SRE / DevOps / Kubernetes Weekly Reportまとめ#54(2021/2/7~2/12) - 運び屋 (A carrier(forwarder) changed his career to an engineer)

タイトルは「Defending software build pipelines from malicious attack」。
先週の記事「Securing the NCSC’s web platform」に引き続き、UKのNCSC(National Cyber Security Centre)からの記事。
ビルドパイプラインがシステムセキュリティーの基盤の1つである理由と特に注意を払う必要がある理由を、以下の項目に沿って解説している。
- The benefits of automation
- Defend the pipeline
- Protect builds from each other
- Establish a chain of custody
- Consider a managed service for your build pipelines
- Hard work, but worth the effort

Architecture diagrams often feature lots of boxes and arrows, but how do you overlay more useful information without visual overload? This post provides a handy visual language.

タイトルは「A visual language for digital integration」。
デジタルシステムの統合を設計する際に、適切な情報(および適切な情報のみ)を1ページに視覚的に取り込むにはどうすればよいかを解説している。
今後の投稿では、コンポーネントを決定するプロセスをより詳細に検討していく、とのこと。

Dockerfiles are ubiquitous for building container images. But if you’re looking for something that provides a higher level interface and stronger opinions then buildpacks are worth a look. This post compares the two.

タイトルは「Buildpacks vs Dockerfiles」。
筆者の開発チームがDockerfileからbuildpackに移行した話。移行を決定した要素として以下6つの観点を解説している。
- Developer Productivity
- Security
- Performance
- Customizability
- Community
- Kubernetes Support

Threat modelling is a useful tool for getting people thinking about the security of their systems. It’s also a great way of encouraging collaboration between development and security teams. This new manifesto is a good starting point.

「Threat Modeling Manifesto」のWebページ。
Threat Modelingを以下の項目に沿って解説している。
- What is threat modeling?
- Values
- Principles
- About

Ever wanted to understand how Kubernetes allocates IP addresses when you run a high-level command like kubectl expose? This post has you covered.

タイトルは「Putting a VIP in your Kubernetes Clusters」。
Tim Hockin氏の「Bringing Traffic Into Your Kubernetes Cluster」に触れ、別の視点でより詳細にType：LoadBalancer（またはほとんどの場合VIP（Virtual IP address）について解説している。

gRPC is optimised for fast, secure over-the-wire transfer. But that makes it harder to debug than something like JSON over HTTP. Here’s how to use Wireshark for analyzing gRPC messages.

タイトルは「Analyzing gRPC messages using Wireshark」。
WiresharkでgRPCメッセージを分析できるようにするプロトコル固有のコンポーネント「Wireshark gRPC dissector」と「Protocol Buffers (Protobuf) dissector」を構成して使用する方法を解説している。

A case study for building a Kubernetes-powered CI/CD pipeline using GitLab and Helm.

タイトルは「Building a Kubernetes CI/CD Pipeline with GitLab and Helm」。
先週のKubeWeekly #249で取り上げているので、割愛。

Events

WTF is SRE? Container Solutions presents a new WTFinar that tackles the beginning of understanding SRE. Join Nathen Harvey from Google to learn about service level indicators (SLIs) and service level objectives (SLOs) - components of error budgets. 9th February, 15:00 CET

先週のSRE Weekly Issue #255で取り上げているイベント「WTF is SRE?」の紹介記事。

Tools

Vorteil provides a super interesting toolkit for building and running fast micro-VMs. You can even convert an OCI-compliant container image directly to a VM and run it using Vorteil.

マイクロ仮想マシンでクラウドアプリケーションを実行するためのオペレーティングシステム「Vorteil」のGitHubページ。

Kubenav provides desktop, web and mobile apps for monitoring the status of a Kubernetes cluster.

Kubernetesクラスターを管理し、リソースのステータスの概要を取得するためのモバイル、デスクトップ、およびWebアプリ「kubenav」のGitHubページ。

SRE Weekly Issue #256 February 7th, 2021

Articles

Slack’s Outage on January 4th 2021

Here’s a blog post from Slack giving even more information about what went wrong on January 4. Bravo, Slack, there’s a lot in here for us to learn from.

Laura Nolan — Slack

タイトルの障害に対して、先日の SRE Weekly Issue #254で取り上げていた記事ではSlack社のレポートでしたが、こちらはSlack社のengineeringブログ。
AWS Transit Gateways (TGWs) のスケーリングするアルゴリズムの見直しにAWS側が協力する、次のホリデーシーズンには事前のTGWのスケールアップのリクエストを行うようにSlackのリマインダーをセットしているなど。

Zero Downtime Release: Disruption-free Load Balancing of a Multi-Billion User Website

This academic paper from Facebook explains how they release code without disrupting active connections, even for a small number of users.

Usama Naseer, Luca Niccolini, Udip Pant, Alan Frindell, Ranjeeth Dasineni, and Theophilus A. Benson — Facebook

Facebook社のホワイトペーパーの概要ページ。リンクからホワイトペーパーのダウンロードができる。
エンドツーエンドのネットワークインフラストラクチャのさまざまなコンポーネントを活用して、リリースに直面した場合の中断を防止またはマスクするフレームワークである「Zero Downtime Release」に関するもの。

NOTAM for SREs

Another lesson we can learn from aviation: have one place where engineers can find out about temporary infrastructure changes that are important.

