はじめに Dynamic Admission Controlとは Mutating Admission Webhookの導入 Webhookの登録 Webhook Serverのサーバ証明書の作成 Webhook Serverの処理 まとめ はじめに KubernetesのAdmission Webhookを改めて調べたので、その忘備録です。 Dynamic Admissi…

はじめに 記事を書いた人について K8s環境を準備する Managed Kubernetes Minikubeまたはkind Kubeadm 学習のためのコンテンツ 書籍 Kubernetes完全ガイド Kubernetes実践ガイド Webで読めるドキュメント Kubernetes Document Kubernetes API Reference （お…

はじめに 事の起こり --protect-kernel-defaultsとは 調査 setupNode setupKernelTunables utilsysctl まとめ おまけ はじめに kubeletの--protect-kernel-defaultsをいじっていたときにいろいろみたことのまとめです。 事の起こり kubeadmで構築したKuberne…

はじめに いろいろなところでお世話になるJSON/YAMLですが、時には特定の項目を一括で削除したいなんて時があります。 個人的なところだとKubernetes周りでJSON/YAMLにお世話になっていますが、Kubernetes 1.18からmetadata配下にmanagedFieldsが追加されま…

はじめに Kubeadmで環境を構築した際、cluster-adminなUserのkubeconfigファイルはMaster Nodeの/etc/kubernetes/admin.confに出力されます。 それ以外にX.509 Client Certificate BasedなUserを払い出したい場合はMaster上のCAなどでいろいろやる必要がある…

はじめに 出題範囲 Cluster Setup 10% Use Network security policies to restrict cluster level access Use CIS benchmark to review the security configuration of Kubernetes components (etcd, kubelet, kubedns, kubeapi) Properly set up Ingress ob…

www.ateam-oracle.com 詳しいことは上記へ。 勉強がてらOCI上にKubernetes環境を作ったのですが、OCI LB→Masterの通信がうまくいかず。 悩んでいたところ上記のブログをみつけてSSL Tunnelingの設定で上手くいったのでメモ。 End to End SSLの設定にしてしま…

はじめに sysdig.com 個人的な忘備録メモです。（青色部分） 詳細な翻訳等ではないので、詳しくは元の記事をどうぞ。 File Integrity Monitoring なぜFIMが必要なのか コンプライアンスのため インシデント対応及びフォレンジックのため 「そもそも操作でき…

はじめに 不具合について 不具合の原因を追う 1. YAML 2. pkg/minikube/assets/addons.go 3. pkg/addons/config.go 疎通 MinikubeのContributor Guideを読む PR～Merge 1.12.0-beta.0 まとめ はじめに Minikubeのlogviewer addonの不具合をみつけたので、そ…

KubeWeekly #221 - KubeWeekly The Headlines CNCF Supports the Black Lives Matter movement Introducing the CNCF Technology Radar ICYMI: CNCF Webinars The Technical Monitoring Services like an SRE in OpenShift ServiceMesh New in Prometheus v2…

kubeadmでv1.18のK8sクラスタを構築し、状態を見ようとkubectl get pod -A $ kubectl get pod -A NAMESPACE NAME READY STATUS RESTARTS AGE kube-system calico-kube-controllers-5b87c97847-4ttpm 1/1 Running 0 20m kube-system calico-node-4sxf7 1/1 Ru…

はじめに 事前知識 OCI IAM OKE 検証 検証内容 検証方法 検証作業 テナント管理者 コンパートメント管理者 通常の開発者 どのグループにも所属していない開発者 検証結果 まとめ 疑問とTODO OKEにkubectlでアクセスするための最低限のPolicyってなに？ Group…

書き加えられてない部分は随時更新していく予定です。 青文字は所感メモなど。 kubeweekly.io The Headlines Priyanka Sharma Chats With Kubernetes Podcast from Google Deadline Extended to June 28: KubeCon + CloudNativeCon North America 2020 Call …

はじめに 元ページ client-go credential plugins 概要 ユースケース 設定 入力と出力フォーマット 個人メモ 参考 はじめに マネージドサービスの認証周りとkubectlとの連携がわからなかったのでそれの忘備録です。 kubeconfigのexecでなにかしらやってるの…

KubeWeekly個人メモです。 青色は主観コメント kubeweekly.io The Headlines Welcome, Priyanka Sharma to CNCF! New Linux Foundation/CNCF Cloud Engineer Bootcamp Day of Podcasting: Rescheduled from KubeCon + CloudNativeCon EU ICYMI: CNCF Webinar…

