#コンテナオーケストレーション

72 件の記事

Certified Kubernetes Administrator (CKA) #19 Networking 2: Ingress、IngressClass、TLS
読了 8分

Certified Kubernetes Administrator (CKA) #19 Networking 2: Ingress、IngressClass、TLS

Certified Kubernetes Administrator (CKA) シリーズの 19 番目の記事です。Service だけでは解けない host・path ベースのルーティングと TLS 終端を Ingress にまとめる方法を整理します。Ingress ルール (pathType Prefix/Exact、rules/backend、defaultBackend)、複数のコントローラーを分ける IngressClass、Ingress が動作するために必ず必要な Ingress Controller、そして Secret を参照する TLS セクションを運用の観点から扱います。

Certified Kubernetes Application Developer (CKAD) #14 ServiceAccount と RBAC (アプリ視点)
読了 9分

Certified Kubernetes Application Developer (CKAD) #14 ServiceAccount と RBAC (アプリ視点)

Certified Kubernetes Application Developer (CKAD) シリーズ 14 編です。Pod の中で動くアプリが Kubernetes API を呼び出すとき、どの身元で認証し、どの権限で認可されるのかを ServiceAccount と RBAC の視点から整理します。SA トークンの自動マウントとその切り方、Role・RoleBinding で権限を付与する方法、kubectl auth can-i で検証する方法を手に馴染ませます。

Certified Kubernetes Security Specialist (CKS) #12 Pod 間 mTLS: Cilium
読了 10分

Certified Kubernetes Security Specialist (CKS) #12 Pod 間 mTLS: Cilium

Certified Kubernetes Security Specialist (CKS) シリーズの 12 番目の記事です。Minimize Microservice Vulnerabilities ドメインの最後のテーマとして、Pod 間通信がデフォルトで平文だという問題と転送中の暗号化 (encryption in transit) を扱います。Service Mesh (Istio・Linkerd) のサイドカー mTLS の概念、Cilium の透過的暗号化 (WireGuard・IPsec) と mTLS の方向性、NetworkPolicy (L3・L4) と mTLS (暗号化・身元) の違い、そして CKS の観点で in-transit 暗号化がなぜ必要かを概念中心に整理します。

Kubernetes and Cloud Native Associate (KCNA) #3 Kubernetes Fundamentals 2: API、コンテナ、スケジューリング
読了 14分

Kubernetes and Cloud Native Associate (KCNA) #3 Kubernetes Fundamentals 2: API、コンテナ、スケジューリング

Kubernetes API のオブジェクトモデル (apiVersion・kind・metadata・spec・status) と宣言型・命令型の方式、コンテナイメージとランタイム、kube-scheduler のスケジューリング過程 (nodeSelector・affinity・taint)、そして ConfigMap と Secret で設定を注入する方法を整理します。Domain 1 Kubernetes Fundamentals (46%) の後半を締めくくります。

Certified Kubernetes Administrator (CKA) #18 Networking 1: Service (ClusterIP/NodePort/LoadBalancer/ExternalName)
読了 9分

Certified Kubernetes Administrator (CKA) #18 Networking 1: Service (ClusterIP/NodePort/LoadBalancer/ExternalName)

Certified Kubernetes Administrator (CKA) シリーズ 18 編です。Service が selector で Pod を選び、Endpoints を作り、kube-proxy がそれをノードのルールとして実装する流れを追います。ClusterIP・NodePort・LoadBalancer・ExternalName の 4 タイプ、port/targetPort/nodePort の区別、headless Service、k expose、そして Service が動かないときに Endpoints から原因を追う運用感覚まで整理します。

Certified Kubernetes Application Developer (CKAD) #13 ConfigMap と Secret を深掘り: volume vs env、自動更新
読了 8分

Certified Kubernetes Application Developer (CKAD) #13 ConfigMap と Secret を深掘り: volume vs env、自動更新

Certified Kubernetes Application Developer (CKAD) シリーズの 13 番目の記事です。設定と機密情報をコードの外に追い出す ConfigMap と Secret を作り、env (valueFrom · envFrom) と volume マウントで注入する 3 つの方式を実技形式で扱います。とくに env は Pod 再起動まで変わらず、volume は一定時間後に自動更新される違いを手に馴染ませます。

Certified Kubernetes Security Specialist (CKS) #11: 分離: gVisor、Kata Containers、RuntimeClass
読了 10分

