クラスターのセキュリティ
このページに記載されている情報は古い可能性があります このページの更新日は英語版よりも古いため、記載されている情報が古い可能性があります。最新の情報をご覧になりたい方は英語版のページをご覧ください: Securing a Cluster このドキュメントでは、偶発的または悪意のあるアクセスからクラスターを保護するためのトピックについて説明します。 また、全体的なセキュリティに関する推奨事項を提供します。 始める前にKubernetesクラスターが必要、かつそのクラスターと通信するためにkubectlコマンドラインツールが設定されている必要があります。 このチュートリアルは、コントロールプレーンのホストとして動作していない少なくとも2つのノードを持つクラスターで実行することをおすすめします。 まだクラスターがない場合、minikubeを使って作成するか、 以下のいずれかのKubernetes
CloudNative Days | 技術書同人誌博覧会
あの半日で満員になった大人気ハンズオンが遂に書籍化!!! 2023 年12 月に、コミュニティ、企業、技術者が一堂に会し、クラウドネイティブムーブメントを牽引することを目的として、CloudNative Days Tokyo 2023(CNDT2023) を開催しました。また、このイベントの一環として、CNDT2023 の運営チームで『一日で学ぶクラウドネイティブ技術実践ハンズオン』を作成しました。 本書は、Prometheus・Grafana・OpenTelemetry・Argo CD・Argo Rollouts・Istio・Cilium・Hubble といったよく利用されるクラウドネイティブな OSS について実際に触れて学べるハンズオンをまとめたものです。 これらの OSS についての第一歩を学び、これから先の学習のきっかけにしてください。
KubernetesのVolume、PersistentVolume、PersistentVolumeClaimの違いを理解する | 株式会社アイオス
KubernetesのVolume、PersistentVolume、PersistentVolumeClaimの違いを理解する 皆さん、こんにちは。技術開発グループのn-ozawanです。 まだ梅雨の季節ですが、夏の暑さがじわりと来たなと思う、今日この頃。 本題です。 Kubernetes、難しいですよね。コンテナでシステムを構築をする際、永続化は1つの課題になることでしょう。永続化する方法は主にDBが一般的だと思いますが、中にはファイルで永続化したいときもあると思います。今日はKubernetesでストレージをマウントする方法として、Volume、PersistentVolume、PersistentVolumeClaimの違いを整理します。 Volume、PersistentVolume、PersistentVolumeClaimの違い はじめに コンテナ内部にファイルを保存すること
1.はじめに 今回はラズパイでKubernetesクラスタを構築してみたいと思います。 OSはUBUNTU SERVER 22.04.2 LTS(64-BIT)を使用し、全てのラズパイにインストール済みのところから始めます。OSのインストール方法は他の記事を参照してください。 また、クラスタの構成は以下のようになります。 2.k8sクラスタを構築するための予備知識 まず、クラスタ構築の前に必要となる知識を整理していきたいと思います。 kubectl KubernetesのCLIです。 kube-apiserver Kubernetes APIを提供するコンポーネントです。kubectlを使ってkube-apiserverに対してリクエストを送り、Kubernetesのリソースを管理します。 kubelet コンテナランタイムと連携し、コンテナを管理します。 コンテナランタイム 高レベルコン
FalcoでKubernetesのセキュリティモニタリング
はじめに 最近のWEBアプリケーションは、クラウド環境上にLinuxコンテナクラスタとしてデプロイすることが多くなってきました。 Linuxコンテナクラスタを管理するツールとして、Kubernetesが大変人気があります。 Kubernetesを使うと、設定ファイルの記述通りにコンテナクラスタが生成され、その状態が維持されるので、WEBアプリケーションの管理が容易になります。 その一方で、このような環境では数多くのコンテナが動的に生成、破棄されるので、セキュリティのモニタリングやインシデント検知が非常に難しくなってしまいます。 オープンソースのセキュリティ監視ツールであるFalcoは、Kubernetesとシームレスに統合できるため、クラウド上のWEBアプリケーションのセキュリティモニタリングに非常に適しています。 FalcoはLinuxカーネルのシステムコールを監視し、あらかじめ定義した
この記事は Dapr に関する一連の記事の一部です。 Dapr って何? - 概要編 Dapr を使ってみる - 入門編 Dapr を使ってみる - State management 編 Dapr とは 公式ページからの説明によると Dapr(The Distributed Application Runtime)とは 安全で信頼性の高いマイクロサービスを構築するためのAPI となります。 Dapr 公式ページ API 対応した各種言語用の SDK があるため、.NET だけではなく様々な言語で使用可能です。 Dapr Software Development Kigs(SDKs) そして機能が少しずつ増加しており、2024/4時点で10+3の機能があります。 https://docs.dapr.io/concepts/overview/ 初見ではなんのために存在し、どう便利なのか、そして
