運び屋 (A carrier(forwarder) changed his career to an engineer)

Network / Cloud Native / Kubernetes / コンテナー / SRE / DevOps

SRE / DevOps / Kubernetes Weekly Reportまとめ#2(2/9~2/14)

この記事は2020/02/9~2/14に発行された下記3つのWeekly Reportを読み、備忘録兼リンク集として残したものです。

  • 誰かの情報源や検索工数削減などになれば幸いです。
DEVOPS WEEKLY ISSUE #476 February 9th, 2020
SRE Weekly Issue #206 February 10th, 2020
KubeWeekly #203: February 14th, 2020

English Version of this blow is here.

  • この記事を読んで疑問点や不明点があれば、URLから本文をご確認の上、ご指摘頂ければ幸いです。

  • 理解が浅いジャンルも、とにかくコメントする様にしていますので、私の勘違いや説明不足による誤解も多々あろうかと思います。

  • 情報量が多いので文字とリンクだけに絞っております。

  • 各レポートで取り上げられている記事には2019年のものもあり、必ずしも最新のものという訳ではない様です。

DEVOPS WEEKLY ISSUE #476 February 9th, 2020

News


The first post in a series summarising the team topologies book. Good points about Conway’s law, designing handoffs, communication overhead and more.
  • タイトルは「Team Topologies Book Summary – Part 1 of 3: Key Concepts」

  • IT Revolution社が出版した最新の著書「Team Topologies」の要約記事の1/3回目。

  • IT Revolution社は「The Phoenix Project」の共著者であり、「The Unicorn Project」の著者であるGene Kimが創立。

  • 「Team Topologies」はMatthew SkeltonManuel Paisが共著者。2人は「DevOps Topologies」というウェブサイトを運営している。

  • コンウェイの法則ダンバー数タックマンモデル、認知負荷など法則やモデルなどを使ってチームのあり方、運営方法を説明しています。

  • タックマンモデルを調べていたらチーミングモデルに行き着いたり、コンウェイの法則で先日参加したGoogle Cloud Anthos Dayのセッションで話題に上がった逆コンウェイ戦略が思い浮かぶなど、それぞれのアイデアが繋がっていく感覚がありました。

  • 2/3、3/3回目(つまり、Part2とPart3)も既にリリースされていて、同じページのリンクから見れるので良ければどうぞ。

In the context of incident management, this post makes the argument that (just) counting production incidents can have negative side effects.
  • タイトルは「Stop Counting Production Incidents」。

  • インシデント数を元にした対応が有効ではなく、有害になり得る事を述べています。

  • インシデント数を言い訳にしない、安易にインシデント数を実際のカスタマーエクスペリエンスを反映したメトリックを取って計測するなど、筆者のFacebook時代の経験を交えてタイトルに沿って説明がなされていきます。

A presentation looking at the best way to structure Terraform code, and how those practices are based on the evolution of the language and tooling.
  • 筆者がベルギーのGhentで2/3 - 2/5開催された cfgmgmtcamp(Config Management Camp)2020で「Terraform Without The Mess」と題して話した内容のスライド紹介。

  • Terraformの機能の歴史がいかに今日のTerraformの構成を組み、書いているか。そして、変更をシンプル、予測可能かつ安全にモダンなTerraformコードをいかにして書くべきかを筆者自身の意見を盛り込んだ提案をしています。

  • レコーディングが無かったが、いくつかスライドデックに資料を上げる様にリクエストをもらったので、アップしたとの事。

  • Infrastructure as Codeではなく、Infrastructure as Softwareという考え方。

A look at the key metrics to monitor when working with AWS Lambda applications.
  • Datadog社の「サーバレスの現状」に対する調査レポートのPart 1:"Key metrics for monitoring AWS Lambda”。

  • 図が充実してわかりやすく。流石Datadogという印象です。

  • Part 2: Tools for collecting AWS Lambda data、Part 3: Monitoring AWS Lambda with Datadogもありますので、よければ併せてどうぞ。

YAML is used in lots of places at the moment, but most YAML documents use a small subset of the language. This presentation explores some of the more powerful features.
  • タイトルは「yaml magic」。yaml magicについて語り、「こうした魔法は楽しいが、プロダクト環境からは遠ざけておく事をオススメ」しています。

