インフラ

AWS Certified CloudOps Engineer - Associate (SOA-C03) #5 Domain 2-1 信頼性: Multi-AZ・Auto Scaling・ELB ヘルスチェック
読了 6分

AWS Certified CloudOps Engineer - Associate (SOA-C03) #5 Domain 2-1 信頼性: Multi-AZ・Auto Scaling・ELB ヘルスチェック

SOA-C03 シリーズ 5 番目の記事で、信頼性ドメイン (22%) の最初のテーマである可用性運用を扱います。アベイラビリティーゾーンをまたぐ多重化、Auto Scaling グループの容量とポリシーとライフサイクルフック、ELB の種類別ヘルスチェックと接続ドレイニング、Route 53 ヘルスチェックに基づくフェイルオーバーまで、運用の観点で整理します。

AWS Certified Developer - Associate (DVA-C02) #11 Domain 3-3 デプロイ — デプロイ戦略
読了 5分

AWS Certified Developer - Associate (DVA-C02) #11 Domain 3-3 デプロイ — デプロイ戦略

DVA-C02 デプロイドメインの 3 番目の記事です。in-place と blue/green デプロイの違い、カナリア・線形・一度に切り替えのようなトラフィック切り替え方式、Lambda エイリアスとバージョンを利用した加重ベースのルーティング、API Gateway ステージによる段階的デプロイ、そして CloudWatch アラームと連携した自動ロールバックまで試験レベルで整理します。無停止で安全に更新する方法が核心です。

Certified Kubernetes Administrator (CKA) #20 Networking 3: CoreDNS、NetworkPolicy
読了 11分

Certified Kubernetes Administrator (CKA) #20 Networking 3: CoreDNS、NetworkPolicy

Certified Kubernetes Administrator (CKA) シリーズの 20 番目の記事です。クラスター内で Pod と Service が互いを名前で見つける CoreDNS の動作と Corefile の設定、nslookup で DNS をデバッグする方法、そしてどの Pod がどの Pod と通信できるかを制御する NetworkPolicy の podSelector と ingress/egress ルールを運用の視点から整理します。default deny パターンと CNI 依存まで一緒に扱います。

Certified Kubernetes Application Developer (CKAD) #15 SecurityContext と Capabilities: runAsUser, fsGroup, readOnly rootfs
読了 9分

Certified Kubernetes Application Developer (CKAD) #15 SecurityContext と Capabilities: runAsUser, fsGroup, readOnly rootfs

Certified Kubernetes Application Developer (CKAD) シリーズの 15 番目の記事です。securityContext でコンテナがどのユーザーと権限で動くかを制限する方法を扱います。runAsUser・runAsNonRoot・fsGroup、readOnlyRootFilesystem と emptyDir の回避策、allowPrivilegeEscalation、Linux capabilities の add・drop、privileged コンテナの危険性まで YAML の例で手に馴染ませます。

Certified Kubernetes Security Specialist (CKS) #13 最小イメージ: distroless、scratch (Supply Chain)
読了 11分

Certified Kubernetes Security Specialist (CKS) #13 最小イメージ: distroless、scratch (Supply Chain)

Certified Kubernetes Security Specialist (CKS) シリーズの 13 番目の記事です。Supply Chain Security ドメインの出発点であるイメージの最小化を扱い、大きなイメージがシェル・パッケージマネージャ・不要な CVE で攻撃面をどう広げるのか、distroless と scratch が何を削るのか、alpine と比べてどう選ぶのかを整理します。マルチステージビルドでビルドツールをランタイムから切り離すパターン、シェルのないイメージを ephemeral container でデバッグする方法、non-root ユーザーの適用まで Dockerfile の例で解きほぐします。

Kubernetes and Cloud Native Associate (KCNA) #4 Container Orchestration (22%): ランタイム、セキュリティ、ネットワーキング、ストレージ、Service Mesh
読了 13分

Kubernetes and Cloud Native Associate (KCNA) #4 Container Orchestration (22%): ランタイム、セキュリティ、ネットワーキング、ストレージ、Service Mesh

コンテナランタイムと OCI・CRI 標準、RBAC と NetworkPolicy のセキュリティ、CNI ネットワーキングと CoreDNS、CSI ストレージ、そして Service Mesh まで、KCNA Container Orchestration ドメインの核心を整理します。CRI・CNI・CSI の 3 つのインターフェースが分ける境界、Service タイプ、NetworkPolicy のデフォルト動作など、試験頻出のポイントもあわせて押さえます。