EKS でノードグループを追加して、既存のノードグループから pod を drain して移す定番作業。 この作業自体は問題なかったのですが、よくよく見てみると新しく追加したノードグループのステータスが「DEGRADED」と見慣れないものになっていました。 今回は、この原因と解決方法を紹介します。 Contents エラーの内容原因の特定対処法まとめエラーの内容 DEGRADED となる原因は色々とあると思いますが、AWS コンソール上の EKS 画面でノードグループを見てみると、「ヘルスの問題」のタブに以下の記載がありました。 AsgInstanceLaunchFailures Could not launch On-Demand Instances. InsufficientInstanceCapacity – We currently do not have sufficient r
Kubernetes用語集
Kubernetes用語集 2021.03.06 仕事上kubernetesを学ぶ必要が出てきました。 筆者のレベルは、Docker・kubernetesの概念・必要性をやんわりと理解している状態です。 勉強をすすめる上で、わからない用語が次々と出てきたて頭の中がパンクしそうになったので、簡潔に随時まとめることとしました。 はじめに 仕事上 kubernetes を学ぶ必要が出てきた。 筆者のレベルは、Docker・kubernetes の概念・必要性をやんわりと理解している状態である。 勉強をすすめるうえで、わからない用語が次々と出てきたて頭の中がパンクしそうになったので、簡潔に随時まとめることとした。 基本用語 k8s kubernetes の別名。k + 8 文字 + s から。 IaC (Infrastructure as Code) インフラ構成管理をコード化すること。 再利用や
Amazon Elastic Kubernetes Service (EKS) から Azure Kubernetes Service (AKS) に移行する - Azure Architecture Center
この記事では、一般的なステートレス ワークロードとステートフル ワークロードを Amazon EKS から Azure Kubernetes Service (AKS) に移行する方法について説明します。 考慮事項 現実世界での実動ワークロードの実際のデプロイ プロセスは、次の要因によって異なる場合があります。 デプロイ戦略: GitOps と従来の DevOps 継続的インテグレーション/継続的デプロイ (CI/CD) 手法の間での選択は、デプロイ アプローチに大きく影響します。 GitOps では、バージョン管理されたリポジトリを介して管理される宣言型インフラストラクチャを優先しますが、DevOps CI/CD では、アプリケーションデリバリー用の自動化されたワークフローに重点を置きます。 デプロイ成果物: デプロイ成果物の選択は、デプロイ構造を定義する上で重要な役割を果たします。 Y
AKS day-2 ガイド: パッチとアップグレード ガイダンス - Azure Architecture Center
更新タイプ ノード OS のセキュリティ パッチ(Linux のみ)。 Linux ノードの場合、Canonical Ubuntu と Azure Linux の両方では、オペレーティング システムのセキュリティ パッチを 1 日 1 回利用できます。 Microsoft では、これらのパッチをノード イメージに対する毎週の更新プログラムでテストしてバンドルします。 ノード イメージの毎週の更新。 AKS は、ノード イメージを毎週更新します。 これらの更新プログラムには、最新の OS と AKS のセキュリティ パッチ、バグ修正、改良が含まれます。 ノードの更新プログラムは、Kubernetes のバージョンを変更しません。 バージョンは、Linux の場合は日付(たとえば、202311.07.0)で書式設定されますが、Windows の場合は Windows Server OS のビル
Kubestronaut プログラム は、継続的に学習に励み、Kubernetes のスキル レベルを高めてきたコミュニティ リーダーを表彰するものです。 以下のKubernetes認定資格に合格された方には、Kubestronaut の称号と限定ジャケットなどが贈られます。なお、5つの認定資格はすべて有効期限内のものである必要があります。 各バッジをクリックすると、認定の詳細確認や試験の登録ができます。
Kubestronaut バンドル (KCNA + KCSA + CKA + CKAD + CKS) - Linux Foundation - トレーニング
今すぐKubestronautになりましょう!必要な5つの認定試験をすべてまとめてお得に!試験の詳細、ドメイン、能力などについては、個別のページをご覧ください。 KCNA, KCSA, CKA, CKAD、および CKS 認定ページ。 どこから始めればよいかわかりませんか?私たちが提案した内容を確認することを検討してみてはいかがでしょうか KCNA, CKA, CKAD と CKS 学習パス。 KCNA 試験は、Kubernetes およびより広範なクラウド ネイティブ エコシステムに関するユーザーの基礎知識とスキルを証明します。KCSA 試験は、コンプライアンス目標を満たすための Kubernetes クラスターのベースライン セキュリティ構成の理解を証明します。CKA 認定は、Kubernetes インスタンスを管理する Kubernetes 管理者、クラウド管理者、およびその他の I
