Kubernetes
Kubernetes and Cloud Native Associate (KCNA) #2 Kubernetes Fundamentals 1: アーキテクチャとコアリソース
KCNA シリーズの 2 番目の記事です。比重 46% で最も大きい Domain 1 の前半として、control plane と worker node の構成要素 (kube-apiserver・etcd・kube-scheduler・controller-manager・kubelet・kube-proxy・コンテナランタイム)、宣言型モデルと reconciliation loop、そして Pod・ReplicaSet・Deployment・Service・Namespace といったコアリソースを整理します。
Certified Kubernetes Administrator (CKA) #17 Storage 2: StorageClass、動的プロビジョニング、reclaim policy、expansion
Certified Kubernetes Administrator (CKA) シリーズの 17 番目の記事です。StorageClass で動的プロビジョニングを構成し、PVC を作るだけで PV が自動的に生まれるようにし、default StorageClass と volumeBindingMode の違いを整理します。reclaimPolicy (Delete/Retain) が PV を消すときデータをどう扱うか、allowVolumeExpansion でボリュームをどう大きくするかまで YAML で確認します。
Certified Kubernetes Application Developer (CKAD) #12 オブザーバビリティ: logging、kubectl debug、port-forward、ephemeral container
Certified Kubernetes Application Developer (CKAD) シリーズの 12 番目の記事です。アプリが正しく動かないときに覗き込む観測ツールを実技の観点で整理します。kubectl logs でログを追い、describe と events で状態を読み、exec と port-forward で中に入り、kubectl debug の ephemeral container でシェルのないコンテナまでデバッグする流れを手に馴染ませます。
Certified Kubernetes Security Specialist (CKS) #10 Secrets 管理: etcd 暗号化、External Secrets
Certified Kubernetes Security Specialist (CKS) シリーズの 10 番目の記事です。Kubernetes Secret がデフォルトでは etcd に base64 で保存されるだけで暗号化ではないという事実から出発し、EncryptionConfiguration で secrets を at rest 暗号化する手順と apiserver フラグの接続、既存 Secret の再暗号化、etcdctl で平文かどうかを確認する方法を整理します。続いて External Secrets Operator と KMS で外部の秘密ストアを連携する全体像と Secret アクセスの RBAC 最小化までまとめ、試験の定番である etcd 暗号化の有効化作業を身に付けさせます。
Kubernetes and Cloud Native Associate (KCNA) #1 試験紹介: 試験の構造と学習戦略
Kubernetes and Cloud Native Associate (KCNA) シリーズの最初の記事です。60 問 90 分 75% 合格ラインの構造、5 つのドメインの比重と意味、登録とオンライン監督の受験環境、そして [K8s 実務トラック](/ja/posts/k8s-basics-1) で培った感覚を選択式の試験問題に落とし込む学習戦略までまとめます。本シリーズは KCNA 合格を目標にする 9 編で、最後の #9 で模擬選択式試験を解きます。
Certified Kubernetes Administrator (CKA) #16 Storage 1: Volume の種類、PV、PVC の静的プロビジョニング
Certified Kubernetes Administrator (CKA) シリーズの 16 番目の記事です。Volume の種類 (emptyDir、hostPath、configMap・secret、PVC) から PersistentVolume の capacity と accessModes、persistentVolumeReclaimPolicy、PersistentVolumeClaim の要求とバインディング規則、そして管理者が PV をあらかじめ作っておく静的プロビジョニングまで、YAML の例で押さえます。
Certified Kubernetes Application Developer (CKAD) #11 Probe: liveness・readiness・startup (exec/HTTP/TCP)
Certified Kubernetes Application Developer (CKAD) シリーズの 11 編です。コンテナが生きているか、トラフィックを受ける準備ができているかを Kubernetes が確認する 3 種類の probe (liveness・readiness・startup) と 3 種類のハンドラー (exec・httpGet・tcpSocket) を YAML 例で身につけ、試験でよく混同する liveness と readiness の違いまで正確に整理します。
Certified Kubernetes Security Specialist (CKS) #9: Pod Security Admission (PSA、Pod Security Standards)
Certified Kubernetes Security Specialist (CKS) シリーズの 9 番目の記事です。廃止された PodSecurityPolicy を置き換える Pod Security Admission で、危険な Pod を名前空間単位で拒否する方法を整理します。Pod Security Standards の 3 段階 (privileged・baseline・restricted) と 3 モード (enforce・audit・warn)、名前空間 label の適用、restricted が要求するセキュリティ設定と通過する Pod の書き方まで、試験の観点で扱います。
Certified Kubernetes Administrator (CKA) #15 リソース管理: requests/limits、QoS、LimitRange、ResourceQuota
Certified Kubernetes Administrator (CKA) シリーズの 15 番目の記事です。requests と limits で cpu・memory をどう予約し制限するか、CPU スロットルと memory OOMKilled の違い、Guaranteed・Burstable・BestEffort の 3 つの QoS クラスが eviction 順序をどう分けるかを整理します。続いて LimitRange でコンテナのデフォルト値を、ResourceQuota でネームスペースの総量を強制する運用ポリシーを YAML で扱います。
Certified Kubernetes Application Developer (CKAD) #10 Kustomize: overlay パターン、環境別マニフェスト
Certified Kubernetes Application Developer (CKAD) シリーズ 10 番目の記事です。テンプレートなしでマニフェストを環境別に変形する Kustomize を扱います。kustomization.yaml の基本フィールドから base/overlays 構造、patchesStrategicMerge と JSON6902 パッチ、configMapGenerator・secretGenerator のハッシュローリング、そして -k フラグでビルドして適用する流れまで実技の視点で整理します。
Certified Kubernetes Security Specialist (CKS) #8: kernel hardening、capabilities、/proc 保護
Certified Kubernetes Security Specialist (CKS) シリーズの 8 番目の記事です。securityContext でコンテナの権限を削り、攻撃面を減らす方法を扱います。Linux capabilities を drop ALL したあと必要なものだけ add するパターン、privileged・allowPrivilegeEscalation の危険、runAsNonRoot・readOnlyRootFilesystem、procMount による /proc マスキング、hostPID・hostNetwork・hostIPC と host パスマウントの遮断まで、hardened な YAML 例で整理します。
Certified Kubernetes Administrator (CKA) #14 Scheduling 2: Taints/tolerations、Priority/PriorityClass、preemption
Certified Kubernetes Administrator (CKA) シリーズの 14 番目の記事です。ノードが Pod を押し出す taint と、その拒否を受け入れる toleration の動作 (effect NoSchedule/PreferNoSchedule/NoExecute、tolerationSeconds)、control plane ノードのデフォルト taint、そして PriorityClass で優先度を付け、リソースが足りないとき低い優先度の Pod を追い出す preemption まで、運用の観点から YAML と kubectl で手に覚えさせます。