Kubernetes 1.34からアルファ版公開されたKubernetes向けのYAMLフォーマット

#Kubernetes Network policyの実装例をまとめたリポジトリ ahmetb/kubernetes-network-policy-recipes

Kubernetesコミュニティによってメンテナンスされているドライバ Container Storage Interface（CSI）のAPIを実装しており、様々なクラウドベンダーのSMSにアクセスできる

Knativeにおいて、KubernetesのCRDによって4種類のリソースを定義しアプリケーションの提供を行う Serviceの別APIのようなサービスディスカバリパターン 4種類のリソースは以下 Services Routes Configurations Revisions https://github.com/knative/specs/blob/main/specs/serving/overview.md

Kubernetesのkube-schedulerにおいて、必須ルールと推奨ルールを設定しNodesへの割り当てを決定させる Assigning Pods to Nodes | Kubernetes

Weaveworks社によって提唱された、Cloud Nativeの文脈においてgitを用いた設定管理を行うようなContinuous Delivery手法 対象は主にKubernetesとなる

#Software Design #Cloud Native The Twelve-Factor Appを現代のクラウドネイティブ環境向けに拡張した方法論。Kevin Hoffmanによって著され、オリジナルの12要因を15要因に拡張している。 追加された3つの新要因 2. API First - サービス設計において、実装前にAPIインターフェースを定義し契約駆動開発を促進 API Architecture 14. Telemetry - メトリクス、ログ、トレースの収集を通じた包括的な監視機能 Observability 15. Authentication and Authorization - 認証・認可をアプリケーション設計の第一級の関心事として組み込む Authentication Authorization 既存要因の改訂 Kubernetes ConfigMap/Secretsなどコンテナ時代の設定管理や、Infrastructure as Code（IaC）による環境構築など、現代的なベストプラクティスを反映した注釈が追加されている。 https://www.vmware.com/docs/ebook-beyond-the-12-factor-app

#Infrastructure as Code Kubernetesの設定ファイルをYAMLで記述する際、 kustomization.yaml によってリソース定義の集約等を行うことができるツール 環境ごとに共通化できる設定（base）、環境ごとの差分設定（overlays）を扱い、設定ファイルの記述を最低限にする 利用パターン Deployment等に指定するイメージを最新のバージョンで置きかえるようなケース > kustomize edit set image $BEFORE_IMAGE_NAME=$AFTER_IMAGE_NAME Kustomize - Kubernetes native configuration management

#Infrastructure as Code #DevOps #GitOps Helmfileは、Helmチャートをデプロイするための宣言的な仕様を提供するツールです。複数のHelmリリースを効率的に管理することができます。 概要 Helmfileを使用することで、Kubernetes環境における複数のHelmチャートのデプロイメントを、YAMLファイルで宣言的に管理できます。これにより、環境ごとの設定の違いを明確にし、再現性の高いデプロイメントを実現します。 主な機能 複数のHelmリリースを一つのファイルで管理 環境ごとの値のオーバーライド リリース間の依存関係の定義 デプロイの差分確認（diff機能） https://helmfile.readthedocs.io/en/latest/

CSI コンテナオーケストラレーション（主にKubernetes）でのコンテナ化されたワークロードから任意のストレージシステムを使用可能にするための仕様とその実体であるProtocol Buffers（gRPC通信前提）定義を提供する container-storage-interface/spec

#Observability #OpenTelemetry Kubernetes上にCollectorを構築するためのCRD/Operator https://github.com/open-telemetry/opentelemetry-operator?tab=readme-ov-file

#Security #Cloud Native #Continuous Integration コンテナイメージ、Kubernetes、IaC、リポジトリを対象とした包括的な脆弱性・設定ミス・シークレットスキャナー Aqua Securityによって開発されたオープンソースツール 主な機能: 脆弱性スキャン - コンテナイメージ、ファイルシステム、gitリポジトリ IaC設定ミス検出 - Dockerfile、Kubernetesマニフェスト、Terraformなど シークレット検出 - APIキー、パスワード等の機密情報 SBOM生成 - ソフトウェア部品表の作成と検出 ライセンススキャン DevSecOpsのシフトレフトセキュリティを実現し、CI/CDパイプラインに統合可能 SASTツールの一種として静的解析を実行する https://trivy.dev/ https://github.com/aquasecurity/trivy

#Observability OpenTelemetry CollectorをKubernetes上で構築するコンポーネント群の説明 Prometeus Receiverの例ではDaemonSet(agent)またはDeployment(gateway)を用いた実装のサンプルコードが置かれている https://opentelemetry.io/docs/platforms/kubernetes/collector/components/

#Kubernetes kube-schedulerにおいて、Node affinityのようなPodに対する設定ではなくNodesに対する設定によってPodの配置を決定する Taints and Tolerations | Kubernetes

