KubeWeeklyは毎週Kubernetesに関する興味深いニュースを提供しています。(https://kubeweekly.io/ )この記事は 2019/08/14に発行された Kube Weekly #180を読んで、感じたことをメモ的にまとめたものです。
私の勘違いや説明不足による誤解もあるかと思いますので、この記事読んで「おっ」と思ったらURLを辿って本文を確認してください。
(過去のKubeWeekly読書メモはこちら)
The Headlines
2019 CNCF Cloud Native Survey Call to Participate - Cloud Native Computing Foundation
| 2019 CNCF Cloud Native Survey Call to Participate - Cloud Native Computing Foundation | |
 |
It’s time for the CNCF Cloud Native Survey! The goal of this survey, which will be issued in advance of KubeCon + CloudNativeCon North America (November 18-21, 2019), is to... |
第7回目のCNCFのサーベイ協力のお願い。
例年からいくつかの質問を増やしたらしい。抽選で3名様にアマゾンギフトカードが当たるらしい。
Announcing Kubernetes Forum Seoul and Sydney: Expanding Cloud Native Engagement Across the Globe - Cloud Native Computing Foundation
| Announcing Kubernetes Forum Seoul and Sydney: Expanding Cloud Native Engagement Across the Globe - Cloud Native Computing Foundation | |
 |
Today we’re excited to announce the first two Kubernetes Forums in Seoul and Sydney, which we are launching this December in Seoul, South Korea from December 9-10, and Sydney,... |
Kubernetesフォーラム ソウル・シドニーの開催のお知らせ。
フォーラムという形式での実施は初めて。小規模なカンファレンスのようです。
2020年の開催予定場所にはTokyoの文字も見える
The Technical
vmware/octant
| vmware/octant | |
 |
A web-based, highly extensible platform for developers to better understand the complexity of Kubernetes clusters. - vmware/octant |
Kubernetesクラスタのダッシュボード。
リソースの依存関係などをわかりやすく図示してくれたり、ログを確認したりなど便利そうなツール。
Running Spark with Jupyter Notebook & HDFS on Kubernetes - Kublr
| Running Spark with Jupyter Notebook & HDFS on Kubernetes - Kublr | |
 |
Setup and configure a Kubernetes cluster for dynamic Spark workloads while reducing cost AND improving performance. How? Check out this tutorial. |
KublrをつかってオートスケールするKubernetesのクラスタをAWS上に作成し、そこでHDFSとsparkとjupyternotebookを動かす方法を紹介。
大きなjobを実行するときだけクラスタを拡大するのでお財布にも優しい構成。
Verifying Service Mesh TLS in Kubernetes, Using ksniff and Wireshark
| Verifying Service Mesh TLS in Kubernetes, Using ksniff and Wireshark | |
 |
Alongside Nic Jackson from HashiCorp, I have recently presented at several conferences and webinars about the need for transport-level… |
ksniffというツールを使って、Pod内のネットワークのパケットキャプチャを行う方法を紹介。
この手法を使い、AmbassadorとConsulを使った構成で、mtlsのあり、なしのそれぞれでパケットがどのように暗号化されているかを確認する方法を紹介している。
knative/serving
| knative/serving | |
 |
Kubernetes-based, scale-to-zero, request-driven compute - knative/serving |
Knative0.8がリリースされました。
Docker and Kubernetes Reverse shells
| Docker and Kubernetes Reverse shells |
reverse shellと呼ばれるテクニックをコンテナでも実施する方法を紹介。
要は/bin/shに対する入出力をリモートからも行えるようにするという方法。
デバッグなどで使えるかもしれない。
Kubernetes Pentest Methodology Part 1 | CyberArk
| Kubernetes Pentest Methodology Part 1 | CyberArk | |
 |
