運び屋 (A carrier(forwarder) changed his career to an engineer)

Network / Cloud Native / Kubernetes / コンテナー / SRE / DevOps

SRE / DevOps / Kubernetes Weekly Reportまとめ#38(10/18~10/23)

この記事は2020/10/18~10/23に発行された下記3つのWeekly Reportを読み、備忘録兼リンク集として残したものです。

なるべく情報を早く届けたい/共有したいので、ブログのリンクを確認次第、先行公開しています。自身のコメントは随時追加しています。

  • 誰かの情報源や検索工数削減などになれば幸いです。
DEVOPS WEEKLY ISSUE #512 October 18th, 2020
SRE Weekly Issue #240 October 18th, 2020
KubeWeekly #238 October 23rd, 2020

English Version of this blog is here.

  • この記事を読んで疑問点や不明点があれば、URLから本文をご確認の上、ご指摘頂ければ幸いです。
  • 理解が浅いジャンルも、とにかくコメントする様にしていますので、私の勘違いや説明不足による誤解も多々あろうかと思います。
  • 情報量が多いので文字とリンクだけに絞っております。
  • 各レポートで取り上げられている記事には2019年以前のものもあり、必ずしも最新のものという訳ではない様です。

DEVOPS WEEKLY ISSUE #512 October 18th, 2020

News

Measurement is one of the pillars of devops, but what KPIs should you measure to access your adoption of devops practices? This post has some suggestions and discussion.
  • タイトルは「How to Ensure the Success of DevOps in Your Organization」。
  • DevOpsが提供するビジネス価値について、組織でのDevOpsの成功の計測に役立つ以下5つの最も重要なKPIを中心に解説している。
    1. Deployment Frequency
    2. Change Lead Time
    3. Defect Volume and Escape Rate (Error Budget)
    4. SLA
    5. Application Performance
Versioning software is one of those problems that on the surface appears simple and quickly goes downhill from there. This post explores some of the nuances of the semantic versioning approach.
  • タイトルは「The Semantics of Semantic Versioning?」。
  • 筆者が共著者として参加したエッセイ「Putting the Semantics into Semantic Versioning」で書いていないセマンティックバージョニングに対する以下2つの観点を解説している。
    1. Downstream.
    2. Upstream.
Not quite an experience report, but some observations about the new Hashicorp workflow tool Waypoint.
  • タイトルは「Waypoint」。
  • Hashicorp社が発表したWaypointについて、筆者が哲学的に、Waypointの設計に多くの明るい見通しと可能性があると信じる理由を解説している。チュートリアルや使い方の解説は公式のdocumentation tutorialsを参照する様に案内している。
  • Waypointは「a modern workflow to build, deploy, and release across platforms.」。
An interesting post on the barriers to entry for new technologies in large organisations coming from security due-diligence.
  • タイトルは「The Infosec Apocalypse」。
  • 筆者の目線で、InfoSecと脆弱性検出ツールの台頭により、マイクロソフトやオラクルのような大きな後援のサポート無しに既存、新規の参入者が成功を収めることが非常に困難になっている現状を解説している。
  • この件について議論を行いたい場合は、Twitterのスレッドに加わって欲しいそうなので、よろしければリンクからどうぞ。
A balanced post on maturity models for devops. Discusses pros and cons and some of the areas such models should generally cover.
  • タイトルは「DevOps Maturity Model What Is A Better Alternative?」。
  • チームと組織を評価、DevOpsのスキルと能力もレビューなどを行う「DevOps成熟度モデル」が注目している以下の重要な領域を解説している。
    • Culture
    • Automation for DevOps Maturity Model
    • Process
    • Levels
    • Start
    • Mature
    • Final
Kubernetes is built to be extended, and this presentation covers some of the most common integration points, including custom resources.
  • タイトルは「Cloud Native Ambassador Day - Extending Kubernetes」。
  • CNCF AmbassadorであるGianluca Arbezzano氏が、Kubernetesの拡張に使用できるさまざまな統合ポイントとなるshared informers, controller, kubectl pluginなどを紹介している。
There are several best practices when it comes to writing Dockerfiles. This post describes a few of them and shows how to check for issues using Open Policy Agent.
  • タイトルは「Dockerfile Security Best Practices」。
  • 一般的なセキュリティーの問題とその回避方法を以下のリストにまとめている。また、それぞれの問題に対してconftestを使用してDockerfileを静的に分析するために使用できるOPA(Open Policy Agent)ルールも作成している。.regoのルールセットはこちらのリポジトリに
    • Do not store secrets in environment variables
    • Only use trusted base images
    • Do not use ‘latest’ tag for base image
    • Avoid curl bashing
    • Do not upgrade your system packages
    • Do not use ADD if possible
    • Do not root
    • Do not sudo

