はじめに
KubeWeeklyは毎週Kubernetesに関する興味深いニュースを提供しています。(http://bit.ly/kubeweekly )この記事は 2019/02/13に発行された Kube Weekly #162 ( https://mailchi.mp/cncf/kubeweekly-162 ) を読んで、感じたことをメモ的にまとめたものです。
私の勘違いや説明不足による誤解もあるかと思いますので、この記事読んで「おっ」と思ったらURLを辿って本文を確認してください。
The Headlines
Runc and CVE-2019-5736
| Runc and CVE-2019-5736 | |
| This morning a container escape vulnerability in runc was announced. We wanted to provide some guidance to Kubernetes users to ensure everyone is safe and secure. What Is Runc? Very briefly, runc is the low-level tool which does the heavy lifting of spawning a Linux container. Other tools like Docker, Containerd, and CRI-O sit on top of runc to deal with things like data formatting and serialization, but runc is at the heart of all of these systems. | |
RunCの脆弱性について。
脆弱性の詳細はまだ公開されていないが、Kubernetesの機能でそれを抑制する方法を紹介している。
もちろん、可能ならruncを安全なバージョンにあげるのが良い。
Building a Kubernetes Edge (Ingress) Control Plane for Envoy v2
| Building a Kubernetes Edge (Ingress) Control Plane for Envoy v2 | |
| Author: Daniel Bryant, Product Architect, Datawire; Flynn, Ambassador Lead Developer, Datawire; Richard Li, CEO and Co-founder, Datawire Kubernetes has become the de facto runtime for container-based microservice applications, but this orchestration framework alone does not provide all of the infrastructure necessary for running a distributed system. Microservices typically communicate through Layer 7 protocols such as HTTP, gRPC, or WebSockets, and therefore having the ability to make routing decisions, manipulate protocol metadata, and observe at this layer is vital. | |
Envoyを使ったKubernetes向けのAPIGatewayの実装であるAmbassadorの概要について紹介している。
またv0.50の開発でEnvoy v2 APIに対応し、テストのフレームワークであるambassador/katを自作したことに触れている。
また様々な理由によりPythonだけでなくGo言語を開発に取り入れているとのこと。
Istio and Kubernetes in production. Part 2. Tracing
| Istio and Kubernetes in production. Part 2. Tracing | |
 |
In the previous post, we took a look at the building blocks of Service Mesh Istio, got familiar with the system, and went through the… |
Istioでサービスのトレーシングを実現している方法の紹介。
ただIstioを入れるだけでは、ダメで、いくつか気にすべきことがある。
何のプロトコルでやりとりをするか明記することと、HTTPの場合はやってきたヘッダを次のサービスにそのまま渡すようにする必要がある。
The Technical
Development in the Cloud – Jakub Borys – Medium
| Development in the Cloud – Jakub Borys – Medium | |
 |
With an advent of Microservice architectures, limitless compute resources enabled by Kubernetes has to be utilised in early stages of… |
Kubernetesでの開発に便利なツールの紹介
- Brigade
- サンプルプロジェクトを用意し、細かなパイプラインの実例を紹介している
- Telepresence
- Ksync
Microservices Orchestration with Kubernetes – Asad Faizi – Medium
| Microservices Orchestration with Kubernetes – Asad Faizi – Medium | |
 |
In our last post, we discussed the recent trend towards microservices, and some of the complications that can arise as part of a… |
Kubernetesの紹介と、簡単なGoのWebサービスとマニフェストを用意して、マイクロサービスの作り方を紹介している。
Viewing Logs In Kubernetes – DevOpsLinks Community Publication – Medium
| Viewing Logs In Kubernetes – DevOpsLinks Community Publication – Medium | |
 |
This article contains how to see logs based on various options available. |
Kubernetesでのログの見方。
ラベルでPodを指定したり、複数のコンテナを内包している場合の指定方法や、特定日時・行数からといった指定や、1つ前の実行時のログを見る方法などを紹介。
Using Kubernetes – deechris27 – Medium
| Using Kubernetes – deechris27 – Medium | |
 |
Managing you containerised microservices through kubernetes. |
Kubernetesの紹介と、Windows環境でMinikubeを使って作ったクラスタ上で、独自に作ったnginxのコンテナイメージをデプロイする方法を紹介。
What every Data Scientist should know about Kubernetes (but they are afraid to ask) part I
| What every Data Scientist should know about Kubernetes (but they are afraid to ask) part I | |
 |
Introductio |
全てのデータサイエンティストが知っておくべきKubernetesのこと。
といっても、普通にKubernetesの紹介でした。
Kubernetes Ingress Controllers: How to choose the right one: Part 1
| Kubernetes Ingress Controllers: How to choose the right one: Part 1 | |
 |
In this article, I will share my experience with 3 major types of Kubernetes ingress solutions. Let’s go through their pros and cons and… |
KubernetesのIngressController派いくつかあるが、どれが良いか?どういう特徴があるか?という記事
特徴と、注意すべき点がまとめられていた。
- Nginx Ingress Controller
- 全てのNamespaceをWatchするのはやめよう
- 複数の環境でNginxIngressを共用するのはやめよう
- プロセス数の設定に気をつけよう
- AWS ALB Ingress Controller
- ALBの便利な機能が使える(Firewall,HTTPS redirect, static error page, Authentication...)
