はじめに

Red Hat 認定スペシャリスト試験 - OpenShift Administration -をリモート試験で受験し合格しました。
その時の忘備録です。

試験の詳細についてはこちらをどうぞ。

www.redhat.com

リモート試験環境の準備

下記に日本語ガイダンス資料があるので、こちらを確認してください。

https://www.redhat.com/cms/managed-files/Remote-Exam-Pilot-Windows-jp.pdf

リモート試験のLive USBの作成

ガイダンス通りの手順を実施すればハマるようなポイントはないと思います。
Live DVDにできないかと試してみましたがFedoraMediaWriterでは作成ができませんでした。

利用した端末

自分の場合は下記のような構成でした。

• ノートPC（内臓カメラ付き）
  • CPU: Core i5 3210M 2.5GHz/2コア
  • Memory: DDR3 PC3-10600 8GB
  • Display: WXGA(1366 x 768)
• 外付けカメラ（ケーブル長が1m以上）
• 有線のマウス（無線はNG！）

セキュリティ等諸般の事情により社用ノートPCを使うことができなかったため、かなり古い私用ノートPCを使いました。
一応上記で受験はできましたが、画面の解像度が低いため文字が読みづらかったです。

デスクトップPCで受けることも考えたのですが、筐体を机の上に置く、または360度から確認できる状態にしておくなどの条件があったためやむなく上記環境で実施しています。

机の上には試験に関係するもの以外は何も置けませんのでキレイにしておきましょう。
普段利用している机の上にはいろいろなケーブルが固定されていたりして整理するのが大変だったため、余っていた机を使って環境を整えました。

要綱に書いてありますが、無線のマウスは利用できず有線のマウスのみ可能です。また有線のキーボードも利用できますが、その場合はノートPCの画面を閉じて別のディスプレイを使う必要があります。（何故？）

試験前の確認

Live USBで起動後、言語設定やキーボード設定をしたのちにCompatibility Checkが行えます。
試験の再スケジュールは24時間まえであれば可能なので、それよりも前にチェックを済ませておくことをお勧めします。

EX280

出題範囲は下記の通りです。

www.redhat.com

• OpenShift Container Platform の管理
  • コマンドライン・インタフェースを使用して、OpenShift クラスタを管理および構成する
  • Web コンソールを使用して、OpenShift クラスタを管理および構成する
  • プロジェクトを作成して削除する
  • Kubernetes リソースをインポート、エクスポート、設定する
  • リソースとクラスタのステータスを確認する
  • ログを確認する
  • クラスタイベントとアラートを監視する
  • 一般的なクラスタイベントとアラートのトラブルシューティング
  • 製品マニュアルを使用する
• ユーザーとポリシーの管理
  • 認証用に HTPasswd ID プロバイダーを構成する
  • ユーザーを作成して削除する
  • ユーザーのパスワードを変更する
  • ユーザーおよびグループの権限を変更する
  • グループを作成して管理する
• リソースへのアクセスの制御
  • ロールベースのアクセス制御を定義する
  • ユーザーにアクセス許可を適用する
  • 機密情報を管理するためのシークレットを作成して適用する
  • セキュリティコンテキストの制約を使用してサービスアカウントを作成し、アクセス許可を適用する
• ネットワークコンポーネントの構成
  • ソフトウェア・デファインド・ネットワークをトラブルシューティングする
  • 外部ルートを作成して編集する
  • クラスタネットワークの進入を制御する
  • 自己署名証明書を作成する
  • TLS 証明書を使用してルートをセキュリティ保護する
• ポッドスケジューリングの構成
  • リソース使用量を制限する
  • 増加する要求に合わせてアプリケーションを拡張する
  • クラスタノードへの Pod 配置を制御する
• クラスタスケーリングの設定
  • クラスタワーカー数を手動で制御する
  • クラスタワーカー数を自動的にスケーリングする

出題された問題については言及しませんが、DO280のコースを一通り流しておけば受かる難易度かと思います。
試験中はOpenShiftのドキュメントも確認できますのでそちらも参考に進めましょう。

CKAやCKADではYAMLをｺﾞﾘｺﾞﾘ書くことが多いですが、EX280はそこまでYAMLを書くことはなかった気がします。
OAuth ResourceなどのOpenShiftならではのManifestはある程度覚えておいたほうが良いですが、ドキュメントも利用できますしoc explainである程度確認できると思うので問題ないかと思います。

受験結果

受験後に3日以内にメールで結果が来ます。自分の場合は受験後2時間くらいで来ました。
スコアは下記で、225/300と合格ライン210点をギリギリ超えた感じです。

もう少しとれているとは思っていたのですが、Configure networking componentsとConfigure pod schedulingがあまり良くなかったようです。
問題の意図を読み取れないものがいくつかあり「解決手段はいくつかあるけど、なにをやってほしいのかわからん」という状況になったのでそれが結果に出ているのかもしれません。英文にしても正直何を言いたいのかよくわからないものもありました。

おわりに

RedHatの試験ははじめてうけたのですが、EX280についてはCKS/CKADに比べると意図が読み取りづらい問題が多かったように思います。
次はRHCSAあたりを取得しておこうかなと思います。

