ソフトウェアサプライチェーンセキュリティ:ゴールデンパイプラインへの道のり #aqua #セキュリティ #ソフトウェアサプライチェーン - クリエーションライン株式会社
背景 最近、「コンテナはもうわかってきたので、これからKubernetesについて腰を据えて勉強したいが、どのように勉強すればいいかわからない」という相談をいただくことがすごく多くなった。 必要に応じて必要なリソースの挙動などを調べてきたし、僕自身も知らないことばかりなので、全てを伝えることはできない。 とはいえ、「入門しにくいサービスが伸びにくい」というのは、間違いないので、Kubernetesに入門する上でこの順番で学習したら、基本的な内容を身につけられるのではないかというロードマップを一つ公開しておくことで、これから業務でKubernetesを理解していく必要がある方の最初の一歩を助けられるかもしれないと思い、公開する事とした。(このQiitaのリンクを渡すだけで質問に回答できるという状態を作りたいという観点もある。) 自分の今の、Kubernetesに対する理解をうまく表現できてい
任天堂:新しい汎用ゲームサーバーを Google Kubernetes Engine、Cloud Spanner などを駆使して構築 | Google Cloud 公式ブログ
任天堂:新しい汎用ゲームサーバーを Google Kubernetes Engine、Cloud Spanner などを駆使して構築 世界中で愛好されている任天堂株式会社(以下、任天堂)の家庭用ゲーム機「Nintendo Switch」。そのオンライン マルチプレイを担う汎用ゲームサーバーの動作基盤に新たに Google Cloud が採用されました。多くのユーザーとの通信を処理しなければならないこの仕組みを、なぜ Google Cloud 上に構築したのか。どのような工夫を施すことで、安定性・可用性と運用負担の軽減を両立させたのか。構築に携わったエンジニアのお二人に話を伺いました。 利用しているサービス: Google Kubernetes Engine、Agones、Anthos Service Mesh、Cloud Spanner、Cloud Load Balancing、Cloud
任天堂:新しい汎用ゲームサーバーを Google Kubernetes Engine、Cloud Spanner などを駆使して構築 | Google Cloud 公式ブログ
任天堂:新しい汎用ゲームサーバーを Google Kubernetes Engine、Cloud Spanner などを駆使して構築 世界中で愛好されている任天堂株式会社(以下、任天堂)の家庭用ゲーム機「Nintendo Switch」。そのオンライン マルチプレイを担う汎用ゲームサーバーの動作基盤に新たに Google Cloud が採用されました。多くのユーザーとの通信を処理しなければならないこの仕組みを、なぜ Google Cloud 上に構築したのか。どのような工夫を施すことで、安定性・可用性と運用負担の軽減を両立させたのか。構築に携わったエンジニアのお二人に話を伺いました。 利用しているサービス: Google Kubernetes Engine、Agones、Anthos Service Mesh、Cloud Spanner、Cloud Load Balancing、Cloud
はじめに WASMをブラウザの外で動かすトレンドに関して「Linuxコンテナの「次」としてのWebAssemblyの解説」というタイトルで動画を投稿したのですが、動画では話しきれなかった内容をこちらの記事で補完したいと思います。 2022年もWebAssembly(WASM)の話題が多く発表されましたが、そのひとつにDocker for DesktopのWASM対応があります。FastlyやCloudflareもエッジ環境でWASMを動かすソリューションを持っていますし、MSのAKS(Azure Kubernetes Service)でもWASMにpreview対応しています。WASM Buildersでも2023年のWASMの予想としてWASMのアプリケーションランタイム利用に関して言及されました。 WASMといえば元々ブラウザ上で高速にC++のコードなどを実行するところから始まっている
本文の内容は、2023年1月25日にJAVIER MARTÍNEZ が投稿したブログ(https://sysdig.com/blog/troubleshoot-kubernetes-oom)を元に日本語に翻訳・再構成した内容となっております。 はじめに Kubernetesを使用する場合、Out of Memory (OOM) エラーとCPUスロットリングは、クラウドアプリケーションのリソース処理で主に頭を悩ませる問題です。なぜでしょうか? クラウドアプリケーションにおけるCPUとメモリの要件は、クラウドのコストに直接結びついているため、これまで以上に重要です。 リミットとリクエストを使用すると、リソースの枯渇を防ぎ、クラウドのコストを調整するために、Pod がメモリと CPU のリソースをどのように割り当てるべきかを設定できます。 ノードに十分なリソースがない場合、Podはプリエンプショ
Core Kubernetes
