#Kubernetes

136 件の記事

Certified Kubernetes Application Developer (CKAD) #9 Helm: install, upgrade, rollback, values
読了 9分

Certified Kubernetes Application Developer (CKAD) #9 Helm: install, upgrade, rollback, values

Certified Kubernetes Application Developer (CKAD) シリーズの 9 本目の記事です。マニフェストの束を 1 つのパッケージとして扱う Helm のチャート構造と release の概念を整理し、helm repo・install・upgrade・rollback と values のオーバーライドを実技コマンド中心に手で覚えます。dry-run で結果を先に確認し history で戻す流れまで打ち込んでいきます。

Certified Kubernetes Security Specialist (CKS) #7: seccomp プロファイル
読了 9分

Certified Kubernetes Security Specialist (CKS) #7: seccomp プロファイル

Certified Kubernetes Security Specialist (CKS) シリーズの 7 番目の記事です。seccomp でコンテナが呼び出せるシステムコールをフィルタリングする方法を整理します。RuntimeDefault・Localhost・Unconfined の 3 つのプロファイルタイプと securityContext.seccompProfile の設定、ノードに載せるカスタムプロファイル JSON の作成と検証まで直接扱います。

Kubernetes の本を全文無料で公開しました — 《Kubernetes — 入門から EKS 実戦まで》
読了 3分

Kubernetes の本を全文無料で公開しました — 《Kubernetes — 入門から EKS 実戦まで》

Pod とは何かから EKS 上の GitOps · 可観測性 · コストガバナンスまで、入門から実戦運用を一つの流れで扱う Kubernetes 本を全文無料で公開しました。

Certified Kubernetes Administrator (CKA) #13 Scheduling 1: nodeSelector、nodeAffinity、podAffinity/antiAffinity
読了 10分

Certified Kubernetes Administrator (CKA) #13 Scheduling 1: nodeSelector、nodeAffinity、podAffinity/antiAffinity

Certified Kubernetes Administrator (CKA) シリーズの 13 番目の記事です。スケジューラが Pod をどのノードに置くかを制御する 4 つの道具を整理します。nodeSelector でラベルを単純にマッチさせ、nodeAffinity の required と preferred でノード条件を表現し、podAffinity と podAntiAffinity の topologyKey で他の Pod を基準に同じノードや別のノードへ配置します。nodeName でスケジューラを迂回する手動配置も一緒に見ます。

Certified Kubernetes Application Developer (CKAD) #8 デプロイ戦略: Blue-green、canary
読了 8分

Certified Kubernetes Application Developer (CKAD) #8 デプロイ戦略: Blue-green、canary

Certified Kubernetes Application Developer (CKAD) シリーズの 8 番目の記事です。マネージドなデプロイツールなしで、Deployment と Service、label だけを使って無停止デプロイ戦略を自分の手で実装します。rolling update と recreate を復習し、blue-green で即時カットオーバーとロールバックを作り、canary で replicas の比率によるトラフィック分配を実装します。

Certified Kubernetes Security Specialist (CKS) #6: AppArmor プロファイル (System Hardening)
読了 11分

Certified Kubernetes Security Specialist (CKS) #6: AppArmor プロファイル (System Hardening)

Certified Kubernetes Security Specialist (CKS) シリーズの 6 番目の記事です。Linux の MAC である AppArmor でコンテナのファイル・機能へのアクセスをカーネルレベルで制限する方法を整理します。enforce と complain モードの違い、deny ルールを含むプロファイルの作成、apparmor_parser でノードにロードして aa-status で確認する手順、1.30+ の securityContext.appArmorProfile と旧バージョンの annotation で Pod に付ける 2 つの方式、そしてプロファイルが実際に止めるかを exec で検証する方法まで手で扱います。

