tech article kubestronautへの道 ~CKS編 その24 killer coda「Secret Access in Pods」~
今日覚えて帰ること SecretをファイルとしてPodから利用する podにマウントしたsecretの連想配列dataのキーは、mountPath以下のファイル名になる。 Secret Access in Pods Create Secre...
tech article
tech article 
tech article kubestronautへの道 ~CKS編 その23 killer coda「Secret ETCD Encryption」~
今日覚えること etcd Kubernetesの全てのクラスター情報の保存場所として利用されている、一貫性、高可用性を持ったキーバリューストアのこと EncryptionConfiguration APIサーバーが永続的なデータを保存すると...
tech article kubestronautへの道 ~CKS編 その22 killer coda「Sandbox gVisor」~
今日覚えて帰ること gVisor 低レベルのコンテナランタイム runCの脆弱性を解消するために作られた Sandbox gVisor Install and configure gVisor You should install gVis...
tech article kubestronautへの道 ~CKS編 その21 killer coda「RBAC」~
今日覚えて帰ること RBAC Role-Based Access Controlの略 ユーザー、グループ、サービスアカウントなどに対してきめ細やかな権限を付与することが出来る クラスター単位での権限なのか、 namespace 単位での権限...
tech article kubestronautへの道 ~CKS編 その20 killer coda「Privilege Escalation」~
今日覚えて帰ること Privilege Escalation 日本語では権限昇格Kubernetesにおいては、コンテナにrootユーザーでは入れてしまうことに対して使うことが多い。SecurityContextというフィールドの下に設定を...
tech article kubestronautへの道 ~CKS編 その19 killer coda「NetworkPolicy」~
今日覚えて帰ること NetworkPolicy クラスター内部におけるトラフィックを制御するためのリソース namespace 単位で作成する AND 条件と OR 条件に要注意 NetworkPolicy Create Default D...
tech article kubestronautへの道 ~CKS編 その18 killer coda「Ingress」~
今日覚えて帰ること Ingress ロードバランサー的なKubernetesリソース。クラスター外部からのリクエストをクラスター内部のsvcへつなげてくれる。Ingressコントローラーが実際のロードバランサーを生成するリソース。AWSでい...
tech article kubestronautへの道 ~CKS編 その17 killer coda「Immutability Readonly Filesystem」~
今日覚えて帰ること readOnlyRootFilesystem SecurityContext 配下に設定する (podのマニフェストファイルにおいて) spec 配下と、 spec.containers 配下に SecurityCont...
tech article kubestronautへの道 ~CKS編 その16 killer coda「Image Vulnerability Scanning Trivy」~
今日覚えて帰ること Trivy コンテナイメージの脆弱性診断ツール trivy image <image name> でイメージスキャンを実行する 動作中のコンテナの脆弱性は診断できない Image Vulnerability Scanni...
tech article kubestronautへの道 ~CKS編 その15 killer coda「Image Use Digest」~
今日覚えて帰ること digest イメージを指し示すポインタ 変更不可能(イミュータブル) ハッシュ値で表される Image Use Digest Use an image digest instead of tag Image tags ...