概要 HashiCorp VaultにはPKI（公開鍵基盤）の機能もあります。 これを使って ルートCA 中間CA を用意し、 ルート証明書 (root certificate) 中間証明書 (intermediate certificate) サーバ証明書 (primary certificate) を作成します。 環境 Vault 0.10.3 ルートCA〜サーバ証明書について TLS周りの知識がフワフワしてる方はまずこちらをどうぞ christina04.hatenablog.com VaultでPKI ルートCA pkiをマウント では実際にVaultでPKIを構築します。pkiを有効化します。 $ vault secrets enable -path=pki_root pki Success! Enabled the pki secrets engine at: pki_root

Note: This engine can use external X.509 certificates as part of TLS or signature validation. Verifying signatures against X.509 certificates that use SHA-1 is deprecated and is no longer usable without a workaround starting in Vault 1.12. See the deprecation FAQ for more information. The PKI secrets engine generates dynamic X.509 certificates. With this secrets engine, services can get certificat

イオン⁠⁠⁠⁠⁠⁠⁠スマートテクノロジーのCTO室SREチームの@hikkie13です。 過去の記事に記載がある通り、弊社ではHCP Vaultの導入を進めています。 導入には教育・学習が欠かせません。 その過程で得た知識を何回かに分けてまとめていこうと思います。（心が折れない限り） 今回は、Vaultのアーキテクチャや概要についてです。 HashiCorp Vaultとは クラウド運用モデルに適した、シークレットやアプリケーションデータを安全に保つクラウドセキュリティ基盤ツール。 主に以下の機能を有する。 シークレットの一元管理 データ暗号化 Vault Architecture https://developer.hashicorp.com/vault/docs/internals/architecture より引用 ユーザ、マシンはAPIを経由してVaultとやり取りをする。 Sto

6月に入り、旅人のための短期間英語コーチング、英検一級・準一級最短合格コースと、40歳を超えて英語で第二の人生を切り拓いてきた僕の英語学習理論・コーチング手法の粋を集めた新しいサービスを立ち上げてきました。 どちらのコースも、41歳から英語を学びなおし始めた僕の、そして英語コーチとしてのこれまでの僕の集大成とも言うべき内容になっていると自負しているのですが、旅、英検に特化した内容で、短期的な目標を達成するためのものである以上、全ての人にとって有効な普遍的なものとは言い難いものがあります。 そこでこの記事では、すべての英語学習者の方に有効だと思われる、現時点での最強の英語学習セットをご紹介していきたいと思います。 第二言語習得論、そしてこれまでの僕の英語学習経験、指導経験を踏まえ、まさに「これを3ヶ月〜半年間続ければ絶対に誰でも英語力を伸ばすことができる！」と自信を持って断言できる英語学習の

となっています。 構成図 クラスタを構成するものを図にすると以下のようになります。 この中の一部コンポーネントは次節以降で登場します。 Kubernetes基盤 クラスタの基盤部分についてどのような構成になっているのか説明します。 kubeadm クラスタの構築自体については kubeadm を利用しています。 kubeadm を利用したクラスタの構築方法については公式のドキュメントが参考になります。 Static Pod と systemd kubeadm でデプロイすると kube-apiserver 等は Static Pod で、kubelet は systemd 以下で動作するようになります。 kube-apiserver は意外にメモリを食ってしまうのでそのまま動作させているとメモリ不足になることがあります。（ありました） なので kube-apiserver と etcd の

自己紹介と今回書くこと こんにちは、enzaプラットフォーム事業本部でエンジニアをやっている安藤です。 巷で話題のGitOpsについて「聞いたことあるけど、導入は検討していない」という状態だったのですが、今更ながらGitOpsが与えてくれる恩恵について知ることができたので、そのことについて書きたいと思います。

"伝説の家政婦"と呼ばれ、多方面で活躍するタサン志麻さん。築60年の古民家での暮らしをつづった著書『ちょっとフレンチなおうち仕事』（ワニブックス）には、フランスのエッセンスを取り入れた家事や育児を楽しむ方法がつまっています。今回はその中から、「忙しい日こそフランス料理は便利」という料理を楽にするヒントとお家で作れるフレンチレシピを連載形式でお届けします。 【志麻さんのフレンチの格言】 少ない水分でじくじく煮る＝ブレゼは、うまみを凝縮させる調理法 「蒸し煮」と訳される、"ブレ...

