Kubernetes
Certified Kubernetes Application Developer (CKAD) #5 Workloads 1: Deployment、ReplicaSet、ローリングアップデートとロールバック
Certified Kubernetes Application Developer (CKAD) シリーズの 5 番目の記事です。アプリデプロイの中心である Deployment を命令型で作成し、Deployment・ReplicaSet・Pod の関係とスケールを整理します。rollingUpdate の maxSurge・maxUnavailable の意味、kubectl set image で新しいバージョンをデプロイする流れ、kubectl rollout で状態を追跡し、失敗したバージョンを undo で戻すロールバックシナリオを手で実習します。
Certified Kubernetes Security Specialist (CKS) #3: CIS benchmark (kube-bench)、コンポーネントセキュリティ、Ingress TLS、バイナリ検証
Certified Kubernetes Security Specialist (CKS) シリーズの 3 番目の記事です。Cluster Setup ドメインの残り半分である、クラスター自体のハードニングを扱います。CIS Kubernetes benchmark とは何か、kube-bench で control plane とノードを点検して PASS/FAIL/WARN の結果を読み remediation を適用する方法、apiserver と kubelet の危険なフラグを安全な値に変える手順、Ingress に TLS を付ける方法、そしてダウンロードしたバイナリを sha256sum で検証する流れまで、コマンドとマニフェストで手に覚えさせます。
Certified Kubernetes Administrator (CKA) #9 RBAC: Role/ClusterRole、RoleBinding、ServiceAccount、kubectl auth can-i
Certified Kubernetes Administrator (CKA) シリーズの 9 番目の記事です。誰が何をできるかを決める RBAC を運用者の視点から深く扱います。Role と ClusterRole、RoleBinding と ClusterRoleBinding の組み合わせ規則、subjects (User/Group/ServiceAccount) と rules (apiGroups/resources/verbs) の構造、kubectl create で素早く作る方法、kubectl auth can-i と --as で権限を検証する方法、そして [#8](/ja/posts/cka-8) で作ったユーザーを RBAC に接続する流れまで整理します。
Certified Kubernetes Application Developer (CKAD) #4 コンテナイメージ: Dockerfile、マルチステージ、試験で直接ビルド
Certified Kubernetes Application Developer (CKAD) シリーズの 4 番目の記事です。CKAD の一部のタスクは、イメージを自分でビルドしてレジストリにプッシュし、Pod で起動するまでの流れを要求します。Dockerfile の基本命令とレイヤーキャッシュ、マルチステージビルドでイメージを軽量化する方法、podman・buildah でビルド・タグ・プッシュする手順、imagePullPolicy と latest タグの落とし穴、そして command・args が ENTRYPOINT・CMD にマッピングされる規則を実技例で整理します。
Certified Kubernetes Security Specialist (CKS) #2: NetworkPolicy の深掘り: default deny、ingress/egress (Cluster Setup)
Certified Kubernetes Security Specialist (CKS) シリーズの 2 本目の記事です。Cluster Setup ドメインの核心であるネットワーク隔離を扱います。NetworkPolicy がないときの all-allow デフォルト動作から、podSelector と policyTypes ですべてを遮断する default deny パターン、ingress と egress をそれぞれ制限する方法、default deny egress で DNS が止まる落とし穴と 53 番ポートの許可、namespaceSelector と podSelector を組み合わせるときの AND・OR の落とし穴まで、YAML と kubectl で直接作って検証します。
Certified Kubernetes Administrator (CKA) #8 証明書管理: PKI、kubeconfig、証明書更新
Certified Kubernetes Administrator (CKA) シリーズの 8 番目の記事です。クラスターのすべての通信を支える TLS 証明書を扱います。/etc/kubernetes/pki の PKI 構造と誰が誰を信頼するか、kubeconfig の clusters/users/contexts 構成、kubeadm certs check-expiration で期限を確認し kubeadm certs renew all で更新する手順、そして CertificateSigningRequest でユーザー証明書を発行する流れまで手に覚えさせます。
Certified Kubernetes Application Developer (CKAD) #3 マルチコンテナパターン: Init container、sidecar、ambassador、adapter
Certified Kubernetes Application Developer (CKAD) シリーズの 3 番目の記事です。1 つの Pod の中にコンテナが複数あるときの協調パターンを扱います。順次実行を保証する init container、メインの隣で一緒に動く sidecar、外部接続を抽象化する ambassador、出力フォーマットを標準化する adapter を、kubectl コマンドと YAML 例で実際に作ってみます。emptyDir volume の共有と shared process namespace まで実技の観点で整理します。
Certified Kubernetes Security Specialist (CKS) #1: 試験環境: CKA 前提、ツール、試験時間の運用
Certified Kubernetes Security Specialist (CKS) シリーズの最初の記事です。CKA 保有を前提にする 2 時間の実技セキュリティ試験の構造と 6 つのドメインの比重、合格ライン 67% と受験環境を整理し、試験で扱うセキュリティツール (kube-bench、AppArmor、seccomp、OPA/Gatekeeper、Falco、Trivy、cosign) の大きな絵とドキュメント活用戦略まで押さえます。本シリーズは CKS 合格を目標にする 20 編で、最後の #20 で実技模擬試験を解きます。
Certified Kubernetes Administrator (CKA) #7 etcd バックアップとリストア: etcdctl snapshot save/restore
Certified Kubernetes Administrator (CKA) シリーズの 7 番目の記事です。クラスター状態のすべてを抱える etcd を etcdctl でバックアップし、リストアする手順を整理します。static Pod マニフェストから data-dir と証明書パスを見つけ、snapshot save でスナップショットを取り、snapshot restore で新しい data-dir に復元してから etcd を再起動する流れを手に覚えさせます。
Certified Kubernetes Application Developer (CKAD) #2 Pod とコンテナのライフサイクル: restart policy とコンテナの状態
Certified Kubernetes Application Developer (CKAD) シリーズの 2 番目の記事です。Pod のライフサイクル (Pending・Running・Succeeded・Failed・Unknown) と restartPolicy (Always・OnFailure・Never) がワークロードの動作に与える影響、コンテナの状態 (Waiting・Running・Terminated) と CrashLoopBackOff・ImagePullBackOff・OOMKilled といった reason、終了コードの読み方、そして試験定番のトラブルシューティング手順まで、自分で作りながら整理します。
Certified Kubernetes Administrator (CKA) #6 クラスターアップグレード: kubeadm upgrade plan/apply、ノード別 drain
Certified Kubernetes Administrator (CKA) シリーズの 6 番目の記事です。kubeadm クラスターをマイナーバージョン 1 つ上げる標準手順を、control plane からワーカーノードまで順番に整理します。kubeadm upgrade plan/apply、kubelet と kubectl パッケージの入れ替え、ノード別の drain と uncordon、そして試験でよく間違える落とし穴まで手に馴染ませます。
Certified Kubernetes Application Developer (CKAD) #1 試験環境: kubectl マスターと dry-run、generators
Certified Kubernetes Application Developer (CKAD) シリーズの最初の記事です。2 時間の実技試験の構造と 5 つのドメインの比重、合格ラインと受験環境を整理し、試験時間を分ける kubectl セットアップ (alias、dry-run、generators、vim 設定) を手に覚えさせます。本シリーズは CKAD 合格を目標にする 21 編で、最後の #21 で実技模擬試験を解きます。