Tools

Boundary provides a secure way to access hosts and critical systems without having to manage credentials or expose your network. It’s a modern alternative to juggling SSH keys and managing bastion hosts.
  • Hashicorp社が先日発表した、クレデンシャルを管理したりネットワークを公開したりすることなく、ホストや重要なシステムにアクセスする安全な方法を提供するオープンソース「Boundary」のioページ。
  • GitHubページはこちら
Waypoint is a new developer workflow tool that allows for defining build, deploy, and release lifecycle as code, and supports a plugin model with plugins for Docker, Kuberenetes, AWS, Azure, GCP, Netlify and more.
  • 上記に続けてHashicorp社が先日発表した、オープンソース「Waypoint」のioページ。上記の記事でも取り上げているので、2度目の登場ですね。先週はこの立て続けの発表に周りではかなり話題になっていました。
  • GitHubページはこちら
Use cert-manager in Kubernetes to automatically issues certificates for your Puppet infrastructure.
  • Puppet CAと通信して、Kubernetes環境用に発行された証明書を取得する外部発行者としてcert-managerにプラグインする「Puppet Certificate Authority Issuer」のGitHubページ。

SRE Weekly Issue #240 October 18th, 2020

Articles

Google Cloud Issue Summary — Google Chat — 2020-09-17

This interesting post-incident analysis is marked as “Google Customer Confidential – Not for publication or distribution”, but Google linked it directly from their public status page. I normally would not include a seemingly “leaked” incident report like this, but in this case I think the “confidential” label is erroneous.

Google

  • 編集者が突っ込んでいる様に「Important: Google Customer Confidential - Not for publication or distribution」の文言があるが、堂々たる公開資料。9/17のGoogle Chatの障害レポート。
40 milliseconds of latency that just would not go away

I keep re-learning and re-forgetting about TCP_NODELAY.

Rachel By the Bay

  • Nagle's algorithmを存じ上げていなかった。TCP_NODELAYオプションを含めて、このあたりは深掘りしたい。
“Manual” and “Automated” are just words

The distinction between the two is a lot more nuanced than it may seem. What are we really trying to say wit those words?

Michael Nygard

  • タイトルの通り、「手動」「自動化」というただの言葉の泥沼に囚われるのではなく、質問を分解することによってプロセスが可用性、安定性、セキュリティーなどを提供するのかを理解するのに役立つことを、インシデント対応を例に出しながら解説している。
Heroku incident #2110 follow-up

This incident from the week before last involved a Let’s Encrypt API rate limit.

  • Heroku社の障害レポート。herokuapp.comドメインへのSSL接続がOctober 7, 2020 19:30 UTCからOctober 8, 2020, at 01:46 UTC間で影響を受けていた。
Fixing Linux filesystem performance regressions

Don’t you hate when you’re minding your own business upgrading your OS, and you run smack into a kernel bug in the ext4fs code?

…ext4 performance on kernel versions above 4.5 and below 5.6 suffers severely in the presence of concurrent sequential I/O on rotating disks.

Ryan Underwood — LinkedIn

  • LinkedIn社のタイトルの課題について直面した課題、学びを共有している。
Identifying and protecting against the largest DDoS attacks

Google discusses DDoS attacks and how they deal with them, including a 2.5Tbps attack in 2017.

