#インフラ
301 件の記事
Certified Kubernetes Security Specialist (CKS) #12 Pod 間 mTLS: Cilium
Certified Kubernetes Security Specialist (CKS) シリーズの 12 番目の記事です。Minimize Microservice Vulnerabilities ドメインの最後のテーマとして、Pod 間通信がデフォルトで平文だという問題と転送中の暗号化 (encryption in transit) を扱います。Service Mesh (Istio・Linkerd) のサイドカー mTLS の概念、Cilium の透過的暗号化 (WireGuard・IPsec) と mTLS の方向性、NetworkPolicy (L3・L4) と mTLS (暗号化・身元) の違い、そして CKS の観点で in-transit 暗号化がなぜ必要かを概念中心に整理します。
Kubernetes and Cloud Native Associate (KCNA) #3 Kubernetes Fundamentals 2: API、コンテナ、スケジューリング
Kubernetes API のオブジェクトモデル (apiVersion・kind・metadata・spec・status) と宣言型・命令型の方式、コンテナイメージとランタイム、kube-scheduler のスケジューリング過程 (nodeSelector・affinity・taint)、そして ConfigMap と Secret で設定を注入する方法を整理します。Domain 1 Kubernetes Fundamentals (46%) の後半を締めくくります。
Red Hat Certified Engineer (RHCE) #11 Role の作成と使用
Red Hat Certified Engineer (RHCE) シリーズ 11 編です。role の標準ディレクトリ構造と ansible-galaxy role init、roles キーと include_role・import_role の違い、defaults が最も低い role 変数の優先順位であること、meta/main.yml の dependencies と roles_path まで整理します。試験の定番である role を作成して playbook から呼び出す流れを例で身につけます。
Red Hat Certified System Administrator (RHCSA) #8 パッケージと repository: dnf、modules、AppStream
Red Hat Certified System Administrator (RHCSA) シリーズの 8 番目の記事です。dnf でパッケージをインストール・削除・検索し、repository を追加し、AppStream の module stream と profile を扱う方法を整理します。RHCSA の定番である特定 repository の追加後のインストールと module stream の切り替えまでコマンド例で扱います。
AWS Certified CloudOps Engineer - Associate (SOA-C03) #3 Domain 1-2 モニタリング — CloudWatch Logs・Logs Insights・エージェント
SOA-C03 シリーズの 3 番目の記事で、CloudWatch のログ側面を扱います。ログ グループとログ ストリームの構造、保持期間とコスト、CloudWatch Agent でログと OS メトリクスを収集する方法、ログからメトリクスを抽出するメトリクスフィルター、Logs Insights クエリ、サブスクリプションフィルターでログをリアルタイム配信する構成まで、運用の流れを整理します。
AWS Certified Developer - Associate (DVA-C02) #9 Domain 3-1 デプロイ — CI/CD
DVA-C02 デプロイドメインの最初の記事です。AWS 開発者ツールの役割分担 (CodeCommit・CodeBuild・CodeDeploy・CodePipeline・CodeArtifact) を整理し、CodeBuild の buildspec.yml のフェーズと環境変数、CodeDeploy の appspec.yml とデプロイグループ・ライフサイクルフック、CodePipeline のステージ構成とアーティファクトの流れまで試験レベルで扱います。どのツールが何をするかを区別するのが核心です。
Certified Kubernetes Administrator (CKA) #18 Networking 1: Service (ClusterIP/NodePort/LoadBalancer/ExternalName)
Certified Kubernetes Administrator (CKA) シリーズ 18 編です。Service が selector で Pod を選び、Endpoints を作り、kube-proxy がそれをノードのルールとして実装する流れを追います。ClusterIP・NodePort・LoadBalancer・ExternalName の 4 タイプ、port/targetPort/nodePort の区別、headless Service、k expose、そして Service が動かないときに Endpoints から原因を追う運用感覚まで整理します。
Certified Kubernetes Application Developer (CKAD) #13 ConfigMap と Secret を深掘り: volume vs env、自動更新
Certified Kubernetes Application Developer (CKAD) シリーズの 13 番目の記事です。設定と機密情報をコードの外に追い出す ConfigMap と Secret を作り、env (valueFrom · envFrom) と volume マウントで注入する 3 つの方式を実技形式で扱います。とくに env は Pod 再起動まで変わらず、volume は一定時間後に自動更新される違いを手に馴染ませます。
Certified Kubernetes Security Specialist (CKS) #11: 分離: gVisor、Kata Containers、RuntimeClass
Certified Kubernetes Security Specialist (CKS) シリーズの 11 番目の記事です。コンテナがホストカーネルを共有するために分離が弱いという根本問題を押さえ、それを補うサンドボックスランタイムを整理します。ユーザー空間カーネルでシステムコールを横取りする gVisor (runsc) と、軽量 VM でワークロードを分離する Kata Containers の動作原理を比較し、RuntimeClass でハンドラを宣言して Pod の runtimeClassName で適用する方法、セキュリティと性能・互換性のトレードオフ、そして試験で頻出する RuntimeClass の作成と Pod 指定の作業まで、直接作りながら扱います。
Kubernetes and Cloud Native Associate (KCNA) #2 Kubernetes Fundamentals 1: アーキテクチャとコアリソース
KCNA シリーズの 2 番目の記事です。比重 46% で最も大きい Domain 1 の前半として、control plane と worker node の構成要素 (kube-apiserver・etcd・kube-scheduler・controller-manager・kubelet・kube-proxy・コンテナランタイム)、宣言型モデルと reconciliation loop、そして Pod・ReplicaSet・Deployment・Service・Namespace といったコアリソースを整理します。
Red Hat Certified Engineer (RHCE) #10 Ansible Vault: 秘密の管理
Red Hat Certified Engineer (RHCE) シリーズ 10 本目の記事です。ansible-vault で変数ファイルを暗号化し (create/edit/view/encrypt/decrypt/rekey)、group_vars/secret.yml に秘密を入れてプレイブックで使い、実行時に --ask-vault-pass と --vault-password-file でパスワードを渡す方法、encrypt_string で単一変数をインライン暗号化する方法まで、コマンド中心に整理します。
Red Hat Certified System Administrator (RHCSA) #7 ファイルシステム: XFS、ext4、mount/fstab、NFS、AutoFS
Red Hat Certified System Administrator (RHCSA) シリーズの 7 番目の記事です。mkfs.xfs と mkfs.ext4 でファイルシステムを作り、mount・umount・findmnt でマウントを扱い、UUID・LABEL と fstab で再起動後も生き残る永続マウントを押さえ、最後に NFS クライアントマウントと AutoFS のオンデマンドマウントまで直接打ち込みながら整理します。