kcp: Kubernetes APIs Are All You Need (by チェシャ猫) — TechFeed Experts Night#28 〜 コンテナ技術最前線
本記事は、TechFeed Experts Night#28 〜 コンテナ技術最前線のセッション書き起こし記事になります。 イベントページのタイムテーブルから、その他のセッションに関する記事もお読み頂けますので、一度アクセスしてみてください。 本セッションの登壇者 セッション動画 このセッションでは、Kubernetesの仕組みやそもそも論みたいなところから、デモをまじえてお話ししていきます。 手元に立てたクラスタのデモをお見せします。まず、いくつかコマンドを打つとエラーになります。Kubernetesを触ったことのある方はお気付きだと思いますが、このエラーの出方は非常に奇妙です。なぜなら、PodやDeploymentが何も登録されていない場合であれば、「No resources found(リソースが見つからない)」と言ってくるはずだからです。今回のエラーメッセージは「サーバにそんなリソ
KubernetesでのApache Flinkの使い方 - Qiita
この記事では、コンテナ管理システムの進化を紹介し、Apache FlinkをKubernetesで使用する際のベストプラクティスについて説明します。 Alibaba シニアディベロップメント・エンジニア Tang Yun (Chagan) 著、Flinkコミュニティ・ボランティア Zhang Zhuangzhuang 編著 この記事は、Alibaba シニア・ディベロップメント・エンジニアのTang Yun (Chagan)が、Apache Flinkシリーズのライブ・ブロードキャストをもとに編集したものです。この記事の主なトピックは以下の通りです。 コンテナ管理システムの進化 Flink on Kubernetesの紹介 Flink on Kubernetesの実践 hostPathの使用方法のデモ 本記事の前半では、コンテナ管理システムの進化について紹介します。第2部では、Flink
背景 インストールする CAを作る trust-managerで配布する useDefaultCAs: true 実際にTLSを有効化して通信する TLSを有効化したAPIサーバをデプロイする サーバと通信する CAの更新 CAの保管場所 クラスタ外との通信の暗号化 まとめ 背景 近年、自社データセンター内の通信であっても盗聴を防げるように通信を暗号化することが求められており、うちの家のKubernetesクラスタでもなんとなく通信を暗号化しようかなという気持ちになった。一方、サービスメッシュによるmTLSのような比較的重厚な仕組みを導入するのはあまり前向きになれず、単にクラスタ内で使える証明書をcert-managerから発行して各サービスが扱うことで達成できないか考えた。 cert-managerでself-signedな証明書を作っても、その証明書のsecretにあるca.crtなど
※本記事は、技術評論社「Software Design」(2023年11月号)に寄稿した連載記事「Google Cloudで実践するSREプラクティス」からの転載です。発行元からの許可を得て掲載しております。 はじめに 前回はArgo CDによるKubernetesへの継続的デリバリについて紹介しました。今回は、Google Cloudが提供するAnthos Service Meshを導入して、GKEで動くアプリケーションに可観測性やセキュリティなどの機能を追加する方法を紹介します(図1)。また、本記事に関するサンプルコードについてはGitHub1を参照してください。 ▼図1 CADDiスタックにおける今回の位置付け Anthos Service Meshとは Anthos Service Mesh2(以降、ASM)とは、サービスメッシュのOSS製品であるIstio3をベースに機能を追加し
Kubernetes ErrImagePullとImagePullBackOffの詳細 - Qiita
本文の内容は、2022年10月5日にJavier Martínezが投稿したブログ(https://sysdig.com/blog/kubernetes-errimagepull-imagepullbackoff/)を元に日本語に翻訳・再構成した内容となっております。 コンテナを使用している時、ImagePullBackOffやErrImagePullなどのPodステータスが一般的に発生します。 ErrImagePullは、コンテナに指定されたイメージを取得またはプルできないときに発生するエラーです。 ImagePullBackOffは、イメージのプルが修正されるまでの待機猶予期間です。 今回は、その様子をご紹介します。 コンテナイメージ イメージのプル イメージのプルポリシー ErrImagePull ErrImagePullのデバッグ イメージプルエラーの監視 その他のイメージエラー
