KubeWeeklyは毎週Kubernetesに関する興味深いニュースを提供しています。(https://kubeweekly.io/ )この記事は 2019/10/09に発行された Kube Weekly #188を読んで、感じたことをメモ的にまとめたものです。
私の勘違いや説明不足による誤解もあるかと思いますので、この記事読んで「おっ」と思ったらURLを辿って本文を確認してください。
(過去のKubeWeekly読書メモはこちら)
2019 Steering Committee Election Results
| 2019 Steering Committee Election Results | |
| Authors: Bob Killen (University of Michigan), Jorge Castro (VMware), Brian Grant (Google), and Ihor Dvoretskyi (CNCF) The 2019 Steering Committee Election is a landmark milestone for the Kubernetes project. The initial bootstrap committee is graduating to emeritus and the committee has now shrunk to its final allocation of seven seats. All members of the Steering Committee are now fully elected by the Kubernetes Community. Moving forward elections will elect either 3 or 4 people to the committee for two-year terms. | |
KubernetesのSteering Committeeの選挙結果。初期メンバーからの初めての異動となる。
Community and Contributor Experience, with Jorge Castro
| Community and Contributor Experience, with Jorge Castro | |
 |
|
Kubernetes Podcast。今回のゲストはVMWare勤務のJorge Castro。Kubernetesのコミュニティマネージャ。
SIG Contributer Experiecnceについて話しているようです。
The Technical
kubectl flags in your plugin
| kubectl flags in your plugin | |
 |
Develop cure custom kubectl plugins with friendly flags from the kubectl |
kubectl pluginを作る時に引数のパーサをどうするかという話。
kubectlと同じような引数のパーサをゼロから作るのは骨が折れますが、Goで書く場合はKubernetesのライブラリであるkubernetes/cli-runtimeが利用できるそうです。サンプルコードも紹介されている。
12 Kubernetes configuration best practices · StackRox: Cloud-Native, Container, and Kubernetes Security
| 12 Kubernetes configuration best practices · StackRox: Cloud-Native, Container, and Kubernetes Security | |
 |
Learn about Kubernetes configurations best practices in 12 areas: API server, kubelet, etcd, network policies, pod security policies, master node, worker node, and more |
Kubernetesの設定の12のベストプラクティス
- 最新版を使おう
- PodSecurtyPolicyを使いリスクのあるコンテナが使われることを防ごう
- Namespaceを活用しKubernetesのリソースを適切に分離しよう
- NetworkPolicyを使いPod間の通信を隔離しよう
- ImagePolicyWebhookを使い、管理されたイメージだけを利用できるようにしよう
- Kubernetes APIサーバのセキュリティ設定を見直す(元記事には見るべき引数も列挙されています)
- Kubernetes Schedulerのセキュリティ設定を見直す(元記事には見るべき引数も列挙されています)
- Kubernetes Controller-managerのセキュリティ設定を見直す(元記事には見るべき引数も列挙されています)
- Master Nodeに存在するファイルの所有者・パーミッションを調べる(元記事には見るべきファイルも列挙されています)
- etcdの設定を見直す(元記事には見るべき引数も列挙されています)
- kubeletの設定を見直す(元記事には見るべき引数も列挙されています)
- Worker Nodeに存在するファイルの所有者・パーミッションを調べる(元記事には見るべきファイルも列挙されています)
後半の注意すべき引数やファイルの一覧が有用そうです。
Kubernetes Patterns : Capacity Planning
| Kubernetes Patterns : Capacity Planning | |
 |
When using Kubernetes - especially at a large scale, we need to give due time and effort in anticipating our application resource requirements correctly. |
Kubernetesのスケジューラ周りの挙動について述べている。
特にリソースのキャパシティ設定について詳しく紹介している。
KubeletでのQoSコントロール、Preemption priority、SchedulerでのQoSコントロール、Preemption priorityなど設定項目とそれが実施されるケースごとに様々な考慮が必要となる。
conman - [the] container manager: inception
| conman - [the] container manager: inception | |
 |
A deep dive into a container manager (aka container runtime) implementation |
containerd, cri-o, dockerd, podmanなどのソフトウェアをContainer Managerとしてくくり、それらをさらに深く理解するためにオリジナルの Container Managerを作成し、その過程を記事にしている。
バックエンドとしてはruncを利用しているようだが、それでもちゃんと動くものを作るのは大変そうです。
Get a LoadBalancer for your private Kubernetes cluster
| Get a LoadBalancer for your private Kubernetes cluster | |
 |
Learn how to expose a Service of type LoadBalancer on your local Kubernetes cluster to the internet with inlets-operator. |
inlets-operatorというKubernetesクラスタの外のVMにKubernetes内のPodにトンネリングできる通信を提供するアプリケーションの紹介。
Serviceのtype=LoadBalancerを作成すると、このオペレータがそれに対応するVMをあらかじめ登録しておいたクラウドプロバイダで払い出してくれる。そのVMにアクセスすることで、結果的にKubernetes内のPodにアクセスができるようになる。
DigitalOceanのVMの使用料がAWSのELBやGCP LoadBalancerよりも安いところに、これを使うモチベーションがあるようだ。
Using Hashicorp Vault on Kubernetes | Caylent
| Using Hashicorp Vault on Kubernetes | Caylent | |
| Now that you've installed Hashicorp Vault on Kubernetes it's time to create an example using mutual TLS and provision some secrets to our app. | |
Kubernetesクラスタ上にVaultとConsulを構築し、VaultにKubernetesのServiceAccountの認証を登録することで、Podから簡単にVaultのSecretを取得できるようにする例。
またこの設定をした上でconsul-tamplateを利用することで、シークレット情報を含む設定ファイルを配布する例が紹介されている。
