Kubernetes

Certified Kubernetes Application Developer (CKAD) #9 Helm: install, upgrade, rollback, values
読了 9分

Certified Kubernetes Application Developer (CKAD) #9 Helm: install, upgrade, rollback, values

Certified Kubernetes Application Developer (CKAD) シリーズの 9 本目の記事です。マニフェストの束を 1 つのパッケージとして扱う Helm のチャート構造と release の概念を整理し、helm repo・install・upgrade・rollback と values のオーバーライドを実技コマンド中心に手で覚えます。dry-run で結果を先に確認し history で戻す流れまで打ち込んでいきます。

Certified Kubernetes Security Specialist (CKS) #7: seccomp プロファイル
読了 9分

Certified Kubernetes Security Specialist (CKS) #7: seccomp プロファイル

Certified Kubernetes Security Specialist (CKS) シリーズの 7 番目の記事です。seccomp でコンテナが呼び出せるシステムコールをフィルタリングする方法を整理します。RuntimeDefault・Localhost・Unconfined の 3 つのプロファイルタイプと securityContext.seccompProfile の設定、ノードに載せるカスタムプロファイル JSON の作成と検証まで直接扱います。

Certified Kubernetes Administrator (CKA) #13 Scheduling 1: nodeSelector、nodeAffinity、podAffinity/antiAffinity
読了 10分

Certified Kubernetes Administrator (CKA) #13 Scheduling 1: nodeSelector、nodeAffinity、podAffinity/antiAffinity

Certified Kubernetes Administrator (CKA) シリーズの 13 番目の記事です。スケジューラが Pod をどのノードに置くかを制御する 4 つの道具を整理します。nodeSelector でラベルを単純にマッチさせ、nodeAffinity の required と preferred でノード条件を表現し、podAffinity と podAntiAffinity の topologyKey で他の Pod を基準に同じノードや別のノードへ配置します。nodeName でスケジューラを迂回する手動配置も一緒に見ます。

Certified Kubernetes Application Developer (CKAD) #8 デプロイ戦略: Blue-green、canary
読了 8分

Certified Kubernetes Application Developer (CKAD) #8 デプロイ戦略: Blue-green、canary

Certified Kubernetes Application Developer (CKAD) シリーズの 8 番目の記事です。マネージドなデプロイツールなしで、Deployment と Service、label だけを使って無停止デプロイ戦略を自分の手で実装します。rolling update と recreate を復習し、blue-green で即時カットオーバーとロールバックを作り、canary で replicas の比率によるトラフィック分配を実装します。

Certified Kubernetes Security Specialist (CKS) #6: AppArmor プロファイル (System Hardening)
読了 11分

Certified Kubernetes Security Specialist (CKS) #6: AppArmor プロファイル (System Hardening)

Certified Kubernetes Security Specialist (CKS) シリーズの 6 番目の記事です。Linux の MAC である AppArmor でコンテナのファイル・機能へのアクセスをカーネルレベルで制限する方法を整理します。enforce と complain モードの違い、deny ルールを含むプロファイルの作成、apparmor_parser でノードにロードして aa-status で確認する手順、1.30+ の securityContext.appArmorProfile と旧バージョンの annotation で Pod に付ける 2 つの方式、そしてプロファイルが実際に止めるかを exec で検証する方法まで手で扱います。

Certified Kubernetes Administrator (CKA) #12 ConfigMap と Secret の深掘り
読了 9分

Certified Kubernetes Administrator (CKA) #12 ConfigMap と Secret の深掘り

Certified Kubernetes Administrator (CKA) シリーズ 12 番目の記事です。ConfigMap と Secret を運用者の視点で深く扱います。kubectl create の 3 つのソース (--from-literal、--from-file、--from-env-file)、Secret のタイプ (generic/docker-registry/tls) と base64 が暗号化ではないという事実、env valueFrom・envFrom・volume mount・subPath の注入方式、env と volume の自動更新の違い、そして immutable で性能と安全をともに取る方法を、YAML と kubectl で整理します。

Certified Kubernetes Application Developer (CKAD) #7 Workloads 3: Job, CronJob (バックオフ、同時実行)
読了 9分

Certified Kubernetes Application Developer (CKAD) #7 Workloads 3: Job, CronJob (バックオフ、同時実行)

