#Kubernetes

136 件の記事

Kubernetes and Cloud Native Associate (KCNA) #5 Cloud Native Architecture (16%): オートスケーリング、サーバーレス、コミュニティ、オープンスタンダード
読了 15分

Kubernetes and Cloud Native Associate (KCNA) #5 Cloud Native Architecture (16%): オートスケーリング、サーバーレス、コミュニティ、オープンスタンダード

KCNA シリーズ 5 番目の記事です。クラウドネイティブの設計思想 (CNCF の定義・自己修復・回復性) を押さえ、オートスケーリング (HPA・VPA・Cluster Autoscaler・KEDA)、サーバーレス (Knative・FaaS)、CNCF コミュニティとプロジェクト成熟度の段階、オープンスタンダード (OCI・CRI・CNI・CSI・OpenTelemetry)、無停止ロールアウトとイミュータブルインフラまで整理します。

Certified Kubernetes Administrator (CKA) #20 Networking 3: CoreDNS、NetworkPolicy
読了 11分

Certified Kubernetes Administrator (CKA) #20 Networking 3: CoreDNS、NetworkPolicy

Certified Kubernetes Administrator (CKA) シリーズの 20 番目の記事です。クラスター内で Pod と Service が互いを名前で見つける CoreDNS の動作と Corefile の設定、nslookup で DNS をデバッグする方法、そしてどの Pod がどの Pod と通信できるかを制御する NetworkPolicy の podSelector と ingress/egress ルールを運用の視点から整理します。default deny パターンと CNI 依存まで一緒に扱います。

Certified Kubernetes Application Developer (CKAD) #15 SecurityContext と Capabilities: runAsUser, fsGroup, readOnly rootfs
読了 9分

Certified Kubernetes Application Developer (CKAD) #15 SecurityContext と Capabilities: runAsUser, fsGroup, readOnly rootfs

Certified Kubernetes Application Developer (CKAD) シリーズの 15 番目の記事です。securityContext でコンテナがどのユーザーと権限で動くかを制限する方法を扱います。runAsUser・runAsNonRoot・fsGroup、readOnlyRootFilesystem と emptyDir の回避策、allowPrivilegeEscalation、Linux capabilities の add・drop、privileged コンテナの危険性まで YAML の例で手に馴染ませます。

Certified Kubernetes Security Specialist (CKS) #13 最小イメージ: distroless、scratch (Supply Chain)
読了 11分

Certified Kubernetes Security Specialist (CKS) #13 最小イメージ: distroless、scratch (Supply Chain)

Certified Kubernetes Security Specialist (CKS) シリーズの 13 番目の記事です。Supply Chain Security ドメインの出発点であるイメージの最小化を扱い、大きなイメージがシェル・パッケージマネージャ・不要な CVE で攻撃面をどう広げるのか、distroless と scratch が何を削るのか、alpine と比べてどう選ぶのかを整理します。マルチステージビルドでビルドツールをランタイムから切り離すパターン、シェルのないイメージを ephemeral container でデバッグする方法、non-root ユーザーの適用まで Dockerfile の例で解きほぐします。

Kubernetes and Cloud Native Associate (KCNA) #4 Container Orchestration (22%): ランタイム、セキュリティ、ネットワーキング、ストレージ、Service Mesh
読了 13分

Kubernetes and Cloud Native Associate (KCNA) #4 Container Orchestration (22%): ランタイム、セキュリティ、ネットワーキング、ストレージ、Service Mesh

コンテナランタイムと OCI・CRI 標準、RBAC と NetworkPolicy のセキュリティ、CNI ネットワーキングと CoreDNS、CSI ストレージ、そして Service Mesh まで、KCNA Container Orchestration ドメインの核心を整理します。CRI・CNI・CSI の 3 つのインターフェースが分ける境界、Service タイプ、NetworkPolicy のデフォルト動作など、試験頻出のポイントもあわせて押さえます。

Certified Kubernetes Administrator (CKA) #19 Networking 2: Ingress、IngressClass、TLS
読了 8分

Certified Kubernetes Administrator (CKA) #19 Networking 2: Ingress、IngressClass、TLS

Certified Kubernetes Administrator (CKA) シリーズの 19 番目の記事です。Service だけでは解けない host・path ベースのルーティングと TLS 終端を Ingress にまとめる方法を整理します。Ingress ルール (pathType Prefix/Exact、rules/backend、defaultBackend)、複数のコントローラーを分ける IngressClass、Ingress が動作するために必ず必要な Ingress Controller、そして Secret を参照する TLS セクションを運用の観点から扱います。

