使用技術 今回は主に以下の3つを使って高可用性クラスタを作っていきます。 kubeadm kubeadmではKubernetesを高速に作成する方法としてkubeadm initとkubeadm joinというコマンドを使えるようになります。また、セキュアに立てれたりといいことづくしということも言えるそうです。詳しくは、以下のサイトがびっくりするくらいわかりやすく載っているのでどうぞ。 cilium ciliumはよく聞くCNIのうちの一つで、他に代表的なものでCalicoやflannelがあります。このciliumはeBPFというLinux kernelの仕組みを使ってNode間の通信を担っているらしい。また、カーネルレベルでNW制御を行うことで従来のkube-proxyといったユーザー空間で行う方法と異なり、高速であるみたい。 kube-vip kube-vipはcontrol-pla

HAのためのk8sの概念の復習 コントロールプレーン・ワーカーノードとありますが、 コントロールプレーンは、k8sクラスタ全体のあるべき姿を定義する ワーカーノードは、自分のあるべき姿をコントロールプレーンに問い合わせ、あるべき姿に合うようにPod等をデプロイしたりダウンさせたりする という役割の分担があります。 これをより具体的に見ていきます。 k8sを構成するコンポーネントのうち、コントロールプレーンで動作する主なものが下記の4つです kube-apiserver kube-controller-manager kube-scheduler etcd https://kubernetes.io/docs/setup/production-environment/tools/kubeadm/ha-topology/#stacked-etcd-topology より https://kub

Newみんゴルの攻略法をWeb検索すると、概論的なものは色々出てくるものの、 風はどれくらい吹いてるとどれくらい曲がるのか ライはどれくらい傾いてるとどれくらい曲がるのか 上記、ウッドとアイアンで違いは出るのか パットのグリッド表示に対してどれくらい曲がるのか以上、ほとんどのサイトで「経験を積もう！」で片付けられてます。 そんなんで新規人口維持できるわけないやんか。経験は先行者利益になるから大事やけどさ。 Newみんゴルを始めたころの私は、ジャストインパクト (JI) 率が当初30%程度で、激ムズピンでなくても大抵5mのパットが残る状態でした。 その中で頼みのパターを外さないため、映像を撮りながらかなり研究しました。 結局1年ROMっててもパット理論は出てこないので、まずは私から取りまとめて公開しようと思います。 恐れ多いですが、以下では我流理論を「高麗川式」と表記します。 グリッドに頼っ

ポイント▼フライパンは20～22㎝の焦げ付かないものをご使用ください(コーティングがダメになっていると技術でカバーするのは難しいです)。 ▼ゴムベラが簡単に上手く作れます。(ゴムベラは100均にもありますのでぜひゴムベラで！) ▼菜箸等で細かく手早くかき混ぜてしまうと、炒り卵っぽくなりやすいのでご注意ください。 ▼出来立てをお召し上がりください（冷凍不可）。 ▼栄養成分/1人あたり ---------------------- カロリー：267㎉ たんぱく質：13.9g 脂質：20.2g 炭水化物：7.7g -糖質：7.1g -食物繊維：0.5g 塩分：2.0g 「日本食品標準成分表2022年版（八訂）」 ---------------------- ※白いりごま：小さじ1/2、小口切り小ねぎ：3g、仕上げのごま油：小さじ1として ※脂質を控えたい方は、仕上げの白いりごまとごま油をカットし

東山 広樹 | Cooking Maniac @h_gashiyama アルティメット限界ラーメン 水に醤油や味の素を加えるだけで作るラーメンを＂限界ラーメン＂と呼ぶ それをさらに超えた簡単さで、お店レベルのラーメンを作る術が爆誕してしまった… 味の素の「休日だし。」ほたて貝柱だし、が凄まじく美味かったので、コレだけで限界ラーメンを作りたくなった まず、休日だし。だけでラーメンを作るための計算式を作ってみた ＜ラーメンスープに必要な塩分濃度＞ ラーメンの塩分濃度1.2％ ラーメンスープ350g×1.2％＝4.2g →4.2gの塩分が必要 ＜休日だし。の使用量＞ 休日だし。→塩分濃度は2.1g / 1包中 休日だし。12g（2包）→塩分4.2g ＜スープに必要な休日だし。の量＞ 休日だし。12g＋水350g=塩分濃度1.2％ →ラーメンスープの味！ そして…コレがアルティメット限界ラーメンの

