#インフラ
301 件の記事
Certified Kubernetes Administrator (CKA) #23 Troubleshooting 2: ノードと kubelet (NotReady、disk/memory pressure)
Certified Kubernetes Administrator (CKA) シリーズの 23 番目の記事です。ノードが NotReady に落ちたときの診断フローを最初から最後まで追っていきます。k describe node で conditions を読み、ノードに接続して systemctl status kubelet と journalctl -u kubelet で原因を絞り込み、kubelet 停止・ランタイム停止・ディスクフル・メモリ圧迫を症状別に直していきます。cordon と drain で問題ノードを隔離する方法まで整理します。
Certified Kubernetes Application Developer (CKAD) #18 Service: ClusterIP・NodePort・LoadBalancer・ExternalName
Certified Kubernetes Application Developer (CKAD) シリーズ 18 番目の記事です。変化し続ける Pod 群の前に安定した入口を立てる Service を扱います。selector と label で Pod を選び Endpoints が自動的に管理される仕組み、ClusterIP・NodePort・LoadBalancer・ExternalName という 4 つのタイプの違い、port と targetPort と nodePort の区別、headless Service とクラスタ DNS、そしてエンドポイントが空になるデバッグまで YAML と kubectl で身につけます。
Certified Kubernetes Security Specialist (CKS) #16 Admission control: OPA/Gatekeeper、Kyverno
Certified Kubernetes Security Specialist (CKS) シリーズの 16 番目の記事です。API リクエストを横取りして検証・変形する admission controller の動作原理から、validating webhook と mutating webhook の違い、OPA/Gatekeeper の ConstraintTemplate と Constraint そして Rego ポリシー、Kyverno の YAML ベースの validate/mutate/generate ポリシーを例で身につけます。latest タグ禁止と信頼レジストリ制限を 2 つのツールでそれぞれ実装し、違反マニフェストを拒否する試験定番のパターンまで整理します。
HTTPS 証明書の実践 — Let's Encrypt の発行から自動更新まで (certbot・ACME・管理型)
HTTPS 証明書を実際に発行し、設置し、自動で更新する実践ガイドです。ACME とドメイン所有の検証、certbot での Let's Encrypt 発行、自動更新の設定、ワイルドカード(DNS-01)、AWS ACM・Cloudflare のような管理型、そしてチェーン欠落・名前の不一致といったよくあるエラーの診断まで扱います。
Kubernetes and Cloud Native Associate (KCNA) #7 Cloud Native Application Delivery (8%): GitOps、CI/CD
KCNA シリーズ 7 番目の記事です。CI/CD の分離とパイプラインの段階、GitOps (ArgoCD・Flux) の 4 大原則と pull ベースのデリバリー、デプロイ戦略 (rolling・blue-green・canary)、Helm と Kustomize によるマニフェスト管理、そしてサプライチェーンセキュリティの基礎まで Domain 5 全体をまとめます。
Red Hat Certified Engineer (RHCE) #15 RHCSA 自動化 2: サービス、chronyd、log
Red Hat Certified Engineer (RHCE) シリーズの 15 番目の記事です。RHCSA の手作業のうち、サービス管理・時刻同期・ログ設定を Ansible で自動化します。service/systemd モジュールで enable と start まで一度にデーモンを押さえ、timesync system role または chrony テンプレートと handler で NTP を構成し、cron と at モジュールでジョブを予約し、journald の永続保存と tuned プロファイルまで playbook で適用する流れを整理します。
Red Hat Certified System Administrator (RHCSA) #12: firewalld と SSH 鍵認証
Red Hat Certified System Administrator (RHCSA) シリーズの 12 番目の記事です。firewalld の zone の概念と firewall-cmd でサービス・ポートを永続的に許可する方法、rich rule と source ベースの zone 指定、そして ssh-keygen・ssh-copy-id で SSH 鍵認証を設定し authorized_keys の権限を合わせる方法まで、直接打ちながら整理します。RHCSA の定番であるポート・サービスの永続許可と鍵認証の設定、そして --permanent を抜かす落とし穴を集中的に扱います。
AWS Certified CloudOps Engineer - Associate (SOA-C03) #7 Domain 3-1 デプロイ — CloudFormation の深掘りと IaC
SOA-C03 シリーズ 7 番目の記事として、デプロイ・自動化ドメイン (22%) の最初のトピックである CloudFormation を扱います。スタックとテンプレートの構造、変更セットとドリフト検出、スタックポリシーと削除保護、複数のアカウントとリージョンにデプロイする StackSets、そして CDK・Terraform のような他の IaC ツールとの関係まで、運用の観点で整理します。
AWS Certified Developer - Associate (DVA-C02) #13 Domain 4-2 トラブルシューティングと最適化 — 最適化と問題解決
DVA-C02 トラブルシューティングドメインの 2 番目の記事です。キャッシュレイヤー (CloudFront・ElastiCache・DAX・API Gateway) の選択、Lambda 性能チューニング (メモリと CPU の関係・コールドスタート・同時実行)、DynamoDB スロットリングへの対応、そして試験によく出るエラーコード (429・502・504・ProvisionedThroughputExceededException など) と解釈を整理します。指標を見て原因を絞り込み修正する最後の段階です。
Certified Kubernetes Administrator (CKA) #22 トラブルシューティング 1: Pod とアプリ (Pending、CrashLoop、ImagePull、OOM)
CKA 試験で最も比重が大きいドメインは Troubleshooting (30%) です。今回はその中でも最もよく出る Pod レベルの障害 4 つを扱います。Pending、CrashLoopBackOff、ImagePullBackOff/ErrImagePull、OOMKilled をそれぞれ症状から診断、解決まで一つの流れで整理し、describe と events・logs をどの順序で読めば速く原因に届くかを手に覚えさせます。
Certified Kubernetes Application Developer (CKAD) #17 Volumes: emptyDir, PVC, projected, ephemeral
Certified Kubernetes Application Developer (CKAD) シリーズの 17 番目の記事です。コンテナファイルシステムの揮発性を出発点に、emptyDir と hostPath、PersistentVolumeClaim と StorageClass の動的プロビジョニング、secret・configMap・downwardAPI を 1 つのディレクトリにまとめる projected volume、generic ephemeral volume まで、実技 YAML の例で整理します。
Certified Kubernetes Security Specialist (CKS) #15 イメージ署名: cosign、SBOM
Certified Kubernetes Security Specialist (CKS) シリーズの 15 番目の記事です。クラスターに入ってくるイメージを信頼する唯一の方法は、出所を証明する署名を検証することです。sigstore の cosign で鍵ベース署名と keyless (OIDC) 署名を作成・検証する方法、syft で SBOM (SPDX・CycloneDX) を生成して構成要素を追跡する方法、そして admission で未署名イメージを止めてサプライチェーンを閉じる流れまで、コマンド例とともに整理します。