なお、前回説明した「spec.backoffLimit」パラメータの値を0にしていると、一回障害が起きた時点でJobの終了条件を満たしてしまいますので、リトライさせる場合には、「spec.backoffLimit」の値を1以上にする必要があります。 Never まずはNeverの動作を確認してみます。 これは前回でも設定していましたので、同じ動作になります。 こちらのyamlファイルで動作を確認します。 apiVersion: batch/v1 kind: Job metadata: name: sample-job-back spec: completions: 5 parallelism: 1 backoffLimit: 3 template: spec: containers: - name: sample-job1 image: centos:latest command: ["s
![[Kubernetes]Jobの動作を確認する 3 - Qiita](https://cdn-ak-scissors.b.st-hatena.com/image/square/23a09f251944419cac1bb5971c5f6f750716ec13/height=288;version=1;width=512/https%3A%2F%2Fqiita-user-contents.imgix.net%2Fhttps%253A%252F%252Fcdn.qiita.com%252Fassets%252Fpublic%252Farticle-ogp-background-412672c5f0600ab9a64263b751f1bc81.png%3Fixlib%3Drb-4.0.0%26w%3D1200%26mark64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTk3MiZoPTM3OCZ0eHQ9JTVCS3ViZXJuZXRlcyU1REpvYiVFMyU4MSVBRSVFNSU4QiU5NSVFNCVCRCU5QyVFMyU4MiU5MiVFNyVBMiVCQSVFOCVBQSU4RCVFMyU4MSU5OSVFMyU4MiU4QiUyMDMmdHh0LWFsaWduPWxlZnQlMkN0b3AmdHh0LWNvbG9yPSUyMzIxMjEyMSZ0eHQtZm9udD1IaXJhZ2lubyUyMFNhbnMlMjBXNiZ0eHQtc2l6ZT01NiZzPTc1MmZhMmU2N2YzZDBkZjAyMzM1NTRkOWZkNjRhNjhk%26mark-x%3D142%26mark-y%3D57%26blend64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZoPTc2Jnc9NzcwJnR4dD0lNDBkaW5ndGlhbmhvbmdqaWUmdHh0LWNvbG9yPSUyMzIxMjEyMSZ0eHQtZm9udD1IaXJhZ2lubyUyMFNhbnMlMjBXNiZ0eHQtc2l6ZT0zNiZ0eHQtYWxpZ249bGVmdCUyQ3RvcCZzPTE5OTkxMzEyODZmOTMxMTZjYjNjNWQzZWFlZWQ1MjRj%26blend-x%3D142%26blend-y%3D486%26blend-mode%3Dnormal%26s%3Db20fdb0ad3b707634ab39a495ca15091)
Raspberry Piを買っておうちKubernetesクラスタを作る おうちKubernetesにSealedSecretsを入れる Raspberry Piの固定IP割当をルーターから指定する おうちKubernetesのcontrolplaneを3台に増やす おうちKubernetesにLonghornを入れる <- イマココ Nodeとなるマシンを一つ増やした. ChuwiのLarkBox X2023.N100のCPUがほしいなーと思っていたんだけど,N100のMiniPCでDDR5メモリで500GB程度のSSDがあるものを探したら,これに落ち着いた. メモリが12GBと,8GBでも16GBでもないのだけれど,まぁnodeに使うだけだし特に気にせず買った. これでAmazonのクーポン使って24900円.安い. www.chuwi.com で,そろそろ真面目に使えるようなクラスタ
監査ログによるKubernetesセキュリティモニタリング 詳解:クラウドセキュリティモニタリングのベストプラクティス(4) クラウド/クラウドネイティブのログをセキュリティの観点でモニタリングするベストプラクティスを紹介する本連載。第4回は、人気が高まるKubernetes環境の監査ログによるセキュリティモニタリングについて解説する。 *本連載では、Datadogのホワイトペーパーよりベンダー中立的な部分を抜粋し、@ITの表記ルールに合わせるために改変を加えています。(編集部) Kubernetesは、コンテナ化されたアプリケーションをデプロイするためのプラットフォームとして高い人気を集めているが、環境が拡大していくとセキュリティを確保することが難しくなる。新しいコンテナが追加されるたびに、アプリケーションの攻撃対象領域、つまり不正アクセスの潜在的な起点が増えることにもなる。管理している
Argo Rolloutsでプログレッシブデリバリを実現する - Sansan Tech Blog