Take a deep dive into Kubernetes inner components and discover what really powers a Kubernetes cluster. This in-depth guide shines a light on Kubernetes' murky internals, to help you better plan cloud native architectures and ensure the reliability of your systems. In Core Kubernetes you will learn about: Kubernetes base components Kubernetes networking Storage and the Container Storage Interface
GKE(Google Kubernetes Engine)クラスタにアプリをデプロイする | DevelopersIO
こんにちは、yagiです。 今回は、Cloud Shell を起動して、Google Cloud の GKE(Google Kubernetes Engine)クラスタにアプリをデプロイする手順について記載します。 Cloud Shell 、とっても便利で使いやすい! Kubernetes とは Kubernetes は、コンテナー化されたアプリケーションを必要な場所でいつでも実行できるようにし、動作に必要なリソースとツールを見つけるのに役立ちます。Kubernetes は、コンテナ オーケストレーションにおける Google の蓄積された経験と、コミュニティからの最善のアイデアを組み合わせて設計された、本番環境に対応したオープン ソース プラットフォームです。 Kubernetes の基本 Pod と Service と Ingress(ざっくり) Pod は、ホスト上で実行できるコンテ
Monitoring Kubernetes layers: Key metrics to know | Grafana Labs
Solutions All end-to-end solutions Opinionated solutions that help you get there easier and faster
AWS Fargateについて 清水崇之氏(以下、清水):2つ目の相談にも進みたいなと思います。2つ目に「AWS Fargateの運用とコスト最適化について」というお話をいただいています。 新しいサービスとしてAWS Fargateというものが出てきたので、こちらもAWSのSAから簡単に紹介したいなと思います。 下川賢介氏(以下、下川):AWSの中でコンテナを扱えるサービスが何個かあるんですが、その1つが「Amazon ECS」という、コンテナオーケストレーションできるようなサービスになってきます。コンテナの実行環境ですね。 このECSには2つのタイプがあって、on EC2で動くECSと、on Fargateで動くECSがあります。それぞれ何が違うかというと、AWSで管理してくれる領域が違います。(スライドを示して)青色で書かれているところがお客さまが管理するレイヤーで、黄色で表されている
LocustをEKS上で動かす - Qiita
この記事について 負荷試験にてLocustを利用する必要がありました。そこで柔軟にスケールできるようにEKS上で動かすことになりました。 EKS上でLocustを動かして、簡単な負荷試験を実施する手順などについてこの記事にまとめます。 なお、この記事ではLocustのシナリオについては深く触れません。 あくまで動作確認レベルのシナリオになります。 簡単に登場人物の紹介 Locsut Python製の負荷試験ツールです。 負荷試験のシナリオをPythonを用いて柔軟に作り込むことができます。 locustにはmaster/workerモード機能があり、これを利用することで複数インスタンス(コンテナ)を利用してスケールさせながらlocustによる負荷試験を行うことが可能です。 今回はこのmaster/workerモードを利用して、locustを動かします。 EKS KubernetesのAWS
Let’s dig deeper into this list of Kubectl plugins that we strongly feel will be very useful for anyone, especially security engineers. Stern plugin RBAC-tool Cilium Plugin Kube Policy Advisor Kubectl-ssm-secret Kubelogin Kubectl-whisper-secret Kubectl-capture Kubectl-trace Access-matrix Rolesum Cert-manager np-viewer ksniff Inspektor-Gadget Kubernetes, by design, is incredibly customizable. Kuber
はじめに Kubebuilder を利用すると、Kubernetes のカスタムコントローラーを開発するためののひな形を生成することができます。 Kubebuilder のひな形には、カスタムコントローラーのコンテナイメージビルドや、デプロイするためのマニフェストを生成するための仕組みが用意されています。 しかし、下記のような日々のメンテナンスやリリース作業のための仕組みは含まれていません。 利用しているツールやライブラリの更新 Kubernetes のバージョンアップ対応 リリースノートの作成 コンテナイメージのビルド、コンテナレジストリへの登録 Helm Chart の作成とリリース そこで本記事では、以下のツールを利用した自動化をおこない、日々のメンテナンスやリリース作業を楽にする方法について紹介したいと思います。 Renovate による依存関係の更新 GoReleaser による
