#コンテナオーケストレーション

72 件の記事

Certified Kubernetes Application Developer (CKAD) #18 Service: ClusterIP・NodePort・LoadBalancer・ExternalName
読了 9分

Certified Kubernetes Application Developer (CKAD) #18 Service: ClusterIP・NodePort・LoadBalancer・ExternalName

Certified Kubernetes Application Developer (CKAD) シリーズ 18 番目の記事です。変化し続ける Pod 群の前に安定した入口を立てる Service を扱います。selector と label で Pod を選び Endpoints が自動的に管理される仕組み、ClusterIP・NodePort・LoadBalancer・ExternalName という 4 つのタイプの違い、port と targetPort と nodePort の区別、headless Service とクラスタ DNS、そしてエンドポイントが空になるデバッグまで YAML と kubectl で身につけます。

Certified Kubernetes Security Specialist (CKS) #16 Admission control: OPA/Gatekeeper、Kyverno
読了 8分

Certified Kubernetes Security Specialist (CKS) #16 Admission control: OPA/Gatekeeper、Kyverno

Certified Kubernetes Security Specialist (CKS) シリーズの 16 番目の記事です。API リクエストを横取りして検証・変形する admission controller の動作原理から、validating webhook と mutating webhook の違い、OPA/Gatekeeper の ConstraintTemplate と Constraint そして Rego ポリシー、Kyverno の YAML ベースの validate/mutate/generate ポリシーを例で身につけます。latest タグ禁止と信頼レジストリ制限を 2 つのツールでそれぞれ実装し、違反マニフェストを拒否する試験定番のパターンまで整理します。

Certified Kubernetes Administrator (CKA) #22 トラブルシューティング 1: Pod とアプリ (Pending、CrashLoop、ImagePull、OOM)
読了 10分

Certified Kubernetes Administrator (CKA) #22 トラブルシューティング 1: Pod とアプリ (Pending、CrashLoop、ImagePull、OOM)

CKA 試験で最も比重が大きいドメインは Troubleshooting (30%) です。今回はその中でも最もよく出る Pod レベルの障害 4 つを扱います。Pending、CrashLoopBackOff、ImagePullBackOff/ErrImagePull、OOMKilled をそれぞれ症状から診断、解決まで一つの流れで整理し、describe と events・logs をどの順序で読めば速く原因に届くかを手に覚えさせます。

Certified Kubernetes Application Developer (CKAD) #17 Volumes: emptyDir, PVC, projected, ephemeral
読了 9分

Certified Kubernetes Application Developer (CKAD) #17 Volumes: emptyDir, PVC, projected, ephemeral

Certified Kubernetes Application Developer (CKAD) シリーズの 17 番目の記事です。コンテナファイルシステムの揮発性を出発点に、emptyDir と hostPath、PersistentVolumeClaim と StorageClass の動的プロビジョニング、secret・configMap・downwardAPI を 1 つのディレクトリにまとめる projected volume、generic ephemeral volume まで、実技 YAML の例で整理します。

Certified Kubernetes Security Specialist (CKS) #15 イメージ署名: cosign、SBOM
読了 11分

Certified Kubernetes Security Specialist (CKS) #15 イメージ署名: cosign、SBOM

Certified Kubernetes Security Specialist (CKS) シリーズの 15 番目の記事です。クラスターに入ってくるイメージを信頼する唯一の方法は、出所を証明する署名を検証することです。sigstore の cosign で鍵ベース署名と keyless (OIDC) 署名を作成・検証する方法、syft で SBOM (SPDX・CycloneDX) を生成して構成要素を追跡する方法、そして admission で未署名イメージを止めてサプライチェーンを閉じる流れまで、コマンド例とともに整理します。

Certified Kubernetes Administrator (CKA) #21 Helm と Kustomize: マニフェスト管理
読了 9分

Certified Kubernetes Administrator (CKA) #21 Helm と Kustomize: マニフェスト管理

Certified Kubernetes Administrator (CKA) シリーズの 21 番目の記事です。マニフェストを管理する 2 つのツール、Helm と Kustomize を運用コマンド中心に習得します。Helm は repo add/update、install/upgrade/rollback、values 注入、template レンダリングを扱い、Kustomize は base/overlays 構造と patchesStrategicMerge、configMapGenerator、kubectl apply -k を扱います。両者の違い (テンプレート対オーバーレイ) を表で整理し、CKA 試験ポイントを押さえます。

Certified Kubernetes Application Developer (CKAD) #16 リソース管理: requests/limits、QoS class、LimitRange
読了 8分