SSL証明書は、上位の証明書が次の証明書に署名し、次の証明書がさらにその次の証明書に署名するという信頼の連鎖（トラストチェーン）で成り立っています。例えば、もし上記のような階層構造の中間に挟まっている証明書が抜けていたり、最上位の証明書が無かったりした場合、この階層構造が崩壊してしまい「example.jp」ドメインは認証されません。認証されない場合、ブラウザにエラー画面が表示され、サイトにアクセスできなくなります。 さて、「認証されずにサイトにアクセスできない」と書きましたが、そもそもSSL証明書がドメインを認証する（SSL証明書を送ってきたサーバーのドメインが、SSL証明書に記載されたドメインと同じであると判断する）仕組みはどうなっているのでしょうか？ 例のように「example.jp」のSSL証明書は、サーバーからセットで送られてきた「Example CA intermediate

Raspberry piをはじめとしたシングルボードコンピューターが流行して、趣味や学習目的で自家サーバーを運用することが身近なことになりました。 wordpressをインストールしてブログを公開したり、webアプリケーションを運営したりと最近のシングルボードコンピューターのスペックでしたら、いろんなことを低いランニングコストで試すことができます。 ただ、自家サーバーを構築して、自宅のipを公開するということは簡単にできるようになっても、運用するとなると簡単には行かない問題が残っています。 それは、 raspberry pi が乗っ取られてしまったとき、LAN内の機器から情報が盗まれてしまう 自宅のネットワークに固定ipが割り当てられてないとアドレスを公開できない（公開しても変わってしまう） ということです。 ということで、自家サーバーを運用するうえで引っかかりやすいこれらの問題を、前者は

自己紹介 こんにちは。株式会社DELTA代表の丹です。 この記事は Cloudfalre Advent Calendar 2023 の7日目の記事となります。 普段はAWSコスト削減をはじめとして、ベンチャースタートアップのCTOを中心に技術支援を行っています。 今回は私がCloudflare Zero Trustを活用して構築したリモートワーク環境について紹介しつつ、Cloudflare Zero Trustの基本的な考え方について紹介します。 Cloudflare Zero Trustとは Cloudflare Zero Trustとは、一言でいうとVPNよりも高速かつ安全（とされる）ネットワークアクセスのサービスです。（多くのサービスが含まれるため、本当に一言でいうと、でしかないですが） いわゆるZero Trustとは、そもそもVPNに入ってたからといってそこからのトラフィックって

すごいエンジニアになるためのマインドセット2つ目は「あらゆる責任を引き受ける」 2つ目に田中氏が大事にしているマインドセットは、米国の起業コンサルタントであるダン・ケネディ氏の「人生のコントロールをしたかったら、責任を引き受けろ」だという。 人生にはさまざまな判断がつきもの。しかし、会社の中でも意外と判断していない人は少なくない。その理由は「責任を取りたくないから」だと指摘する。しかし、逆に言えば責任を取る意思があれば、どんなことでも自分で決められる、判断できる、自分でコントロールできることを意味する。 つまり、責任を取れる人は、判断できる人であり、指示されたこと以上のことができる。すると、どんどん仕事ができるようになり、プロアクティブに動いて仕事をこなせるようになっていく。一方、責任から逃れようとする人は、常に言われたことしかできなくなり、さらに力もつかず、言われたことすらできなくなって

イントロダクション 最近自宅のネットワークが極端に遅かったため、IPv4 PPPoEからIPv6 IPoEに構成変更しました。 IPv4時代は固定グローバルIPを購入して外出先から自宅にVPNを張れるようにしていましたが、IPv6では残念ながらL2TP/IPSecが使えない。 (参考:https://zenn.dev/apple_nktn/articles/80acf34cf0634b) そもそもVPNで拠点接続するという構成自体が最近のトレンドではないよね、ということもありZTNA(Zero Trust Network Access)サービスであるCloudflare Zero Trustを試してみることにしました。 ゼロトラストネットワークとは(個人的な理解) ネットワーク上のあらゆるアクセスを信頼せず全て検査するという概念。 従来のDMZを用いた境界型防御は境界の内側は「暗黙的に信頼

キングジムが2024年4月19日に発売予定の「ビジュアルバータイマー」は、タイマーに目盛りがついていることで細かい数字を見なくても「現在どれくらいの時間が経過しているのか」というのが一目でわかるようになっています。さらに、「3分計って、1分計って、さらに3分計る」というのを繰り返すインターバルを含むリピート計測機能も備わっているとのこと。そんなビジュアルバータイマーを一足早くキングジムから提供してもらったため、実際どのような見た目になるのかチェック＆各機能を活用してみました。 目盛りで残り時間が一目で分かるタイマービジュアルバータイマーVBT10 | KING JIM https://www.kingjim.co.jp/sp/vbt10/ ビジュアルバータイマーのパッケージは以下のような感じ。 背面には製品の特徴や仕様が記載されています。なお、今回使用するのはサンプル品のため、左下に「SA