AIでユニットテストを自動生成。リファクタリング、ドキュメントの生成、バグの検出なども行う「Refraction」登場
AIでユニットテストを自動生成。リファクタリング、ドキュメントの生成、バグの検出なども行う「Refraction」登場 ChatGPTに代表される自然言語やプログラミング言語のコードを理解するAIを用いてコーディングの支援を行うツールがまた新たに登場しました。 Refractionは、示されたコードから自動的にユニットテストを生成するほか、コードのリファクタリング、ドキュメントの生成、バグの検出などを行います。 Updates! https://t.co/9otFTI7nh0 is now https://t.co/MtN5JgnetI. Building out many utilities. You can... Generate unit tests Generate inline documentation Refactor your code Added a $5 / month
3大クラウド(AWS,Azure,GCP)をそれぞれプロダクションで実運用した感想(その1 シェア、将来性) - Qiita
3大クラウド(AWS,Azure,GCP)をそれぞれプロダクションで実運用した感想(その1 シェア、将来性) 3大クラウド(AWS,Azure,GCP)をプロダクションで実運用した感想(その1 シェア、将来性) はじめに 今まで私がエンジニアとして10年以上仕事をしてきた過程で、利用されているクラウドインフラ基盤を転職要件に含めていなかったことも相まって、AWS(Amazon Web Services),Azure(Microsoft Azure),GCP(Google Cloud Platform)という3大クラウドのクラウド基盤で、サービスの立ち上げから運用まで関与することができました。 各々のクラウド基盤に関して掘り下げられていることはあっても、エンジニア/SREの視点から俯瞰して述べられていることはあんまり無いので私が実務レベルで各々のサービスを使っていて感じたことを共有しておきま
GitHub - OneUptime/oneuptime: OneUptime is an open-source complete observability platform.
A tag already exists with the provided branch name. Many Git commands accept both tag and branch names, so creating this branch may cause unexpected behavior. Are you sure you want to create this branch?
Alibaba CloudのサーバレスKubernetes(ASK)にTiDBをデプロイしてみる|クラウドテクノロジーブログ|ソフトバンク
Alibaba CloudのサーバレスKubernetes(ASK)にTiDBをデプロイしてみる</h1>\r\n"}}" id="text-73cf0f067f" class="cmp-text"> Alibaba CloudのサーバレスKubernetes(ASK)にTiDBをデプロイしてみる <span class=\"biz-smb-fs-p1\"><b>Batch/OLAP Software Engineer, CRE(Customer Reliability Engineer)<br>\r\n 大原 陽宣</b></span></p>\r\n<p>多様多種で複雑なデータを明確化し、テクノロジーでイノベーションを起こすことで、昨日までは不可能だったものを、明日は可能になるようなデータエンジニアを目指しています。Apache HBaseやRaftアーキテクチャなどの分散技術を得意と
Cluster API と Argo CD を用いた Kubernetes マルチクラスター管理 | Amazon Web Services
Amazon Web Services ブログ Cluster API と Argo CD を用いた Kubernetes マルチクラスター管理 この記事は Multi-cluster management for Kubernetes with Cluster API and Argo CD (記事公開日: 2022 年 11 月 1 日) を翻訳したものです。 イントロダクション お客様は、スケーラビリティと費用対効果を求めてクラウドに移行しています。また、中には Kubernetes を採用してワークロードをモダナイズすることで、よりアジャイルな方法で反復作業をおこない、市場投入までの時間が短いサービスや製品機能を顧客に提供しようとしている企業もあります。管理すべきクラスターの数が増えるにつれ、お客様は Kubernetes クラスターを管理するための様々なデプロイの仕組みや API
