Kubernetes
Kubernetes and Cloud Native Associate (KCNA) #8 試験のコツとよく間違えるパターン
KCNA 試験を受けに行く直前にもう一度読んでいく圧縮版です。90 分で 60 問を運用する時間管理、複数回答や二重否定のようなよくはまる問題形式、紛らわしい概念のペア (Deployment vs StatefulSet、CRI vs CNI vs CSI、HPA vs VPA など)、選択肢から正解を絞り込むコツ、ドメイン別の圧縮チェックリスト、最後にオンライン監督受験の直前点検までまとめます。
Certified Kubernetes Administrator (CKA) #23 Troubleshooting 2: ノードと kubelet (NotReady、disk/memory pressure)
Certified Kubernetes Administrator (CKA) シリーズの 23 番目の記事です。ノードが NotReady に落ちたときの診断フローを最初から最後まで追っていきます。k describe node で conditions を読み、ノードに接続して systemctl status kubelet と journalctl -u kubelet で原因を絞り込み、kubelet 停止・ランタイム停止・ディスクフル・メモリ圧迫を症状別に直していきます。cordon と drain で問題ノードを隔離する方法まで整理します。
Certified Kubernetes Application Developer (CKAD) #18 Service: ClusterIP・NodePort・LoadBalancer・ExternalName
Certified Kubernetes Application Developer (CKAD) シリーズ 18 番目の記事です。変化し続ける Pod 群の前に安定した入口を立てる Service を扱います。selector と label で Pod を選び Endpoints が自動的に管理される仕組み、ClusterIP・NodePort・LoadBalancer・ExternalName という 4 つのタイプの違い、port と targetPort と nodePort の区別、headless Service とクラスタ DNS、そしてエンドポイントが空になるデバッグまで YAML と kubectl で身につけます。
Certified Kubernetes Security Specialist (CKS) #16 Admission control: OPA/Gatekeeper、Kyverno
Certified Kubernetes Security Specialist (CKS) シリーズの 16 番目の記事です。API リクエストを横取りして検証・変形する admission controller の動作原理から、validating webhook と mutating webhook の違い、OPA/Gatekeeper の ConstraintTemplate と Constraint そして Rego ポリシー、Kyverno の YAML ベースの validate/mutate/generate ポリシーを例で身につけます。latest タグ禁止と信頼レジストリ制限を 2 つのツールでそれぞれ実装し、違反マニフェストを拒否する試験定番のパターンまで整理します。
Kubernetes and Cloud Native Associate (KCNA) #7 Cloud Native Application Delivery (8%): GitOps、CI/CD
KCNA シリーズ 7 番目の記事です。CI/CD の分離とパイプラインの段階、GitOps (ArgoCD・Flux) の 4 大原則と pull ベースのデリバリー、デプロイ戦略 (rolling・blue-green・canary)、Helm と Kustomize によるマニフェスト管理、そしてサプライチェーンセキュリティの基礎まで Domain 5 全体をまとめます。
Certified Kubernetes Administrator (CKA) #22 トラブルシューティング 1: Pod とアプリ (Pending、CrashLoop、ImagePull、OOM)
CKA 試験で最も比重が大きいドメインは Troubleshooting (30%) です。今回はその中でも最もよく出る Pod レベルの障害 4 つを扱います。Pending、CrashLoopBackOff、ImagePullBackOff/ErrImagePull、OOMKilled をそれぞれ症状から診断、解決まで一つの流れで整理し、describe と events・logs をどの順序で読めば速く原因に届くかを手に覚えさせます。
Certified Kubernetes Application Developer (CKAD) #17 Volumes: emptyDir, PVC, projected, ephemeral
Certified Kubernetes Application Developer (CKAD) シリーズの 17 番目の記事です。コンテナファイルシステムの揮発性を出発点に、emptyDir と hostPath、PersistentVolumeClaim と StorageClass の動的プロビジョニング、secret・configMap・downwardAPI を 1 つのディレクトリにまとめる projected volume、generic ephemeral volume まで、実技 YAML の例で整理します。
Certified Kubernetes Security Specialist (CKS) #15 イメージ署名: cosign、SBOM
Certified Kubernetes Security Specialist (CKS) シリーズの 15 番目の記事です。クラスターに入ってくるイメージを信頼する唯一の方法は、出所を証明する署名を検証することです。sigstore の cosign で鍵ベース署名と keyless (OIDC) 署名を作成・検証する方法、syft で SBOM (SPDX・CycloneDX) を生成して構成要素を追跡する方法、そして admission で未署名イメージを止めてサプライチェーンを閉じる流れまで、コマンド例とともに整理します。
Kubernetes and Cloud Native Associate (KCNA) #6 Cloud Native Observability (8%): テレメトリ、Prometheus、コスト管理
テレメトリの 3 本柱 (メトリクス・ログ・トレース)、Prometheus の pull 型メトリクス収集と PromQL・Alertmanager・Grafana、OpenTelemetry と分散トレーシング、SLI・SLO・SLA と golden signals、そして FinOps によるコスト管理まで KCNA Domain 4 を整理します。
Certified Kubernetes Administrator (CKA) #21 Helm と Kustomize: マニフェスト管理
Certified Kubernetes Administrator (CKA) シリーズの 21 番目の記事です。マニフェストを管理する 2 つのツール、Helm と Kustomize を運用コマンド中心に習得します。Helm は repo add/update、install/upgrade/rollback、values 注入、template レンダリングを扱い、Kustomize は base/overlays 構造と patchesStrategicMerge、configMapGenerator、kubectl apply -k を扱います。両者の違い (テンプレート対オーバーレイ) を表で整理し、CKA 試験ポイントを押さえます。
Certified Kubernetes Application Developer (CKAD) #16 リソース管理: requests/limits、QoS class、LimitRange
Certified Kubernetes Application Developer (CKAD) シリーズの 16 番目の記事です。Pod がリソースをどれだけ要求し、どこまで使えるかを決める requests と limits を単位まで整理し、CPU のスロットルと memory の OOMKilled がどう分かれるかを確認します。QoS class の 3 種類と eviction の優先順位、ネームスペースのデフォルト値を強制する LimitRange と総量を抑える ResourceQuota まで YAML の例で身につけます。
Certified Kubernetes Security Specialist (CKS) #14: イメージスキャン: Trivy、Kubesec、KubeLinter
Certified Kubernetes Security Specialist (CKS) シリーズの 14 番目の記事です。サプライチェーンセキュリティの核心であるイメージ脆弱性スキャンを整理します。コンテナイメージの OS パッケージ・言語ライブラリに埋め込まれた CVE を見つける Trivy の image・filesystem・repo スキャンと severity フィルタリング・exit-code ベースの CI ゲート、マニフェストの securityContext 設定をスコアで評価する Kubesec、マニフェストを静的解析してアンチパターンを捕まえる KubeLinter の役割の違いを表で比較し、試験の定番である特定の深刻度の脆弱性を持つイメージを見つけて差し替える作業までコマンド例で扱います。