Kubernetes（正確にはクラスタネットワーク）はデフォルト設定はIPv4のアドレスのみを利用するようです。 とある案件で必要になったため、KubernetesのIPv6周りを調べることにしました。 今回の内容は３回に分けてブログにしようと思います。 内容 Kubernete…

本記事について この記事で書かれている内容はRestrict a Container's Syscalls with seccompをベースにしていました。このドキュメントのうち前半の指定した任意のSeccompプロファイルを使ってPodを作成する機能は1.25でデフォルトで使えるようになった機能…

今日は小ネタです。 CRI-Oを試そうと思い、とりあえずFedora 36でセットアップしてみました。 kubeadmで昨日リリースされたKubernetes 1.25を試そうと思ったのですが、CRI-O 1.25はまだパッケージが用意されていないようなので、1.24を使うつもりです（そっ…

FedoraをWebインターフェイスで管理するCockpitというソフトウェアがあります。 最近のFedora Serverはデフォルトインストールオプションでインストールすると、Cockpitがインストールされます。 インストールさえすれば、RHELもそのほかのRHELクローンでも…

ちょっと前に、こんな記事を見つけました。 blog.appsecco.com 特定のKubernetesネームスペースに書き換えの権限を持つアカウントを使い、hostpathマウントを使うことでホストのシェルに侵入できるという報告になっています。 その後編は、Pod security Poli…

Ubuntu + CRI-O + kubeadmでKubernetesな環境は次のような感じで構築できました。 tech.virtualtech.jp 今回はその構成にKata Containerをねじ込みたいと思います。 katacontainers.io 過去にcontainerdベースの構成は試していました。こちらもいずれRuntime…

前回はUbuntu 18.04でCRI-Oランタイムを使ってKubernetesを構築する流れをまとめました。 tech.virtualtech.jp 今回はCentOS 7の場合をご紹介します。ちなみについでにCentOS 8.1で動かしてみたのでそちらもご紹介します。 [2/18 更新] 余計な手順を削除 基…

UbuntuベースでコンテナーランタイムのCRI-Oをインストールして、kubeadmを使ってKubernetesをデプロイしたときの記録です。 ドキュメントも揃っているし、鼻をほじりながらでもできるのでは？と思っていたら、思っていた以上に大変でした。 [2/18 更新] 余…