経緯 Google CloudのGKEでIngressを利用する場合、まずingress-gceとingress-nginxが候補に挙がる(参考:K8s Ingressについて) それらをデプロイした場合に、Google Cloudのロードバランサ―等が自動生成されてクラスターと連携する それぞれ何ができるのか実際にデプロイしてみてサービス構成を確認後、機能を比較をした まとめ サービス構成 デプロイ後の構成イメージは下図(左:ingress-nginx、右:ingress-gce)の通り 上図で省略しているロードバランサ―からPodへのアクセスは下図(左:ingress-nginx、右:ingress-gce)の通り 引用:https://cloud.google.com/kubernetes-engine/docs/concepts/container-native-load-bala
ChatGPTにKubernetesのアラート対応を教えてもらう。監視ツールとChatGPTをつなげる「Kubernetes ChatGPT Bot」登場
ChatGPTにKubernetesのアラート対応を教えてもらう。監視ツールとChatGPTをつなげる「Kubernetes ChatGPT Bot」登場 オープンソースで開発されているKubernetesのモニタリングツール「Robusta」の開発者Natan Yellin氏は、AIを利用して人間とチャットで会話をする能力を備える「ChatGPT」をRobustaと統合した「Kubernetes ChatGPT Bot」を公開しました。 Kubernetes ChatGPT Botは、発生したアラートの内容を自動的に受け取り、対処方法をAIがチャットで教えてくれるというものです。Natan Yellin氏は「もう、一人でやみくもにアラートの対応をしなくて済む。インターネットがあなたの味方だ」(No more solving alerts alone in the darkness - t
KubernetesでPodを配置するNodeを分散させる - Oisix ra daichi Creator's Blog(オイシックス・ラ・大地クリエイターズブログ)
SREの高木です。 Amazon Elastic Kubernetes Service(以下EKS)において、Node障害に備えてPodの分散配置を実現しました。 本記事でその事例をご紹介します。 背景 TL;DR 環境 Podの分散配置を実現するために使用する機能 Pod Topology Spread Constraints Descheduler Descheduler利用時の注意事項 PodDisruptionBudget (PDB) 検証 1. Podを起動したとき、Pod Topology Spread Constraintsの戦略に従ってPodが別々のNodeに配置されるか? ここまでのまとめ 2. Podの配置状態がPod Topology Spread Constraintsを満たさなくなったとき、DeschedulerによってPod Topology Spread Co
「eBPF」がクラウドネイティブを超強力にする。eBPFとは何か? 何ができて、どんな利点があるのか? Cloud Native Days Tokyo 2022基調講演から
「eBPF」がクラウドネイティブを超強力にする。eBPFとは何か? 何ができて、どんな利点があるのか? Cloud Native Days Tokyo 2022基調講演から 2022年11月21日と22日の2日間、クラウドネイティブにフォーカスしたイベント「Cloud Native Days Tokyo 2022」が都内およびオンラインのハイブリッドで行われました。 22日の基調講演に登場したのは、Cilium、Hubble、TetragonなどeBPFを中心としたオープンソースを開発しているIsovalentのTracy P Holmes氏。 Homes氏は、いまクラウドネイティブ関連のテクノロジーとして最も注目されていると言ってよい「eBPF」を紹介するセッション「Cloud Native Superpowers with eBPF」を行いました。 eBPFとはどのようなテクノロジーな
サービスメッシュは、マイクロサービスアーキテクチャの様々な問題点や課題を解決します。Kubernetes クラスターへの導入もそこまで複雑ではなく、サービスメッシュから得られるメリットは計り知れません。 カナダ・バンクーバーオフィスの山口です。 Kubernetes でマイクロサービスのアプリケーション開発をしていると、一度はサービスメッシュという言葉を聞いたことがあるのではないでしょうか。 マイクロサービス間の通信制御において、サービスメッシュは非常に強力な武器となります。しかし、Kubernetes クラスターへサービスメッシュを導入するのは多少敷居が高く、躊躇している方も多いかと思います。 今回はサービスメッシュの概要についてご説明します。そして次回以降で、EKS クラスター上で Istio や App Mesh といった主要なサービスメッシュの導入方法についてお伝えしていきます。
Real-time Kubernetes protocol-level visibility, capturing and monitoring all traffic going in, out and across containers, pods, namespaces, nodes and clusters.
