CloudNative Days Tokyo 2019 1D3 セッションのスライドです。 #CNDT2019 #OSDT2019 #RoomD

背景 Kubernetes環境でGitOpsを導入するにあたり、Secretの扱いをどうするか、という課題に直面しました。 GitOpsでは、KubernetesのマニフェストファイルはGitで管理するので、工夫しないとSecretをそのままコミットすることになってしまいます。 Secretの値はbase64でエンコードされているだけなので、簡単にデコードできてしまうため、そのままコミットすることは好ましくありません。 そこで対応方法を調査した結果、SealedSecretというものを見つけ検証したので、本番環境でも有用な使い方をまとめることにしました。 準備 kubesealのインストール まず最初に、kubesealをインストールする必要があります。 手順は以下のリンクに載っているので、ぜひご覧ください。 sealed-secrets - releases ここでは、Macでの手順をご

Kubernetesの監視 クラスタの状態監視、CPU・メモリなどのリソース監視、各種クエリやアクセスのチェックなど、要点を挙げればキリのない分野なので、使用するツールによって作業の難易度が大きく左右されてきます。 今回、Pixieを導入してみて使い心地が良かったので、布教のために機能をいくつか紹介していきます。 アクセス直後の全体像 こんな感じのダッシュボードになっています。HTTPトラフィックの可視化は見ているだけでワクワクします。 Namespaceごとのリソース監視 Podのリソース使用状況やディスクアクセスも確認できます。 HTTPのログ監視 Redisのコマンドログ・トラフィックの可視化 他にも様々な監視用のテンプレートが用意されています😀 インストール方法 Kubernetesは導入済みと仮定して、Self-hostedではなくクラウド版Pixieのインストール手順のみ共有

"Service mesh data plane vs. control plane" by Matt Klein の日本語訳microservicesenvoyistioServiceMeshLinkerd この記事はEnvoyの作者であるMatt Kleinさんの以下の記事を Service mesh data plane vs. control plane 本人の許可をえて日本語訳したものになります。 Sure! Please credit me as the original author and link to the original article. Thank you! — Matt Klein (@mattklein123) 2018年5月30日 Envoyの存在を知って以降、service meshに関して興味を持ってあれこれと調べていたのですが、まだ発展途上中の分野の

こんにちは。Cacoo チームの木村（@cohhei）です。Cacoo チームでは、 Kubernetes によるアーキテクチャの microservices 化に取り組んでいます。今回は私たち Cacoo チームが microservices 化によって解決しようとしている課題と取り組みの内容、その成果についてご紹介します。 この記事では以下の内容を含みます。 Cacoo の開発チームがどんな課題を抱えていたか 何故 microservices の道を選んだか どんな技術を選んだか microservices 化してどうだったか 現状の課題 課題：古いフレームワークとモノリシックなアプリケーション Cacoo は2009年にベータ版がリリースされた歴史のあるプロダクトで、モノリシックなアプリケーション上ですべての機能が実行されていました。 そのため、それぞれのコードの依存関係を十分に理解

はじめに 「KubeCon + CloudNativeCon」でのセキュリティに関するセッションで紹介されたり、IstioをはじめとしたService MeshプロダクトのWorkload Identityとして採用されたりと、最近になりCloud NativeコミュニティでSPIFFEの名を耳にすることが多くなってきました。本記事では、SPIFFEが求められた背景やSPIFFEの概要、Kubernetesへの導入方法などを紹介していきます。 SPIFFEが求められた背景 マイクロサービスアーキテクチャ、コンテナオーケストレーター、クラウドコンピューティングのような分散システムを利用している環境では、サービスのスケーリングなどに伴いノードやアプリケーションが頻繁かつ動的に分散配置されるため、アプリケーションに割り当てられるIPアドレスが短期間で変化してきます。 このような環境では、ネットワ

※本記事は2022年1月26日に公開された記事の翻訳版です。 筆者：Dylan Lau (@aidiruu), Platform DXチーム Zero Touch Production (ZTP)は、本番環境に加えられるすべての変更が、自動化、安全なプロキシ、または監査可能なBreak-glass（緊急アクセス）システムによっておこなわれるという概念です。人為的ミスに起因する本番環境での障害には、次のようなさまざまな種類があります。 構成エラー スクリプトエラー 間違った環境でのコマンド実行 ZTPはこれらのエラーによる障害発生のリスクを軽減できます。メルカリでは、ZTP環境への移行に取り組んでいます。最初のステップは、一時的な役割付与システムであるCarrierを実装することです。 この記事では、以下について説明します。 ZTPの重要性 ZTPを実装するプロセスとCarrierを始めた理

対象となる個々のPodのIPアドレスが直接帰ってくるService DNSラウンドロビンのイメージ ロードバランシングするためのIPアドレスは不要 StatefulSetがHeadlessServiceを利用している場合、Pod名でIPアドレスを引くことができる（Kubernetesの設計的に、StatefulSet内の各Podを直接指定するのはナンセンス） セットアップ HeadlessServiceのデプロイ apiVersion: v1 kind: Service metadata: name: sample-headless spec: type: ClusterIP clusterIP: None ports: - name: "http-port" protocol: "TCP" port: 80 targetPort: 80 selector: app: sample-app

自動 Envoy インジェクションを使用して Google Kubernetes Engine Pod を設定する 概要 サービス メッシュでは、アプリケーション コードでネットワーク構成を認識する必要はありません。アプリケーションはデータプレーンを介して通信を行います。データプレーンは、サービス ネットワーキングを処理するコントロール プレーンによって構成されます。このガイドでは、Cloud Service Mesh がコントロール プレーンに、Envoy サイドカー プロキシがデータプレーンになります。 Google マネージド Envoy サイドカー インジェクタは、Envoy サイドカー プロキシを Google Kubernetes Engine Pod に追加します。Envoy サイドカー インジェクタは、プロキシを追加するときに、アプリケーション トラフィックを処理し、Clo

Perfect for EdgeK3s is a highly available, certified Kubernetes distribution designed for production workloads in unattended, resource-constrained, remote locations or inside IoT appliances. Simplified & SecureK3s is packaged as a single <70MB binary that reduces the dependencies and steps needed to install, run and auto-update a production Kubernetes cluster. Optimized for ARMBoth ARM64 and ARMv7

社内でKubernetesハンズオンをやってみたのでおすそ分け。 参加者6人からバンバン出てくる質問に答えながらやって、所要時間4時間ほどでした。 SpeakerDeckにも資料を上げています。 https://speakerdeck.com/ktam1219/yaruze-kuberneteshanzuon (2019/07/11追記) 続編書きました！ -> 今度はあんまりゴツくない！？「わりとゴツいKubernetesハンズオン」そのあとに ハンズオンの目標 Kubernetesとお友達になる イメージを掴む 触ってみる(ローカル・EKS・ちょっとGKE) 構築・運用ができるような気分になる 巷にあふれるKubernetesの記事・スライドが理解できるようになる EKSがメインになっているのは、会社の業務でAWSを使うことが多いからです。 純粋にKubernetesを勉強したいだけな