はじめに

www.whiskylover-diary.com

実際にやってみようともったのでやってみます。

今回のウイスキー

竹鶴NA

竹鶴ピュアモルト｜商品紹介｜NIKKA WHISKY

公式テイスティングノートより

NIKKA session

ニッカ セッション｜商品紹介｜NIKKA WHISKY

公式テイスティングノートより

共通項と差分

• 共通項
  • 余市原酒と宮城峡原酒で構成されている
  • アルコール度数が43%である
• 差分
  • sessionにはベンネヴィスなどの海外原酒も含まれている
  • 余市原酒と宮城峡原酒の構成比率の違い（もあるとおもう）

テイスティング

香り

竹鶴、sessionともにりんごのような果物の香りは感じられました。
公式テイスティングノート上では、竹鶴とsessionの香りに大きな差はなく、実際にこれを区別するのは難しそうですね。
香りを嗅いだ瞬間のツンとした感じは若干sessionの方が強い印象。

味わい

竹鶴の方のバナナ感は若干あるようなないような。
sessionは「なめらかでクリーミー」とあるが、竹鶴とくらべると口に入れてからの数秒間にアルコールのピリピリした感じがありますね。

ブラインド

香りではほぼ判別は難しかったです。 味わいがピリピリしていたという点で選んだら正解しましたが、事前に飲まずテイスティングノートベースで考えたら逆を選びそうです。

3/22 追記

初めからブラインドで確認。
香りの時点でピリピリするイメージからある程度判別できました。味わいの方はセッションの方が若干余韻のビターな感じ。
セッションの方が若干アルコールからくる刺激があったのでそれも合わせて判別して正解できました。

改めてですが新竹鶴もsessionも美味しいですね。定価で買えるならかなりオススメしやすい。

• はじめに
• CO2モニタ
• Graphite
• 構築
  • Graphiteのアクセス情報を得る
  • Graphiteにデータを送る
  • Grafanaで可視化する
• おわりに

はじめに

本記事は

• CO2モニタを使って、
• GrafanaCloudのGraphiteに情報を送り、
• テレワーク環境のCO2濃度を「見える化」した

記事になります。

CO2モニタ

今回利用するCO2モニタはこちら、CUSTOMの「CO2モニター CO2-mini」です。

www.kk-custom.co.jp

CO2濃度計と温度計の機能がついているのですが、USBでPCと接続することでデータの取得が可能です。

Graphite

データの蓄積先としてはGrafanaCloudが提供するGrafiteを利用しています。データの閲覧はもちろんGrafanaです。
GrafanaCloudですが、先日Free Tierが発表されており今回のような用途であれば無料の枠で収まります。

www.zdnet.com

構築

Graphiteのアクセス情報を得る

GrafanaCloudにログイン後、トップページからGraphiteのSend Metricsをクリックすると

• 送信先のURL
• Basic認証用のユーザID

が表示されます。Basic認証のパスワードは「Generate now」のところからAPI Keyを作成して取得しましょう。

Graphiteにデータを送る

下記にソースが置いてあります。
main.goの認証情報を書き換えてください。

github.com

Grafanaで可視化する

左側のメニューから Create（+のアイコン） →Dashboard 　→Add new panel を選択し、Datasourceをdefaultからからgrafanacloud-xxxxxx-graphiteを選択し、QueryのSeriesからco2mini/co2を選択したら完了です。

おわりに

CO2モニタとGrafanaCloudの無料枠を使ってデータの蓄積と「見える化」ができました。

ちなみに、下記はテレワーク環境のAM8時からPM8時の二酸化炭素濃度の様子です。
13時前後に窓をあけて換気をしているのでppmが大きく下がっているのがわかります。

下記サイトによると学校環境衛生基準には「換気の基準としてCO2は1,500ppm以下であることが望ましい。」とのこと。
自分の部屋はすぐに高めになっているのでこまめに換気した方がよさそうです。

CO2濃度について ：東京都地球温暖化防止活動推進センター

まだまだテレワークは続きそうなので、快適な仕事環境にしていきたいですね。

• はじめに
• Dynamic Admission Controlとは
• Mutating Admission Webhookの導入
  • Webhookの登録
  • Webhook Serverのサーバ証明書の作成
  • Webhook Serverの処理
• まとめ

はじめに

KubernetesのAdmission Webhookを改めて調べたので、その忘備録です。

Dynamic Admission Controlとは

下記参照

kubernetes.io

kubernetes.io

上記の図にあるように、KubernetesのAPI Serverにリクエストが来た際に

• オブジェクトの変更（Mutating）
• オブジェクトの検証（Validating）

が行われます。Kubernetesでは、ここにユーザ独自の処理を挟むことが可能です。
IstioのEnvoy SidecarのInjectionもこのあたりの機能を利用して実装されています。

Mutating Admission Webhookの導入

GitHub - morvencao/kube-mutating-webhook-tutorial: A Kubernetes mutating webhook server that implements sidecar injection

