#Kubernetes Network policyの実装例をまとめたリポジトリ ahmetb/kubernetes-network-policy-recipes

Kubernetesコミュニティによってメンテナンスされているドライバ Container Storage Interface（CSI）のAPIを実装しており、様々なクラウドベンダーのSMSにアクセスできる

Knativeにおいて、KubernetesのCustomResourceDefinitionによって4種類のリソースを定義しアプリケーションの提供を行う Serviceの別APIのようなサービスディスカバリパターン 4種類のリソースは以下 Services Routes Configurations Revisions https://github.com/knative/specs/blob/main/specs/serving/overview.md

Kubernetesのkube-schedulerにおいて、必須ルールと推奨ルールを設定しNodesへの割り当てを決定させる Assigning Pods to Nodes | Kubernetes

Weaveworks社によって提唱された、Cloud Nativeの文脈においてgitを用いた設定管理を行うようなContinuous Delivery手法 対象は主にKubernetesとなる

#Infrastructure as Code Kubernetesの設定ファイルをyamlで記述する際、 kustomization.yaml によってリソース定義の集約等を行うことができるツール 環境ごとに共通化できる設定（base）、環境ごとの差分設定（overlays）を扱い、設定ファイルの記述を最低限にする 利用パターン Deployment等に指定するイメージを最新のバージョンで置きかえるようなケース > kustomize edit set image $BEFORE_IMAGE_NAME=$AFTER_IMAGE_NAME Kustomize - Kubernetes native configuration management

CSI コンテナオーケストラレーション（主にKubernetes）でのコンテナ化されたワークロードから任意のストレージシステムを使用可能にするための仕様とその実体であるProtocol Buffers（gRPC通信前提）定義を提供する container-storage-interface/spec

#Kubernetes kube-schedulerにおいて、Node affinityのようなPodに対する設定ではなくNodesに対する設定によってPodの配置を決定する Taints and Tolerations | Kubernetes

RESTfulなKubernetes APIでリソースとして扱われるオブジェクト

#Kubernetes リソースのメタデータとしてリソースを特定するために用いられる Labelにはインデックスが貼られるため高速な検索が可能

Kubernetesにおけるサブジェクト（主体）の一つ

#API Architecture #Network #Kubernetes #Cloud Native L4/L7を扱うKubernetes公式のAPIゲートウェイ GatewayClass Gateway HTTPRoute の3つを定義し実装する GatewayClassはGKEのようなクラウドサービスが用意するケースがあり、外部or内部を選択できる Introduction - Kubernetes Gateway API

PDB #Kubernetes 定常的に使用可能にしたいPod数を指定するような仕組み シングルトンなServiceを構築するようなケースで常に1台を使用可能にする、といった用途がある Disruption | Kubernetes

Kubernetesクラスタ内でDeploymentによってシングルトンに起動され、リソースへ観察、分析、アクションを行うような役割 コントローラの監視対象となるのは以下 Label Annotation ConfigMap Controllers | Kubernetes

#Kubernetes Probeに失敗するとトラフィックを受け取らないようにし、アプリケーションが自分自身で復帰するのを期待する readnessProbeをいつ使うべきか？ Readiness Probeを定義する

#Kubernetes Podのメタデータを環境変数を通じてコンテナに渡すようなケースで利用できるAPI Downward API | Kubernetes

Kubernetes上のコンテナのライフサイクルとして開始時（ENTRYPOINT）と終了時にフックを命令できる機能 コンテナライフサイクルフック | Kubernetes

#Kubernetes Probeに失敗するとコンテナを再起動する livenessProbeをいつ使うべきか？ HTTPリクエストによるLiveness Probeを定義する

#Kubernetes 1つのクラスタ内に存在するリソース群を名前空間として分離することができる機能 Deployment,Serviceなどは名前空間内に配置できるが、PersistentVolumeなどはクラスタ全体に適用されるため名前空間内に配置できない Namespaces | Kubernetes

#Kubernetes Labelの利用がそぐわないケースで代替となるメタデータの指定方法、ツールやライブラリからパラメータのように利用されることを想定している Labelと異なりインデックスはされない

PSS #Security #Kubernetes Podが満たすべきセキュリティ標準 3つのセキュリティプロファイルにグループ分けされており上から順に制限が厳しくなっていく Privileged Baseline Restricted Pod Security Standards | Kubernetes

#Continuous Delivery #Kubernetes Pod上で定期的に実行されるコンテナの診断、ヘルスチェック チェックの方法として以下の4つがある gRPC HTTP TCP Socket Exec 任意のコマンドを実行し、成功の返り値0を期待する Probeには戦略を示すようないくつかの種類が存在する Podのライフサイクル | Kubernetes

#Kubernetes #Cloud Native Podと一緒に定義可能な初期化を行うコンテナ サイドカーでも同挙動は実現可能だが、ただ一度のみ実行されるのでリソースを調整しやすい Initコンテナ Init Containers | Kubernetes