これは、なにをしたくて書いたもの？ 前にVaultを試した時は、開発モードのサーバーでした。 Ubuntu Linux 20.04 LTSにVaultをインストールする - CLOVER🍀 今回は、開発モードにせずに使ってみたいと思います。 なんて呼んだらいいかわかりませんが、このエントリーのタイトルとしては「非開発サーバー」としておきます。 環境 今回の環境は、こちら。Ubuntu Linux 20.04 LTSです。 ~$ lsb_release -a No LSB modules are available. Distributor ID: Ubuntu Description: Ubuntu 20.04.3 LTS Release: 20.04 Codename: focal $ uname -srvmpio Linux 5.4.0-91-generic #102-Ubuntu

Vaultの認証メソッドのAppRoleについて少し会話する事があったので、まとめてみました。この後出てくるSecretIDの取り扱いについては、もっと良い方法があるのかもしれませんが、ご参考までに。 About AppRole AppRoleとはVaultの認証メソッドの一つです。AppRoleを利用するクライアントとしては、主にマシンやアプリケーションが想定されています。 マシンやアプリケーション向けの主な認証メソッドとして以下が利用出来ますが、これらが利用出来ない環境等において、マシンやアプリケーションを認証する手段として利用出来ます。 AWS auth method Azure auth method Google Cloud auth method JWT/OIDC auth method Kubernetes auth method AppRoleは、事前に定義されたロールでク

この記事は さくらインターネット Advent Calendar 2023 1日目の記事です。 さくらインターネットの大久保です。ご無沙汰しております。 実は、昨日ちょっとした新機能のリリースを予定していて、今日はそれについての記事を書こうと思ってたんですが、 リリースが延期になってしまったので 代わりに、最近 HashiCorpさんのVault を触る機会があったので、今回はさくらのクラウド上で動かす方法を紹介したいと思います。（といいつつ、ほぼ自分向けメモです） HashiCorp Vaultとは？ HashiCorpさんが開発されているオープンソースソフトウェアです。バックエンドシステムにてやりとりされるパスワードやクレデンシャルなど、シークレット情報を保管するためのシステムです。Webサイトはこちら。 様々なサイトで分かりやすい説明がなされているので、こちらではVault自体の詳細

Docker Hubのようにコンテナイメージを格納し、Dockerにてイメージをダウンロード(Pull)して利用できるようにするサービスをコンテナリポジトリと呼ぶ。 Docker Hubはインターネット上で公開されたサービスとなり、誰でも自由に使える一方、インターネット環境であることからセキュリティ面におけるリスクも大きい。 そのような状況をふまえ、自宅検証環境にプライベートのコンテナレジストリを構築することにした。本記事では、OSSのコンテナレジストリ「Harbor」をインストールする手順を記載する。 なお、今回はHarborへのアクセスをHTTPによる構成としたが、自己署名証明書を使ってHTTPSにて通信させる場合は、以下記事を参照いただきたい。 OSSのコンテナレジストリ「Harbor」を自己署名証明書でHTTPS通信させる 環境 Harbor自体はDockerコンテナとして動作する

概要 HashiCorp VaultにはPKI（公開鍵基盤）の機能もあります。 これを使って ルートCA 中間CA を用意し、 ルート証明書 (root certificate) 中間証明書 (intermediate certificate) サーバ証明書 (primary certificate) を作成します。 環境 Vault 0.10.3 ルートCA〜サーバ証明書について TLS周りの知識がフワフワしてる方はまずこちらをどうぞ christina04.hatenablog.com VaultでPKI ルートCA pkiをマウント では実際にVaultでPKIを構築します。pkiを有効化します。 $ vault secrets enable -path=pki_root pki Success! Enabled the pki secrets engine at: pki_root

Note: This engine can use external X.509 certificates as part of TLS or signature validation. Verifying signatures against X.509 certificates that use SHA-1 is deprecated and is no longer usable without a workaround starting in Vault 1.12. See the deprecation FAQ for more information. The PKI secrets engine generates dynamic X.509 certificates. With this secrets engine, services can get certificat

イオン⁠⁠⁠⁠⁠⁠⁠スマートテクノロジーのCTO室SREチームの@hikkie13です。 過去の記事に記載がある通り、弊社ではHCP Vaultの導入を進めています。 導入には教育・学習が欠かせません。 その過程で得た知識を何回かに分けてまとめていこうと思います。（心が折れない限り） 今回は、Vaultのアーキテクチャや概要についてです。 HashiCorp Vaultとは クラウド運用モデルに適した、シークレットやアプリケーションデータを安全に保つクラウドセキュリティ基盤ツール。 主に以下の機能を有する。 シークレットの一元管理 データ暗号化 Vault Architecture https://developer.hashicorp.com/vault/docs/internals/architecture より引用 ユーザ、マシンはAPIを経由してVaultとやり取りをする。 Sto