  • そして、jsonnetに辿り着く。

A look at approaches to quantifying risk, why it’s useful in a security context and a Python library to get started with.
  • タイトルは「Open-Sourcing riskquant, a library for quantifying risk」。Netflix社の技術ブログでRiskQuantを紹介。

  • OSSのPythonライブラリーであるRiskQuantは「隠れマルコフモデル」に適応したフレームワーク上に作られたアルゴリズムトレード、リスクアセスメント決定エンジン。 Netflixが開発し、OSS化した。

Tools


K14s is a set of Kubernetes Tools that follow Unix philosophy to be simple and composable. Templating, application management, image management and more.
  • K14sは、「Kubernetes Tools」の略。Kとsの間にスペースを含めて14文字が入っているので、こう呼ばれている。

  • Unixの哲学に従い、シンプルで組み合わせ可能である。

  • GitHubのページはこちら

Dekorate is an interesting approach to managing Kubernetes configuration, moving the definition into annotations in your Java code and generating the required manifests.
  • Dekorateの紹介。Kubernetes/OpenshiftのマニフェストのJavaコンパイル時のdecorator及びgeneratorの集まり。
L2i is a handy looking tool for working with Lambda layers. It makes it easy to view the details of individual layers as well as export their content for analysis.
  • The Lambda Layer Inspector (L2I)の紹介。

  • 1もしくは複数のAWS Lambda Layerをlayer ARN(Amazon Resource Name)を使って検査するCLI。

Host extraordinaire, Benton Rochester, talks with Gene Kim about DevOps and his excellent new book, The Unicorn Project. Don't miss this highly-anticipated episode of Ship Happens, the Splunk + VictorOps podcast:
  • Newsの最初に登場したIT Revolution社Gene Kimが著書である「The Unicorn Project」、絶え間なく変わるDevOpsの景観、マネージャーがエンジニアチーム内の文化的な問題にいかに取り組む事が出来るか、今日の複雑なクラウドベースの世界でいかに高速で回復力のあるCI/CDパイプラインを作り上げるかなどを埋め込まれているPodcastで語っています。

  • 余談ですが、先日splunkの方にお会いしたので元となるDevOps Weeklyなどの情報発信の感謝を伝えました。

SRE Weekly Issue #206 February 10th, 2020

Articles

Awakening the Sleeping Mind

All the plans in the world can’t prepare us for every incident, and yet we can excel during incidents anyway. How?

Will Gallego

  • フィクション及びサイエンスフィクション小説好きの筆者が「The Kingkiller Chronicle」の魔法システムである「ネーミングの研究」を題材に話を展開していく。

  • たとえ話と同じく、ソフトウェアエンジニアリングでは事前の予測を重要視しがちだが、物事が発生した時に素早く認識し、素早く反応し、その動向と自身の動き方を学ぶ事の重要性を説いている。

Pilot Declares Emergency Because Of Extreme Hypoxia

These pilots’ minds were almost literally sleeping. The air traffic controller gave them a command they could execute in their sleep: Descend and Maintain.

  • YouTubeのリンクが貼られていて、動画がスタートします。いきなり音声が流れてくるので、私も不意を突かれました。

  • 飛行機のパイロットが低酸素症により意識を失いかけ、管制塔のスタッフが素早く原因を究明し、フォローする話。

In Flight Emergency – Pregnant Pilot Brake Failure!

Along the same lines an incident caused this pilot to nearly forget how to fly, and yet she safely landed the plane with some reassurance by the ATC.

  • またまたYouTubeのリンクが貼られていて、動画がスタートします。

  • つま先ブレーキが故障してしまった妊娠中のパイロットの方と管制塔のスタッフのトラブルシューティングから着陸後までのやりとり。

  • 乗っているのはパイパー・エアクラフト社の軽飛行機「チェロキー」かな。

Ten challenges for making automation a ‘team player’ in joint human-agent activity

Today’s choice looks at what it takes for machines to participate productively in collaborations with humans.

Adrian Colyer — The Morning Paper (summary) Klein et al. — IEEE Computer Nov/Dec 2004 (original paper)

  • 人間と機械が効果的な共存関係を築くには、文中にある「10のチャレンジ」の要件を満たすAgent(人間的にタスクを行うプログラム?)が必要との事。
Rehabilitating "you can’t manage what you can’t measure"

A lot of things that are happening in your organization, your system, are largely invisible. And those things, that work, is keeping things up and running.