(とはいえ、結構複雑だなと思いました、initConatinerでvault agentを実行し、サイドカーとしてconsul-templateを実行する必要あり。)
Getting Started with the PLONK Stack and Serverless 2.0
| Getting Started with the PLONK Stack and Serverless 2.0 | |
 |
You've heard of LAMP, JAM, and MEAN, but what is the PLONK stack? And why should you be considering it for your Cloud Native Applications? |
PLONKスタックの紹介。
PLONKとはPrometheus, Linkerd, OpenFaaS, NATS, Kubernetesにより構成されるアプリケーションスタックのことです。
この記事ではこれらを解説したプレゼン動画を紹介しています。
(みていない)
Multitenancy on Kubernetes with Istio, External Authentication Server and OpenID Connect (Part 2— Authorization)
| Multitenancy on Kubernetes with Istio, External Authentication Server and OpenID Connect (Part 2— Authorization) | |
 |
Part 2 — Authorization |
先週紹介した記事の続き
Kubernetesクラスタ上に複数のサービスを立ち上げて、利用者ごとに認証・認可を設定したい、いわゆるマルチテナントとしての使い方のチュートリアルです。
複数回に分かれて説明されており、今回は認可部分です。
Istioを用いて、認証時に付与されたJWTトークンを元にバックエンドのサービスが期待するHTTPヘッダを挿入ています。
さらに、もう一つの方法としてユーザに応じてURLを変更し、そのURLにアクセスできる権限をIstioで制御する方法も紹介しています。
Firekube - Fast and Secure Kubernetes Clusters Using Weave Ignite
| Firekube - Fast and Secure Kubernetes Clusters Using Weave Ignite | |
 |
Weave Firekube is a new open source Kubernetes distribution that enables secure clouds anywhere. Firekube uses Weave Ignite to run Kubernetes on Firecracker. It pulls everything from Git and boots up a secure cluster in 2.5 minutes. |
Weave FirekubeというKubernetesディストリビューションの紹介。
これはWeave Igniteを利用して、Firecrackerを使ってPodを実行するという動作をするKubernetesです。
salesforce/sloop
| salesforce/sloop | |
 |
Kubernetes History Visualization. Contribute to salesforce/sloop development by creating an account on GitHub. |
Kubernetesで何が起きているの履歴をわかりやすく可視化してくれるツール。
こんな感じです↓
How to use custom Storage Classes in Kubernetes?
| How to use custom Storage Classes in Kubernetes? | |
 |
Most Kubernetes offerings provide default Storage Classes out of the box to ease the process of dynamic storage provisioning. |
Azure Kubernetes Serviceを例にStorageClassの設定方法を紹介。
reclaimPolicy, volumeBindingModeなどについて説明している。
The Editorial
Kubernetes Operators and Helm — It takes Two to Tango
| Kubernetes Operators and Helm — It takes Two to Tango | |
 |
When it comes to running complex application workloads on Kubernetes two technologies standout — Helm and Kubernetes Operators. In this… |
Helm, とKubernetes Operator について紹介し、特にHelmで扱いやすいKubernetes Operator の設計の指針について紹介している。
- Helm chartとしてCRDを作ること(Operatorの中でCRDを作らない)
- Operator のインストールの前にCRDをインストールする
- CRDのYAMLにバリデーションを定義する
- 設定はvalues.yamlまたはConfigMapを使う
- Platform-as-Codeの流儀に従ったannotationをつける
- これは生成するリソースの種類と、オペレータの利用方法についてをannoationに書いておくという方法のようです。
What is Kubernetes?
| What is Kubernetes? | |
 |
What makes Kubernetes so special that businesses are clamoring to get their hands around it? |
Kubernetesについての紹介。
"A wild Demogorgon just wrecked your Kubernetes cluster"
| "A wild Demogorgon just wrecked your Kubernetes cluster" | |
 |
How we introduced a tabletop role-playing game as a fun training method for new team members at our Philips Hue project. |
チームメンバーの教育のためにプロダクション環境での障害をロールプレイすることで理解を深めるという勉強法を紹介している。
まるでテーブルトークRPGのような形式で、トラブルシューティングする方法で、それっぽいシナリオは専用のTwitterアカウントでも紹介されているようです。
(問題を出す方の能力が問われそうです・・)
Announcing Envoy Project Journey Report - Cloud Native Computing Foundation
| Announcing Envoy Project Journey Report - Cloud Native Computing Foundation | |
 |
Today we are very excited to release our Project Journey Report for Envoy. This is the second reports we have issued for CNCF graduated projects (the first was Kubernetes). Envoy... |
EnvoyのProject Journey Reportの紹介
このレポートはCNCFのgraduated projectについて書かれるもので、初回のKubernetesに続き2回目となっています。
レポート本体はこちら
Announcing Kubernetes Community Days - Cloud Native Computing Foundation
| Announcing Kubernetes Community Days - Cloud Native Computing Foundation | |
 |
We are excited to announce that we’re now accepting applications to run Kubernetes Community Days around the world. Kubernetes Community Days are community-organized events that gather adopters and technologists from... |
Kubernetes Community Daysの紹介。
Kubernetes Community Daysという枠組みでのカンファレンスを開いてみてはどうか?という記事のようです。
より詳しい内容はこちらに記載されています。直近ではノルウェー・オランダで開催されるようです。