RESTfulなKubernetes APIでリソースとして扱われるオブジェクト

#Kubernetes リソースのメタデータとしてリソースを特定するために用いられる Labelにはインデックスが貼られるため高速な検索が可能

#Network #DNS Kubernetesにおいて、PodとServiceをスケジューリングし、Service名によってURIを解決できる https://kubernetes.io/ja/docs/concepts/services-networking/dns-pod-service/

Kubernetesにおけるサブジェクト（主体）の一つ

#API Architecture #Network #Kubernetes #Cloud Native L4/L7を扱うKubernetes公式のAPIゲートウェイ GatewayClass Gateway HTTPRoute の3つを定義し実装する GatewayClassはGKEのようなクラウドサービスが用意するケースがあり、外部or内部を選択できる Introduction - Kubernetes Gateway API

PDB #Kubernetes 定常的に使用可能にしたいPod数を指定するような仕組み シングルトンなServiceを構築するようなケースで常に1台を使用可能にする、といった用途がある Disruption | Kubernetes

#Security #Kubernetes Kubernetesクラスタとワークロードを保護するためのセキュリティ対策の総称 4Csセキュリティモデルに基づき、Cloud、Cluster、Container、Codeの各レイヤーで多層防御を実装する 主なセキュリティ機能: アクセス制御: ServiceAccount、Role、RBAC Pod保護: Security Context、Pod Security Standards、Pod Security Admission ネットワーク: Network policy、サービスメッシュ シークレット管理: Secret https://kubernetes.io/docs/concepts/security/

Kubernetesクラスタ内でDeploymentによってシングルトンに起動され、リソースへ観察、分析、アクションを行うような役割 コントローラの監視対象となるのは以下 Label Annotation ConfigMap Controllers | Kubernetes

#Kubernetes Podを終了する際、プロセスがSIGTERMシグナルを受け取ってからSIGKILLで強制終了されるまでの猶予期間 デフォルトは30秒で、terminationGracePeriodSecondsで設定可能 主な処理フロー: Podが「Terminating」状態になりSIGTERMシグナルが送信される アプリケーションがGracePeriod内に終了すれば即座に次の段階へ GracePeriod経過後も実行中の場合、SIGKILLで強制終了 preStopフックもGracePeriod内で実行される https://kubernetes.io/docs/concepts/workloads/pods/pod-lifecycle/#pod-termination

#Kubernetes Probeに失敗するとトラフィックを受け取らないようにし、アプリケーションが自分自身で復帰するのを期待する readnessProbeをいつ使うべきか？ Readiness Probeを定義する

#Kubernetes Podのメタデータを環境変数を通じてコンテナに渡すようなケースで利用できるAPI Downward API | Kubernetes

Kubernetes上のコンテナのライフサイクルとして開始時（ENTRYPOINT）と終了時にフックを命令できる機能 コンテナライフサイクルフック | Kubernetes

#Kubernetes Probeに失敗するとコンテナを再起動する livenessProbeをいつ使うべきか？ HTTPリクエストによるLiveness Probeを定義する

#Kubernetes 1つのクラスタ内に存在するリソース群を名前空間として分離することができる機能 Deployment,Serviceなどは名前空間内に配置できるが、PersistentVolumeなどはクラスタ全体に適用されるため名前空間内に配置できない Namespaces | Kubernetes

#Kubernetes Labelの利用がそぐわないケースで代替となるメタデータの指定方法、ツールやライブラリからパラメータのように利用されることを想定している Labelと異なりインデックスはされない

#Kubernetes #Cloud Native Kubernetesリソースを標準的な方法で記述するための共通Labelセット ツール間の相互運用性を実現し、アプリケーションをクエリ可能な方法で記述する 標準ラベル app.kubernetes.io プレフィックスを使用 app.kubernetes.io/name - アプリケーション名 app.kubernetes.io/instance - 一意なインスタンス識別子 app.kubernetes.io/version - 現在のバージョン app.kubernetes.io/component - アーキテクチャ内のコンポーネント app.kubernetes.io/part-of - 上位レベルのアプリケーション名 app.kubernetes.io/managed-by - 管理ツール https://kubernetes.io/docs/concepts/overview/working-with-objects/common-labels/

PSS #Security #Kubernetes Podが満たすべきセキュリティ標準 3つのセキュリティプロファイルにグループ分けされており上から順に制限が厳しくなっていく Privileged Baseline Restricted Pod Security Standards | Kubernetes

#Continuous Delivery #Kubernetes Pod上で定期的に実行されるコンテナの診断、ヘルスチェック チェックの方法として以下の4つがある gRPC HTTP TCP Socket Exec 任意のコマンドを実行し、成功の返り値0を期待する Probeには戦略を示すようないくつかの種類が存在する Podのライフサイクル | Kubernetes

#Kubernetes #Cloud Native Podと一緒に定義可能な初期化を行うコンテナ サイドカーでも同挙動は実現可能だが、ただ一度のみ実行されるのでリソースを調整しやすい Initコンテナ Init Containers | Kubernetes