Certified Kubernetes Security Specialist (CKS) #11: 分離: gVisor、Kata Containers、RuntimeClass

Certified Kubernetes Security Specialist (CKS) シリーズの 11 番目の記事です。コンテナがホストカーネルを共有するために分離が弱いという根本問題を押さえ、それを補うサンドボックスランタイムを整理します。ユーザー空間カーネルでシステムコールを横取りする gVisor (runsc) と、軽量 VM でワークロードを分離する Kata Containers の動作原理を比較し、RuntimeClass でハンドラを宣言して Pod の runtimeClassName で適用する方法、セキュリティと性能・互換性のトレードオフ、そして試験で頻出する RuntimeClass の作成と Pod 指定の作業まで、直接作りながら扱います。

Kubernetes and Cloud Native Associate (KCNA) #2 Kubernetes Fundamentals 1: アーキテクチャとコアリソース
読了 13分

Kubernetes and Cloud Native Associate (KCNA) #2 Kubernetes Fundamentals 1: アーキテクチャとコアリソース

KCNA シリーズの 2 番目の記事です。比重 46% で最も大きい Domain 1 の前半として、control plane と worker node の構成要素 (kube-apiserver・etcd・kube-scheduler・controller-manager・kubelet・kube-proxy・コンテナランタイム)、宣言型モデルと reconciliation loop、そして Pod・ReplicaSet・Deployment・Service・Namespace といったコアリソースを整理します。

Certified Kubernetes Administrator (CKA) #17 Storage 2: StorageClass、動的プロビジョニング、reclaim policy、expansion
読了 9分

Certified Kubernetes Administrator (CKA) #17 Storage 2: StorageClass、動的プロビジョニング、reclaim policy、expansion

Certified Kubernetes Administrator (CKA) シリーズの 17 番目の記事です。StorageClass で動的プロビジョニングを構成し、PVC を作るだけで PV が自動的に生まれるようにし、default StorageClass と volumeBindingMode の違いを整理します。reclaimPolicy (Delete/Retain) が PV を消すときデータをどう扱うか、allowVolumeExpansion でボリュームをどう大きくするかまで YAML で確認します。

Certified Kubernetes Application Developer (CKAD) #12 オブザーバビリティ: logging、kubectl debug、port-forward、ephemeral container
読了 9分

Certified Kubernetes Application Developer (CKAD) #12 オブザーバビリティ: logging、kubectl debug、port-forward、ephemeral container

Certified Kubernetes Application Developer (CKAD) シリーズの 12 番目の記事です。アプリが正しく動かないときに覗き込む観測ツールを実技の観点で整理します。kubectl logs でログを追い、describe と events で状態を読み、exec と port-forward で中に入り、kubectl debug の ephemeral container でシェルのないコンテナまでデバッグする流れを手に馴染ませます。

Certified Kubernetes Security Specialist (CKS) #10 Secrets 管理: etcd 暗号化、External Secrets
読了 10分

Certified Kubernetes Security Specialist (CKS) #10 Secrets 管理: etcd 暗号化、External Secrets

Certified Kubernetes Security Specialist (CKS) シリーズの 10 番目の記事です。Kubernetes Secret がデフォルトでは etcd に base64 で保存されるだけで暗号化ではないという事実から出発し、EncryptionConfiguration で secrets を at rest 暗号化する手順と apiserver フラグの接続、既存 Secret の再暗号化、etcdctl で平文かどうかを確認する方法を整理します。続いて External Secrets Operator と KMS で外部の秘密ストアを連携する全体像と Secret アクセスの RBAC 最小化までまとめ、試験の定番である etcd 暗号化の有効化作業を身に付けさせます。

Kubernetes and Cloud Native Associate (KCNA) #1 試験紹介: 試験の構造と学習戦略
読了 11分

Kubernetes and Cloud Native Associate (KCNA) #1 試験紹介: 試験の構造と学習戦略

Kubernetes and Cloud Native Associate (KCNA) シリーズの最初の記事です。60 問 90 分 75% 合格ラインの構造、5 つのドメインの比重と意味、登録とオンライン監督の受験環境、そして [K8s 実務トラック](/ja/posts/k8s-basics-1) で培った感覚を選択式の試験問題に落とし込む学習戦略までまとめます。本シリーズは KCNA 合格を目標にする 9 編で、最後の #9 で模擬選択式試験を解きます。