Lorin Hochstein

  • タイトルの「自身が計れぬモノをマネージメントする事は出来ない」という議論の分かれる格言に対して、筆者は「2通りの解釈がある」として論を展開する。
Heroku Incident 1951 followup

This followup covers incidents on January 22 and 24.

  • 1/22 21:40 UTCから1/24 8:04 UTCの間に発生したHerokuのlogging関連の機能の不具合に関するフォローアップレポートと、ステータス情報。
Stop Counting Production Incidents

Tracking the number of incidents is almost never going to be useful, and is likely to be detrimental.

Rick Branson

  • 上記のDEVOPS WEEKLY ISSUE #476で触れているので割愛します。
Low hanging BCP and DR scenarios – UnixDaemon: In search of (a) life

Some good scenarios to think about, including an idea for chaos engineering with humans.

Dean Wilson

  • 筆者がクリスマスの直前に新たなBCP、DRの書類作成を行う必要が出た為、準備としてTwitterでいくつかの簡単なオープンシナリオを公開し、コメントを収集した。

  • 後世の為に自身の外部記録としてバックアップをこの記事に投稿した。

Outages

Chef Supermarket
Twitter
Search in Windows 10
->Included searching of local content.
Buffer
EMIS
->EMIS is an IT system used by health care services across the UK.
Vimeo
Ticketmaster NFL Game Pass
Microsoft Teams
* 上記各社の障害情報。

KubeWeekly #203: February 14, 2020

The Headlines

Editor’s pick of the highlights from the past week.

Full steam ahead with 2020 KubeCon + CloudNativeCon events!

Novel Coronavirus Update: The Linux Foundation is continuously monitoring the Novel Coronavirus situation to ensure the safety of our event participants and staff. We will be following all recommended guidelines from the Centers for Disease Control and Prevention (CDC) and the World Health Organization (WHO) as the situation progresses.

Despite the cancellation of MWC Barcelona, many other significant conferences are still occurring and we have no plans to cancel KubeCon + CloudNativeCon Europe.

  • CNCFとして現在は以下の認識を持っている事を表明。

  • イベント来場者とスタッフの安全の為、新型コロナウィルスの動向を注意深く見守っている事

  • Disease Control and Prevention (CDC) 、the World Health Organization (WHO) のガイドラインに従っている事

  • MWC Barcelonaのキャンセルにも関わらず、多くの重要なカンファレンスが引き続き開催される予定であり、KubeCon + CloudNativeCon Europeをキャンセルする予定は無い

Childcare: It’s Good for Everyone

Yes – there is childcare at all KubeCon + CloudNativeCon events. Emily writes a great blog on her, and her daughter’s experience with childcare at the event.

If you would like to sign up for this service at KubeCon + CloudNativeCon Amsterdam, please complete this RSVP form by February 24, 2020, 5:00 PM PDT.

Emily Omier, The New Stack

  • KubeCon + CloudNativeConのChildcareオプションへの言及。

  • 筆者は少なくとも、あと10年はカンファレンス(あるいは出張)でChildcareの様な環境は疑いの余地も無く、得られないであろうと予想していた。

  • KubeConのオンサイトChildcareはハイクオリティーでお金に変えがたい価値がある。申し込みも不要。KubeCon参加者なら誰でも利用可。

  • 私も素晴らしい取り組みだと思います。私も何か人の可能性を生かす動きや提案が出来れば。

The Technical

Tutorials, tools, and more that take you on a deep dive into the code.

Config Sync for GKE

Config Sync allows cluster operators to manage single clusters, multi-tenant clusters, and multi-cluster Kubernetes deployments using files, called configs, stored in a Git repository.

  • GKEのConfig Syncの説明。
Calico for Kubernetes networking: the basics & examples

Flant staff

  • Kubernetesなどのネットワークで利用されるCNI(Container Network Interface)/サードパーティーネットワークプラグインであるCalicoの基礎と利用例の紹介記事。
Use Kubeflow, Rook and Istio to build an AI integrated development and delivery platform

Vanilla Kola

  • AIエンジニア、AIサイエンティスト、クラウドネィティブデベロッパー、クラウドネイティブオペレーター向けに有用な記事との事。
Docker Donates the cnab-to-oci Library to cnab.io

