kubenews #13
2021-03-26
配信URL
各タイトルを押していただくことで、実際の記事に飛びます。
Open Source solutions for chaos engineering in Kubernetes
MinIO as Object Storage as a Service
netapp astra
- コンテナイメージからKubernetesの状態情報、構成データまで多岐にわたるデータを管理するソリューション
- 通常のスナップショットでデータを保護する機能が含まれていて、ユーザーは、データが誤って削除または破損した場合に、Kubernetes クラスターを以前のスナップショットに戻すことが可能
- リモート・バックアップを使用して、アプリケーションとそのアプリケーションの現在の状態に対するフルバックアップを取り、別のリージョンの別の Kubernetes クラスターに復元することが可能。
- アクティブクローンを用いて、アプリ全体とそのデータを、場所に関係なく、あるKubernetes クラスターから別のクラスターに移動可能。
Configure your Kubernetes Ingress with Ingress Builder
以前にNetworkPloicyに関して、GUIでManifestを作成できるツールをご紹介しましたが、 今回は、Ingressに関するツールが出たようです。 https://ingressbuilder.jetstack.io/#tab-content-v1
Ingress Builder was developed to make configuring Ingress resources more interactive by allowing users to discover and configure annotations for their Ingress controllers easily in a single web interface.
と書かれているので、Annotation専用になっている。 少し勿体無い。。。
Who Needs Open Policy Agent?
- EnterpriseはOPAが必要か。
- 会社にOPAが必要かどうかは、ワークロードをどの程度スケーラブルにする必要があるか、およびワークフローの作成をどの程度自動化するかによって異なる。
- いつOPAを採用する必要が
Cosign — Signed Container Images
Notaryとどっちが有用?
Kubenews #11
2021-03-05
配信URL
各タイトルを押していただくことで、実際の記事に飛びます。
Getting started with Kubernetes audit logs and Falco
Achieving Cloud Native Security and Compliance with Teleport
teleport - SSH/Kubernetes ゲートウェイ マシンとして機能 - Kubernetes クラスターで実行されるすべての kubectl コマンドの監査ログと記録を提供 - 静的なkeyに依存せず、SSH 証明書に基づく認証を提供 - etc その他アーキテクチャ、デモが紹介されている。 サイボウズからも情報がでている。(https://blog.cybozu.io/entry/2019/07/31/100000)
CNCF Live Webinar: How to Manage Kubernetes Application Lifecycle Using Carvel
Configure multi-tenancy with Kubernetes namespaces
以下のポイントを抑える。
- RBAC: Kubernetes のロールベースのアクセス制御
- Network Policy: namespace間のトラフィックを分離するには
- Resource Quota: クラスタリソースへのフェアなアクセスを制御
Kubenews #9
2021-02-12
配信URL
https://youtu.be/WH3FcQY3zk8youtu.be
各タイトルを押していただくことで、実際の記事に飛びます。
NetworkPolicy Editor: Create, Visualize, and Share Kubernetes NetworkPolicies
Kubernetes Policy Comparison: OPA/Gatekeeper vs Kyverno
- PSP(Pod Security Policy)の廃止に伴って、代替手段としてOPA-GAtekeeperとKyvernoを比較している。
- ゲートキーパーの利点
- 非常に複雑なポリシーを表現できる
- コミュニティにおける確立性の高さ
- 可用性と拡張性のために複数のレプリカをサポート
ゲートキーパーの短所
- 新しいプログラミング言語を必要とすることの学習コスト
- Munationがまだ初期段階
- Generationの能力がない
- ポリシーが複雑で、実装するには複数のドキュメントが必要
Kyvernoの利点
- ポリシー表現のシンプルさ
- Mutationが安定している
- GeneratingやSyncなどの機能があり、ユースケースが多様
- Kyvernoの短所
- 複雑なポリシーの作成が一般的に不可能
- APIルックアップ機能は初期段階
- HAが未対応
EKS vs GKE vs AKS
- 3つのサービスを表を用いて比較してくれている。
Kubenews #8
2021-02-05
配信URL
https://youtu.be/QtHOLScNtXYyoutu.be
各タイトルを押していただくことで、実際の記事に飛びます。
スクリュードライバーとKubernetesを使用したデータベースのマイグレーション
- もともと、DBのマイグレーションは物理サーバー1つの上でshell scriptsを動かすところから、Screwdriverを用いてJavaアプリケーションからパッチファイルを叩くものに変更した。
- 今回は、screwdriverとCronJobを用いて、DBのマイグレーションをするようにした
- DBの文脈におけるマイグレーションって??
