はじめに
KubeWeeklyは毎週Kubernetesに関する興味深いニュースを提供しています。(http://bit.ly/kubeweekly )この記事は 2019/01/16に発行された Kube Weekly #159 ( https://mailchi.mp/cncf/kubeweekly-159 ) を読んで、感じたことをメモ的にまとめたものです。
私の勘違いや説明不足による誤解もあるかと思いますので、この記事読んで「おっ」と思ったらURLを辿って本文を確認してください。
9 Kubernetes Security Best Practices Everyone Must Follow - Cloud Native Computing Foundation
| 9 Kubernetes Security Best Practices Everyone Must Follow - Cloud Native Computing Foundation | |
 |
By Connor Gilbert, product manager at StackRox Last month, the Kubernetes ecosystem was shaken by the discovery of the first major security flaw in Kubernetes, the world’s most popular container orchestrator.... |
みんなが従うべき、Kubernetesの9つのセキュリティベストプラクティス
- 最新バージョンを使う
- RBACを有効にする
- Namespaceを使う
- NetworkPolicyなどで通信を分離しやすいため
- 大事なPodは独立したNodeにスケジュールさせる
- 読み書き可能なSecretはNode単位で制限されるため
- クラスタメタデータへのアクセスをセキュアにする
- NetworkPolicyを使う
- PodSecurityPolicyを設定する
- Nodeのセキュリティを強化する
- kubeletの使うポートは不必要インアクセスできないようにしておく
- 管理者権限でNodeにログインできる人を最小限にする
- AuditLoggingを有効にする
Container Storage Interface (CSI) for Kubernetes GA
| Container Storage Interface (CSI) for Kubernetes GA | |
 |
Author: Saad Ali, Senior Software Engineer, Google The Kubernetes implementation of the Container Storage Interface (CSI) has been promoted to GA in the Kubernetes v1.13 release. Support for CSI was introduced as alpha in Kubernetes v1.9 release, and promoted to beta in the Kubernetes v1.10 release. The GA milestone indicates that Kubernetes users may depend on the feature and its API without fear of backwards incompatible changes in future causing regressions. |
CSIがKubernetes v1.13でGAになりました。
CSIがなぜ必要となったのか?新機能の紹介。CSIの使い方など。
またCSI Driverを作るときに便利なサイドカーコンテナを紹介している。
Proposing an enhancement to Kubernetes: The story of a KEP
| Proposing an enhancement to Kubernetes: The story of a KEP | |
 |
Kubernetes is a big project — it has a wide range of users and a large number of people working on it at any given time. For simple… |
Kubernetes Enhancement Proposals (KEPs) の話。大きな機能をKubernetesに導入する際に事前に作成するドキュメント。
この筆者は今まさにKEPを出している所のようで、ここまでで苦労した話などを載せている。
The Technical
APIServer dry-run and kubectl diff
| APIServer dry-run and kubectl diff | |
| Author: Antoine Pelisse (Google Cloud, @apelisse) Declarative configuration management, also known as configuration-as-code, is one of the key strengths of Kubernetes. It allows users to commit the desired state of the cluster, and to keep track of the different versions, improve auditing and automation through CI/CD pipelines. The Apply working-group is working on fixing some of the gaps, and is happy to announce that Kubernetes 1.13 promoted server-side dry-run and kubectl diff to beta. | |
kubectl diffについて
kubectl apply --dry-runでは不十分だが、サーバとの完璧なdiffを取るにはいろいろ考慮すべき点がある。
1.12でこの機能はベータサポートされている。
How to Create a Kubernetes Custom Controller using client-go
client-goを使ったコントローラの設計とサンプル。
Scaling Jupyter notebooks with Kubernetes and Tensorflow
| Scaling Jupyter notebooks with Kubernetes and Tensorflow | |
 |
One of the most common hurdles with developing AI and deep learning models is to design data pipelines that can operate at scale and in real-time. Data scientists and engineers are often expected to learn, develop and maintain the infrastructure for their experiments, but the process takes time away from focussing on training and developing the models. But what if you could outsource all of the non-data science to someone else while still retaining control? In this article, you will explore how you can leverage Kubernetes, Tensorflow and Kubeflow to scale your models without having to worry about scaling the infrastructure. |
