よりセキュリティを考慮したKubernetesを目指して、いろいろ調べているところです。 今回はSELinuxを有効な状態でKubernetesを動かしてみることにしました。 対象のバージョンについて Fedoraは33、CentOSは7.9および8.3のアップデート適用したバージョンを…
OpenShiftはベースにKubernetesを使っているとはいえ、様々な製品が組み合わされたコンテナーの統合環境であり、いざ使おうと思うとセットアップするのはなかなか難しいのが事実です。 Kubernetesをちょっと試すためのツールとしてminikubeがあったように、O…
先日構築したOpenStackですが tech.virtualtech.jp いつものように手元の環境にOpenStack Clientを入れてコマンド操作しようとしたらエラーが発生し、うまくいきませんでした。エラー出力の結果からSSL周りのエラーであることがわかりました。 $ source admi…
これまでもこのブログでJuju + MAASを使ったOpenStackの構築方法について定期的に取り上げていましたが、最近の構成でOpenvSwitchからOVNが使われるようになったり、キーマネージメント関連でVaultが使われるようになったりとだいぶ変更があったため、試して…
Rancher RioはKubernetesのアプリケーションデプロイメントエンジンです。RioはGitベースのアプリケーションデプロイメントを実現するためのツールで、カナリア、A/B、ブルー/グリーンの展開を提供するサービスメッシュソリューションの一つです。内部的にLi…
ちょっと前に、こんな記事を見つけました。 blog.appsecco.com 特定のKubernetesネームスペースに書き換えの権限を持つアカウントを使い、hostpathマウントを使うことでホストのシェルに侵入できるという報告になっています。 その後編は、Pod security Poli…
Kubernetesの基本設計では一つのPodには一つのNICが提供され、外部からのアクセスや内部的な通信などを全てそのインターフェイスを経由して行います。 一方、KubernetesでMultus CNIを使うと、Podに対して複数のInterfaceを付与できます。 Multus CNIがセッ…