Certified Kubernetes Administrator (CKA) #12 ConfigMap と Secret の深掘り
読了 9分

Certified Kubernetes Administrator (CKA) #12 ConfigMap と Secret の深掘り

Certified Kubernetes Administrator (CKA) シリーズ 12 番目の記事です。ConfigMap と Secret を運用者の視点で深く扱います。kubectl create の 3 つのソース (--from-literal、--from-file、--from-env-file)、Secret のタイプ (generic/docker-registry/tls) と base64 が暗号化ではないという事実、env valueFrom・envFrom・volume mount・subPath の注入方式、env と volume の自動更新の違い、そして immutable で性能と安全をともに取る方法を、YAML と kubectl で整理します。

Certified Kubernetes Application Developer (CKAD) #7 Workloads 3: Job, CronJob (バックオフ、同時実行)
読了 9分

Certified Kubernetes Application Developer (CKAD) #7 Workloads 3: Job, CronJob (バックオフ、同時実行)

Certified Kubernetes Application Developer (CKAD) シリーズの 7 番目の記事です。一度実行して終わるバッチ処理を扱う Job と、それを定期的に回す CronJob を実技の観点から整理します。completions・parallelism・backoffLimit・activeDeadlineSeconds・restartPolicy・ttlSecondsAfterFinished と、CronJob の schedule・concurrencyPolicy・startingDeadlineSeconds・suspend を YAML と kubectl で直接作りながら身につけていきます。

Certified Kubernetes Security Specialist (CKS) #5: ServiceAccount トークン管理、API アクセス制限、クラスターアップグレード
読了 10分

Certified Kubernetes Security Specialist (CKS) #5: ServiceAccount トークン管理、API アクセス制限、クラスターアップグレード

Certified Kubernetes Security Specialist (CKS) シリーズの 5 番目の記事です。Cluster Hardening ドメインでよく出る ServiceAccount トークン管理を扱います。automountServiceAccountToken を false にして不要なトークンマウントを遮断する方法、bound ServiceAccount トークンの期限と audience、legacy Secret トークンと projected トークンの違いを整理します。続いて anonymous-auth の無効化と kubelet API の保護で API アクセス表面を減らし、セキュリティパッチのためのクラスターアップグレードまで手に覚えさせます。

Admission Controller
読了 12分

Admission Controller

K8s API サーバーがマニフェストを etcd に保存する直前の段階で検査・変形する admission のモデルを扱います。Mutating・Validating の2種類、ビルトインコントローラ (LimitRanger・ResourceQuota・PodSecurity など)、Webhook メカニズム、そしてその上に載った2つのポリシーエンジン OPA Gatekeeper (Rego) と Kyverno (YAML) の比較までを一連の流れで整理します。

Certified Kubernetes Administrator (CKA) #11 Workloads 2: DaemonSet、StatefulSet、Job、CronJob
読了 10分

Certified Kubernetes Administrator (CKA) #11 Workloads 2: DaemonSet、StatefulSet、Job、CronJob

Certified Kubernetes Administrator (CKA) シリーズ 11 番目の記事です。Deployment では扱えない 4 つのワークロードを整理します。ノードごとに 1 つずつ立てる DaemonSet、安定 ID と順序・headless Service・volumeClaimTemplates を持つ StatefulSet、完了を目標に回る Job、そしてスケジュールに合わせて Job を打ち出す CronJob まで、YAML と kubectl で手に覚えさせます。

Certified Kubernetes Application Developer (CKAD) #6 Workloads 2: DaemonSet, StatefulSet
読了 9分

Certified Kubernetes Application Developer (CKAD) #6 Workloads 2: DaemonSet, StatefulSet

Certified Kubernetes Application Developer (CKAD) シリーズ 6 番目の記事です。Deployment とは別のワークロードコントローラーである DaemonSet と StatefulSet を実技の観点から扱います。すべてのノードに Pod を 1 つずつ立てる DaemonSet、安定したネットワーク ID と順序保証が必要な StatefulSet を、headless Service と volumeClaimTemplates まで YAML で作ってみます。