KubeWeeklyは毎週Kubernetesに関する興味深いニュースを提供しています。(https://kubeweekly.io/ )この記事は 2020/02/14に発行された Kube Weekly #203を読んで、感じたことをメモ的にまとめたものです。
私の勘違いや説明不足による誤解もあるかと思いますので、この記事読んで「おっ」と思ったらURLを辿って本文を確認してください。
(過去のKubeWeekly読書メモはこちら)
※この記事は、Z Labの業務の一環として作成したものです。
The Headlines
Novel Coronavirus Update | Linux Foundation Events
| Novel Coronavirus Update | Linux Foundation Events | |
 |
Updated as of February 12, 2020 The Linux Foundation is continuously monitoring the Novel Coronavirus situation to ensure the safety of our event participants and staff. We will be following all… |
コロナウイルスについてのCNCFの見解。
CDC, WHOの勧告に従うという基本方針と、いまのところKubeCon + CloudNativeConについては中止する予定はないとのこと。
握手禁止ポリシーなど、感染を広めないための参加者へのお願いなども記載されている。
中国滞在後14日経っていない人は参加できないようなことが書かれている。
Childcare: It’s Good for Everyone - Cloud Native Computing Foundation
| Childcare: It’s Good for Everyone - Cloud Native Computing Foundation | |
 |
Guest post from Emily Omier (@EmilyOmier), a strategic content marketing consultant and contributor at The New Stack “There’s my friend Iris,” shouted my then-almost-four-year-old daughter as we walked up to... |
以前のKubeConで 預かり保育サービスを活用した方の報告。KubeConは保育サービスを提供しているというアピールのようです。
次回のKubeCon EUについても ChildCareのページが用意されています。 https://events.linuxfoundation.org/kubecon-cloudnativecon-europe/attend/child-care/
The Technical
Config Sync overview | Google Cloud
| Config Sync overview | Google Cloud | |
 |
|
GKEのクラスタ内のリソースをGitOpsな方法で管理するためのオペレータ Config Syncの紹介。
Calico for Kubernetes networking: the basics & examples
| Calico for Kubernetes networking: the basics & examples | |
 |
How Calico CNI plugin extends K8s network policies |
Calicoの紹介。またKubernetesのNetworkPolicyの機能に加え Calico独自のネットワークポリシーについても紹介している。
Use Kubeflow, Rook and Istio to build an AI integrated development and delivery platform
| Use Kubeflow, Rook and Istio to build an AI integrated development and delivery platform | |
 |
This article may be helpful for AI engineers, AI scientists, Cloud-native developers and operations. |
Kubeflow, Rook, Istio を使ったAI開発環境の構築手順を紹介。
Docker Donates the cnab-to-oci Library to cnab.io - Docker Blog
| Docker Donates the cnab-to-oci Library to cnab.io - Docker Blog | |
 |
Docker helped with the development of all those components, but also worked with Microsoft on the cnab-to-oci library for sharing a CNAB bundle. This library is now used at least by 3 tools: Docker App, Porter and duffle, but also internally in Docker Hub. It successfully demonstrated how to push, pull and share description of a CNAB bundle on a registry. This work will be used as a base for the future CNAB Registries specification. |
Docker社がcnab-to-ociのライブラリをcnab.ioに寄贈しました。
cnab-to-oci はCNABを従来のコンテナレジストリで扱うためのライブラリです。
具体的な使い方も含めて紹介されています。このツールはdocker v0.9.0-beta1に統合されており、以降はCNABであることを意識せずに普通のコンテナイメージとして扱うことができるようです。
Azure Kubernetes (AKS) Security Best Practices Part 2 of 4 · StackRox: Cloud-Native, Container, and Kubernetes Security
| Azure Kubernetes (AKS) Security Best Practices Part 2 of 4 · StackRox: Cloud-Native, Container, and Kubernetes Security | |
 |
In this article (part 2 of 4), we discuss AKS cluster networking and how to protect your network from external attacks and internal misconfigurations |
AKSでのセキュリティベストプラクティスの4つの記事のうちの2つ目。
特にネットワーク周りについてのベストプラクティスを紹介している。
- NodeへのSSHの制限。Podからもインターネットからも制限する。
- KubernetesAPIへのアクセスの制限
- PodからVM メタデータへのアクセスの制限
- クラスタ全体のEgress通信の制限
- AKSのHTTP Application Routing Add-onの停止
- サービスメッシュのデプロイ
Rolling Updates and Blue-Green Deployments with Kubernetes and HAProxy - HAProxy Technologies
| Rolling Updates and Blue-Green Deployments with Kubernetes and HAProxy - HAProxy Technologies | |
 |
The HAProxy Kubernetes Ingress Controller supports two popular deployment patterns for updating applications in Kubernetes: rolling updates and blue-green deployments. |
HAProxy Kubernetes Ingress Controllerを使い、アプリケーションのアップデートをする方法を紹介。
Deploymentを利用したローリングアップデートと、Serviceを複数用意しIngressのpath設定を複数用意することでblue-greenデプロイを行う方法を紹介している。
Unit 42 CTR: Leaked Code from Docker Registries
| Unit 42 CTR: Leaked Code from Docker Registries | |
 |
Unit 42's Cloud Threat Report shows how unsecured registries in Docker can leak confidential data, fully compromise and interrupt businesses. |
Docker Registryの設定を誤っているせいで、インターネットに情報が漏れてしまっている例の紹介。