Certified Kubernetes Application Developer (CKAD) シリーズの 7 番目の記事です。一度実行して終わるバッチ処理を扱う Job と、それを定期的に回す CronJob を実技の観点から整理します。completions・parallelism・backoffLimit・activeDeadlineSeconds・restartPolicy・ttlSecondsAfterFinished と、CronJob の schedule・concurrencyPolicy・startingDeadlineSeconds・suspend を YAML と kubectl で直接作りながら身につけていきます。

Certified Kubernetes Security Specialist (CKS) #5: ServiceAccount トークン管理、API アクセス制限、クラスターアップグレード
読了 10分

Certified Kubernetes Security Specialist (CKS) #5: ServiceAccount トークン管理、API アクセス制限、クラスターアップグレード

Certified Kubernetes Security Specialist (CKS) シリーズの 5 番目の記事です。Cluster Hardening ドメインでよく出る ServiceAccount トークン管理を扱います。automountServiceAccountToken を false にして不要なトークンマウントを遮断する方法、bound ServiceAccount トークンの期限と audience、legacy Secret トークンと projected トークンの違いを整理します。続いて anonymous-auth の無効化と kubelet API の保護で API アクセス表面を減らし、セキュリティパッチのためのクラスターアップグレードまで手に覚えさせます。

Certified Kubernetes Administrator (CKA) #11 Workloads 2: DaemonSet、StatefulSet、Job、CronJob
読了 10分

Certified Kubernetes Administrator (CKA) #11 Workloads 2: DaemonSet、StatefulSet、Job、CronJob

Certified Kubernetes Administrator (CKA) シリーズ 11 番目の記事です。Deployment では扱えない 4 つのワークロードを整理します。ノードごとに 1 つずつ立てる DaemonSet、安定 ID と順序・headless Service・volumeClaimTemplates を持つ StatefulSet、完了を目標に回る Job、そしてスケジュールに合わせて Job を打ち出す CronJob まで、YAML と kubectl で手に覚えさせます。

Certified Kubernetes Application Developer (CKAD) #6 Workloads 2: DaemonSet, StatefulSet
読了 9分

Certified Kubernetes Application Developer (CKAD) #6 Workloads 2: DaemonSet, StatefulSet

Certified Kubernetes Application Developer (CKAD) シリーズ 6 番目の記事です。Deployment とは別のワークロードコントローラーである DaemonSet と StatefulSet を実技の観点から扱います。すべてのノードに Pod を 1 つずつ立てる DaemonSet、安定したネットワーク ID と順序保証が必要な StatefulSet を、headless Service と volumeClaimTemplates まで YAML で作ってみます。

Certified Kubernetes Security Specialist (CKS) #4: RBAC 最小権限の深掘り (Cluster Hardening)
読了 9分

Certified Kubernetes Security Specialist (CKS) #4: RBAC 最小権限の深掘り (Cluster Hardening)

Certified Kubernetes Security Specialist (CKS) シリーズの 4 番目の記事です。CKA で身につけた RBAC の上に最小権限の原則を重ね、広すぎる Role をどう見つけて狭めるかをセキュリティの観点で深く扱います。wildcard verb/resource の危険、default ServiceAccount 権限の削除、ClusterRoleBinding の乱用を RoleBinding で減らすこと、aggregated ClusterRole の注意点、secrets get・pods/exec・escalate・bind・impersonate のような危険な権限の識別、そして kubectl auth can-i --as で狭めた権限を検証する流れまで整理します。

Certified Kubernetes Administrator (CKA) #10 Workloads 1: Deployment の深掘り、ReplicaSet、rolling update/rollback
読了 9分

Certified Kubernetes Administrator (CKA) #10 Workloads 1: Deployment の深掘り、ReplicaSet、rolling update/rollback

Certified Kubernetes Administrator (CKA) シリーズの 10 番目の記事です。運用者が最も頻繁に扱うワークロードである Deployment を深く見ていきます。Deployment→ReplicaSet→Pod の階層とそれを束ねるラベル selector、kubectl で作成とスケールを処理する方法、rollingUpdate 戦略 (maxSurge/maxUnavailable) で無停止アップデートを保証する条件、そして kubectl rollout でバージョンを追跡して戻す rollback まで手に覚えさせます。