上記リポジトリをもとにMutating Webhookの仕組みを見ていきます。

Webhookの登録

API Serverから他のWebhook Serverに処理をさせるために、API ServerにWebhookの登録を行う必要があります。
Webhookの設定のためのMutatingWebhookConfiguration Resourceが提供されているので、これを使ってをクラスタに登録しましょう。

※20201031現在、MutatingWebhookConfigurationはv1になっているので、v1beta1とはパラメータが異なる場合があります。

apiVersion: admissionregistration.k8s.io/v1beta1
kind: MutatingWebhookConfiguration
metadata:
  name: sidecar-injector-webhook-cfg
  labels:
    app: sidecar-injector
webhooks:
- name: sidecar-injector.morven.me
  clientConfig:    # 1
    service:
      name: sidecar-injector-webhook-svc
      namespace: sidecar-injector
      path: "/mutate"
    caBundle: ${CA_BUNDLE}
  rules:    # 2
  - operations: ["CREATE", "UPDATE"]
    apiGroups: [""]
    apiVersions: ["v1"]
    resources: ["pods"]
  namespaceSelector:    # 3
    matchLabels:
      sidecar-injection: enabled

主なポイントは3つです。

1. Webhook Serverへの通信経路情報
   • sidecar-injector Namespaceに存在するsidecar-injector-webhook-svc Serviceの/mutateにリクエストを送る
2. Webhook Serverへ送るトリガ
   • PodのCREATEとUPDATEのリクエストの場合にWebhook Serverへとリクエストを送る
3. Webhookの対象の制御設定
   • sidecar-injection: enabledが設定されたNamespaceのPodのみ処理の対象とする

上記ではKubernetesクラスタ内のServiceに処理を送ることになりますが、外部のサーバでも可能です。
namespaceSelector以外にもobjectSelectorによるコントロールができたり、Webhookへ到達できなかったなどの想定外の障害時に後続の処理をどうするかなどのfailurePolicyなどの設定もできます。
詳しくはAPI Referenceを参考にしてください。

Webhook Serverのサーバ証明書の作成

API ServerからWebhook Serverへの通信はHTTPS通信で行う必要があるので、Webhook Serverのためのサーバ証明書を作成します。上記リポジトリではCertificateSigningRequest Resourceを利用してKubernetesのCAを使ってサーバ証明書（と鍵）を作成しているようですが、独自でつくっても問題ないです。 （余談ですが、こういった「証明書を作るためのAPI」「それを承認するためのAPI」が用意されているところがプラットフォームという感じがします）

作成したサーバ証明書と鍵はSecretにしたうえでコンテナからマウントする方式になっていますね。

Webhook Serverの処理

Webhook ServerはAPI ServerからAdmissionReviewを受け取り、その中のAdmissionResponseにpatchを格納して返却します。
下記処理でAdmissionReviewのAdmissionRequestからPodの情報を取り出して処理をしていることがわかるかと思います。

func (whsvr *WebhookServer) mutate(ar *v1beta1.AdmissionReview) *v1beta1.AdmissionResponse {
    req := ar.Request
    var pod corev1.Pod
    if err := json.Unmarshal(req.Object.Raw, &pod); err != nil {
        glog.Errorf("Could not unmarshal raw object: %v", err)
        return &v1beta1.AdmissionResponse{
            Result: &metav1.Status{
                Message: err.Error(),
            },
        }
    }

    glog.Infof("AdmissionReview for Kind=%v, Namespace=%v Name=%v (%v) UID=%v patchOperation=%v UserInfo=%v",
        req.Kind, req.Namespace, req.Name, pod.Name, req.UID, req.Operation, req.UserInfo)

    // determine whether to perform mutation
    if !mutationRequired(ignoredNamespaces, &pod.ObjectMeta) {
        glog.Infof("Skipping mutation for %s/%s due to policy check", pod.Namespace, pod.Name)
        return &v1beta1.AdmissionResponse{
            Allowed: true,
        }
    }

    // Workaround: https://github.com/kubernetes/kubernetes/issues/57982
    applyDefaultsWorkaround(whsvr.sidecarConfig.Containers, whsvr.sidecarConfig.Volumes)
    annotations := map[string]string{admissionWebhookAnnotationStatusKey: "injected"}
    patchBytes, err := createPatch(&pod, whsvr.sidecarConfig, annotations)
    if err != nil {
        return &v1beta1.AdmissionResponse{
            Result: &metav1.Status{
                Message: err.Error(),
            },
        }
    }

    glog.Infof("AdmissionResponse: patch=%v\n", string(patchBytes))
    return &v1beta1.AdmissionResponse{
        Allowed: true,
        Patch:   patchBytes,
        PatchType: func() *v1beta1.PatchType {
            pt := v1beta1.PatchTypeJSONPatch
            return &pt
        }(),
    }
}

kube-mutating-webhook-tutorial/webhook.go at master · morvencao/kube-mutating-webhook-tutorial · GitHub

まとめ

• AdmissionReviewを受け取ってAdmissionResponseを（AdmissionReviewにつめて）返却するサーバを構築し、
• Webhookの実行ルールをMutatingWebhookConfigurationに記載する

拡張しやすい作りになっていてたすかります。