6月に入り、旅人のための短期間英語コーチング、英検一級・準一級最短合格コースと、40歳を超えて英語で第二の人生を切り拓いてきた僕の英語学習理論・コーチング手法の粋を集めた新しいサービスを立ち上げてきました。 どちらのコースも、41歳から英語を学びなおし始めた僕の、そして英語コーチとしてのこれまでの僕の集大成とも言うべき内容になっていると自負しているのですが、旅、英検に特化した内容で、短期的な目標を達成するためのものである以上、全ての人にとって有効な普遍的なものとは言い難いものがあります。 そこでこの記事では、すべての英語学習者の方に有効だと思われる、現時点での最強の英語学習セットをご紹介していきたいと思います。 第二言語習得論、そしてこれまでの僕の英語学習経験、指導経験を踏まえ、まさに「これを3ヶ月〜半年間続ければ絶対に誰でも英語力を伸ばすことができる！」と自信を持って断言できる英語学習の

となっています。 構成図 クラスタを構成するものを図にすると以下のようになります。 この中の一部コンポーネントは次節以降で登場します。 Kubernetes基盤 クラスタの基盤部分についてどのような構成になっているのか説明します。 kubeadm クラスタの構築自体については kubeadm を利用しています。 kubeadm を利用したクラスタの構築方法については公式のドキュメントが参考になります。 Static Pod と systemd kubeadm でデプロイすると kube-apiserver 等は Static Pod で、kubelet は systemd 以下で動作するようになります。 kube-apiserver は意外にメモリを食ってしまうのでそのまま動作させているとメモリ不足になることがあります。（ありました） なので kube-apiserver と etcd の

自己紹介と今回書くこと こんにちは、enzaプラットフォーム事業本部でエンジニアをやっている安藤です。 巷で話題のGitOpsについて「聞いたことあるけど、導入は検討していない」という状態だったのですが、今更ながらGitOpsが与えてくれる恩恵について知ることができたので、そのことについて書きたいと思います。

"伝説の家政婦"と呼ばれ、多方面で活躍するタサン志麻さん。築60年の古民家での暮らしをつづった著書『ちょっとフレンチなおうち仕事』（ワニブックス）には、フランスのエッセンスを取り入れた家事や育児を楽しむ方法がつまっています。今回はその中から、「忙しい日こそフランス料理は便利」という料理を楽にするヒントとお家で作れるフレンチレシピを連載形式でお届けします。 【志麻さんのフレンチの格言】 少ない水分でじくじく煮る＝ブレゼは、うまみを凝縮させる調理法 「蒸し煮」と訳される、"ブレ...

SSL証明書は、上位の証明書が次の証明書に署名し、次の証明書がさらにその次の証明書に署名するという信頼の連鎖（トラストチェーン）で成り立っています。例えば、もし上記のような階層構造の中間に挟まっている証明書が抜けていたり、最上位の証明書が無かったりした場合、この階層構造が崩壊してしまい「example.jp」ドメインは認証されません。認証されない場合、ブラウザにエラー画面が表示され、サイトにアクセスできなくなります。 さて、「認証されずにサイトにアクセスできない」と書きましたが、そもそもSSL証明書がドメインを認証する（SSL証明書を送ってきたサーバーのドメインが、SSL証明書に記載されたドメインと同じであると判断する）仕組みはどうなっているのでしょうか？ 例のように「example.jp」のSSL証明書は、サーバーからセットで送られてきた「Example CA intermediate

Raspberry piをはじめとしたシングルボードコンピューターが流行して、趣味や学習目的で自家サーバーを運用することが身近なことになりました。 wordpressをインストールしてブログを公開したり、webアプリケーションを運営したりと最近のシングルボードコンピューターのスペックでしたら、いろんなことを低いランニングコストで試すことができます。 ただ、自家サーバーを構築して、自宅のipを公開するということは簡単にできるようになっても、運用するとなると簡単には行かない問題が残っています。 それは、 raspberry pi が乗っ取られてしまったとき、LAN内の機器から情報が盗まれてしまう 自宅のネットワークに固定ipが割り当てられてないとアドレスを公開できない（公開しても変わってしまう） ということです。 ということで、自家サーバーを運用するうえで引っかかりやすいこれらの問題を、前者は