こんにちは、研究開発部 Architectグループの辻田です。今回はKubernetesアプリケーション基盤にArgo Rolloutsを導入し、カナリアリリースからメトリクスの自動解析、ロールバックの自動化を実現したので紹介していきたいと思います。 Kubernetes導入の経緯や導入後の取り組みについては以下の記事で紹介しています。 buildersbox.corp-sansan.com buildersbox.corp-sansan.com なお、本記事は【R&D DevOps通信】という連載記事のひとつです。 Argo Rolloutsについて 概要 RolloutsはKubernetes上でデプロイメントの管理と自動化を行うためのツールです。CI/CDパイプラインの自動化、ネイティブなKubernetesのリソースのデプロイメント戦略、プログレッシブデリバリなどの目的に使用されま
Kubernetesをスムーズに導入するEvil Martians特製Kubernetesツールキット(翻訳)|TechRacho by BPS株式会社
概要 元サイトの許諾を得て翻訳・公開いたします。 英語記事: Martian Kubernetes Kit: a smooth-sailing toolkit from our SRE team—Martian Chronicles, Evil Martians’ team blog 原文公開日: 2024/02/19 原著者: Kirill Kuznetsov(SREチーム責任者)、Travis Turner(技術記事編集者) サイト: Evil Martians -- ニューヨークやロシアを中心に拠点を構えるRuby on Rails開発会社です。良質のブログ記事を多数公開し、多くのgemのスポンサーでもあります。 日本語ブログ: 合同会社イービルマーシャンズ - Qiita 日本語タイトルは内容に即したものにしました。 私たちはKubernetesが「使いもの」になる前からKuber
はじめに このエントリは、Kubernetes 1.29 の CHANGELOG 及びKubernetes v1.29: Mandalaについてまとめたページへのリンクです。 詳細については各まとめページを参照してください。 変更点の詳細へのリンク Metrics Changes と SIG Instrumentation @watawuwu SIG Apps @yosshi_ SIG API Machinery @Ladicle SIG Auth @hiyosi SIG CLI @superbrothers SIG Cluster Lifecycle @yuanying SIG Storage @ysakashita SIG Network @tkusumi SIG Scheduling @ordovicia SIG Node TBD Improvements that graduate
Akamai Technologiesはこのほど、「What a Cluster: Local Volumes Vulnerability in Kubernetes|Akamai」において、オープンソースのコンテナオーケストレーションシステム「Kubernetes」に脆弱性を発見したとしてその詳細を公開した。この脆弱性はすでに修正されている。 What a Cluster: Local Volumes Vulnerability in Kubernetes|Akamai ○Kubernetesの脆弱性「CVE-2023-5528」 発見された脆弱性は「CVE-2023-5528」として追跡されており、その深刻度は重要(Important)と評価されている。この脆弱性を悪用されると、Kubernetesクラスタ内のすべてのエンドポイントにおいて、SYSTEM権限を使用してリモートから任意の
先週のKubernetes
https://lwkd.info とかを見ながら先週のKubernetes界でどんな動きがあったのかを肴にワイワイ話します。ほぼ毎週木曜20:00〜やってます。ShowNote: http://bit.ly/lwk8sjp ハッシュタグ: #lwk8sjp
2月8日、Google CloudはKubernetes 1.29をGKE Regular Channelでリリースした。 新バージョンには数々の新機能が搭載され、エンジニアたちにとって注目すべき内容が含まれる。 Kubernetes 1.29がGKE Regular Channelで提供 2月8日、Google CloudはKubernetes 1.29をGKE Regular Channelでリリースした。 新バージョンには数々の新機能が搭載され、エンジニアたちにとって注目すべき内容が含まれる。詳細はKubernetes 1.29 Release Notesを参照いただきたい。 新機能: CELを使用したAdmission Policyの検証 Kubernetes 1.29では、Admission Policyの検証にCommon Expression Language(CEL)が導入
30分で入門する Helm
Kubernetes の利用シーンは幅広い用途に広がり、長期計画でカスタムアプリケーションを開発してデプロイする以外にも、ぱっと cluster にアプリケーションを入れて使ってみるといったことも多く見られるようになりました。 単純なアプリケーションでは kubectl apply で済むものも多いですが、じゃっかん複雑な構成のものや、また変数を使って動作を変更したいときなどでは Helm がよく使われています。 時々 Kubernetes について話しているときに、kubectl はよく使うことになったが helm はまだ慣れていないんだよねという声も聞かれるようになりました。 ここでは、そういったケースでの kubectl -> helm 間のギャップを埋めることを想定して、Helm の全体感がわかって日常的に使えるようになるまでを 30 分くらいでちゃちゃっとやってみましょう。 おさ