Kubeflowの紹介
Intro to Jenkins X CI/CD for Kubernetes | Log Analysis | Log Monitoring by Loggly
| Intro to Jenkins X CI/CD for Kubernetes | Log Analysis | Log Monitoring by Loggly | |
 |
In this article, we’ll introduce you to JX, show you how to use it, and how to monitor your builds and production deployments. |
JenkinsXの紹介と使い方。
JenkinsXのCLIであるjxはKubernetesクラスタの作成から、雛形の作成、Webhookの自動設定などを行ってくれる。
KubernetesやJenkinsに詳しくなくとも開発を始めることができる。
Conquering Statefulness on Kubernetes – Capital One Tech – Medium
| Conquering Statefulness on Kubernetes – Capital One Tech – Medium | |
 |
Containerization has revolutionized the way we think of application development as a whole. There are many benefits: consistent… |
KubernetesでStatefulを扱うための方法 PersistentVolumeやStatefulSetの紹介
Running Istio on Kubernetes in production. Part I. – AvitoTech – Medium
| Running Istio on Kubernetes in production. Part I. – AvitoTech – Medium | |
 |
What is Istio? Istio is a service mesh technology adding an abstraction layer to the network. It intercepts all or part of the traffic in… |
Istio の各コンポーネントの動作概要の説明
Kubernetes authentication via GitHub OAuth and Dex – Preply Engineering Blog – Medium
| Kubernetes authentication via GitHub OAuth and Dex – Preply Engineering Blog – Medium | |
 |
In this article I will share with you step-by-step guide for generating kubectl credentials using Dex, dex-k8s-authenticator and GitHub. |
mintel/dex-k8s-authenticator
とdexidp/dexを使ってGitHubのアカウントでKubernetesにログインする方法を紹介。
Lunatech – Running the Spark-notebook on a Kubernetes google cloud cluster
| Lunatech – Running the Spark-notebook on a Kubernetes google cloud cluster |
GKE上にSparkをデプロイし、そのSparkクラスタに対してこれまたKubernetes上からREPLでアクセスしたり、spark-notebookでアクセスしたりする方法を紹介。
Istio Service Mesh + Apollo Server for GraphQL – ITNEXT
Kubernetes上にGraphQLのサーバをデプロイしistioのメトリクスで通信状況を可視化する方法を紹介。
Tooling Spotlight
aquasecurity/kube-hunter
| aquasecurity/kube-hunter | |
 |
Hunt for security weaknesses in Kubernetes clusters - aquasecurity/kube-hunter |
Kubernetesクラスタのセキュリティスキャンを実施するソフトウェア。
ActiveHuntingモードだとクラスタを壊してくる。
The Editorial
Why Is Storage On Kubernetes So Hard?
| Why Is Storage On Kubernetes So Hard? | |
 |
Container orchestration tools like Kubernetes are revolutionizing the way applications are being developed and deployed. With the rise of the microservices architecture and decoupling of infrastructure from application logic from the developer’s point of view, developers are becoming more focused on building software and delivering value. Kubernetes abstracts away the physical machines it is managing. |
KubernetesのStateful周りの説明
CSIの説明や、Rook,Cephの紹介。
Stateful Kubernetes with Saad Ali
| Stateful Kubernetes with Saad Ali | |
 |
In a cloud infrastructure environment, failures happen regularly. The servers can fail, the network can fail, and software bugs can crash your software unexpectedly. The amount of failures that can occur in cloud infrastructure is one reason why storage is often separated from application logic. A developer can launch multiple instances of their application, with |
PodCast(聞いていない)
タイトルからするとGoogleでKubernetesを開発しているエンジニアによるStaetfulの機能紹介?