Red Hat Certified Engineer (RHCE) #12 Collection: Galaxy、Automation Hub
読了 8分

Red Hat Certified Engineer (RHCE) #12 Collection: Galaxy、Automation Hub

Red Hat Certified Engineer (RHCE) シリーズの 12 編です。Ansible collection の概念と FQCN (namespace.collection.module)、ansible-galaxy で collection と role をインストールする方法、requirements.yml で依存関係を一括インストールする方式、Galaxy と Automation Hub の違い、そして ansible.cfg の collections_path 設定まで試験の実技視点で整理します。試験の定番である requirements.yml で collection をダウンロードして FQCN で使う流れを例題で身につけます。

Red Hat Certified System Administrator (RHCSA) #9 システム運用: chronyd、journald、cron、systemd timer、tuned
読了 9分

Red Hat Certified System Administrator (RHCSA) #9 システム運用: chronyd、journald、cron、systemd timer、tuned

Red Hat Certified System Administrator (RHCSA) シリーズの 9 番目の記事です。システム時刻を timedatectl と chronyd で合わせ、journald と rsyslog でログを読み永続保存し、cron と systemd timer でジョブを予約し、tuned でシステムプロファイルを調整する運用作業を、実技で打つコマンド中心に整理します。

AWS Certified CloudOps Engineer - Associate (SOA-C03) #4 Domain 1-3 モニタリング — 自動復旧とパフォーマンス最適化
読了 6分

AWS Certified CloudOps Engineer - Associate (SOA-C03) #4 Domain 1-3 モニタリング — 自動復旧とパフォーマンス最適化

SOA-C03 シリーズ 4 番目の記事で、検知後の自動対応を扱います。EventBridge でイベントに反応する仕組み、Systems Manager Automation ランブックで復旧を自動化する方法、EC2 自動復旧と Auto Scaling の自己修復、そして Compute Optimizer と CloudWatch でパフォーマンスのボトルネックを診断しコストまで一緒に最適化する流れを、運用の観点で整理します。

AWS Certified Developer - Associate (DVA-C02) #10 Domain 3-2 デプロイ — IaC とサーバーレスデプロイ
読了 5分

AWS Certified Developer - Associate (DVA-C02) #10 Domain 3-2 デプロイ — IaC とサーバーレスデプロイ

DVA-C02 デプロイドメインの 2 番目の記事です。CloudFormation のテンプレート構造 (Resources・Parameters・Mappings・Outputs) とスタック・チェンジセット・ドリフト、ネストされたスタック、サーバーレスデプロイを単純化する SAM のテンプレートと sam deploy・sam local、そして Elastic Beanstalk のデプロイポリシー (All at once・Rolling・Immutable) と .ebextensions まで試験レベルで整理します。

Certified Kubernetes Administrator (CKA) #19 Networking 2: Ingress、IngressClass、TLS
読了 8分

Certified Kubernetes Administrator (CKA) #19 Networking 2: Ingress、IngressClass、TLS

Certified Kubernetes Administrator (CKA) シリーズの 19 番目の記事です。Service だけでは解けない host・path ベースのルーティングと TLS 終端を Ingress にまとめる方法を整理します。Ingress ルール (pathType Prefix/Exact、rules/backend、defaultBackend)、複数のコントローラーを分ける IngressClass、Ingress が動作するために必ず必要な Ingress Controller、そして Secret を参照する TLS セクションを運用の観点から扱います。

Certified Kubernetes Application Developer (CKAD) #14 ServiceAccount と RBAC (アプリ視点)
読了 9分

Certified Kubernetes Application Developer (CKAD) #14 ServiceAccount と RBAC (アプリ視点)

Certified Kubernetes Application Developer (CKAD) シリーズ 14 編です。Pod の中で動くアプリが Kubernetes API を呼び出すとき、どの身元で認証し、どの権限で認可されるのかを ServiceAccount と RBAC の視点から整理します。SA トークンの自動マウントとその切り方、Role・RoleBinding で権限を付与する方法、kubectl auth can-i で検証する方法を手に馴染ませます。