Help us understand the problem. What is going on with this article?

KubeWeekly #203

KubeWeeklyは毎週Kubernetesに関する興味深いニュースを提供しています。(https://kubeweekly.io/ )この記事は 2020/02/14に発行された Kube Weekly #203を読んで、感じたことをメモ的にまとめたものです。
私の勘違いや説明不足による誤解もあるかと思いますので、この記事読んで「おっ」と思ったらURLを辿って本文を確認してください。

(過去のKubeWeekly読書メモはこちら)

※この記事は、Z Labの業務の一環として作成したものです。

The Headlines

Novel Coronavirus Update | Linux Foundation Events

Novel Coronavirus Update | Linux Foundation Events
Updated as of February 12, 2020 The Linux Foundation is continuously monitoring the Novel Coronavirus situation to ensure the safety of our event participants and staff. We will be following all…

コロナウイルスについてのCNCFの見解。
CDC, WHOの勧告に従うという基本方針と、いまのところKubeCon + CloudNativeConについては中止する予定はないとのこと。

握手禁止ポリシーなど、感染を広めないための参加者へのお願いなども記載されている。
中国滞在後14日経っていない人は参加できないようなことが書かれている。

Childcare: It’s Good for Everyone - Cloud Native Computing Foundation

Childcare: It’s Good for Everyone - Cloud Native Computing Foundation
Guest post from Emily Omier (@EmilyOmier), a strategic content marketing consultant and contributor at The New Stack “There’s my friend Iris,” shouted my then-almost-four-year-old daughter as we walked up to...

以前のKubeConで 預かり保育サービスを活用した方の報告。KubeConは保育サービスを提供しているというアピールのようです。
次回のKubeCon EUについても ChildCareのページが用意されています。 https://events.linuxfoundation.org/kubecon-cloudnativecon-europe/attend/child-care/

The Technical

Config Sync overview  |  Google Cloud

Config Sync overview  |  Google Cloud

GKEのクラスタ内のリソースをGitOpsな方法で管理するためのオペレータ Config Syncの紹介。

Calico for Kubernetes networking: the basics & examples

Calico for Kubernetes networking: the basics & examples
How Calico CNI plugin extends K8s network policies

Calicoの紹介。またKubernetesのNetworkPolicyの機能に加え Calico独自のネットワークポリシーについても紹介している。

Use Kubeflow, Rook and Istio to build an AI integrated development and delivery platform

Use Kubeflow, Rook and Istio to build an AI integrated development and delivery platform
This article may be helpful for AI engineers, AI scientists, Cloud-native developers and operations.

Kubeflow, Rook, Istio を使ったAI開発環境の構築手順を紹介。

Docker Donates the cnab-to-oci Library to cnab.io - Docker Blog

Docker Donates the cnab-to-oci Library to cnab.io - Docker Blog
Docker helped with the development of all those components, but also worked with Microsoft on the cnab-to-oci library for sharing a CNAB bundle. This library is now used at least by 3 tools: Docker App, Porter and duffle, but also internally in Docker Hub. It successfully demonstrated how to push, pull and share description of a CNAB bundle on a registry. This work will be used as a base for the future CNAB Registries specification.

Docker社がcnab-to-ociのライブラリをcnab.ioに寄贈しました。

cnab-to-oci はCNABを従来のコンテナレジストリで扱うためのライブラリです。
具体的な使い方も含めて紹介されています。このツールはdocker v0.9.0-beta1に統合されており、以降はCNABであることを意識せずに普通のコンテナイメージとして扱うことができるようです。

Azure Kubernetes (AKS) Security Best Practices Part 2 of 4 · StackRox: Cloud-Native, Container, and Kubernetes Security

Azure Kubernetes (AKS) Security Best Practices Part 2 of 4 · StackRox: Cloud-Native, Container, and Kubernetes Security
In this article (part 2 of 4), we discuss AKS cluster networking and how to protect your network from external attacks and internal misconfigurations

AKSでのセキュリティベストプラクティスの4つの記事のうちの2つ目。
特にネットワーク周りについてのベストプラクティスを紹介している。

  • NodeへのSSHの制限。Podからもインターネットからも制限する。
  • KubernetesAPIへのアクセスの制限
  • PodからVM メタデータへのアクセスの制限
  • クラスタ全体のEgress通信の制限
  • AKSのHTTP Application Routing Add-onの停止
  • サービスメッシュのデプロイ

Rolling Updates and Blue-Green Deployments with Kubernetes and HAProxy - HAProxy Technologies

Rolling Updates and Blue-Green Deployments with Kubernetes and HAProxy - HAProxy Technologies
The HAProxy Kubernetes Ingress Controller supports two popular deployment patterns for updating applications in Kubernetes: rolling updates and blue-green deployments.

HAProxy Kubernetes Ingress Controllerを使い、アプリケーションのアップデートをする方法を紹介。
Deploymentを利用したローリングアップデートと、Serviceを複数用意しIngressのpath設定を複数用意することでblue-greenデプロイを行う方法を紹介している。

Unit 42 CTR: Leaked Code from Docker Registries

Unit 42 CTR: Leaked Code from Docker Registries
Unit 42's Cloud Threat Report shows how unsecured registries in Docker can leak confidential data, fully compromise and interrupt businesses.