2022振り返り
普段、こういったブログはあまり書かないが、いい機会だし、書き残してあると、のちのち見返すのに便利かなと思い、今年やったことを書き出してみる。ほとんど趣味の話です。 電子工作 競技プログラミング パソコン ゲーム 登山 コーヒー 論文読み 仕事 おわりに 電子工作去年、コンピュータシステムの理論と実装という本をすこし読んでハードウェアというか電子回路方面に興味が湧き、年末にブレッドボードやら抵抗やらを買い揃えて、LED光らせて遊んだりしていた。 電子工作入門する pic.twitter.com/F3MQLZiFlS — takuya-a (@takuya_b) December 15, 2021 My first project pic.twitter.com/vUo1ZI3ao3 — takuya-a (@takuya_b) December 15, 2021 そこからLTSpiceを勉強
Kubesharkとは 図は公式 より抜粋 KubesharkはKubernetesのための観測性・監視ツールで、マイクロサービスの動的解析、異常の検出などを実現するツールです。 Wireshark、BPF Compiler Collection(BCC)ツールなどを組み合わせた、Kubernetesを意識したものとお考えください...と説明されています。 Kubesharkは、クラスタ内の一部またはすべてのTCPトラフィックをスニッフィングし、PCAPファイルに記録し、HTTP1.0, HTTP1.1, HTTP2, AMQP, Apache Kafka, Redisなどのアプリケーション層プロトコルを分析できるとのことです。 今回はHTTPに絞って実際に環境を動かしてみて、トラフィックを覗いてみたいと思います。 Kuberentesクラスターの用意 まず、Kuberentesクラスター
StackScript、k8s、Terraformを使って、Linodeで負荷試験環境を自動で構築する方法について、アカマイ・テクノロジーズの岡本英輝氏と佐藤裕行氏が、実際のデモを交えて紹介しました。後半はLinodeを使った負荷試験のデモとQ&Aについて。前半はこちら。 Linodeのメリットが得られやすいユースケースとは? 佐藤裕行氏(以下、佐藤):後半は、Linodeのユースケースについて、少し岡本さんと話を進めていきたいと思うんですけども。今回はアプリケーションの負荷試験にフォーカスして、デモなども見せていきます。 その前に、負荷試験以外のサービスでいうと、こういうのに向いているとか、こういうのに向いてそうなところって、なにか感覚として持ってたりしますか? 岡本英輝氏(以下、岡本):前半に続いて、ちょっと転送量コストの話ばっかりになってしまうんですけど、やはりアウトバウンド転送量を
AWS、「Amazon EKS Anywhere」のNutanix対応を発表。ハイパーコンバージド上でAmazon EKS Anywhere互換を実現
AWS、「Amazon EKS Anywhere」のNutanix対応を発表。ハイパーコンバージド上でAmazon EKS Anywhere互換を実現 Amazon Web Serces(AWS)は、オンプレミスなどAWS以外の環境でもAmazon EKS(Amazon Elastic Kubernetes Service)と同等のKubernetes環境を構築できるソフトウェア「Amazon EKS Anywhere」が、Nutanixに正式対応したことを発表しました。 下記はそれを受けたNutanix Communityのツイートとブログへのリンクです。 Luke Congdon, Andy Daniel and Aaron Delp from Nutanix Product Marketing announce GA support for Amazon EKS Anywhere o
こんにちは。サイバーエージェントの長谷川(@makocchi)です。 「5分でわかる!Kubernetes/CloudNative Topics」連載の第5回は、最近のNewSQL事情について紹介します。 この記事ではNewSQLとは何かについて説明した後、NewSQLソフトウェアであるTiDB、YugabyteDB、CockroachDBを実際のKubernetes環境で動かす方法について紹介します。 NewSQLとは NewSQLとはNoSQL(Not Only SQL)の拡張性を持ちつつ、データベースソフトウェアでサポートされているACIDトランザクション処理が可能なソフトウェアです。NewSQLというワードの普及を後押ししたのが、Googleが2012年に発表した「Spanner: Google’s Globally-Distributed Database」という論文です。こ
私たちはKubernetes SchedulerにWasm拡張の夢を見るか | メルカリエンジニアリング
この記事はMercari Advent Calendar 2022の21日目の記事です。 こんにちは。メルカリのPlatform Infraチームで働いている @sanposhiho といいます。 個人的にKubernetesやその周辺のOSSにコントリビュートをしていて、特にKubernetesのコントロールプレーンのコンポーネントのうちの一つであるスケジューラー周りを触ってることが多いです。 この記事では、現状のスケジューラーにおける拡張性の課題と、スケジューラーに現代の汎用バイナリとも言えるWasm(WebAssembly)ランタイムを通した拡張性を持たせることができるのかどうかを検証してみます。 Kubernetes Scheduler とは スケジューラーはPodをどのNodeで実行するかを決定しているコンポーネントです。 その時の様々なリソースの状況を見たり、ユーザーが指定した