Kubernetes security: 4 tips to manage risks
| Kubernetes security: 4 tips to manage risks | |
 |
As you bear down on Kubernetes security, use these strategies to avoid missteps in work with containers and orchestration |
Kuberntesのセキュリティに関する4つのTips
- 導入の早い段階からセキュリティを意識すること
- Kubernetesコミュニティに積極的に参加すること
- 商用のKuberneteesプラットフォームを検討する
- 古いツールや習慣をあてにしない
Managing Secrets in Kubernetes
| Managing Secrets in Kubernetes | |
 |
In this post, we continue our discussion on how to separate code from configuration in Kubernetes and examine how to manage secrets in Kubernetes. |
KubernetesでSecretをどう扱うか?
- クラウドプロバイダが提供するものを使う
- オープンソースの仕組みを使う(Vault, Sealed Secrets)
- 有償製品を使う
特にオープンソースの仕組みの部分について詳しく述べられている。
On Infrastructure at Scale: A Cascading Failure of Distributed Systems
| On Infrastructure at Scale: A Cascading Failure of Distributed Systems | |
 |
At Target, we run a heterogeneous infrastructure in our datacenters (and many other places), where we have multiple different backend… |
インフラの更新によるKafkaの障害から始まるKubernetesクラススタの障害についての記録。
Kafkaが詰まり、ロギングのサイドカーのCPU負荷が急増し、しかもそのクラスタには大量のPodがあったため、その影響が無視できないものとなった。
Dockerデーモンが動かなくなりNodeがUnhealthyと判定され、Podの再配置が動き始める。
サービスディスカバリのためにConsulも利用しており、Podの再配置により、これらの情報も更新が頻発するようになった。
Consulの更新が多すぎて、gossipでのコミュニケーションができなくなり、周辺システムがサービスディスカバリに失敗するようになった。
(ここで問題となったConsulの挙動については修正されているようです)
クラスタが大きいとこのようなそれぞれについては小さい負荷が、全体に波及することがあるようです。
What I learned in my first 2 years as a Software Engineer
| What I learned in my first 2 years as a Software Engineer | |
 |
I survived it. |
ソフトウェアエンジニアとしてのはじめの2年で私が学んだこと。
Kubernetesを学ぶことを勧めています。
What's New in Kubernetes 1.13
| What's New in Kubernetes 1.13 | |
 |
This release continues to focus on stability and extensibility of Kubernetes with three major features graduating to general availability this cycle in the a... |
Kubernetes 1.13の新機能紹介動画(見ていない)
5 open source tools to upgrade your next Kubernetes project - JAXenter
| 5 open source tools to upgrade your next Kubernetes project - JAXenter | |
 |
Looking to really improve your next Kubernetes project? Here are five tools that are guaranteed to elevate your container orchestration management. |
次のKubernetesプロジェクトのためのOpenSourceのツールを5つ紹介。
- GitHub - kubernetes/minikube: Run Kubernetes locally
- Tilt
- GitHub - rook/rook: Storage Orchestration for Kubernetes
- GitHub - rancher/rancher: Complete container management platform
- Serverless Functions for Kubernetes - Fission
2019 Data Center Drivers: Kubernetes, Cloud, ML, File System Storage
| 2019 Data Center Drivers: Kubernetes, Cloud, ML, File System Storage | |
 |
If 2019 is anything like the previous year, there will be a renewed push for modernization in the data center to alleviate the management complexity, |
2019年の業界予想。AIやストレージ、Opsの自動化などについて触れている。
Day Two Kubernetes: Tools for Operability
| Day Two Kubernetes: Tools for Operability | |
 |
Bridget Kromhout discusses what containers and Kubernetes clusters are at a high level, looks into the practical application of open source tools to simplify cluster management, and shows how to deploy Kubernetes clusters in a repeatable and portable fashion. |
動画(みていない)
コンテナ、Kubernetesの紹介からHelm, draft, brigadeなどMicrosoftのOSSを紹介しているようです。