Damian Menscher — Google

  • Google社によるDDoS攻撃の飛躍的な増加と、その同社の取組、対応方法を紹介している記事。
  • 具体的な防御のアプローチの詳細を、SRE本の第3弾「Building Secure and Reliable Systems」に譲っている部分もある。「Working together for collective security」は興味深いし、取るべきアプローチだと思う。
How I Broke git push heroku main

I love these first-hand incident stories. This one is from an engineer at Heroku who was a contributing factor in an incident last month.

Damien Mathieu — Heroku (Salesforce)

  • 編集者と同じく、私もこのストーリーを読んでて楽しくなってしまいました。以下の書き出しの部分で以降の期待が膨らみました。いや〜、首になっていなくて良かった。
    • In this post, we will look at one of those incidents, #2105, see how it happened (spoiler: I messed up), and what we’re doing to avoid it from happening again (spoiler: I’m not fired).

Outages

上記各社の障害情報

KubeWeekly #238 October 23rd

The Headlines

Editor’s pick of the highlights from the past week.

Local Kubernetes Clusters Overview

Ellen Körbes & dex.dev team

A local development cluster is a great way to get started with Kubernetes. But when looking for a local cluster, there are way too many options. This article aims to clarify how to choose the best one for your use case, and provides useful general recommendations. (An overview of Kind, Microk8s, K3s, Minikube, and Docker for Desktop.)

  • Kubernetesクラスターをローカルで動かす際の以下のツールを7分程度で簡潔に特徴や使い所を含めて紹介している。個人的にそろそろ本格的に試す必要性が出てきたので、動かしていきます〜。
Join us for KubeCon + CloudNativeCon North America Virtual 2020!

The countdown to KubeCon + CloudNativeCon North America is on. Have you reserved your spot?

Whether you are new to cloud native or well-versed, you can choose between two different ticket options including a Full Pass and Keynote Only! Don’t forget that special early-bird pricing is available through October 31, 2020, a savings of $50 off registration. Don’t delay – act fast!

  • KubeCon + CloudNativeCon North Americaが迫ってきて、有料参加チケットの割引が10月末までなので、案内がされている。

ICYMI: CNCF Webinars

You can view all CNCF recorded and upcoming webinars here.

CNCF Member webinar: Delivering cloud-native apps to Kubernetes using werf

Dmitry Stolyarov CTO, @Flant

  • CLIツール「werf」を利用して開発者/リリースエンジニア/SREが、インフラストラクチャー、リリース管理、CI/CDパイプラインでいかに恩恵を受けられるかを紹介している。
CNCF Member webinar: How to migrate NF or VNF to CNF without vendor lock-in

Grzegorz Sikora, VP Business Development @OVOO, Rafał Myśliwiec, Software Engineer @OVOO, and Paweł Kulpa, Software Engineer @OVOO

  • ONF EPC、CNCF、またはその他のオープンソースプロジェクトを使用して大幅なコスト削減を実現し、レガシーネットワーク機能またはベンダー固有のVNFから、費用対効果が高く柔軟で将来性のあるものに移行する方法を解説している。
  • CockroachDBがトポロジー図に複数紛れ込んでいる時の図に慣れない。。。
CNCF Member webinar: Deploying Kubernetes to bare metal using cluster API

Seán McCord, Principal Senior Software Engineer @Talos Systems, Inc.

  • タイトルに沿って、ClusterAPIプロジェクトに基づくTalosSystems社の新しいオープンソースツールのコレクションを紹介している。
  • Kubernetesのデプロイとその後のOSアップグレードのデモを示し、これらのツールの将来の計画について説明している。
CNCF Member webinar: The abc’s of Kubernetes security

Roger Klorese, Senior Product Manager @SUSE & Danny Sauer, Senior Software Engineer @SUSE

  • ユーザー向けに、システムハードウェアからOSスタック、Kubernetes自体、およびデプロイされているアプリに至るまで、セキュリティーの観点で関心を持つ領域の入門をガイドしている。技術観点というよりも組織のスタンスとしての観点であることを冒頭に説明している。
CNCF Member webinar: K8s audit logging deep dive

Randy Abernethy, Managing Partner @RX-M

  • Kubernetesの監査を包括的で効率的で安全な実装にしようとする際に、Kubernetesの運用社が直面するより複雑で深い問題について以下のポイントなどを挙げながら簡単に説明している。
    • Multiple API servers
    • Mutating Admission Controller
    • Webhooks
    • Aggregated APIs
    • Webhook audit log backends
    • Massive API throughput requirements

The Technical

Tutorials, tools, and more that take you on a deep dive into the code.

