCI/CDツールと連携し、その結果もSysdigで参照できます。

Sysdigのセットアップ

SaaS版での利用 + k8sのようなオーケストレーションツールであれば、Agentのインストールをするだけで簡単にセットアップが行えます。今回のPoCはAWS上にIPIで用意したOpenShift 4.2.13と、SaaS版のSysdig Platformで行いました。
OpenShift 4.xでの AgentのデプロイはOperatorの使用が推奨されていますが、今回は 3.xでの利用の機会を考慮し、マニュアルの方法でデプロイを行いました。他の環境での具体的な方法については公式のDocumentまたはSysdig Platformのチュートリアルを参照してください。

PoCの結果

● 導入は非常に簡単。デフォルトで多くのことが設定されており、Agentのデプロイだけで様々なモニタリングができる。
 ・メトリクス関連ではグラフのテンプレートが豊富でCPU、メモリなどのリソース状況がすぐに見られる。グラフのカスタマイズも可能。
 ・セキュリティー面でもテンプレート (Falco) が準備されており、自動でテストをしてくれる。
● 1つのSysdig Platform上で複数クラスタのデータをまとめて管理できる。

SysdigPoc_03.png

PoCで困ったこと

● 分析結果の表示、監視項目が初期設定ではかなり多く、状況に応じたカスタマイズや取捨選択には時間が必要。
● 日本語の情報は少なく、作業に時間がかかった。公式ドキュメントの量も非常に多く、やや大変。

他社製品と比較して

Sysdig以外のコンテナセキュリティーのツールとして有名なものでは、Aqua Securityが挙げられます。これと比較した際にSysdigはセキュリティー・稼働状況の監視を同時に行え、オンプレミス・SaaS版の両方が存在するという点が特徴です。また、フリートライアルの期間が30日と長めで、お試しにはSysdigの方が易しいと思われます。

まとめ

PoCを行ってみましたがSysdigの導入自体は簡単なうえ、出来ることが非常に多くパフォーマンスが優れていると感じました。Agentのデプロイだけでk8s環境について複数OSSによる監視・分析、プラットフォーム上で結果のモニタリングを導入でき、満足できなければ細かいカスタマイズができます。

少ない作業量で大規模でも対応でき「k8s環境の監視・分析をとりあえずやってみたい!」というニーズにも対応できるので、そのまま本格的な運用が出来るサービスとしてオススメです。

この記事の著者:合屋純

株式会社リアルグローブ・オートメーティッド
技師

九州大学大学院理学府修士卒 大学院で物理学を専攻し、数値計算プログラムに触れたことをキッカケにエンジニアリングに興味を持つ。
現在はリアルグローブ・オートメーティッドにて、コンテナ関連技術や自動化ツールの導入業務に従事。

この著者の記事一覧

DevOps Hubのアカウントをフォローして
更新情報を受け取る

  • Like on Feedly
    follow us in feedly

関連記事

このエントリーをはてなブックマークに追加

お問い合わせ

DevOpsに関することなら
お気軽にご相談ください。

Facebook、TwitterでDevOpsに関する
情報配信を行っています。

DevOps Hub