Kubernetes Meetup Tokyo #10 mizukmb.icon ← 私個人の感想マーク
19:00~19:30 Open Service Broker APIとKubernetes Service Catalog
途中で聴いたのでよくわからなかったけど、IaaS PaaS とうまいこと繋ぐ API とか k8s からアクセスできるという話っぽかった
mizukmb.icon質問者にステッカープレゼントするののうまいやり方だなー
19:30~20:00 Kubernetesセキュリティベストプラクティス
mizukmb.icon コンテナのセキュリティなぁ
mizukmb.icon 日本語だ…
サンプルアプリのフロント Pod に攻撃。シークレットトークンを奪う
奪ったトークンを使って API サーバにアクセス
今どきのクラウドサービスだったら IAM で権限管理しよう
ファイアウォール
ネットワークポリシーというのが k8s にあるっぽい
非root ユーザで起動しよう
runAsUser
ファイルシステムを読み込み専用にする
readOnlyRootFilesystem: true
新しい privilege を作らない
allowPrivilegeEscalation: false
↑とりあえず全部やっておけばいいよ
seccomp/
AppArmor/
SELinux
mizukmb.iconLinux 標準のセキュリティアプリケーションかな
kubelet の権限を制限する
mizukmb.iconkubelet…?
PodSecurityPolicy というものがある。最低限これだけはやっとけみたいなやつ
Istio というプロクシコンテナ (?) がある
mizukmb.icon結構堅実的な方法が多かった。 kubernetes ならではというよりは web アプリケーション全般に言えることでもある
20:00~20:30 Debugging Applications in Kubernetes
デバッグしたいけどそういうツールはコンテナに入ってないことが多いよね。 tcpdump とか
kubectl コマンドでデバッグがサポートされているよ
kubectl run
クラスタ内から Pod や Service にアクセスしたいときに便利
mizukmb.icon踏み台作る感じ?
--serviceaccount オプションは権限周りのデバッグに便利
hypercube がおすすめ。コンテナの中に kubectl がある。
--overrides は起動オプションの上書きができる
kubectl logs
オプションがいっぱいある。タイムスタンプをつけるオプションがあったりする。便利
kubectl exec
コンテナ内で任意のコマンドを実行できる
kubectl port-forward
コンテナ内のポートフォワードができる
mizukmb.icon動的にできるのかな。ローカルで見たいときとか便利そう
Linux の名前空間と Pod が共有されていたりされてなかったりする
Network, User は共有されてるとか
pause コンテナが共有する名前空間を保持している
mizukmb.icon上級者向けすぎる…