PodのSecurity Context ややこしい二つの権限ですが、まずはprivilegedはコンテナを特権モードで動作させるか否かを指定します。 これで動かすと、そのコンテナのプロセスは基本的にホスト上のrootと同等の権限を持ちます。つまり、以下のように動かしたコン…

kube-benchのチェック観点 $ kube-bench run --targets=etcdと行うとチェックされる観点は以下。 --cert-file and --key-file argumentsが設定されているか --client-cert-authがtrueかどうか --auto-tls argumentがtrueかどうか --peer-cert-fileと--peer-k…

改行を消したい 以下のようにファイルを生成すると改行が自動的に入るので $ echo a > testそれを嫌う場合は $ echo -n a > testと行ったりします。一方で既に echo a > testとしてしまったtestファイルの改行を消したい・・という場合に使えるコマンドです…

なぜ？ Syslogにこんな感じのエラーが吐き続けられてapiserverのマニフェストがおかしい・・とのこと。 Mar 19 01:39:46 controlplane kubelet[42404]: E0319 01:39:46.229112 42404 file.go:187] "Could not process manifest file" err="/etc/kubernetes/m…

やっかいなCRLF こんなファイルがあると、改行が特殊なのかpasteコマンド等で扱うと変な動きをします。 $ file a.txt a.txt: ASCII text, with CRLF line terminatorsなのでこれを以下コマンドでバスっと一気に変換をすると $ nkf -Lu --overwrite a.txt扱い…

ETCDの暗号化 保管しているデータが丸見えなのはよろしくないので暗号化しましょう・・という話。「kind: EncryptionConfiguration」というYAMLを作成した上でapiserver側にて--encryption-provider-config=/etc/kubernetes/etcd/ec.yamlを入れ込めばOK。ち…

Kubernetesの世界ではCoreDNSと呼ばれる機構があり、コンテナはこのCoreDNSに名前解決を依頼することでサービスのIPを知らなくても通信が行えます。そんなCoreDNSですが、実はコンテナの外（Node）からも利用できます。 環境情報 Kubernetes 1.23 Red Hat En…

消すと怖いし kube-proxyのように重要なPodが落ちたときの挙動を確認しようとしていた時に # kubectl get ds -n kube-system NAME DESIRED CURRENT READY UP-TO-DATE AVAILABLE NODE SELECTOR AGE calico-node 1 1 1 1 1 kubernetes.io/os=linux 44d kube-pr…