Waypoint – Solving Build, Deploy and Release problem

Saiyam Pathak, Civo

  • 先週も別の記事で取り上げられていた「Waypoint」をCivo社が紹介している記事。Waypointをインストールして使用し、サンプルアプリをビルド、デプロイして、Civo Kubernetesクラスターにリリースする方法を解説している。 体験良さそう。

Antonio Verardi, Engineering Manager, Yelp

  • タイトル通り、Yelp社のKubernet上で稼働しているApache Flink利用の新しいストリーム処理プラットフォームである同社のPaaS、PaaSTAの構成を紹介している。
Understanding and mitigating CVE-2020-8563: vSphere credentials leak in the cloud-controller-manager log

Kaizhe Huang, Sysdig

  • 機密データの漏洩を引き起こす可能性のある問題(CVE-2020-8563)により、Kubernetesのどの部分が影響を受けるか、およびそれを緩和する方法を解説している。
COBOL on Kubernetes and OpenShift

JJ Asghar, IBM and Chris Short, Red Hat

  • IBM社のDeveloper AdvocateであるJJ Asghar氏とKubeWeeklyの編集者であるChris Short氏がテーマについて話しているYouTube動画。COBOLは個人的に全く接点が無いので、「機会が会った時に深堀りしてみようか...」と考えて幾星霜。
Quick tip: How Prometheus can make visualizing noisy data easier

Ronald McCollam, Grafana Labs

  • Prometheusを利用して、ノイズの多いデータの可視化を簡単にする方法を、温度センサーのデータを例に解説している。
Introducing pvc-autoresizer

Akihiro Ikezoe, Kintone

  • Kubernetesクラスター上のPVCs(Persistent Volume Claims)のサイズを自動的に拡張する、Kubernetesネイティブの新しいOSSツール「pvc-autoresizer」を解説している。
  • GitHubのページはこちら
Container networking is simple

Ivan Velichko

  • コンテナネットワークの編成アプローチを解説し、以下の質問に答えている。
    • How to virtualize network resources to make containers think each of them has a dedicated network stack?
    • How to turn containers into friendly neighbors, prevent them from interfering, and teach to communicate well?
    • How to reach the outside world (e.g. the Internet) from inside the container?
    • How to reach containers running on a machine from the outside world (aka port publishing)?
A Hitchhiker’s Tour to Containerizing a Java application (talk)

Nicolas Frankel

  • テーマに沿ってデモを交えて、以下のSolutionをBenefit/Downsidesを含めて丁寧に解説している。
    • Multi-stages build
    • Jib
    • Layer-aware multi-stage build
    • Buildpacks
    • Spring Boot Maven plugin
Introducing HA MicroK8s, the ultra-reliable, minimal Kubernetes

Canonical

Kubernetes 1.19: The future of traffic ingress and routing

Michael Vittrup Larsen, eficode

  • Kubernetes 1.19で、ベータ版からGAにアップグレードされた「Ingress」リソース周りの動き、スケーリングの問題と解決策、を中心に解説している。

The Editorial

Articles, announcements, and morethatgive you a high-level overview of challenges and features.

Research, Steering and Honking, with Bob Killen

Adam Glick and Craig Box, Kubernetes Podcast from Google

Fear and loathing in YAML

Chris Short, Red Hat

  • KubeWeekly、 DevOps’ishなどの編集者であるRed Hat社のChris Short氏のYAMLに対する恐れ、嫌悪、闘いの足跡を感じる記事。
Cloud Foundry coalesces around Kubernetes

Frederic Lardinois, TechCrunch

  • TechCrunch社の記事。2020年のCloud FoundryプロジェクトのKubernetesへのre-platformの動きをexecutive directorの交代などの動きに触れて解説している。
Helm turns 5, and GitHub gives the gift of charts