Darklaunchという便利なものと、その未来 3行要約 スタディサプリのRubyバックエンドで気軽に誰でも使える、"Darklaunch"という Feature toggles 機構がある 4年強ほど運用してきて、様々な知見、多様なユースケース、問題などが明らかになった 知見を活かして、近い将来Darklaunch v2というのを社内で作って公開予定 (HTTP APIであり、Rubyバックエンドだけでなく全環境から直接利用可能) Feature togglesとは Feature togglesとかFeature flagsとかchankoとかcanary releaseとかA/BテストとかlaunchdarklyとかflipperとかDarklaunchなどという言葉を見聞きした機会のある方は多いと思います。ちょっとそれぞれレイヤーやカバレッジは違いますが、ようするに「コードの変更
たった3人で運用するドコモを支える機械学習基盤の作り方 ー Kubernates × Airflow × DataRobot を使ったMLOpsパイプライン ー - ENGINEERING BLOG ドコモ開発者ブログ
TL;DR 自己紹介・モチベーション 処理の再現性の担保・デプロイの迅速化 実現したかったこと 1. コードの再現性を担保する 2. 簡単に機械学習タスクの実行パイプラインをかけるようにする 3. ノートブックファイルを、そのままの形でパイプラインに組み込めるようにする スケーラビリティの確保 DataRobotについて スコアリングコード機能 実装上のポイント 工夫点 はまったポイント 所感 あとがき TL;DR 機械学習基盤をKubernates上で構成することで、機械学習にかかわる一連の処理の再現性を担保できるようになった。 AutoML製品(DataRobot)の機能をKubernates(以下k8s)上で実行させることで、バッチ予測を並行実行し、大幅に高速化することができた。 データサイエンティストが自分自身で容易に機械学習パイプラインの定義・デプロイができるようになった。 自己
KubernetesのノードやPodのCPU・メモリリソース使用状況を確認するコマンドを検証する - Qiita
はじめに CPUやメモリ使用量の多いPodをデプロイした検証環境にて、リソース使用状況を確認できる kubectl top コマンドや、kubectl プラグイン の使い勝手を検証してみました。 kubectl プラグインの導入方法やオプションの指定方法の他、かゆいところに手が届くか、リソース使用量の多いノードやPodを把握しやすいかどうかの観点でもお楽しみください。 本記事では、以下コマンドについて紹介していきます。 kubectl 標準のサブコマンド kubectl describe node kubectl top node kubectl top pod kubectl プラグイン kubectl resource-capacity kubectl view-allocations kubectl ktop 1. 検証環境 RHEL8.4 上で Minikube で Kuberne
Karpenterを導入した話
こんにちは、株式会社 MIXI のみてね事業部 SRE グループに所属している尾関と申します。 みてねでは2021年2月から Kubernetes を運用していて、今回はクラスターオートスケーラーの Karpenter を導入した話をさせていただきます。 結論Karpenter では要望を満たせなかったので、Managed Node Group に戻しました。 Karpenter とは?Karpenter は AWS がオープンソースとして開発しているクラスターオートスケーラーで、2021年11月にリリースされました。 Karpenter 自身が Pod のリソースリクエストを監視し、必要なノードを適切なサイズで高速に起動・停止を行うことができます。 『家族アルバム みてね』における Karpenter の導入例ここからは、みてねで Karpenter を導入した具体的なお話をさせていただ
Argo CD Resource Hookを活用したKubernetes環境での負荷試験自動化の取り組み - ZOZO TECH BLOG
はじめに こんにちは、計測プラットフォーム開発本部SREブロックの渡辺です。普段はZOZOMATやZOZOGLASSなどの計測技術に関わるシステムの開発、運用に携わっています。 先日私達のチームでは、リリースフローにステージング環境での負荷試験を自動化する取り組みを行いました。今回説明する「負荷試験の自動化」が何を表すのかを定義すると、ここではステージング環境のアプリケーションバージョンを変更した際に、人の手を介さずに負荷試験が行われることを指します。 Kubernetes環境における負荷試験の自動化を検討している方は是非参考にしてください。 目次 はじめに 目次 負荷試験を自動化する前の課題 負荷試験のシナリオ設計 目的設定 現状調査 目標値設定 シナリオ設計 負荷試験を自動化する取り組み 構成 処理の流れ シナリオに沿ったリクエストを送る 実行結果をS3に保存してSlackに通知する
