tech article

今日覚えて帰ること readOnlyRootFilesystem SecurityContext 配下に設定する （podのマニフェストファイルにおいて) spec 配下と、 spec.containers 配下に SecurityCont...

今日覚えて帰ること Trivy コンテナイメージの脆弱性診断ツール trivy image <image name> でイメージスキャンを実行する 動作中のコンテナの脆弱性は診断できない Image Vulnerability Scanni...

今日覚えて帰ること digest イメージを指し示すポインタ 変更不可能（イミュータブル） ハッシュ値で表される Image Use Digest Use an image digest instead of tag Image tags ...

今日覚えて帰ること ImagePolicyWebhook Admission controller プラグインの一つ Admission controller プラグインの MutatingAdmissionWebhook/Validati...

今日覚えて帰ること Falco falco_rules.yaml を編集して falco の検知ルールを変更する。initプロセスが... ystemd の場合は systemctl restart falcoSysVinit の場合は s...

今日覚えて帰ること PID名前空間 一群のプロセスが他の名前空間のPIDとは別に独自の一意のPIDセットを持つことができる名前空間のこと。各コンテナは通常独自のPID名前空間を持つ。 コンテナを立ち上げる際、--pid=<resistory...

今日覚えて帰ること USER <username> コマンドを実行するユーザーを指定したいときは、DockerfileでUSER <username>と設定する。 Container Image Footprint User Run the...

今日覚えて帰ること Container Hardeningとは コンテナのセキュリティを強化すること。具体的な方法は多種多様であるが、例えば以下のような対策が当てはまる。 コンテナ内にシークレットを残さない root権限を与えない 不要なバ...

今日覚えて帰ること kube-benchコマンド kube-bench run 対象となるコンポーネントをスキャンするコマンド。サブコマンドは多分これだけ覚えておけばOK。後はいくつかオプションを覚える。 kube-bench run --...

今日覚えて帰ること CSRリソース CertificateSigningRequest リソース タイプを使用すると、クライアント（ユーザーや各リソース）は署名要求に基づいて X.509 証明書の発行を要求することができる。 Certifi...