#Kubernetes kube-schedulerにおいて、Inter-pod affinity and anti-affinityでは解決できないようなRolling Update時の不均等なPod配置を許容する Pod Topology Spread Constraints | Kubernetes

#Kubernetes Pod定義にセキュリティ文脈の設定を追加するAPI 主にLinuxベースの以下のような観点に対する制御を行う Non-root User Linux Capabilities Configure a Security Context for a Pod or Container | Kubernetes

#Kubernetes Probeにおいてアプリケーションの起動にとても長い時間がかかる場合、Startup Probeが成功した後にLiveness ProbeまたはReadiness Probeを開始するような設定ができる startupProbeをいつ使うべきか？ Startup Probeを使用して、起動の遅いコンテナを保護する

#Kubernetes kube-schedulerにおいて、Podアフィニティでは同一Nodes内に配置されるPodを指定することができる 合わせてPodアンチアフィニティでは同一ノードに配置されるべきでないPodを指定できる Assigning Pods to Nodes | Kubernetes

Kubernetesの設定管理において、設定ファイルを隠蔽する専用のコンテナを用意し、Initコンテナと emptyDir を組み合わせることでアプリケーションコンテナに設定ファイルをロードさせるパターン ConfigMapと異なり、設定ファイルのコンテナイメージバージョン管理によってイミュータブルに扱うことができる

#Kubernetes Serviceの定義方法の一つ clusterIP .spec.clusterIP を "None" に指定することで、PodのIPを直接参照するような設定にしkube-proxyはServiceに関与しなくなる Service | Kubernetes

#Kubernetes CRDによるカスタムリソースとそれを操作するControllerを共に使うパターン Operator pattern | Kubernetes

PSA #Security #Kubernetes Pod Security Standardsを違反する可能性がある際のアクションを実行する アクションは以下の3つ Warn Audit Enforce Pod Security Admission | Kubernetes

#Network #Observability #Security #API Architecture マイクロサービスで行われるようなサービス間通信をルーティング、監視、保護する機能を提供する Kubernetesにおいてはクラスタ単位でサービスメッシュを構築する サービスメッシュはクラスタ内の全てのサービス間通信を制御するコントロールプレーンとコントロールプレーンで指定された作業が実行されるデータプレーン（サービス）の2つの基本要素を持つ。

#Cloud Native Kubernetes NativeなDaprプロジェクト上でLLMを利用した会話型エージェントを開発できる DaprのワークフローによるメッセージングベースのAIエージェント連携も可能 https://dapr.github.io/dapr-agents/

#Observability Kubernetes/Istio環境のサービスメッシュ内において、テレメトリーが生成される方法を定義するCRD 例としてOpenTelemetryのOpenTelemetry Collectorによるプロバイダを指定することができる https://istio.io/latest/docs/reference/config/telemetry/

#Security #Authorization Istioにおいてアプリケーション（L7）認可の役割を担うリソース KubernetesのCRDによって用意されており、Network policyに比べ柔軟でHTTP特有の設定が可能 Istio / Authorization Policy

#Platform Engineering Internal Developer Platform Kubernetes RBAC Internal Developer Portal https://codezine.jp/article/detail/19376

#Network #Cloud Native #Observability #Security https://cilium.io/ eBPF技術を活用したクラウドネイティブなネットワーキングソフトウェア KubernetesのCNIとしてネットワークの接続、保護、監視を提供する ユースケースとして以下のような例がある L4 ロードバランシング https://cilium.io/use-cases/load-balancer/ kube-proxy https://cilium.io/use-cases/kube-proxy/ サービスメッシュ https://cilium.io/use-cases/service-mesh/ Gateway API https://cilium.io/use-cases/gateway-api/ Ingress https://cilium.io/use-cases/ingress/

#Observability Datadogへホストのログを送信するソフトウェア。 各ホストの環境別にいくつかのインストール手段が用意されている 例としてKubernetesへのインストール方法は以下 Kubernetes に Datadog Agent をインストールする https://docs.datadoghq.com/ja/agent/?tab=Linux

#Documentation Kubernetesの各リソース等のアイコンを公開しているリポジトリ 様々なダイアグラムサービスのデータセットに利用されている https://github.com/kubernetes/community/tree/master/icons

#Cloud Native Google CloudのGKE上でGateway APIを適用する 外部Gatewayをデプロイする時は、GatewayClassに gke-l7-global-external-managed を指定した上で、Certificate Managerのような手段でセキュリティを担保する Kubernetes APIの NamedAddress に静的IPアドレスを指定することができる 方法 Gateway のデプロイ | Google Kubernetes Engine (GKE) | Google Cloud

Elastic Kubernetes Service #Cloud Native AWSクラウド上でKubernetesを実行するマネージドサービス、Kubernetes準拠であるため既存のKubernetesアプリケーションと互換性がある Kubernetes Serviceでのロードバランシングに加え、Elastic Load Balancingの使用をサポートしている What is Amazon EKS? - Amazon EKS