Certified Kubernetes Application Developer (CKAD) #14 ServiceAccount と RBAC (アプリ視点)
読了 9分

Certified Kubernetes Application Developer (CKAD) #14 ServiceAccount と RBAC (アプリ視点)

Certified Kubernetes Application Developer (CKAD) シリーズ 14 編です。Pod の中で動くアプリが Kubernetes API を呼び出すとき、どの身元で認証し、どの権限で認可されるのかを ServiceAccount と RBAC の視点から整理します。SA トークンの自動マウントとその切り方、Role・RoleBinding で権限を付与する方法、kubectl auth can-i で検証する方法を手に馴染ませます。

Certified Kubernetes Security Specialist (CKS) #12 Pod 間 mTLS: Cilium
読了 10分

Certified Kubernetes Security Specialist (CKS) #12 Pod 間 mTLS: Cilium

Certified Kubernetes Security Specialist (CKS) シリーズの 12 番目の記事です。Minimize Microservice Vulnerabilities ドメインの最後のテーマとして、Pod 間通信がデフォルトで平文だという問題と転送中の暗号化 (encryption in transit) を扱います。Service Mesh (Istio・Linkerd) のサイドカー mTLS の概念、Cilium の透過的暗号化 (WireGuard・IPsec) と mTLS の方向性、NetworkPolicy (L3・L4) と mTLS (暗号化・身元) の違い、そして CKS の観点で in-transit 暗号化がなぜ必要かを概念中心に整理します。

Kubernetes and Cloud Native Associate (KCNA) #3 Kubernetes Fundamentals 2: API、コンテナ、スケジューリング
読了 14分

Kubernetes and Cloud Native Associate (KCNA) #3 Kubernetes Fundamentals 2: API、コンテナ、スケジューリング

Kubernetes API のオブジェクトモデル (apiVersion・kind・metadata・spec・status) と宣言型・命令型の方式、コンテナイメージとランタイム、kube-scheduler のスケジューリング過程 (nodeSelector・affinity・taint)、そして ConfigMap と Secret で設定を注入する方法を整理します。Domain 1 Kubernetes Fundamentals (46%) の後半を締めくくります。

Certified Kubernetes Administrator (CKA) #18 Networking 1: Service (ClusterIP/NodePort/LoadBalancer/ExternalName)
読了 9分

Certified Kubernetes Administrator (CKA) #18 Networking 1: Service (ClusterIP/NodePort/LoadBalancer/ExternalName)

Certified Kubernetes Administrator (CKA) シリーズ 18 編です。Service が selector で Pod を選び、Endpoints を作り、kube-proxy がそれをノードのルールとして実装する流れを追います。ClusterIP・NodePort・LoadBalancer・ExternalName の 4 タイプ、port/targetPort/nodePort の区別、headless Service、k expose、そして Service が動かないときに Endpoints から原因を追う運用感覚まで整理します。

Certified Kubernetes Application Developer (CKAD) #13 ConfigMap と Secret を深掘り: volume vs env、自動更新
読了 8分

Certified Kubernetes Application Developer (CKAD) #13 ConfigMap と Secret を深掘り: volume vs env、自動更新

Certified Kubernetes Application Developer (CKAD) シリーズの 13 番目の記事です。設定と機密情報をコードの外に追い出す ConfigMap と Secret を作り、env (valueFrom · envFrom) と volume マウントで注入する 3 つの方式を実技形式で扱います。とくに env は Pod 再起動まで変わらず、volume は一定時間後に自動更新される違いを手に馴染ませます。

Certified Kubernetes Security Specialist (CKS) #11: 分離: gVisor、Kata Containers、RuntimeClass
読了 10分

Certified Kubernetes Security Specialist (CKS) #11: 分離: gVisor、Kata Containers、RuntimeClass

Certified Kubernetes Security Specialist (CKS) シリーズの 11 番目の記事です。コンテナがホストカーネルを共有するために分離が弱いという根本問題を押さえ、それを補うサンドボックスランタイムを整理します。ユーザー空間カーネルでシステムコールを横取りする gVisor (runsc) と、軽量 VM でワークロードを分離する Kata Containers の動作原理を比較し、RuntimeClass でハンドラを宣言して Pod の runtimeClassName で適用する方法、セキュリティと性能・互換性のトレードオフ、そして試験で頻出する RuntimeClass の作成と Pod 指定の作業まで、直接作りながら扱います。