はてなブックマーク

Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article?

やりたかったこと GKEのIngress (GCLB)でサービスエンドポイントを提供する際に、アクセスを許可するIPをホワイトリストで制御したい やったこと（結論） Cloud ArmorとGKE IngressをkubernetesカスタムリソースであるBackendConfigを使って紐付けることで実現します 2021-10-31 追記 この記事で紹介している apiVersion: cloud.google.com/v1beta1 を使用すると、特定バージョンの GKE において Service からアクティブな Google Cloud Armor セキュリティ ポリシーが削除されるという既知の問題があります。該当する GKE バージョンの場合は、 apiVersion: cloud.google.com/v1 を使うようにしましょう。 影響する GKE バージョンは以下のとおりで

Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article?

やりたかったこと コンテナをDockerホストの外部に公開するときのアクセス制御設定（ファイアーウォール設定） やったこと Dockerのポートフォワーディングでコンテナをホスト外部に公開してiptablesでアクセス制限 外部ネットワークにはコンテナ443/tcpのみをアクセスを許可 内部ネットワークにはコンテナのすべてのポートを許可 Docker再起動時にiptablesルールを再設定するようにDockerのsystemdで設定 前提 Docker 1.12.3 CentOS7.2 iptables 1.4.21 Dockerのポートフォワーディング設定 Dockerでコンテナをホストの外と通信させたい時、-pオプションでポートフォワーディングを設定すると思いますが、このポートフォワーディングを設定するとiptablesに以下のような設定が追加されます。 $ iptables -nL

Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article?

やりたかったこと：CentOS7起動時にChefを一回だけ実行したい CentOS7からサービス管理がinitiscriptsからsystemdになっています。 initscriptsでは/etc/rc.d/rc.localにコマンドを書いておけばOSの起動時に実行してくれますが、systemdでは違うようなので（今更ですが）調べました。 CentOS7にも一応/etc/rc.d/rc.localもあるのですが、中身を見てみると以下のようになっています。 #!/bin/bash # THIS FILE IS ADDED FOR COMPATIBILITY PURPOSES # # It is highly advisable to create own systemd services or udev rules # to run scripts during boot instead o

概要 docker 1.9.0がリリースされ、docker networkコマンドがproductionでも使えるようになりました。特にマルチホストでのコンテナネットワークがdockerコマンドから作成可能になったので試してみました。 docker networkコマンドとは docker networkはコンテナに接続するネットワークを操作・管理するコマンド。 Docker Swarmと連携すればマルチホスト環境でも、コンテナ間でoverlayネットワークを構築してコンテナ間が通信できる。 マルチホストのコンテナネットワークを実現するツールや方法は他にもいろいろある。weave、etcd+flannel、runcher、bridge接続+GREなどなど。 環境 今回は2つのDockerホストVMをSwarmでクラスタ化し、docker networkコマンドでoverlayネットワークを