- 今の所一つのIngressリソースに全てのルールを書く必要がある(ほんとうか?)
- instance mode, ip modeというのがある。ip modeをつかうと、ALBから直接Podに通信する。
- 次回は Envoy Based Ingress Controllerについて触れる らしい
Develop, Build, Release & Deploy – DIPANSHU GOYAL – Medium
| Develop, Build, Release & Deploy – DIPANSHU GOYAL – Medium | |
 |
I have always had a desire of deploying applications into an environment with just a single click (or a single command). |
アプリケーションのビルド、コンテナイメージ化、デプロイ。を自動化するための概要についての説明。
具体的なツールの説明はなく、どのようなプロセスが必要かといった話。
Kubernetes adventures — Creating the cluster – Diego Lakatos – Medium
| Kubernetes adventures — Creating the cluster – Diego Lakatos – Medium | |
 |
Kubernetes is one of the hottest topics in technology today and is becoming the standard when it comes to orchestrating the containers. My… |
kopsを使ってクラスタを作る方法を紹介。
Using SPIRE to (Automatically) Deliver TLS Certificates to Envoy For Stronger Authentication
| Using SPIRE to (Automatically) Deliver TLS Certificates to Envoy For Stronger Authentication | |
 |
Hello! This is Andrew Harding from Scytale. If you are currently using Envoy to provide secure service-to-service communication, I’d like… |
EnvoyとSPIREを組み合わせて相互TLSの鍵を管理し、短い時間でローテートさせる方法を紹介。
Tooling Spotlight
sysdiglabs/kube-psp-advisor
| sysdiglabs/kube-psp-advisor | |
 |
Help building an adaptive and fine-grained pod security policy - sysdiglabs/kube-psp-advisor |
namespaceを指定すると、そこで動作しているPodの動作するPodSecurtyPolicy(PSP)を生成してくれるツール。
PSPの設定は煩雑だが、とりあえずこれを実行して、出てきたPSPを利用しておくだけでも一定の効果はありそう。
Comcast/kuberhealthy
| Comcast/kuberhealthy | |
 |
Easy synthetic testing for Kubernetes clusters. Works great with Prometheus. - Comcast/kuberhealthy |
クラスタの統合的なテストを行うツール。
kube-systemのコンポーネントが生きているかどうかなどを調べるツールのようだ。
smallstep/certificates
| smallstep/certificates | |
 |
🛡️ An online certificate authority and related tools for secure automated certificate management, so you can use TLS everywhere. - smallstep/certificates |
Podにアノテーションを書いておくと、勝手にmtls用の証明書がマウントされる仕組み。証明書のローテーションなども自動で行ってくれる。
よく似たプロダクトとして、cert-managerがあるが、これはWebサービス用の証明書をLet's Encryptから取ってくることに特化している。対してこのautocertは相互TLS用の、自己署名の鍵を作ることに特化している。
The Editorial
How Aspen Mesh Runs Cortex in Production
| How Aspen Mesh Runs Cortex in Production | |
 |
Neeraj Poddar Lead Platform Architect at Aspen Mesh gives us insight and tips on why and how they implemented Cortex in production. |
cortexproject/cortexというPrometheus as a Serviceの利用例の紹介。
CNCFのSandbox Project。Prometheusのremote writeのエンドポイントとして実装されており、たくさんのKubernetesクラスタからメトリクスを集めることができるようだ。それぞれのKubernetesクラスタにはstatelessなPrometheusがあれば良い。
Aspen Meshというこの会社では、今まで個別にPrometheusを構築していたが、7ヶ月前からCortexを使うようにしたようです。
KubeCon + CloudNativeCon North America 2018 Conference Transparency Report: A Record-Breaking CNCF Event - Cloud Native Computing Foundation
| KubeCon + CloudNativeCon North America 2018 Conference Transparency Report: A Record-Breaking CNCF Event - Cloud Native Computing Foundation | |
 |
KubeCon + CloudNativeCon North America 2018 was a huge success with record-breaking registrations, attendance, sponsorships, and co-located events. Out of 8,000 attendees, 73% were first-time KubeCon-ers, highlighting massive growth and... |
