EKSの権限整備のため、K8sのRBACについて勉強した話 - freee Developers Hub
こんにちは、SREの久保木です。一年弱ぶりにまた記事を書きます。 以前はfreeeに入って割とすぐの頃で、Project間の依存関係を表す図を自動生成したりしていました。 その後はfreeeで使われているTerraform Codeを一括整備するためにTFLintを導入しつつCustom Ruleを実装したり、この手のLinter導入にありがちな最初の間は警告が多すぎて無視されてしまう問題に対処するために全部のCodeを手入れしたり(すごい量でした……)、結果的にfreeeのInfrastructureのIaC周り全般の知識を得られたのでそれを用いてSecurity Riskのある問題の対処をしたり、最近はPSIRTやSRE内のCloud Governance Teamと連携してAWSのResourceの管理状態を見直したりと、いろんなふわっとした課題、ちょっと手をつけづらい課題を探しては
GitHub Container registryのレート制限について - knqyf263's blog
GitHub Container “R”egistryではなくGitHub Container “r”egistry が正しいと信じているのですが、誰か正解を知っている人がいたら教えて下さい。最初のブログ ではGitHub Container Registry と書いていましたが、その後はGitHub Container registryになりドキュメントでもContainer registryになっているので、やはりContainer registryなのかなと思ってますが、これが気になりすぎてGHCRについて触れるのがいつも憚られています。 Docker Hubのレート制限について 要約 背景 調査 回避策 GITHUB_TOKENについて 備考 余談 まとめ Docker Hubのレート制限について 2025年4月1日からDocker Hubの制限がいよいよ厳しくなり、未認証ユーザは
KubernetesはOCI, CRI, CNI, SMI, CSI, CDI, NRIこれだけを理解すればいいから簡単に学習できます - Qiita
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? Kubernetesでは、コンテナやその周辺機能を扱うために、さまざまな標準インターフェース(~Iと省略されるもの)が使われています。これらは、コンテナの実行基盤を柔軟かつプラグイン可能にするための仕組みで、それぞれ異なる目的と役割を担っています。ここでは OCI, CRI, CNI, SMI, CSI, CDI, NRI について、概要と目的、Kubernetesにおける役割、相互の関連性、実践例を分かりやすく説明します。 OCI (Open Container Initiative: オープンコンテナ・イニシアティブ) 概要と目的:
ついSSL/TLS証明書の更新を忘れちゃう人へ――Kubernetesの「cert-manager」で始める証明書管理自動化入門
ついSSL/TLS証明書の更新を忘れちゃう人へ――Kubernetesの「cert-manager」で始める証明書管理自動化入門:Cloud Nativeチートシート(29) Kubernetesやクラウドネイティブをより便利に利用する技術やツールの概要、使い方を凝縮して紹介する連載。今回は、cert-managerを利用したIngressによる自己署名証明書とLet's Encryptで発行した証明書の利用方法を解説し、Gateway APIでcert-managerを利用する方法を紹介する。 もう、手動で証明書を作成、取得、設定する世界には戻れない 今やWeb公開で必須となったSSL(Secure Sockets Layer)/TLS(Transport Layer Security)ですが、素の「Kubernetes」において「Ingress」や「Gateway API」でSSL/T
eBPFを用いてPod ごとのインターネットトラフィック量を計測するツールの開発 - Preferred Networks Research & Development
本記事は、2024年夏季インターンシッププログラムで勤務された俵 遼太さんによる寄稿です。 こんにちは、京都大学 工学部 電気電子工学科3回生の 俵 遼太 (id:walnuts1018) です。 今回、PFN 2024 夏期国内インターンシップに参加し、社内機械学習基盤の開発・運用を行うCluster Servicesチームにて、「Podごとのインターネットトラフィック量を計測するツールの開発」というテーマに取り組みました。 この記事では、社内のKubernetesクラスタにおける課題と、Podごとのインターネットトラフィック量を計測するために作成したツールについて紹介します。 社内のKubernetesクラスタにおける課題 社内の Kubernetes クラスタでは、複数のユーザーが同じクラスタを利用して様々なワークロードを動かしています。このような構成をとることで、マシンリソースの利
勘違いしがちな Kubernetes の Job のリトライの挙動を紐解く - Cybozu Inside Out | サイボウズエンジニアのブログ
この記事は、CYBOZU SUMMER BLOG FES '24 (クラウド基盤本部 Stage) DAY 9 の記事です。 こんにちは。DBRE チーム の山下です。 サイボウズではサービスを運用する上で多くのバッチ処理を実行しています。 Kubernetes 基盤を利用するにあたって、バッチ処理によく使われるのが Job だと思います。サイボウズでも多くの Job を活用しています。 そんな Kubernetes の Job ですが、リトライに関して想定と異なる挙動が見つかったためコードリーディング、kind での検証の両面から調査しました。 今回は調査によって得られた Kubernetes の Job のリトライの挙動に関する知見をご紹介します。 Job の概要 まずは簡単に Job について説明します。 Job は単発のジョブを実現するための Kubernetes リソースです。