インターネットに晒されているサーバを検索するサービスShodanやCensysを使ってDocker Registry特有のヘッダを検索し、脆弱なホストを探している。
pull, push ,deleteなどの操作を認証なしに実施できるような設定のものもあり、このような状況で放置すると、攻撃者にバックドア付きのイメージをしこまれたり、ビジネスロジックが漏洩したりする危険性がある。
Understanding Kubernetes Storage - Stateful, Stateless, POSIX + REST
| Understanding Kubernetes Storage - Stateful, Stateless, POSIX + REST | |
 |
Kubernetes is here to stay. Understanding the optimal storage architecture requires a modern approach that is disaggregated, RESTful and scalable. |
クラウドネイティブなアプリケーションにおけるステートフルのベストプラクティスの紹介。
いわゆるストレージアプリケーション以外は原理的にはステートレスにできるというようなことを述べている。
また、ストレージアプリケーションにおいてもLocal Persistent Volumeを活用することで シンプルで、スケールするアプリケーションが構築できるとのこと。
Load balancing and scaling long-lived connections in Kubernetes
| Load balancing and scaling long-lived connections in Kubernetes | |
 |
Kubernetes doesn't load balance long-lived connections, and some Pods might receive more requests than others. If you're using HTTP/2, gRPC, RSockets, AMQP or any other long-lived connection such as a database connection, you might want to consider client-side load balancing. |
Kubernetesがうまく扱えない、持続的なコネクション(gRPC,WebSocketなど)の扱いについて紹介。
Serviceの負荷分散の仕組みの紹介から始まり、この問題を解決するためのクライアントサイドロードバランシングの紹介や、サービスメッシュの活用例を紹介している。
The Editorial
CoreOS
| CoreOS | |
 |
CoreOS Container Linux will no longer receive updates after May 26, 2020. |
2020/05/26にCoreOS社のContainer LinuxがEnd of Lifeとなります。
移行先としては Fedore CoreOSを挙げています。
結構アグレッシブなスケジュールとなっているため、利用している人は注意が必要です。
EKS vs GKE vs AKS - Evaluating Kubernetes in the Cloud · StackRox: Cloud-Native, Container, and Kubernetes Security
| EKS vs GKE vs AKS - Evaluating Kubernetes in the Cloud · StackRox: Cloud-Native, Container, and Kubernetes Security | |
 |
An in-depth analysis of the current features and limitations of the managed Kubernetes services from Amazon (EKS), Google (GKE), and Microsoft (AKS) |
EKS, AKS, GKEの表による比較。
細かい項目まで比較してあり力作。
Essential Building Blocks of a DevOps Approach | The New Stack
| Essential Building Blocks of a DevOps Approach | The New Stack |
DevOpsを構成する6つの原則について紹介
- 全てを所有する・小さなチーム
- 継続的なフィードバックを得るための自動テスト
- 疎結合なアーキテクチャ
- 本番アプリケーションのテレメトリ収集によるフィードバック
- 組織全体の継続的な学習
- DevSecOps
加えて、これらを実現するためのツールの紹介。
Kubernetes Container Management Is Not Application Management - Container Journal
| Kubernetes Container Management Is Not Application Management - Container Journal | |
 |
Application performance management is different than container management in myriad ways. Don't confuse the two if you want observability. |
コンテナを実行する上でKubernetesは実行してくれるが、それだけではモニタリングや、キャパシティプランニングをしてくれるわけではないので、ちゃんとモニタリングソリューションを利用する必要がある といった話。
Announcing Linkerd 2.7: External PKI support, better gitops workflows, streamlined cert rotation, and more
| Announcing Linkerd 2.7: External PKI support, better gitops workflows, streamlined cert rotation, and more | |
 |
We're happy to announce the release of Linkerd 2.7! This security-themed release adds support for integrating Linkerd's mutual TLS infrastructure with external certificate issuers such as Vault and cert-manager, improves gitops workflows by allowing Linkerd manifests to be generated without secrets, and makes it easy to automatically rotate TLS credentials. It also improves dashboard performance, improves usability of Helm charts, and much, much more. |
Linkerd 2.7のリリース報告。
- mTLSをサポート
- gitopsワークフローをやりやすくするための改善
- ダッシュボードのパフォーマンス改善
- Helm chartの使い勝手向上
などなど。
Istio Security Bug Found, Quickly Squashed - SDxCentral
| Istio Security Bug Found, Quickly Squashed - SDxCentral | |
 |
An Istio security bug in its authentication policy that allowed an attacker unauthorized access was found and quickly patched. |
Istioに重大なセキュリティバグが発見されています。1.3 - 1.3.7, 1.4 - 1.4.3を利用している方はアップデートが必要です。
Supporting developers as they scale: a free Kubernetes eBook
| Supporting developers as they scale: a free Kubernetes eBook | |
| We're excited to make our Kubernetes for Full-Stack Developers course available to a wider audience as an eBook | |
DigitalOceanが作ったKubernetesを学ぶためのeBook。無料で読むことができます。
3 tips to keep Kubernetes safe at scale
| 3 tips to keep Kubernetes safe at scale | |
 |
As more companies adopt and scale their Kubernetes systems, security has to be a major point of interest. |
スケールするKubernetesクラスタを安全に利用するための3つのTips
- Role based accsess control
- Insecure code checks
- Checking exposed ports