Silvin Lubecki, Docker

  • Docker社が「cnab-to-oci」ライブラリーをcnab.io(CNAB project)に寄贈した話。

  • CNAB(Cloud Native Application Bundle)プロジェクトは、去年Microsoft社とDocker社がCNABの仕様をLinux FoundationのJoint Development Foundationに移管した際には創立された。

Azure Kubernetes (AKS) Security Best Practices Part 2 of 4

Karen Bruner, StackRox

  • タイトルの通り、AKS Security Best PracticeのPart 2。

  • AKSクラスターのネットワークインフラと、そのネットワークを外部のアタック及びクラスターワークロードの内部の設定ミスから保護する為にロックダウンする提案。

  • 以下の項目にて説明。一つずつ実際に構成を考えたり、設定しながら見直したい。

  • ゼロトラストの原則

  • ノードのSSHアクセスの制限

  • Kubernetes APIへのネットワークを介したアクセスの制限

  • VMインスタンスのメタデータへのPodのアクセスをブロックする

  • クラスターの外部向け通信を制限する

  • HTTPアプリケーションルーティングを無効化する

  • サービスメッシュを適用する

Rolling Updates and Blue-Green Deployments with Kubernetes and HAProxy

Nick Ramirez, HAProxy

  • HAProxy Kubernetes Ingress Controllerのハンズオン用にCLIとYAMLファイルが充実していて良い。
Unit 42 CTR: Leaked Code from Docker Registries

Jay Chen, Palo Alto Networks

  • DevOpsのプラクティスに焦点を合わせて、クラウド内のどこに設定ミスが発生しているかを判断するレポート「Unit 42 Cloud Threat Report: Spring 2020」から。

  • 記事の中で、設定ミスがあるDockerレジストリーが機密情報を漏洩を引き起こし、全面的な情報漏洩をもたらし、業務中断をもたらす可能性がある事を示しています。

Understanding Kubernetes Storage – Stateful, Stateless, POSIX + REST

Nitish Tiwari, Minio

  • Kubernetesの採用が増大するにつれ、Kubernetes上のストレージパターンも増大してきた。

  • Kubernetesのストレージパターンとステートレス vs ステートフルコンテナーの議論に取り組み、違いとなぜそれが重要なのかを理解することをゴールとしている。

  • 「これらのコンセプトを理解するには自身で試してみるのが一番」...ですよね。MinIO触ってみよう。

Load balancing and scaling long-lived connections in Kubernetes

Daniele Polencic, learnk8s.io

  • 先週の記事で取り上げていますので、ここでは割愛します。

The Editorial

*Articles, announcements, and morethatgive you a high-level overview of challenges and features. *

End-of-life announcement for CoreOS Container Linux
  • May 26, 2020にCoreOS Container LinuxがEOLを迎える。ユーザー各位にはなるべく早い他のOSへの移行を強く勧めている。

  • 最後にCoreOSチームとして、長年に渡りCoreOS and Container Linuxにコントリビュートして頂いたユーザー、パートナー、アドボケートの方々に謝辞を述べています。特にRackspace、DigitalOcean、Azureの草創期のサポートとGeoff Levand氏の ARM64ポートに対するコントリビュートに。

EKS vs GKE vs AKS – Evaluating Kubernetes in the Cloud

Karen Bruner, StackRox

  • 「EKS vs GKE vs AKS」という構図でクラウドベンダー3社のマネージドKubernetesを比較した記事。

  • General information、Service Limits、Networking + Security、Container Image Servicesという項目で比較。

  • 料金の比較、パフォーマンスの違いなどは条件やベンチマークなどによる差分が大きいので本記事では触れていません。

  • 本記事の情報は公開時(Feb 10, 2020)のスナップ情報と捉えて頂いて、各社の情報を定期的に確認して頂きたい。

Demystifying DevOps: Essential Building Blocks of a DevOps Approach

Catherine Paganini, Kublr

  • ビジネスリーダーにITのコンセプトを説明するCatherine Paganini氏の連載中のシリーズ から。一つ前の記事はこちら。この記事のPart 1はこちら

  • ビジネスリーダー向けに「DevOpsは文化の変化に関するもの」などのメッセージを文字情報を中心に一部で図を使って説明している印象。

Kubernetes: 6 secrets of successful teams

Kevin Casey, Red Hat

  • Kubernetesのプロダクション環境での稼働を成功させ、ハイパフォーマンスを実現をするチームとして重要な6つの事を2ページに渡って説明。
Kubernetes Container Management Is Not Application Management