Google Kubernetes Engine の高パフォーマンス ストレージ向けローカル SSD | Google Cloud 公式ブログ
※この投稿は米国時間 2023 年 2 月 18 日に、Google Cloud blog に投稿されたものの抄訳です。 Google Kubernetes Engine(GKE)のユーザーは、AI / ML、分析、バッチ処理、メモリ内キャッシュなど、データを迅速にダウンロードして処理する必要があるアプリケーション用にローカル SSD を使用しています。これらのアプリケーションは、Google Cloud Storage(GCS)などのオブジェクト ストレージからローカル SSD にデータをダウンロードし、GKE の Pod として実行されているアプリケーションでこのデータを処理します。処理中のデータはローカル ストレージと RAM の間を移動するため、1 秒あたりの入出力オペレーション(IOPS)のパフォーマンスが重要になります。以前は、GKE でローカル SSD を使用する場合、古い
オンプレミスからクラウドへの移行をはじめ、ハイブリッドクラウド環境をシームレスに保護しながら、クラウドの利点を実現します。 詳しくはこちら
Azure Front Door を使用して AKS ワークロードをセキュリティで保護する - Azure Architecture Center
この記事では、Azure Front Door、Azure Web Application Firewall、Azure Private Link サービスを使用することにより、Azure Kubernetes Service (AKS) で実行されるワークロードをセキュアに公開して保護する方法について説明します。 このアーキテクチャでは、NGINX イングレス コントローラーを使って Web アプリケーションを公開します。 NGINX イングレス コントローラーは、AKS 内部ロード バランサーのフロントエンド IP 構成として、プライベート IP アドレスを使用するよう構成されます。 デプロイでは、エンド ツー エンドのトランスポート層セキュリティ (TLS) 暗号化が提供されます。 Architecture Grafana ロゴは、各社の商標です。 このマークを使用することは、保証を
Kubernetes APIサーバーの監査ログの表示
Container Engine for Kubernetes (OKE)とKubernetes APIサーバーの両方の操作をOracle Cloud Infrastructure Auditのログ・イベントとして表示する方法を確認します。 クラスタで発生するアクティビティの背後にあるコンテキストを理解することは、多くの場合有用です。たとえば、誰がいつ何をしたかを識別することによって、コンプライアンス・チェックを実行したり、セキュリティの異常を識別したり、エラーをトラブルシューティングします。 Oracle Cloud Infrastructure Auditサービスを使用して、次のものによって実行されたすべての操作を表示できます: Container Engine for Kubernetes。作成や削除などのアクションをクラスタで実行するたびに監査イベントを発行します。 Kuberne
はじめに EKSワーカーノードが、VPCサブネットのプライベートIPアドレスを大量に消費してしまい、プライベートIPアドレスが枯渇しまう問題が発生した。 暫定的な対策を取った記録をまとめる。 やったこと 最初に暫定対策を書いておく。 デフォルトで入っている aws-node プラグインの設定値を変更して、余分に確保されていたプライベートIPアドレスを開放した。 下記のコマンドを実行すると、aws-node が全て再起動して設定が反映される。 kubectl -n kube-system set env daemonset aws-node WARM_ENI_TARGET- kubectl -n kube-system set env daemonset aws-node MINIMUM_IP_TARGET=20 kubectl -n kube-system set env daemonse
[Kubernetes] CronJobで .spec.suspend を TRUE に指定するときに注意すべきこと - Qiita
はじめに CronJobを一時的に止めておきたかったので .spec.suspend を使ってみたのですが、自分的に予想外の動きをしてしまったので、対処方法をまとめておきます。 この .spec.suspend の注意点を見逃すと、CronJobが一時的に停止した状態からJobを生成できなくなります。 対処方法までまとめましたので、是非最後まで読んでいただければと思います。 本記事は、 1.22.12-gke.300 で動作確認しました。 やりたいこと 1分ごとに Hello! と言ってくれるCronJobを作成しました。社交的なCronJobですね。 apiVersion: batch/v1 kind: CronJob metadata: name: hello spec: schedule: "* * * * *" jobTemplate: spec: template: spec:
