tech article

今日覚えて帰ること strace システムコールとシグナルを追跡するのに使用するコマンド。straceコマンドの引数に、普段利用しているコマンドとその引数を入れて実行すればいい。 Syscall Activity Strace Use st...

今日覚えて帰ること securityContext マニフェストファイルのセキュリティが気になるときはsecurityContextをチェックする Static Manual Analysis K8s Analyse K8s Pod YAM...

今日覚えて帰ること Dockerfile Best Practices 最終的に動くコンテナは軽量になるようにマルチステージビルドを行う コンテナを動かすユーザーは非rootにする レイヤーが残ることを忘れない Static Manual ...

今日覚えて帰ること ServiceAccount podのマニフェストファイルにspec.serviceAccountNameというフィールドが存在し、ここにSAを指定することでpodにSAをアタッチできる 上記のフィールドを設定しない場合...

今日覚えて帰ること base64コマンド echo -n c2VjcmV0 | base64 -d echoに-nオプションをつけて改行が入らないようにする base64コマンドでdecodeしたいときは-dオプションをつける Secret...

今日覚えて帰ること SecretをファイルとしてPodから利用する podにマウントしたsecretの連想配列dataのキーは、mountPath以下のファイル名になる。 Secret Access in Pods Create Secre...

今日覚えること etcd Kubernetesの全てのクラスター情報の保存場所として利用されている、一貫性、高可用性を持ったキーバリューストアのこと EncryptionConfiguration APIサーバーが永続的なデータを保存すると...

今日覚えて帰ること gVisor 低レベルのコンテナランタイム runCの脆弱性を解消するために作られた Sandbox gVisor Install and configure gVisor You should install gVis...

今日覚えて帰ること RBAC Role-Based Access Controlの略 ユーザー、グループ、サービスアカウントなどに対してきめ細やかな権限を付与することが出来る クラスター単位での権限なのか、 namespace 単位での権限...

今日覚えて帰ること Privilege Escalation 日本語では権限昇格Kubernetesにおいては、コンテナにrootユーザーでは入れてしまうことに対して使うことが多い。SecurityContextというフィールドの下に設定を...