KubeWeekly #142

KubeWeeklyは毎週Kubernetesに関する興味深いニュースを提供しています。この記事は 2018/07/25に公開された https://kubeweekly.com/kubeweekly-142/ を読んで、感じたことをメモ的にまとめたものです。
私の勘違いや説明不足による誤解もあるかと思いますので、この記事読んで「おっ」と思ったらURLを辿って本文を確認してください。

The Headlines

The History of Kubernetes & the Community Behind It - Kubernetes

OSCONでのMost Impactful Open Source Projectを受賞したので、このタイミングで振り返るKubernertesの歴史

11 Ways (Not) to Get Hacked - Kubernetes

ハッキングされないための11の方法
Kubernetesのセキュリティの話。

Control PlaneとWorkloads、さらにThe Futureという3カテゴリに分けて紹介している。
ツールの紹介が充実している。

• ControlePlane
  • TLSで通信しよう
    • Control Planeの通信の様子の図がわかりやすい。
  • RBACで最低限の権限をつけよう。AuditLogを取ろう
    • GitHub - liggitt/audit2rbac: Autogenerate RBAC policies based on Kubernetes audit logs
  • サードパーティ認証を使おう
    • GitHub - coreos/dex: OpenID Connect Identity (OIDC) and OAuth 2.0 Provider with Pluggable Connectors
    • GitHub - negz/kuberos: An OIDC authentication helper for Kubernetes' kubectl
  • etcdクラスアトォファイアーウォールで分離しよう
  • 証明書をローテートさせよう
• Workloads
  • Linuxのセキュリティ機能とPSPを使おう
    • GitHub - genuinetools/bane: Custom & better AppArmor profile generator for Docker containers.
    • GitHub - docker-slim/docker-slim: DockerSlim (docker-slim): Don't change anything in your Docker container image and minify it by up to 30x making it secure too! (free and open source)
  • YAMLを静的解析しよう
    • kubesec.io :: kubesec.io
    • GitHub - garethr/kubetest: Write unit tests for your Kubernetes configurations
  • root以外でコンテナを動作させよう
  • NetworkPolicyを使おう
    • GitHub - controlplaneio/netassert: network security testing for DevSecOps workflows
  • イメージをスキャンしよう、侵入検知システムを動かそう
    • GitHub - coreos/clair: Vulnerability Static Analysis for Containers
    • GitHub - aquasecurity/microscanner: Scan your container images for package vulnerabilities with Aqua Security
    • Grafeas
    • Container Security & Cloud Native Security | Twistlock
    • Aqua Container Security - Docker, Kubernetes, OpenShift, Mesos
    • Sysdig | Sysdig Secure
    • GitHub - draios/falco: Sysdig Falco: Behavioral Activity Monitoring With Container Support
• Feature
  • サービスメッシュを動かそう
    • Linkerd
    • Istio
    • spiffe.io

How to scale Microservices with Message Queues, Spring Boot, and Kubernetes

先週読んだ

The Technical

Feature Highlight: CPU Manager - Kubernetes

新機能紹介 beta機能であるCPU Managerについて。
CPUコアを占有するような設定ができる機能のようです。
占有ということなので、整数のコアの指定が必要。
機械学習のようなCPUを占有するワークロード向けの機能。

Horizontal Pod Autoscaler Kubernetes Operator · Banzai Cloud

Deployment(or StatefulSet)にannotationをつけるとHPAを自動で作ってくれるoperatorの紹介。
既存のHelm ChartにHPAの機能だけをつけたいけどChart自体はいじりたくない、、という課題に答えるプロダクトのようだ。

Azure Functions on Kubernetes – Asavari Tayal – Medium

Azure Functions Core Tools を使うと、AzureFunctionと同じ機能をローカル環境で利用することができる。
要はDockerfileやソースコードをscaffoldingしてくれて、kubectlをラップしてKubernetes上にデプロイしてくれるツール。

NATS Operator: Integrating Kubernetes ServiceAccounts for operated NATS clusters

NATS Operatorの解説。

• NatsCluster
• NatsServiceRole

のCRDを定義。
NatsServiceRoleができるとそれに対応したServiceAccountと、Tokenがつくられ、そのTokenでNATSにアクセスする。

TokenRequest　APIを使ってNATS用のTokenを作る。この差異audienceを設定して、NATSに対してのみ使えるように制限している。
PodSharedProcessNamespaceによりNATS serverと同居しているreloaderがHUPを送ることでゼロダウンタイムでのroleの更新を実現している。

まだα版。NATSにはJWTでの認証はサポートされていないとのこと。（NATS Operatorの時はどうやっているのだろうか？独自ビルド？）

Hands-On CI/CD for Microservices With Jenkins X - DZone Microservices

Jenkins Xのチュートリアル記事。

JenkinsXはGKEクラスタも作るし、GitやDockerfile,Helm chartのskaffoldingも行うし、至れり尽くせり

Deploying a Stateful Application on Google Cloud Kubernetes Engine | @RisingStack

GKEにStatefulなアプリケーションをデプロイするチュートリアル。
アプリケーションはGhostというブログエンジン
テーマや画像を永続データとして持っているとのこと。

データベースはGCPのものを使う、接続用のプロキシをサイドカーに仕込む
type=Loadbalancerでサービスを公開する。

Building an operator for Kubernetes with kubebuilder

　Building an operator for Kubernetes with the sample-controller ではKubernetesリポジトリにあるサンプルのcontroller( GitHub - kubernetes/sample-controller: Repository for sample controller. Complements sample-apiserver )を改造して簡単なControllerを実装している。

この記事ではKubeBuilderについて説明をしている。

Building an operator for Kubernetes with operator-sdk ではoperator-sdkについて説明している。

生でcontrollerを書くのとKubeBuilderで書く場合、operator-sdkで書く場合の違いが比較するのに良い記事

Debugging a Java Rate Limiter Service using Telepresence and IntelliJ IDEA

Telepresenceの本家チュートリアル。
IntelliJと連携してリモートのKubernetesのPodをデプロイすることができる。

The Editorial

Kubernetes Wins the 2018 OSCON Most Impact Award - Kubernetes

Kubernetesが2018 OSCONのMost Impact Awordを受賞した話。

Creating an Effective Developer Experience on Kubernetes: CNCF Webinar Recap

CNCF Webinarのまとめ

開発経験の向上をどのように実現するか？といった内容

開発環境を考える上で「環境構築」は重要。どういう環境構築方法を提供すべきか？

ワークフローの面では

• local development
• packaging apps
• CI/CD
• deployment control
• observability

をうまく考慮して管理する必要がある。

DataWire社はよくこういう開発ワークフロー系の話をしている印象。

Build, deploy, manage modern serverless workloads using Knative on Kubernetes

knativeの話。
リソースの紹介がされている。具体的にどのように使えるかは今後記事を書く予定とのこと。

The Kubernetes Third-Year Anniversary Is Just the Beginning - The New Stack

Kubernetes3周年
その勢いを説明している。

Reinventing the World’s Largest Education Company With Kubernetes - Cloud Native Computing Foundation

PearsonのKubernetesを使った事例の紹介。

Kubernetes contributor experience - DevRel.net DevRel.net

Kubernetes のコントリビューターの話。SIGに分けて活動することがどのように合理的なのか、などが語られているらしい。

（Transcriptは長いので読んでいない）

Why Kubernetes May Be Big Business For Solution Providers - Page: 1 | CRN

バックナンバー

• KubeWeekly #141 https://qiita.com/inajob/items/7771e5a5a4409f433042