#Kubernetes kube-schedulerにおいて、Inter-pod affinity and anti-affinityでは解決できないようなRolling Update時の不均等なPod配置を許容する Pod Topology Spread Constraints | Kubernetes

#Kubernetes Pod定義にセキュリティ文脈の設定を追加するAPI 主にLinuxベースの以下のような観点に対する制御を行う Non-root User Linux Capabilities Configure a Security Context for a Pod or Container | Kubernetes

#Kubernetes Probeにおいてアプリケーションの起動にとても長い時間がかかる場合、Startup Probeが成功した後にLiveness ProbeまたはReadiness Probeを開始するような設定ができる startupProbeをいつ使うべきか？ Startup Probeを使用して、起動の遅いコンテナを保護する

#Kubernetes kube-schedulerにおいて、Podアフィニティでは同一Nodes内に配置されるPodを指定することができる 合わせてPodアンチアフィニティでは同一ノードに配置されるべきでないPodを指定できる Assigning Pods to Nodes | Kubernetes

Kubernetesの設定管理において、設定ファイルを隠蔽する専用のコンテナを用意し、Initコンテナと emptyDir を組み合わせることでアプリケーションコンテナに設定ファイルをロードさせるパターン ConfigMapと異なり、設定ファイルのコンテナイメージバージョン管理によってイミュータブルに扱うことができる

#Kubernetes Serviceの定義方法の一つ clusterIP .spec.clusterIP を "None" に指定することで、PodのIPを直接参照するような設定にしkube-proxyはServiceに関与しなくなる Service | Kubernetes

#Kubernetes CustomResourceDefinitionによるカスタムリソースとそれを操作するControllerを共に使うパターン Operator pattern | Kubernetes

PSA #Security #Kubernetes Pod Security Standardsを違反する可能性がある際のアクションを実行する アクションは以下の3つ Warn Audit Enforce Pod Security Admission | Kubernetes

#Network #Observability #Security #API Architecture マイクロサービスで行われるようなサービス間通信をルーティング、監視、保護する機能を提供する Kubernetesにおいてはクラスタ単位でサービスメッシュを構築する サービスメッシュはクラスタ内の全てのサービス間通信を制御するコントロールプレーンとコントロールプレーンで指定された作業が実行されるデータプレーン（サービス）の2つの基本要素を持つ。

#Cloud Native Kubernetes NativeなDaprプロジェクト上でLLMを利用した会話型エージェントを開発できる DaprのワークフローによるメッセージングベースのAIエージェント連携も可能 https://dapr.github.io/dapr-agents/

#Platform Engineering Internal Developer Platform Kubernetes RBAC Internal Developer Portal https://codezine.jp/article/detail/19376

#Network #Cloud Native #Observability #Security https://cilium.io/ eBPF技術を活用したクラウドネイティブなネットワーキングソフトウェア KubernetesのCNIとしてネットワークの接続、保護、監視を提供する ユースケースとして以下のような例がある L4 ロードバランシング https://cilium.io/use-cases/load-balancer/ kube-proxy https://cilium.io/use-cases/kube-proxy/ サービスメッシュ https://cilium.io/use-cases/service-mesh/ Gateway API https://cilium.io/use-cases/gateway-api/ Ingress https://cilium.io/use-cases/ingress/

#Observability Datadogへホストのログを送信するソフトウェア。 各ホストの環境別にいくつかのインストール手段が用意されている 例としてKubernetesへのインストール方法は以下 Kubernetes に Datadog Agent をインストールする https://docs.datadoghq.com/ja/agent/?tab=Linux

#Security #Authorization Istioにおいてアプリケーション（L7）認可の役割を担うリソース KubernetesのCustomResourceDefinitionによって用意されており、Network policyに比べ柔軟でHTTP特有の設定が可能 Istio / Authorization Policy

#Documentation Kubernetesの各リソース等のアイコンを公開しているリポジトリ 様々なダイアグラムサービスのデータセットに利用されている https://github.com/kubernetes/community/tree/master/icons

#Cloud Native Google CloudのGKE上でGateway APIを適用する 外部Gatewayをデプロイする時は、GatewayClassに gke-l7-global-external-managed を指定した上で、Certificate Managerのような手段でセキュリティを担保する Kubernetes APIの NamedAddress に静的IPアドレスを指定することができる 方法 Gateway のデプロイ | Google Kubernetes Engine (GKE) | Google Cloud

Elastic Kubernetes Service #Cloud Native AWSクラウド上でKubernetesを実行するマネージドサービス、Kubernetes準拠であるため既存のKubernetesアプリケーションと互換性がある Kubernetes Serviceでのロードバランシングに加え、Elastic Load Balancingの使用をサポートしている What is Amazon EKS? - Amazon EKS