![[Kubernetes] CronJobで .spec.suspend を TRUE に指定するときに注意すべきこと - Qiita](https://cdn-ak-scissors.b.st-hatena.com/image/square/cc5f74178fe3cd3bd145a84e447be7b1a5db9338/height=288;version=1;width=512/https%3A%2F%2Fqiita-user-contents.imgix.net%2Fhttps%253A%252F%252Fcdn.qiita.com%252Fassets%252Fpublic%252Farticle-ogp-background-412672c5f0600ab9a64263b751f1bc81.png%3Fixlib%3Drb-4.0.0%26w%3D1200%26mark64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTk3MiZoPTM3OCZ0eHQ9JTVCS3ViZXJuZXRlcyU1RCUyMENyb25Kb2IlRTMlODElQTclMjAuc3BlYy5zdXNwZW5kJTIwJUUzJTgyJTkyJTIwVFJVRSUyMCVFMyU4MSVBQiVFNiU4QyU4NyVFNSVBRSU5QSVFMyU4MSU5OSVFMyU4MiU4QiVFMyU4MSVBOCVFMyU4MSU4RCVFMyU4MSVBQiVFNiVCMyVBOCVFNiU4NCU4RiVFMyU4MSU5OSVFMyU4MSVCOSVFMyU4MSU4RCVFMyU4MSU5MyVFMyU4MSVBOCZ0eHQtYWxpZ249bGVmdCUyQ3RvcCZ0eHQtY29sb3I9JTIzMjEyMTIxJnR4dC1mb250PUhpcmFnaW5vJTIwU2FucyUyMFc2JnR4dC1zaXplPTU2JnM9NjlmYTk0NmQ3Y2Q1NTIxOGY5Nzc2YmJhMGQyZTUxMzg%26mark-x%3D142%26mark-y%3D57%26blend64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZoPTc2Jnc9NzcwJnR4dD0lNDBzZWtpbmV0JnR4dC1jb2xvcj0lMjMyMTIxMjEmdHh0LWZvbnQ9SGlyYWdpbm8lMjBTYW5zJTIwVzYmdHh0LXNpemU9MzYmdHh0LWFsaWduPWxlZnQlMkN0b3Amcz02MjU3NjQ3MzU3OWU3NjA4NjE1ZTNkYTc2NzMxNmFhZA%26blend-x%3D142%26blend-y%3D436%26blend-mode%3Dnormal%26txt64%3DaW4gTlRU44OH44O844K_5YWI56uv5oqA6KGT%26txt-width%3D770%26txt-clip%3Dend%252Cellipsis%26txt-color%3D%2523212121%26txt-font%3DHiragino%2520Sans%2520W6%26txt-size%3D36%26txt-x%3D156%26txt-y%3D536%26s%3Dccdfe8da520dc52b1a3e12c2e302b548)
EKS でノードグループを構成する際、EC2 のインスタンスタイプを指定する必要があります。 managedNodeGroups: - name: nodes-1 instanceType: r5.xlarge しかし今回、特定のアベイラビリティゾーンでのみ、該当のインスタンスが起動できない事象が発生しました。 何百台もインスタンスを起動するならともかく、数台の起動で枯渇するとは・・・。 今回はマネージド型ノードグループに複数の EC2 インスタンスを指定する方法を紹介します。 クラスター構成ファイル クラスター構成ファイルから、それらしい項目がないか探してみます。 設定項目が多くて探すのがなかなか大変ですが、以下の「instanceTypes」が該当しそうです。 managedNodeGroups instanceTypes: specifies a list of instance t
4ステップ完全ガイド!KubernetesでCephを活用した高可用性ストレージ管理術 / 開発者向けブログ・イベント | GMO Developers
前回のあらすじ 前回は Kubernetes上(k8s上)に分散ストレージの Ceph をデプロイし、ストレージの運用を自動化するストレージオペレーターで、Ceph は分散オブジェクトストレージ機能を提供する、オープンソースのストレージソフトウェアの Rook-Ceph を紹介しました。 今回は外部の Ceph を Ceph CSI 経由でどのように活用していくのかを紹介します。 Ceph CSI とは https://github.com/ceph/ceph-csi Ceph CSI(Container Storage Interface)は、コンテナオーケストレーションプラットフォーム(Kubernetesなど)と Ceph ストレージクラスター間のやり取りを可能にするプラグインスイートです。言い換えると、Ceph CSI は、コンテナ化されたアプリケーションが Ceph の分散ストレ