As the pace of life accelerates, we spend less time waiting or in downtime. Kubernetes offers something similar for our life with technology. It is a container orchestration platform that offers an easy, automated way... |
KubernetesのRBACのまずい設定例とその設定をしていた時にどのようなリスクがあるかの紹介。
なんとなくまずそう、というだけでなく具体的な攻撃方法が紹介してあるので勉強になります。
- SecretのList
- PodのCreate(特にkube-systemへの)
- exec
- Rolebindingsの編集権限
などなど
Netflix/security-bulletins
| Netflix/security-bulletins | |
 |
Security Bulletins that relate to Netflix Open Source - Netflix/security-bulletins |
NetflixがHTTP/2のDOS攻撃の可能性がある脆弱性について説明している
Kubernetes Gated Deployments — GoDaddy Engineering Blog
| Kubernetes Gated Deployments — GoDaddy Engineering Blog | |
| Kubernetes Gated Deployments is a Kubernetes controller that facilitates automatic regression testing and canary analysis on Kubernetes deployments. It is designed to augment existing deployment processes by analyzing key functionality and performance metrics associated with the application, and can detect and roll back changes if they cause undesirable behavior. | |
うまく動いていないとデプロイをロールバックするDeploymentの実装であるKubernetes Gated Deploymentsの紹介。
うまく動いているかどうかの判定はメトリクスなどにより行う。判定基準はプラグイン方式となっており、好きに実装できる。例としてはNerRelicで取得した特定のメトリクスを扱う例が紹介されている。
zalando-incubator/kopf
| zalando-incubator/kopf | |
 |
A Python framework to write Kubernetes operators in just few lines of code. - zalando-incubator/kopf |
Kubernetes Operator Pythonic Framework。
名前の通りPythonで簡単にKubernetesのOperatorを作るためのフレームワーク。
アノテーションにリソースの種類とイベント名を指定することで、イベントハンドラを定義するだけでOperatorを作ることができる。
Writing a Kubernetes Operator in Python without frameworks and SDK
| Writing a Kubernetes Operator in Python without frameworks and SDK | |
 |
Easy step-by-step guide to give it a try. |
Pythonでフレームワークなどを使わずにKubernetesのオペレータを作る方法の紹介。
copy operatorという指定したセレクタのついたConfigMap/Secretを全てのNamespaceにコピーするというオペレータを作成している。
フレームワークは使っていないが、import kubernetesはしている。
K8s scheduling — deep dive
| K8s scheduling — deep dive | |
 |
Kubernetes(AKA K8s), who've been around for the past 5 years, deliver a promise to free its users from dealing with infrastructure… |
KubernetesでPodがどのようにスケジューリングされるかを、AZに指定がある場合や、AZ制限がついたPVCをマウントしている場合など、いくつかの例を用いて紹介している。
The Editorial
Building a Kubernetes platform at Pinterest
| Building a Kubernetes platform at Pinterest | |
 |
Lida Li, June Liu, Rodrigo Menezes, Suli Xu, Harry Zhang, Roberto Rodriguez Alcala | Pinterest Software Engineers, Cloud Management… |
PinterestでのKubernetesの導入事例
生のKubernetesのリソースを使うのは、学習コストなどがかかるため、CRDとコントローラを使い、独自のPinterestServiceなどというものを作っているそうだ。
このCRDを元にinitContainerやsidecarなどを追加しアプリケーションを組み立てるようになっている。
mTLSやデプロイの仕組みの構築など、かなりがっつりとKubernetesを利用している事例だと感じた。
The Evolution of Istio's APIs
| The Evolution of Istio's APIs | |
| The design principles behind Istio's APIs and how those APIs are evolving. | |
IstioのAPI設計についての紹介。
(以降のアップデートでAPIの設計が変わったりするのだろうか?)