Docker Registryの設定を誤っているせいで、インターネットに情報が漏れてしまっている例の紹介。
インターネットに晒されているサーバを検索するサービスShodanCensysを使ってDocker Registry特有のヘッダを検索し、脆弱なホストを探している。
pull, push ,deleteなどの操作を認証なしに実施できるような設定のものもあり、このような状況で放置すると、攻撃者にバックドア付きのイメージをしこまれたり、ビジネスロジックが漏洩したりする危険性がある。

Understanding Kubernetes Storage - Stateful, Stateless, POSIX + REST

Understanding Kubernetes Storage - Stateful, Stateless, POSIX + REST
Kubernetes is here to stay. Understanding the optimal storage architecture requires a modern approach that is disaggregated, RESTful and scalable.

クラウドネイティブなアプリケーションにおけるステートフルのベストプラクティスの紹介。

いわゆるストレージアプリケーション以外は原理的にはステートレスにできるというようなことを述べている。
また、ストレージアプリケーションにおいてもLocal Persistent Volumeを活用することで シンプルで、スケールするアプリケーションが構築できるとのこと。

Load balancing and scaling long-lived connections in Kubernetes

Load balancing and scaling long-lived connections in Kubernetes
Kubernetes doesn't load balance long-lived connections, and some Pods might receive more requests than others. If you're using HTTP/2, gRPC, RSockets, AMQP or any other long-lived connection such as a database connection, you might want to consider client-side load balancing.

先週紹介しました

Kubernetesがうまく扱えない、持続的なコネクション(gRPC,WebSocketなど)の扱いについて紹介。
Serviceの負荷分散の仕組みの紹介から始まり、この問題を解決するためのクライアントサイドロードバランシングの紹介や、サービスメッシュの活用例を紹介している。

The Editorial

CoreOS

CoreOS
CoreOS Container Linux will no longer receive updates after May 26, 2020.

2020/05/26にCoreOS社のContainer LinuxがEnd of Lifeとなります。
移行先としては Fedore CoreOSを挙げています。
結構アグレッシブなスケジュールとなっているため、利用している人は注意が必要です。

EKS vs GKE vs AKS - Evaluating Kubernetes in the Cloud · StackRox: Cloud-Native, Container, and Kubernetes Security

EKS vs GKE vs AKS - Evaluating Kubernetes in the Cloud · StackRox: Cloud-Native, Container, and Kubernetes Security
An in-depth analysis of the current features and limitations of the managed Kubernetes services from Amazon (EKS), Google (GKE), and Microsoft (AKS)

EKS, AKS, GKEの表による比較。
細かい項目まで比較してあり力作。

Essential Building Blocks of a DevOps Approach | The New Stack

Essential Building Blocks of a DevOps Approach | The New Stack

DevOpsを構成する6つの原則について紹介

  • 全てを所有する・小さなチーム
  • 継続的なフィードバックを得るための自動テスト
  • 疎結合なアーキテクチャ
  • 本番アプリケーションのテレメトリ収集によるフィードバック
  • 組織全体の継続的な学習
  • DevSecOps

加えて、これらを実現するためのツールの紹介。

Kubernetes Container Management Is Not Application Management - Container Journal

Kubernetes Container Management Is Not Application Management - Container Journal
Application performance management is different than container management in myriad ways. Don't confuse the two if you want observability.

コンテナを実行する上でKubernetesは実行してくれるが、それだけではモニタリングや、キャパシティプランニングをしてくれるわけではないので、ちゃんとモニタリングソリューションを利用する必要がある といった話。

Announcing Linkerd 2.7: External PKI support, better gitops workflows, streamlined cert rotation, and more

Announcing Linkerd 2.7: External PKI support, better gitops workflows, streamlined cert rotation, and more
We're happy to announce the release of Linkerd 2.7! This security-themed release adds support for integrating Linkerd's mutual TLS infrastructure with external certificate issuers such as Vault and cert-manager, improves gitops workflows by allowing Linkerd manifests to be generated without secrets, and makes it easy to automatically rotate TLS credentials. It also improves dashboard performance, improves usability of Helm charts, and much, much more.

Linkerd 2.7のリリース報告。

  • mTLSをサポート
  • gitopsワークフローをやりやすくするための改善
  • ダッシュボードのパフォーマンス改善
  • Helm chartの使い勝手向上

などなど。

Istio Security Bug Found, Quickly Squashed - SDxCentral

Istio Security Bug Found, Quickly Squashed - SDxCentral
An Istio security bug in its authentication policy that allowed an attacker unauthorized access was found and quickly patched.

Istioに重大なセキュリティバグが発見されています。1.3 - 1.3.7, 1.4 - 1.4.3を利用している方はアップデートが必要です。

Supporting developers as they scale: a free Kubernetes eBook

Supporting developers as they scale: a free Kubernetes eBook
We're excited to make our Kubernetes for Full-Stack Developers course available to a wider audience as an eBook

DigitalOceanが作ったKubernetesを学ぶためのeBook。無料で読むことができます。

3 tips to keep Kubernetes safe at scale

3 tips to keep Kubernetes safe at scale
As more companies adopt and scale their Kubernetes systems, security has to be a major point of interest.

スケールするKubernetesクラスタを安全に利用するための3つのTips

  • Role based accsess control
  • Insecure code checks
  • Checking exposed ports
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
No comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
ユーザーは見つかりませんでした