はじめに リポジトリ作成 pr.yml Dockerfile deploy-to-minikube.yaml GithubにPush GitHub Actionsの確認 まとめ はじめに GitHub Actionsのジョブ内でMinikubeを起動してテストすることが可能なことを知ったので、その疎通記事となります。 ネタ元はこちら…

はじめに 各社のAudit Log周りの機能 Amazon EKS Google GKE Azure AKS Oracle Kubernetes Engineの場合 まとめ はじめに Kubernetesには誰がどんなリクエストを送ったかのAudit Logを出力する機能があります。 本ブログでも以前取り上げて疎通をしました。 …

kubeweekly.io The Headlines Helm Project Journey Report Last chance to save 30% on Linux Foundation training! ICYMI: CNCF Webinars CNCF Member Webinar: Zero Trust Services in Kubernetes CNCF Member Webinar: Integrating multi-location ADC w…

はじめに YAMLを眺める scheduler.alpha.kubernetes.io/critical-pod: "" hostNetwork: true priorityClassName: system-node-critical proxymux-cfg 試しに消してみる まとめ おわりに はじめに 前回の記事ではOracke Kubernetes Engine（OKE）の各種Resour…

はじめに Oracle Cloud Infrastructure（OCI）のOracle Kubernetes Engine（OKE）を触ったので、所感含めメモを書いていきます。 はじめに OKEのその前に OKEの起動 出来上がったOKEをながめる Namespace kube-node-lease Deployment kube-dns-autoscaler(の…

はじめに 開発環境 開発 Minikubeのfork YAMLの用意 addonディレクトリの作成 YAMLの配置 Minikubeの修正 pkg/addons/config.goの修正 pkg/minikube/assets/addons.goの修正 ビルド 疎通 Addonが一覧に表示されるか確認 Addonの有効化 Addonで展開されたNgin…

青文字は所感です。 kubeweekly.io The Headlines ICYMI: CNCF Webinars CNCF Ambassador Webinar: Influencing DevOps without Authority – how “DevOps engineer” can advance real DevOps CNCF Member Webinar: How to keep your clusters safe and healt…

はじめに KubernetesのManifestからResource同士のつながりを表示するツールを作りました。 （ただしくはPlantUMLのコード生成で、図の生成はPlantUMLにおまかせ） （KubernetesでPlantUMLなのでkuml） github.com サンプル 入力 今回は下記にあるManifestを…

はじめに Kubernetes Audit Backendsとは？ 環境 実装 Backend Serverの構築 Minikubeの起動 MinikubeのAPI ServerにAudit Backendを設定 疎通確認 まとめ はじめに KubernetesのAudit周りをいろいろ調べていたところFalcoという製品を教えてもらった。（Kur…

kubeweekly.io The Headlines Kubernetes Podcast from Google: Helm, with Matt Butcher With Kubernetes, the U.S. Department of Defense Is Enabling DevSecOps on F-16s and Battleships ICYMI: CNCF Webinars The Technical Creating an Ansible Opera…

個人メモです。 The Headlines CNCF Announces Helm Graduation KubeCon + CloudNativeCon is Going Virtual ICYMI: CNCF Webinars CNCF Ambassador Webinar: CKA / CKAD CNCF Member Webinar: Kuma: Service Mesh and the Future of Application Connectivi…

はじめに KubernetesのManifestはIntelliJ IDEAで書くことが多く、JetBrainsから提供されているKubernetes Pluginを使っている。 今まではちょっと補完されればいいかな程度で使っていたのだが、調べてみるといろいろ機能があって便利なことがわかったのでそ…

はじめに Fluentdの設定がよくわかってなかったので、今更ながら入門してみる。 サンプルとしたのはMinikubeのEFK Addonで導入されるFluentdの設定ファイル諸々。 Fluentdのバージョンは0.12なので古い。 別の議論として、どのバージョンのFluentdを使うか、…

はじめに ローカル環境でKubernetesを簡単に実行するためのツールであるMinikubeにMulti-Node機能が追加された。 まだExperimentalな機能なので深堀はせず、まずは試しに動かしてみる。 おまけとしてこの機能が実装されるにいたるIssueを軽く眺めてみた。 環…

本番環境やそれに相当するようなセンシティブな環境では、監査要件として 『誰がどのようなコマンドを打ったか』 を収集することがよくある。 自分の場合、大体は（内部向け説明がしやすい）従来の運用方法を踏襲するような形で上記要件をクリアする（してし…