本記事はSqueezing the most out of AVR (AVRの性能を最大限に引き出す)の抄訳とちょっとした解説です。 QMKとPro Microを用いた自作キーボードにおいては、増大する機能に対してMCUであるAVR ATmega32U4の容量制限がわずか28KBとあまりに小さく、ファームウェアの容量が逼迫しがちです。上記の記事にはそんなファームウェアのサイズを小さくするためのTIPSが紹介されています。 本記事はそんな省サイズ化のTIPSを日本語で要約し補足説明するものです。各施策ごとにどのような内容なのか、それによりファームウェアサイズをどの程度削減できるのか、考えられるデメリットは…といったことを説明します。なお記載した削減サイズはあくまでも目安であり、必ずしもそこで示した分が削減できるとは限らないことに注意してください。 本記事の末尾には私のオススメ度ともに一覧表と

自作キーボードを始めるとお世話になるQMKというファームウェアがあります。 キーボードは要するにスイッチなので、「どのスイッチが押されたときにどのキーの情報としてPCに伝えるか」を制御する必要があるのだけど、これはキーマップと呼ばれる情報をATmegaやARMのマイコン向けにコンパイルすることで開発します。そのための開発環境を提供してくれるのがQMKという感じ。 で、自作キーボードといってもたいていはキットを使うわけで、そういうキットの多くにはデフォルトのキーマップがあるから、そのデフォルトのキーマップをターゲットのマイコン向けにコンパイルしてそれをインストールすれば事足ります。 QMKには、代表的な自作キーボードのキット向けのデフォルトのキーマップもあらかじめほとんど用意されているので、そのキーマップに手を加えることで自分の好きな設定のキーボードに調整することも可能です。 調整というと、

こんにちは！Dev Branch で Engineering Manager をしている大坪です。この記事は Coporate HR 主催のは「明日をチョット良くする スキルうぉんてっどり塾」(internal) の第一回「業務コミュニケーションをサクサクにする研修」の資料として執筆した社内報を一部修正して作成しました。（ウォンテッドリー社員向け：社内報リンク） ざっくりまとめ コミュニケーションは丁寧さだけではなく内容をチューニングしよう相手が知りたいことを伝えよう相手が知りたいことを「相手の意思決定ロジック」から逆算しようはじめに今回の研修では、業務コミュニケーションをサクサクにする方法について考えます。コミュニケーションの先には必ずコミュニケーションの受け取り手に変化が生まれます。業務においてはその変化の中で特に重要なものに意思決定/行動があります。この2つをスムーズにして決めるべき

ノーベル物理学賞を受賞したこともある偉大な科学者であり、愉快な先生でもあるリチャード・ファインマン（1918 - 1988）が推奨した学習メソッドである「ファインマンテクニック (The Feynman Technique」というのがあります。 今回はこの、知ってるだけでなく、使えるものになる学習をしたいときに最強のファインマン学習メソッドについて紹介したいと思います。 ところでまず最初に断っておきたいのは、ここでいう学習とは本を読み流して何らかの概要を知っているとか、試験のために暗記したりするといったものではなありません。 学んだことを他の人に説明することができ、様々な状況でそれらを自由に活用することができるという意味においての学習です。 以下、要訳。 もし何かをほんとうの意味で学んだのであれば、それはあなたにとって残りの人生で使い続けることができる武器となります。そして、なにか新しいこ

1. 株価はサプライズによって動く 株式相場には常にプロの投資家がうごめいており、各銘柄の各種業績数値を常に予想して投資活動をしている。そんな状況下において、仮に「売上が前年比2倍」という決算が発表されても、株価が2倍になるわけではない。むしろ3倍が予想されていたのに、2倍だったら失望売りとなる。つまり事前予想と比較してこそ意味があり、staticな値や過去実績との比較を特徴量にすることはあまり意味がない。事前予想と決算の乖離、または前回予想と今回予想の乖離こそが意味のある特徴量であると言える。 2. 業績数値の単純な変化率では株価インパクトは測れない 営業利益の事前予想100億円に対し、決算が200億円の場合、 変化率 = （ 実績 - 予想 ) / 予想 の計算式を使うと、変化率は100%となる。 この変化率を特徴量にするのは一見もっともらしいが、株においてはこれは使いづらい。 営業利