#コンテナオーケストレーション

72 件の記事

Certified Kubernetes Application Developer (CKAD) #7 Workloads 3: Job, CronJob (バックオフ、同時実行)
読了 9分

Certified Kubernetes Application Developer (CKAD) #7 Workloads 3: Job, CronJob (バックオフ、同時実行)

Certified Kubernetes Application Developer (CKAD) シリーズの 7 番目の記事です。一度実行して終わるバッチ処理を扱う Job と、それを定期的に回す CronJob を実技の観点から整理します。completions・parallelism・backoffLimit・activeDeadlineSeconds・restartPolicy・ttlSecondsAfterFinished と、CronJob の schedule・concurrencyPolicy・startingDeadlineSeconds・suspend を YAML と kubectl で直接作りながら身につけていきます。

Certified Kubernetes Security Specialist (CKS) #5: ServiceAccount トークン管理、API アクセス制限、クラスターアップグレード
読了 10分

Certified Kubernetes Security Specialist (CKS) #5: ServiceAccount トークン管理、API アクセス制限、クラスターアップグレード

Certified Kubernetes Security Specialist (CKS) シリーズの 5 番目の記事です。Cluster Hardening ドメインでよく出る ServiceAccount トークン管理を扱います。automountServiceAccountToken を false にして不要なトークンマウントを遮断する方法、bound ServiceAccount トークンの期限と audience、legacy Secret トークンと projected トークンの違いを整理します。続いて anonymous-auth の無効化と kubelet API の保護で API アクセス表面を減らし、セキュリティパッチのためのクラスターアップグレードまで手に覚えさせます。

Certified Kubernetes Administrator (CKA) #11 Workloads 2: DaemonSet、StatefulSet、Job、CronJob
読了 10分

Certified Kubernetes Administrator (CKA) #11 Workloads 2: DaemonSet、StatefulSet、Job、CronJob

Certified Kubernetes Administrator (CKA) シリーズ 11 番目の記事です。Deployment では扱えない 4 つのワークロードを整理します。ノードごとに 1 つずつ立てる DaemonSet、安定 ID と順序・headless Service・volumeClaimTemplates を持つ StatefulSet、完了を目標に回る Job、そしてスケジュールに合わせて Job を打ち出す CronJob まで、YAML と kubectl で手に覚えさせます。

Certified Kubernetes Application Developer (CKAD) #6 Workloads 2: DaemonSet, StatefulSet
読了 9分

Certified Kubernetes Application Developer (CKAD) #6 Workloads 2: DaemonSet, StatefulSet

Certified Kubernetes Application Developer (CKAD) シリーズ 6 番目の記事です。Deployment とは別のワークロードコントローラーである DaemonSet と StatefulSet を実技の観点から扱います。すべてのノードに Pod を 1 つずつ立てる DaemonSet、安定したネットワーク ID と順序保証が必要な StatefulSet を、headless Service と volumeClaimTemplates まで YAML で作ってみます。

Certified Kubernetes Security Specialist (CKS) #4: RBAC 最小権限の深掘り (Cluster Hardening)
読了 9分

Certified Kubernetes Security Specialist (CKS) #4: RBAC 最小権限の深掘り (Cluster Hardening)

Certified Kubernetes Security Specialist (CKS) シリーズの 4 番目の記事です。CKA で身につけた RBAC の上に最小権限の原則を重ね、広すぎる Role をどう見つけて狭めるかをセキュリティの観点で深く扱います。wildcard verb/resource の危険、default ServiceAccount 権限の削除、ClusterRoleBinding の乱用を RoleBinding で減らすこと、aggregated ClusterRole の注意点、secrets get・pods/exec・escalate・bind・impersonate のような危険な権限の識別、そして kubectl auth can-i --as で狭めた権限を検証する流れまで整理します。

Certified Kubernetes Administrator (CKA) #10 Workloads 1: Deployment の深掘り、ReplicaSet、rolling update/rollback
読了 9分

Certified Kubernetes Administrator (CKA) #10 Workloads 1: Deployment の深掘り、ReplicaSet、rolling update/rollback

Certified Kubernetes Administrator (CKA) シリーズの 10 番目の記事です。運用者が最も頻繁に扱うワークロードである Deployment を深く見ていきます。Deployment→ReplicaSet→Pod の階層とそれを束ねるラベル selector、kubectl で作成とスケールを処理する方法、rollingUpdate 戦略 (maxSurge/maxUnavailable) で無停止アップデートを保証する条件、そして kubectl rollout でバージョンを追跡して戻す rollback まで手に覚えさせます。

Certified Kubernetes Application Developer (CKAD) #5 Workloads 1: Deployment、ReplicaSet、ローリングアップデートとロールバック
読了 9分