Cloud-Native DevOps - JAXenter
| Cloud-Native DevOps - JAXenter | |
 |
Cloud-Native architecture implies adapting to the many new possibilities empowering innovation that paves the way for digital transformation. |
CloudNativeの紹介やそれにまつわる企業(Amazon, Google)の企業文化やDevOpsの考え方の紹介。
CNCF led Kubernetes security audit reveals 37 flaws in Kubernetes cluster
| CNCF led Kubernetes security audit reveals 37 flaws in Kubernetes cluster | |
 |
The Kubernetes security audit has revealed 37 flaws in Kubernetes cluster, including 5 high severity, 17 medium severity, 8 low severity. |
Kubernetesのセキュリティ監査の結果がまとまったようです。
Kubernetes Security Whitepaper
この記事では簡単な概要の紹介をしている。
Recommendations for Kubernetes cluster administrators and developersなど、Kubernetesを利用する上で推奨すべき指針も示されている。
Kubernetes Podcast from Google
| kubectl Plugins and krew, with Ahmet Alp Balkan and Luk Burchard | |
 |
|
Kubernetes Podcast。今回はkubectlのplugin機構とそのリポジトリであるkrewの紹介。ゲストはkrewの作者 Luk Burchard
The dark side of kubeconfig
| The dark side of kubeconfig | |
 |
One of the key features of our container management platform, Pipeline is its ability to create multi- and hybrid-cloud Kubernetes environments using cloud provider-managed K8s or our own CNCF certified Kubernetes distribution, PKE. Recently, customers have been asking for a way to bring their existing Kubernetes clusters (upstream or other distributions) under Pipeline’s management, in order to benefit from the features our platform offers. During the peer review of our new cluster import feature, we realized the potential security risk created by the common practice of sharing kubeconfig files. |
kubeconfigにはauth-providerという機能があり、任意のバイナリに認証処理を移譲することができる。
この記事ではkubeconfigファイルを悪意ある人が書き換えることで、簡単に悪さができてしまう問題がある、ということを説明している。
確かにkubeconfigファイルはコマンドで生成したりすることが多いので、中身を見ずに実行するケースもあるのではないかと考えられる。
GitHub gets a CI/CD service – TechCrunch
| GitHub gets a CI/CD service – TechCrunch | |
 |
Microsoft’s GitHub today launched the beta of a new version of GitHub Actions with full continuous integration and delivery (CI/CD) capabilities built right into the service. General availability is planned for November 13. The company also today announced that it now has more than 40 million… |
GitHub ActionsのBetaリリースについて。(あんまりKubernetes関係ない?)
Cloud Native Computing Foundation Reaches 100 End User Community Members - Cloud Native Computing Foundation
| Cloud Native Computing Foundation Reaches 100 End User Community Members - Cloud Native Computing Foundation | |
|
Community reaches significant milestone as cloud native adoption continues to grow SAN FRANCISCO, Calif. – August 14, 2019 – The Cloud Native Computing Foundation® (CNCF®), which sustains and integrates open... |
CNCFのEnd User Communityのメンバーが100になった話。
Kubernetes cost monitoring: approaches & best practices
| Kubernetes cost monitoring: approaches & best practices | |
 |
At Kubecost, we help teams monitor and manage Kubernetes spend. Teams commonly implement their first Kubernetes chargeback or showback solution with our software, and we frequently get asked questions about how to make this process go as smoothly as possible. This guide shares some of the different approaches to cost monitoring, best practices, and pitfalls that we’ve seen. |
kubernetesのコストをモニタリングし、組織にどのようにリソース削減を促すかの方法論とベストプラクティスの紹介。
コストを計算する方法ではなく、計算されたコストをどのように組織運営に利用するかという観点での記事。
chargebackという実際に予算を請求する方法や、showbackという使用量をただ単に伝える方法などいくつかのアプローチを紹介しており、それらを運用する上での注意点についても述べられている。
Tragedy of the commons(コモンズの悲劇)というのは初めて聞いた。
多数者が利用できる共有資源が乱獲されることによって資源の枯渇を招いてしまうという経済学における法則。共有地の悲劇ともいう。
確かにKubernetesを大組織で利用する際にリソースを無駄に払い出しすぎる問題と合致する。
Orchestration with Kubernetes coming to macOS
| Orchestration with Kubernetes coming to macOS | |
 |
MacStadium has announced |
MacStadiumというMac as a Service(Mac環境をクラウド上で利用できるサービス)にkubernetesが使われているという話。
iOSアプリのビルドなどに使うのかな?