テスト環境など pod を冗長化させていない場合に、drain(ドレイン)など pod の削除と作成が同時に発生する場面で通信断が発生します。 「rollout restart deployment」のような動きをしてくれるといいのですが、このあたりとは仕組みが異なるようです。 今回は minAvailable を設定した時の挙動と問題について紹介していきます。 やりたかったこと pod が 1 台しか起動していない状態で drain が実行された時、移行先の node(ノード)で新しい pod が起動した後、移行元の pod が削除されてほしい。 minAvailable に 1 を設定すれば、最低でも 1 台の pod が起動していないといけないハズなので、drain 時の挙動も変わるのではないかという想定でした。 PodDisruptionBudget(PDB)の設定 PDB の設定
1. はじめに ArgoCDでBlue/Greenデプロイを実現するのはかなり面倒だなと感じていました。 なにかいい方法がないかを探したところArgo Rolloutsがどうやら便利そうとのことで、実際に自分のお遊び環境で動作検証てみました。 これはその検証内容と実施手順の備忘メモとなります。 2. kubernetes環境の準備 簡単にArgo Rolloutsの使い方を理解するためなので、minikubeを利用します。 いきなりArgo Rolloutを試すのではなく、まずはminikube上でアプリを動かします。 2.1 マニフェストファイルの準備 今回は自作のWebアプリのコンテナイメージを検証に利用します。 用意したDockerfileをdocker buildでビルドし、ローカルのレジストリにイメージを格納します。 格納したイメージはminikubeで利用できないため、mini
自己紹介 竹下 2023年8月21日からインターンに参加している早稲田大学基幹理工学研究科 M1 竹下です。 SRE関連の技術と,自身が研究しているセキュリティ分野との関係性を学びたいと思い、インターンに参加しました。 中林 2023年8月21日からインターンに参加している秋田県立大学大学院 システム科学技術研究科 博士前期1年 中林です。 Kubernetes とコンテナセキュリティの部分に興味があり、インターンに参加しました。 引野 2023年8月28日からインターンに参加している新潟大学大学院 医歯学総合研究科 医科学専攻1年 引野です。 データ分析の環境構築をきっかけにコンテナ技術に興味を持ち、インターンに参加しました。 1. はじめに はじめまして、スリーシェイクの Sreake 事業部インターン生の竹下、中林、引野です。 Sreake 事業部は SRE 技術に強みを持つエンジニ
Gemini 1.5 モデル をお試しください。Vertex AI からアクセスできる、Google のもっとも先進的なマルチモーダル モデルです。 試す ※この投稿は米国時間 2024 年 5 月 10 日に、Google Cloud blog に投稿されたものの抄訳です。 Kubernetes HorizontalPodAutoscaler(HPA)は、環境のスケーラビリティと効率を管理するための基本的なツールであり、負荷の増加に応じてデプロイする Pod を増やすことで機能します。しかし、HPA で優れたコスト パフォーマンスを実現するには、HPA の設定、特に CPU 使用率の目標値の微細な部分を理解しなければなりません。一般的に、CPU 目標値を 50% に設定することが出発点として有効であるという認識があります。しかし、これは実際に費用の増加につながりかねません。実際、HPA
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
RaspberryPiでKubernetesクラスタを構築
Dapr って何? - 概要編 - Qiita
EKS(Kubernetes)でノードグループのステータスがDEGRADEDになった時の対処法|サラトガ牧場
Kubestronaut プログラム
Kubernetes、新バージョン「v1.30: Uwubernetes」をリリース - Podスケジューリング制御機能が安定版へ、トラフィックの地理的優先ルーティング可能に
trust-managerを利用してk8sクラスタ内のオレオレ証明書をちゃんと検証する - ぽよメモ
第8回: Anthos Service Mesh 入門 - CADDi Tech Blog
[Kubernetes]Jobの動作を確認する 3 - Qiita
おうちKubernetesにLonghornを入れる - PartyIX
監査ログによるKubernetesセキュリティモニタリング 詳解
Kubernetes 1.29: 変更点まとめ(What's new!)とアップグレード時の注意事項 - Qiita
Kubernetesにリモートから任意のコマンドを実行できる脆弱性、更新を - ライブドアニュース
Kubernetes 1.29、数々の新機能を備えGKE Regular Channelでもリリース
Kubernetesの脅威モデリングに関する考察|トレンドマイクロ
Amazon EKS ワーカーノードが確保するIPアドレスを減らす
EKS(Kubernetes)でマネージド型ノードグループに複数のEC2インスタンスタイプを指定する|サラトガ牧場
KubernetesのPDBでminAvailableに1を設定するとdrainに失敗する|サラトガ牧場
ArgoRolloutsによるBlue/Greenデプロイの動作検証メモ - Qiita
Kubernetes における秘密情報の管理方法 | sreake.com | 株式会社スリーシェイク
水平 Pod 自動スケーリングのチューニングの驚くべき経済性 | Google Cloud 公式ブログ