KubeCon + CloudNativeCon North America 2018 の来場者数などのレポート。
どのプロジェクトに興味があるか、といったような数字も紹介されている。
IBM preps Watson AI services to run on Kubernetes
| IBM preps Watson AI services to run on Kubernetes | |
 |
IBM Watson services arrive in versions that can run on the public cloud or on privately hosted container infrastructure |
IBMのWatsonがKubernetes上で動くようになったという話。
いまのところ Watson Assistant, Watson OpenScaleのみ対応。
Will Kubernetes Be the Operating System for 5G? AT&T News Suggests Yes - Telecompetitor
| Will Kubernetes Be the Operating System for 5G? AT&T News Suggests Yes - Telecompetitor | |
 |
Kubernetes is an open source software originally developed by Google to manage applicaitons requiring numnerous computing resources, which could make it a good candidate to manage 5G networks, which AT&T sees as . . . |
5Gのインフラ構築にあたってもKubernetesは有望であるというような内容の記事。
Joe Beda on Kubernetes & the CNCF
| Joe Beda on Kubernetes & the CNCF | |
 |
Today on The InfoQ Podcast, Wes talks with Joe Beda. The two discuss the recent purchase of Heptio by VMWare, the Kubernetes Privilege Escalation Flaw (and the response to it), Kubernetes Enhancement Proposals, the CNCF/organization of Kubernetes, and some of the future hopes for the platform. |
Kubernetesの co-creatorである Joe BedaのPodCast
(聞いていない)
What is Knative, and What Can It Do for You? - Container Journal
| What is Knative, and What Can It Do for You? - Container Journal | |
 |
If you haven’t yet taken a look at what Knative is or how it can save time and headaches, you could be missing out on some powerful features. |
Knativeとは何か、どういう人がそれを使うべきか といったことが述べられている。
Knativeは何か新しいことができるものではないが、このようなことをKubernetesで実現しようと様々なツールを使っている人や、特に同じようなことを自前で実装しようとしている人は、knativeに乗ることで恩恵を受けることができるだろう、とのこと。
Kubernetes and AI are like peas and carrots
| Kubernetes and AI are like peas and carrots | |
 |
Developing AI systems on Kubernetes makes sense because of the many attributes the platform offers such as quickly scaling to large amount of processing power - something. |
AIの動作環境としてKubernetesは有望であるという記事。
Does Kubernetes have a target on its back? | TechBeacon
| Does Kubernetes have a target on its back? | TechBeacon | |
 |
2018 was a wake-up call for Kubernetes. With its popularity, there are bound to be more attacks. Here's why, and what you can do about it. |
Kubernetesをsecureに保つための方法。
とりあえずは、みんなと同じクラウドプロバイダに乗っておくのが良いのでは?ということらしい。
CKAD(Certified Kubernetes Application Developer) — My journey
| CKAD(Certified Kubernetes Application Developer) — My journey | |
 |
I am happy and thrilled to have completed CKAD(Certified Kubernetes Application Developer) certification. My intention to take up this… |
CKADを取った人の記録。オススメの本や、オンラインチュートリアル、参考サイトなど。
Kubernetes as the simplest complex solution – DevOpsLinks Community Publication – Medium
| Kubernetes as the simplest complex solution – DevOpsLinks Community Publication – Medium | |
 |
Outlining my current thinking of the tradeoffs around administering production software with Kubernetes |
SimpleであることとComplexであるということは両立する、という観点でKubernetesのComplexさと、それをいかにSimpleに実現しているかということを説明している。