Certified Kubernetes Application Developer (CKAD) #5 Workloads 1: Deployment、ReplicaSet、ローリングアップデートとロールバック

Certified Kubernetes Application Developer (CKAD) シリーズの 5 番目の記事です。アプリデプロイの中心である Deployment を命令型で作成し、Deployment・ReplicaSet・Pod の関係とスケールを整理します。rollingUpdate の maxSurge・maxUnavailable の意味、kubectl set image で新しいバージョンをデプロイする流れ、kubectl rollout で状態を追跡し、失敗したバージョンを undo で戻すロールバックシナリオを手で実習します。

Certified Kubernetes Security Specialist (CKS) #3: CIS benchmark (kube-bench)、コンポーネントセキュリティ、Ingress TLS、バイナリ検証
読了 10分

Certified Kubernetes Security Specialist (CKS) #3: CIS benchmark (kube-bench)、コンポーネントセキュリティ、Ingress TLS、バイナリ検証

Certified Kubernetes Security Specialist (CKS) シリーズの 3 番目の記事です。Cluster Setup ドメインの残り半分である、クラスター自体のハードニングを扱います。CIS Kubernetes benchmark とは何か、kube-bench で control plane とノードを点検して PASS/FAIL/WARN の結果を読み remediation を適用する方法、apiserver と kubelet の危険なフラグを安全な値に変える手順、Ingress に TLS を付ける方法、そしてダウンロードしたバイナリを sha256sum で検証する流れまで、コマンドとマニフェストで手に覚えさせます。

Certified Kubernetes Administrator (CKA) #9 RBAC: Role/ClusterRole、RoleBinding、ServiceAccount、kubectl auth can-i
読了 12分

Certified Kubernetes Administrator (CKA) #9 RBAC: Role/ClusterRole、RoleBinding、ServiceAccount、kubectl auth can-i

Certified Kubernetes Administrator (CKA) シリーズの 9 番目の記事です。誰が何をできるかを決める RBAC を運用者の視点から深く扱います。Role と ClusterRole、RoleBinding と ClusterRoleBinding の組み合わせ規則、subjects (User/Group/ServiceAccount) と rules (apiGroups/resources/verbs) の構造、kubectl create で素早く作る方法、kubectl auth can-i と --as で権限を検証する方法、そして [#8](/ja/posts/cka-8) で作ったユーザーを RBAC に接続する流れまで整理します。

Certified Kubernetes Application Developer (CKAD) #4 コンテナイメージ: Dockerfile、マルチステージ、試験で直接ビルド
読了 9分

Certified Kubernetes Application Developer (CKAD) #4 コンテナイメージ: Dockerfile、マルチステージ、試験で直接ビルド

Certified Kubernetes Application Developer (CKAD) シリーズの 4 番目の記事です。CKAD の一部のタスクは、イメージを自分でビルドしてレジストリにプッシュし、Pod で起動するまでの流れを要求します。Dockerfile の基本命令とレイヤーキャッシュ、マルチステージビルドでイメージを軽量化する方法、podman・buildah でビルド・タグ・プッシュする手順、imagePullPolicy と latest タグの落とし穴、そして command・args が ENTRYPOINT・CMD にマッピングされる規則を実技例で整理します。

Certified Kubernetes Security Specialist (CKS) #2: NetworkPolicy の深掘り: default deny、ingress/egress (Cluster Setup)
読了 10分

Certified Kubernetes Security Specialist (CKS) #2: NetworkPolicy の深掘り: default deny、ingress/egress (Cluster Setup)

Certified Kubernetes Security Specialist (CKS) シリーズの 2 本目の記事です。Cluster Setup ドメインの核心であるネットワーク隔離を扱います。NetworkPolicy がないときの all-allow デフォルト動作から、podSelector と policyTypes ですべてを遮断する default deny パターン、ingress と egress をそれぞれ制限する方法、default deny egress で DNS が止まる落とし穴と 53 番ポートの許可、namespaceSelector と podSelector を組み合わせるときの AND・OR の落とし穴まで、YAML と kubectl で直接作って検証します。

Certified Kubernetes Administrator (CKA) #8 証明書管理: PKI、kubeconfig、証明書更新
読了 11分

Certified Kubernetes Administrator (CKA) #8 証明書管理: PKI、kubeconfig、証明書更新

Certified Kubernetes Administrator (CKA) シリーズの 8 番目の記事です。クラスターのすべての通信を支える TLS 証明書を扱います。/etc/kubernetes/pki の PKI 構造と誰が誰を信頼するか、kubeconfig の clusters/users/contexts 構成、kubeadm certs check-expiration で期限を確認し kubeadm certs renew all で更新する手順、そして CertificateSigningRequest でユーザー証明書を発行する流れまで手に覚えさせます。