Kevin Crawley, Container Journal

  • タイトルに沿って、「アプリケーションの管理はコンテナーの管理とは無数の点で違うので、混同し無いように」とのアドバイスからスタート。

  • 結論、「Kubernetesでオーケストレーションされた環境の可観測性をサポートする最新のアプリケーション監視ソリューションを使用する事」+「常にアプリケーションのパフォーマンスを注視する事」。

Announcing Linkerd 2.7: External PKI support, better gitops workflows, streamlined cert rotation, and more

William Morgan, Linkerd

  • Linkerd 2.7がリリース!今回はセキュリティーfをテーマとしたリリース。以下の更新。

  • Linkerdの相互TLSインフラの外部証明書発行者(Vaultcert-managerなど)との統合

  • ダッシュボードの改善

  • その他多数

Istio security bug found, quickly squashed

Dan Meyer, SDxCentral

  • Istioのセキュリティーの「critical」レベルのバグ、CVE-2020-8595の説明。

  • Istioコミュニティーで早急にパッチ配布を行った。

  • 攻撃者が認証トークン無しで、情報に非認証アクセスが出来てしまう認証ポリシー上のバグ。

Supporting developers as they scale: a free Kubernetes eBook

Digital Ocean

  • DigitalOceanコミュニティーがKubernetesを学びたい人向けに開発した「Kubernetes for Full-Stack Developersコース」をeBook化。 EPUBPDF版。
3 tips to keep Kubernetes safe at scale

Jonathan Grieg, TechRepublic

  • 大規模環境でKubernetesのセキュリティー能力を生かす3つの方法(RBAC/セキュアではないコードのチェック/公開されているポートのチェック)を紹介。 

Webinar Registration

気になるWebinarがあれば登録してチェックを。以下は今週ピックアップされていたものです。

Kubernetes Storage In Action
Sheng Yang, Senior Engineering Manager @Rancher Labs
Member webinar
Feb 18, 2020 10:00 AM Pacific Time
REGISTER NOW »

kube-scan & the K8s Common Configuration Scoring System (KCCSS) Octarine
Member webinar
Feb 19, 2020 10:00 AM Pacific Time
REGISTER NOW »

OAM: A Team-Centric App Model for Application Developers and Operators
MacKenzie Olson, Program Manager @Microsoft
Member webinar
Feb 20, 2020 9:00 AM Pacific Time
REGISTER NOW »

Helm Security – a Look Below Deck
Matt Farina, Helm Maintainer @Samsung SDS
Hayley Denbraver, Developer Advocate @Snyk
Raghavan "Rags" Srinivas, Lead Container Developer Advocate @Snyk
Member webinar
Feb 25, 2020 10:00 AM Pacific Time
REGISTER NOW »

Managing Observability in Modern Apps – Microservices
Ran Ribenzaft, co-founder of and CTO @ Epsagon
Member webinar
Feb 26, 2020 10:00 AM Pacific Time
REGISTER NOW »

Getting Started with Containers and Kubernetes
Frédéric Harper, Senior Developer Advocate @DigitalOcean
Member webinar
March 3, 2020 10:00 AM Pacific Time
REGISTER NOW »

Kubernetes Security Best Practices for DevOps
Connor Gorman, Principal Engineer @StackRox
Member webinar
March 11, 2020 10:00 AM Pacific Time
REGISTER NOW »

Welcome to CloudLand! An Illustrated Intro to the Cloud Native Landscape
Kaslin Fields, Developer Advocate @Google
Ambassador webinar
March 13, 2020 10:00 AM Pacific Time
REGISTER NOW »

Argo CD, Flux CD and the GitOps Revolution
Jay Pipes Principal, Open Source Engineer @Amazon Web Services
Member webinar
March 24, 2020 10:00 AM Pacific Time
REGISTER NOW »

Pivoting Your Pipeline from Legacy to Cloud Native
Tracy Ragan, CEO of DeployHub and CDF Board Member
Member webinar
June 30, 2020 10:00 AM Pacific Time
REGISTER NOW »

いかがでしたか?気になる記事や情報はありましたか?

私もまだ内容を咀嚼出来ていないものが多々ありますので、この備忘録兼リンク集を活用しながら理解を深めていきたいた思います。

では、また。

Bye now!!

Yoshiki Fujiwara