クラウドコンピューティングの進化と新たな責任共有モデル | CSAジャパンブログページ
本ブログは、Vishwas Manral, Founder and CEO at NanoSec, CSA Silicon Valley Chapter のブログ(The Evolution of Cloud Computing and the Updated Shared Responsibility、https://cloudsecurityalliance.org/blog/2021/02/04/the-evolution-of-cloud-computing-and-the-updated-shared-responsibility/)の日本語版で、著者の許可のもとに翻訳し公開するものです。原文と日本語版の内容に相違があった場合には、原文が優先されます。 クラウドコンピューティングは、過去10年間変化し続けてきた。このブログは、コンテナ、機能、ローコード、ノーコードの成長によるクラ
定量データと定性評価を用いた技術戦略の組織的実践 / Systematic implementation of technology strategies using quantitative data and qualitative evaluation
CNDS2024 https://event.cloudnativedays.jp/cnds2024/
Kubernetes production best practices
A curated checklist of best practices designed to help you release to production This checklist provides actionable best practices for deploying secure, scalable, and resilient services on Kubernetes. The content is open source and available in this repository. If you think there are missing best practices or they are not right, consider submitting an issue. Check things off to keep track as you g
helmとは & helmの使い方 - Qiita
Kubernetes Helm(以降Helm)とはKubernetesのパッケージマネージャーです。HelmはKubernetesのSIG-Appsで開発がされています。パッケージはChart(s)と呼ばれ、公式でレポジトリkubernetes/chartsが用意されています。Kubernetesクラスタに側にはtillerと呼ばれるデプロイ用のコンポーネントを配置して使用します。 用語 用語 意味 役割
Kubernetesの Service についてまとめてみた - Qiita
この記事は ウェブクルー Advent Calendar 2018の5日目の記事です。 昨日は@wc_omuroさんの「いますぐはじめよう!ユーザーリサーチ!」でした。 今年はオンプレのDockerで動作しているWebアプリやオンプレの少々古いフレームワークをリプレイスして、KubernetesのフルマネージドサービスであるGKEに載せ替える業務をメインにやってきました。 KubernetesのServiceが、どういった仕組みでPodと通信しているのかを正確に把握出来ていない部分があったので、使用した機能を中心にKubernetesのドキュメントを読みつつまとめました。 以下、KubernetesのことをK8sと書きます。 なぜK8sなのかは下記のリンクでご確認ください。。 https://kubernetes.io/docs/concepts/overview/what-is-kube
Alpine on k8sのDNSでハマった話 - Qiita
はじめに ここ最近 kubernetes (k8s) 上でのアプリ開発なんかにも関わるようになったのですが、EKS 上で動かしていたシステムをローカル環境 (microk8s) に持ってきたら特定のコンテナだけ名前が引けなくなって動かない、という現象にぶち当たって数日溶かしてしまったので、その話をしようと思います。 要約 以下の要因が組みあわさることで、k8s 上の Alpine linux ベースのコンテナではうまく名前を解決できないことがあります。 k8s はデフォルトではローカルドメインの名前を優先して解決する (/etc/resolve.conf の ndots: 5) k8s 外部へ名前を問い合わせるときに、問い合わせ先の DNS サーバが本来 NXDOMAIN を返すべきところ、そうなっていないケースがある Alpine linux は一般的な lInux ディストリビューショ
ServiceとPodに対するDNS
このページに記載されている情報は古い可能性があります このページの更新日は英語版よりも古いため、記載されている情報が古い可能性があります。最新の情報をご覧になりたい方は英語版のページをご覧ください: DNS for Services and Pods ServiceとPodに対するDNSこのページではKubernetesによるDNSサポートについて概観します。 イントロダクションKubernetesのDNSはクラスター上でDNS PodとServiceをスケジュールし、DNSの名前解決をするために各コンテナに対してDNS ServiceのIPを使うようにKubeletを設定します。 何がDNS名を取得するかクラスター内(DNSサーバーそれ自体も含む)で定義された全てのServiceはDNS名を割り当てられます。デフォルトでは、クライアントPodのDNSサーチリストはPod自身のネームスペー
