tech article kubestronautへの道 ~CKS編 その19 killer coda「NetworkPolicy」~
今日覚えて帰ること NetworkPolicy クラスター内部におけるトラフィックを制御するためのリソース namespace 単位で作成する AND 条件と OR 条件に要注意 NetworkPolicy Create Default D...
2024-08
tech article 
tech article kubestronautへの道 ~CKS編 その18 killer coda「Ingress」~
今日覚えて帰ること Ingress ロードバランサー的なKubernetesリソース。クラスター外部からのリクエストをクラスター内部のsvcへつなげてくれる。Ingressコントローラーが実際のロードバランサーを生成するリソース。AWSでい...
tech article kubestronautへの道 ~CKS編 その17 killer coda「Immutability Readonly Filesystem」~
今日覚えて帰ること readOnlyRootFilesystem SecurityContext 配下に設定する (podのマニフェストファイルにおいて) spec 配下と、 spec.containers 配下に SecurityCont...
tech article kubestronautへの道 ~CKS編 その16 killer coda「Image Vulnerability Scanning Trivy」~
今日覚えて帰ること Trivy コンテナイメージの脆弱性診断ツール trivy image <image name> でイメージスキャンを実行する 動作中のコンテナの脆弱性は診断できない Image Vulnerability Scanni...
tech article kubestronautへの道 ~CKS編 その15 killer coda「Image Use Digest」~
今日覚えて帰ること digest イメージを指し示すポインタ 変更不可能(イミュータブル) ハッシュ値で表される Image Use Digest Use an image digest instead of tag Image tags ...
tech article kubestronautへの道 ~CKS編 その14 killer coda「ImagePolicyWebhook Setup」~
今日覚えて帰ること ImagePolicyWebhook Admission controller プラグインの一つ Admission controller プラグインの MutatingAdmissionWebhook/Validati...
tech article kubestronautへの道 ~CKS編 その13 killer coda「Falco Change Rule」~
今日覚えて帰ること Falco falco_rules.yaml を編集して falco の検知ルールを変更する。initプロセスが... ystemd の場合は systemctl restart falcoSysVinit の場合は s...
tech article kubestronautへの道 ~CKS編 その12 killer coda「Container Namespaces Docker」~
今日覚えて帰ること PID名前空間 一群のプロセスが他の名前空間のPIDとは別に独自の一意のPIDセットを持つことができる名前空間のこと。各コンテナは通常独自のPID名前空間を持つ。 コンテナを立ち上げる際、--pid=<resistory...
tech article kubestronautへの道 ~CKS編 その11 killer coda「Container Image Footprint User」~
今日覚えて帰ること USER <username> コマンドを実行するユーザーを指定したいときは、DockerfileでUSER <username>と設定する。 Container Image Footprint User Run the...
tech article kubestronautへの道 ~CKS編 その10 killer coda「Container Hardening」~
今日覚えて帰ること Container Hardeningとは コンテナのセキュリティを強化すること。具体的な方法は多種多様であるが、例えば以下のような対策が当てはまる。 コンテナ内にシークレットを残さない root権限を与えない 不要なバ...