Matt Butcher & Matt Farina

  • Helmの5周年を記念したHelmブログの投稿。Gitリポジトリの変遷と以下の発表などを行っている。
    • HelmのstableとincubatorのリポジトリがGitHubに直接ホストされる。
    • 公式のHelm GitHub ActionsがGitHubのmarketplaceで公開された。
    • GitHubへのHelm chartのホスト方法はHelm Chart Releaserをチェックする。
For PayIt, cloud native is a ‘competitive advantage’ for getting government services online

CNCF

  • CNCFの事例紹介記事で「PayIt社」を取り上げている。純粋に日本ではこう言った政府機関向けの取り組みはどうなっているのか気になった。
  • 色々な考え方があるでしょうが、今よりも役所の手続きが煩わしくなく再分配などの機能がされる様になるのなら、役所の人が遊んで暮らしていても全然構わないと思っています。サービスがきちんと提供されているのならば。他の仕事したり、地域に根ざした活動をゆるりとやってもらうなり。頑張らされている割に価値を享受出来ておらず、日本の役所の仕組みや立ち位置などが、今は特に手続き面、再分配などの面でlose-loseの関係に感じる。
Experiment with OpenTelemetry: Play with the Future Cloud Native Metrics Framework, Now

Ambassador Podcast

  • タイトル通り、Cloud Native Metrics Frameworkである「OpenTelemetry」の概要を説明し、「K8s Initializer」を利用したサンドボックス環境での起動方法などを提供している。OpenTelemetry、Kubernetesに入門するための資料のリンクも紹介している。

Upcoming CNCF webinars

気になるWebinarがあれば登録してチェックを。以下は直近のものとしてリストされていたものです。

Member Webinar: The truth about the service mesh data plane
Christian Posta, Global Field CTO @Solo.io
Idit Levine, CEO and Founder @Solo.io

Oct 27, 2020 10:00 AM Pacific Time
REGISTER NOW »

Member Webinar: Admission controllers: one part of your Kubernetes security and governance toolkit
Gunjan Patelm, Cloud Architect @Palo Alto Networks
Robert Haynes, Cloud Security Evangelist @Palo Alto Networks
Oct 28, 2020 7:00 AM Pacific Time
REGISTER NOW »

Member Webinar: Event-driven architecture with Knative events
Nicolás López, Senior Software Engineer @Google
Bryan Zimmerman, Product Manager @Google
Oct 29, 2020 10:00 AM Pacific Time
REGISTER NOW »

Member Webinar: Managing your policies and standards
Ahmed Badran, Chief Technology Officer @Magalix
Nov 4, 2020 7:00 AM Pacific Time
REGISTER NOW »

Member Webinar: Security in the world of service meshes
John A. Joyce, Principal Engineer @Cisco
Nov 4, 2020 1:00 PM Pacific Time
REGISTER NOW »

Member Webinar: Building edge as a service
Dr. Bin Ni, CTO @Wangsu Science & Technology / CDNetworks
Nov 5, 2020 10:00 AM Pacific Time
REGISTER NOW »

Member Webinar: Developer-friendly platforms with Kubernetes and infrastructure as code
Lee Briggs, Staff Software Engineer @Pulumi
Nov 6, 2020 10:00 AM Pacific Time
REGISTER NOW »

Member Webinar: MicroK8s HA under the hood: Kubernetes with Dqlite
Konstantinos Tsakalozos, Senior Software Engineer @Canonica
l Nov 11, 2020 7:00 AM Pacific Time
REGISTER NOW »

Member Webinar: The what and why of distributed tracing
Dave McAllister, Sr. Technical Evangelist @Splunk
Nov 13, 2020 10:00 AM Pacific Time
REGISTER NOW »

Member Webinar: Metal³: Kubernetes-native bare metal host management
Maël Kimmerlin, Senior Software Engineer @Ericsson Software Technology
Dec 10, 2020 10:00 AM Pacific Time
REGISTER NOW »

いかがでしたか?気になる記事や情報はありましたか?

私もまだ内容を咀嚼出来ていないものが多々ありますので、この備忘録兼リンク集を活用しながら理解を深めていきたいと思います。

では、また。

Bye now!!

Yoshiki Fujiwara