- Screwdriver
- Athenz
Self-Service Velero Backups with Kyverno
veleroを使ってバックアップの準備をし、kyvernoのgenerate機能を用いてnirmata.io/auto-backup: enabled
というlabelが付いたNamespaceが作成されたときに、VeleroのBackup Scheduleを作成するもの。
LWKD
kubenews #7
2021-01-29
配信URL
各タイトルを押していただくことで、実際の記事に飛びます。
Kubernetes Cost Reporting using Kubecost
- kubernetesの上で動かし、現在の使用状況からどれくらいのコストがかかりそうか、どれくらいのコストカットができそうかなどをみることができる。
- 実際に見てもらいたいと思います。
Project Agumbe: Share Objects Across Namespaces in Kubernetes
- Global ResourceというCRD オブジェクトを使って、Namespaceに依存するリソースの複製を他のNamespaceにつくるもの
- コピー元をParent Object、コピーをChild Objectと呼ぶ。
【EKSWorkshop】EKSやkubernetes周辺を効率よく学ぶのにオススメなチュートリアル集
- EKSを学んでいくためのチュートリアル
- 一緒にやっていく人を大募集中なので、よければryにご連絡ください。
- やりたいもの
- Start the workshop
- Deploy the Example Microservices
- Autoscaling our Applications and Clusters
- Using Spot Instances with EKS
- Service Mesh With App Mesh
Kubenews #6
2021-01-22
配信URL
各タイトルを押していただくことで、実際の記事に飛びます。
GCPSketchnote
GCPの様々なリソースについて絵を使って、動作やユースケースなどの説明してくれている。
CNCF Security Whitepaper Shows the Complexity of Securing Cloud Native Operations
- Cloud Native Security Whitepaperというものがあるらしい。
- CNCFは、クラウドネイティブ開発は、develop、destribute、deploy、runtimeの4つの異なるライフサイクルフェーズにモデリングする必要があると述べている。
- Develop: アプリケーション作成段階
- Destribute: CICDの段階
- Deploy: Containerとして動かす段階
- 次のことを確認しよう。
- 署名されたアーティファクト(ソースコード、デザインファイル、テストのエビデンス、ログファイルなどなど)となっているか検証できているか。
- コンテナイメージはセキュリティポリシーに準拠しているか。
- ホストの適合性を検証したか。
- 監視は、次の3つに基づいて実施
- metrics
- trace
- log
- 次のことを確認しよう。
- Runtime: 基盤に関して
- 認可されたプロセスのみがコンテナ名前空間内で動作する
- 不正なリソースアクセスを防ぐ - 敵対的なツールアクティビティを検出するために、ネットワーク監視を行う
What’s Your Kubernetes Maturity?
- Kubernetes Maturity Modelというものをざっくりと解説した記事
- Phase1: Prepare
- Kubernetesが、ビジネス目標と技術目標の推進にどのように役立つか、コスト、および達成しようとしていることを検討
- Phase2: Transform
- 基礎的な知識や理解、マインドセットだったりエコシステムの変革を行う段階
- 既存の技術をCloud Nativeな文脈から見ること、技術的負債を払拭してKubernetes内に持ち込まないこと
- Phase3: Deploy
- 実際にKubernetes上でApplicationを本番運用し始める。
- CI / CDのセットアップ、開発者の権限付与、限定的な監視と可観測性の導入
- Phase4: Build Confidence
- 経験から自信をつける段階
- Phase5: Improve Operation
- Kubernetesクラスターのセキュリティ、効率、信頼性を向上させる段階
- Phase6: Measure & Control
- この段階では、何を測定および追跡し、どのようにKubernetesを制御するかを理解すべく、より多くのデータ、インサイト、ツールによる情報を収集して処理する。
- infrastructure as code and CI/CD driven processes
- Phase7: Optimize and Auutomate
- Phase1: Prepare
Kubenews #5
2021-01-15
配信URL
https://youtu.be/8Y_aHyveDUYyoutu.be
各タイトルを押していただくことで、実際の記事に飛びます。
Kubernetes Storage Performance Comparison
- GlusterFS, CEPH, Portworx, OpenEBS(cStor backend), OpenEBS MayaStor, Longhornの比較記事
- 比較はAKS上で実施
- 結果としては、Portworx と OpenEBS Mayastorがすごそう