本ブログの主旨 サプライチェーンセキュリティにおいて既存のフレームワークよりも具象化されたモデルを用いて脅威及び対策を精査することで、実際のプロダクトへのより実際的な適用可能性及び課題を検討した。 具象化されたモデルにおいては「脅威の混入箇所と発生箇所が必ずしも一致しない」という前提に立ち、各対策のサプライチェーンセキュリティにおける位置付け及び効力を検討した。とりわけ、ともすれば無思考的に採用しかねないSBOM等の「流行の」対策に対して、その課題や効果の限定性を明らかにした。 これらの脅威分析に基づき、「サプライチェーンの構成要素に存在する多数の開発者それぞれに対して責任を分散して負わせる」形態のパイプラインを置き換えるものとして、「各構成要素に存在する開発者に対して一定の制約を強制する代わりに、サプライチェーンセキュリティに関するオペレーションを一点に担う中央化されたCIパイプライン」
ZOZOでSREをしている @calorie です。よろしくお願いします。 この記事について seccompとInspektor Gadgetを使いPodのシェルへのアクセスを制限する様子を紹介します。 seccomp seccompはシステムコールを制限するためのカーネルの機能です。以下のスライドが詳しいです。 Kubernetesではノードにseccomp profileをロードし、Podから参照することで使えます。 seccomp profileを書いてシステムコールを制限できればセキュアなPodが手に入りますが、 人の手でシステムコールを取捨選択するのは大抵の場合難しいはずです。 なので、seccomp profileを自動生成したいです。 有名なものであればdocker-slimが挙げられますが、ドキュメントを見る限りはイメージからseccomp profileを生成しているので
EKSクラスターのB/Gアップグレード作業の改善で取り組んでいること - masayosu’s blog
この記事ははてなエンジニアのカレンダー | Advent Calendar 2022 - Qiitaの14日目のエントリです。 背景 私のチームで運用しているEKSクラスターですが、アップグレードはBlueGreenアップグレードする方針をとっています。 B/Gアップグレードを採用している主な理由は切り替え時に問題が発生した場合に素早く切り戻しを行いたいためです。 詳細は以下のブログを参照ください。 developer.hatenastaff.com B/Gアップグレードのおおまかな流れは以下の通りです。 新バージョンのEKSクラスターを構築する ArgoCDに新クラスター用のデプロイ設定を手動で作成してアプリケーションをデプロイする Route53やAWS Global Acceleratorの設定を変更して旧クラスタから新クラスタにリクエストを切り替える 上記の2と3の工程には以下のよ
Podのリソース余剰を解消した話
下図は、この設定で稼働するアプリケーション Pod の 1 日における CPU requests に対する CPU 使用率の推移(%)です。 1日の CPU requests に対する CPU 使用率の推移 (%) これを見ると、平時 (9:00-17:00) の CPU 使用率は 30% 〜 40% の間に収まっていることがわかります。また、ピーク帯でも CPU 使用率は 60% 前後にとどまっており、1 Pod あたりのリソースを余らせてしまっていました。 このリソース余剰は、CPU requests と minReplicas の設定が大きいこと、そして HPA のスケール閾値 (平均 CPU 使用率 60%) が低いことに起因します。 そこで、安全稼働を意識しつつリソース効率を向上できるように、設定値の見直しを行いました。 各リソースの設計方針 各リソースについての設計方針と見直し
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Kubernetesに腰を据えて入門する方向けのロードマップ - Qiita
Linuxコンテナの「次」としてのWebAssembly、の解説
KubernetesのOOMとCPUスロットリング
増加するAWS Fargateをどうコスト効率良く運用するか 「The Twelve-Factor App」に従った最適化
Top 15 Kubectl plugins for security engineers
Kubernetes カスタムコントローラー楽々メンテナンス
連載: Kubernetesでカスタムコントローラを作ろう! ~第4回 Kubernetesのカスタムリソースについて~ - クリエーションライン株式会社
Google Cloud GKEでのingress-gceとingress-nginxの違い - Qiita
サービスメッシュについて理解する | DevelopersIO
Kubeshark — API Traffic Analyzer for Kubernetes
KubernetesのモニタリングツールのKubesharkを触ってみた - 仮想化通信
“わずか10分”で「負荷試験環境」の構築が可能に クイックにチェックできる状況をサクッと作れる、Linode活用法
入門NewSQL 〜Kubernetes上で手軽に使えるNewSQLを動かしてみよう | gihyo.jp
Darklaunchという便利なものと、その未来 - スタディサプリ Product Team Blog
サプライチェーンセキュリティにおける脅威と対策の再評価 | メルカリエンジニアリング
seccompとInspektor Gadgetで目指すセキュアなKubernetes - Qiita