Certified Kubernetes Application Developer (CKAD) #16 リソース管理: requests/limits、QoS class、LimitRange

Certified Kubernetes Application Developer (CKAD) シリーズの 16 番目の記事です。Pod がリソースをどれだけ要求し、どこまで使えるかを決める requests と limits を単位まで整理し、CPU のスロットルと memory の OOMKilled がどう分かれるかを確認します。QoS class の 3 種類と eviction の優先順位、ネームスペースのデフォルト値を強制する LimitRange と総量を抑える ResourceQuota まで YAML の例で身につけます。

Certified Kubernetes Security Specialist (CKS) #14: イメージスキャン: Trivy、Kubesec、KubeLinter
読了 10分

Certified Kubernetes Security Specialist (CKS) #14: イメージスキャン: Trivy、Kubesec、KubeLinter

Certified Kubernetes Security Specialist (CKS) シリーズの 14 番目の記事です。サプライチェーンセキュリティの核心であるイメージ脆弱性スキャンを整理します。コンテナイメージの OS パッケージ・言語ライブラリに埋め込まれた CVE を見つける Trivy の image・filesystem・repo スキャンと severity フィルタリング・exit-code ベースの CI ゲート、マニフェストの securityContext 設定をスコアで評価する Kubesec、マニフェストを静的解析してアンチパターンを捕まえる KubeLinter の役割の違いを表で比較し、試験の定番である特定の深刻度の脆弱性を持つイメージを見つけて差し替える作業までコマンド例で扱います。

Certified Kubernetes Administrator (CKA) #20 Networking 3: CoreDNS、NetworkPolicy
読了 11分

Certified Kubernetes Administrator (CKA) #20 Networking 3: CoreDNS、NetworkPolicy

Certified Kubernetes Administrator (CKA) シリーズの 20 番目の記事です。クラスター内で Pod と Service が互いを名前で見つける CoreDNS の動作と Corefile の設定、nslookup で DNS をデバッグする方法、そしてどの Pod がどの Pod と通信できるかを制御する NetworkPolicy の podSelector と ingress/egress ルールを運用の視点から整理します。default deny パターンと CNI 依存まで一緒に扱います。

Certified Kubernetes Application Developer (CKAD) #15 SecurityContext と Capabilities: runAsUser, fsGroup, readOnly rootfs
読了 9分

Certified Kubernetes Application Developer (CKAD) #15 SecurityContext と Capabilities: runAsUser, fsGroup, readOnly rootfs

Certified Kubernetes Application Developer (CKAD) シリーズの 15 番目の記事です。securityContext でコンテナがどのユーザーと権限で動くかを制限する方法を扱います。runAsUser・runAsNonRoot・fsGroup、readOnlyRootFilesystem と emptyDir の回避策、allowPrivilegeEscalation、Linux capabilities の add・drop、privileged コンテナの危険性まで YAML の例で手に馴染ませます。

Certified Kubernetes Security Specialist (CKS) #13 最小イメージ: distroless、scratch (Supply Chain)
読了 11分

Certified Kubernetes Security Specialist (CKS) #13 最小イメージ: distroless、scratch (Supply Chain)

Certified Kubernetes Security Specialist (CKS) シリーズの 13 番目の記事です。Supply Chain Security ドメインの出発点であるイメージの最小化を扱い、大きなイメージがシェル・パッケージマネージャ・不要な CVE で攻撃面をどう広げるのか、distroless と scratch が何を削るのか、alpine と比べてどう選ぶのかを整理します。マルチステージビルドでビルドツールをランタイムから切り離すパターン、シェルのないイメージを ephemeral container でデバッグする方法、non-root ユーザーの適用まで Dockerfile の例で解きほぐします。

Kubernetes and Cloud Native Associate (KCNA) #4 Container Orchestration (22%): ランタイム、セキュリティ、ネットワーキング、ストレージ、Service Mesh
読了 13分

Kubernetes and Cloud Native Associate (KCNA) #4 Container Orchestration (22%): ランタイム、セキュリティ、ネットワーキング、ストレージ、Service Mesh

コンテナランタイムと OCI・CRI 標準、RBAC と NetworkPolicy のセキュリティ、CNI ネットワーキングと CoreDNS、CSI ストレージ、そして Service Mesh まで、KCNA Container Orchestration ドメインの核心を整理します。CRI・CNI・CSI の 3 つのインターフェースが分ける境界、Service タイプ、NetworkPolicy のデフォルト動作など、試験頻出のポイントもあわせて押さえます。