Amazon EKS での DNS の障害のトラブルシューティング
Share Your AWS re:Post Experience - Quick 3 Question Survey and Earn a re:Post Badge Help us improve AWS re:Post! We're interested in understanding how you use re:Post and its impact on your AWS journey. Please take a moment to complete our brief 3-question survey 簡単な説明 Amazon EKS クラスター内で実行するポッドは、CoreDNS クラスター IP アドレスをネームサーバーとして使用し、内部および外部 DNS レコードをクエリします。CoreDNS ポッド、サービス設定、または接続に問題がある場合、アプリケーションは
kubernetes – DNSについて
Kubernetes クラスターの外の DNS サーバーを参照する要望は、システム上でよくある話かと思います。 今回は、Kubernetes 内の名前解決や、クラスター内の Pod がクラスターの DNS 以外の DNS サーバーを参照したい時の方法について、ご紹介しようと思います。 Kubernetes 内の名前解決について Service の A/AAAA レコード Kubernetes クラスターでは、Service (Headless を除き) が作成されたら、AレコードがクラスターのDNSに登録されるようになっています。Aレコードの内容は FQDN と Service の ClusterIP となります。 登録された FQDN の形式は以下になります。 <ServiceName>.<Namespace>.svc.cluster.local Headless Service につい
Kubernetes と cgroup v2 - Qiita
MemoryQoS フィーチャゲート 1つ目が MemoryQoS フィーチャゲートです。この機能は名前のとおりメモリに対して QoS (Quolity-of-Service) を導入してより柔軟な制御を可能にします。このフィーチャゲートは v1.28 時点でアルファです。 これまで Pod のメモリリソース制御は limits.memory で使用できるメモリ量の上限を設定するのみで、上限を超えると OOM が発生するだけでした。この上限の制御には cgroup memory.max が使われています。Pod requests.memory はというと、主に Pod をスケジューリングするノードを決定するための情報として使用されていてリソース制御には使われていません。 cgroup v2 では memory.max によるメモリ制限に加えて memory.min と memory.hig
Dockerとruncに4つの脆弱性が見つかる 悪用でホストOSにアクセスされるリスク
Dockerとruncに潜む4つのセキュリティリスク Snykが警鐘 Leaky Vesselsは4つの脆弱性で構成されており、これらを悪用された場合、サイバー攻撃者がコンテナを抜け出してホストOSにアクセスする可能性がある。これらの脆弱性の中には深刻度が「緊急」(Critical)と分類されるものが含まれているため、該当プロダクトを使用している場合は情報を確認するとともに、必要に応じて対処することが求められる。 Leaky Vesselsを構成する脆弱性の詳細は以下の通りだ。 CVE-2024-21626: 内部ファイル記述子の漏えいによって新しく起動したコンテナプロセスにおいて、ホストのファイルシステム名前空間内の作業ディレクトリを保持できる脆弱性。これを悪用した場合、ホストファイルシステムへの不正アクセスやコンテナ環境からの脱走が可能になる CVE-2024-23651: 同じキャッ
Kubernetesクラスタの可観測性の隙間を埋めるeBPF - LIFULL Creators Blog
KEELチームの相原です。 今回はeBPFを利用してKubernetesクラスタの可観測性の隙間を埋めている話です。 前回のエントリではLLMにうつつを抜かしていたので本業(?)の話をしようと思います。 www.lifull.blog LIFULLの可観測性の現在地 eBPFとは 可観測性の隙間 NAT Loopback eBPFを実行するには BPF CO-RE libbpf-rsを利用したNAT Loopbackの検知 1. (ユーザ空間) コマンドライン引数として受け取ったDNSをTTLごとに名前解決してIPアドレスを取得する 2. (ユーザ空間) IPアドレスに変化がある度にカーネル空間で動くBPFプログラムにそのIPアドレスのリストを渡す 3. (カーネル空間) Kprobesで tcp_v4_connect/tcp_v6_connect にフックを仕込む 4. (カーネル空間)
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Dockerfileの考え方
Shota Nukumizu on X: "【重要記事】エンジニアは全員おうちKubernetesをやるべし【Part 1:なぜやるのか】 これからKubernetesを使いたいなら読んでください。 Kubernetesを自宅で使えると便利になる理由が書かれています。 #駆け出しエンジニアと繋がりたい #今日の積み上げ #プログラミング https://t.co/GIQE7hcfht"