Bill Duncan

航空の用語である「NOTAM(Notices to Airmen)」をキーワードに、SREとして他の多くのチームメンバーと一緒に多くの環境を扱う多対多の状態で、各環境の一時的な状態についてチーム全体で効果的にコミュニケーションを取る方法を検討している。

Incident Post Mortem: January 29, 2021 [Coinbase]

Coinbase posted this detailed analysis of their January 29th incident.

Coinbase

タイトルにある通り、障害のポストモーテム。障害の詳細、原因の説明、および今後同様の障害を防ぐために行った変更について説明している。
監視の見直し、read-onlyレプリカの活用、モノリシックなアプリサーバーを個別のサービスに分解するなどの変更に取り組んでいる。

Council Post: How Cloud Services Platform Teams Can Drive The Adoption Of Effective SRE Practices

Interesting thesis: a company moving into the cloud is in a unique position to adopt SRE practices — and better situated than cloud-first companies.

Tina Huang (CTO, Transposit) — Forbes

タイトルに沿って、レガシーソフトウェア企業がクラウド戦略で採用できる下記2つの対照的なアプローチがあり、SREの結果は大幅に異なることなどを解説している。
1. Adopt Cloud Services For Individual Services And Teams
2. Build A Cloud Platform Team

“I’m Just Doing my Job,” An SRE Myth

We need to push past surface-level mitigation of an incident and really dig in and learn.

Darrell Pappa — Blameless

「お客さま相談窓口の担当者」がタイトルのセリフを耳にした筆者が、以下のようにSREとして顧客視点であること、問題を体系化してSREのベストプラクティスを適用すべきことを提案している。
- Customers deserve better, and we should always be their biggest advocate. So, next time you find yourself saying, “Sorry, but I’m just doing my job,” try to shift your perspective to the customer. View these problems as systemic, use SRE best practices like SLOs and error budgets, and embrace a blameless culture to help make a change.

GitHub Availability Report: January 2021

GitHub’s database failed in a manner that wasn’t detected by their automated failover system.

Keith Ballinger — GitHub

1月に発生したGitHub Actionsサービスの重大な影響と可用性の低下をもたらす、1つのインシデントとその対策を解説している。

Open source update: School of SRE

LinkedIn published their SRE training documentation in the form of a full curriculum covering a range of topics.

Akbar KM and Kalyanasundaram Somasundaram — LinkedIn

LinkedIn社がGitHub上に公開した意欲的なSRE向けにキュレーションされたカリキュラムである「School of SRE」を紹介している。
チームとしてスキルアップを図っていく上で、こういったまとまった情報があると良いな。

Push some big numbers through your system and look for bugs

Your code may be designed to handle 64-bit integers, but what if a library (such as a JSON decoder) converts them to floating point numbers?

rachelbythebay

JSONを使ってバグを探って遊ぶ方法を紹介している。

Outages

Apple iCloud
SpamCop
Wink
Twitch
Disney+

上記各社の障害情報

f:id:Yoshiki0705:20210213115220p:plain

KubeWeekly #250 February 12th, 2021

The Headlines

Editor’s pick of the highlights from the past week.

Last chance to register for KubeCon + CloudNativeCon Europe 2021 – Virtual for $10!

KubeCon + CloudNativeCon Europe 2021 Virtual is happening on May 4-7, 2021. Be sure to register for a full All Access Pass for just $10 through February 14 at 23:59 CEST! The price will increase to $75 on February 15, so act fast to take advantage of this great deal.

Don’t forget – the CFP deadline for KubeCon + CloudNativeCon Europe 2021 Virtual co-located events closes on February 19!

See the full list of co-located events below:
Cloud Native Rust Day– hosted by CNCF – May 3
Cloud Native Security Day Europe – May 4
Cloud Native Wasm Day – May 4
FluentCon Cloud Native Logging day with Fluent Bit & Fluentd – May 4
Kubernetes AI Day – May 4
Kubernetes on Edge Day – May 4
ServiceMeshCon Europe – May 4

2021年5/4-7開催予定のKubeCon + CloudNativeCon Europe 2021 – VirtualとCo-located eventsの案内。$10でのAll Access Passは2/14まで。GW中で時間もあるし、Co-located eventsもどれに申し込むか検討中。

Finally built an AI testbed with AMD Ryzen Threadripper 3990X with 64 CPUs, GeForce RTX 3090 with 24 GB RAM and 10496 CUDA Cores, 128 GB RAM, and 3TB NVMe. This runs Kubeflow on a single-node K8s cluster with GPU operator. Excited about the possibilities! pic.twitter.com/PFrvB7YVG1
— Janakiram MSV (@janakiramm) 2021年2月7日

The Technical

Tutorials, tools, and more that take you on a deep dive into the code.

Getting started with Kubernetes audit logs and Falco

Pawan Shankar, Sysdig

Kubernetesのaudit logとは何か、ログが提供する情報、およびそれらをオープンソースのランタイムセキュリティツールである「Falco」と統合してクラスター内の疑わしいアクティビティーを検出する方法について解説している。

Building container images in Go

Ahmet Alp Balkan

Dockerを使用せずにOCIコンテナーイメージをビルドする方法について解説している。
- go-containerregistryモジュールを使用してプログラムでレイヤーとイメージマニフェストをビルドしている。

Cloud Development Environments: Using Skaffold and Telepresence on Kubernetes for fast dev loops

Peter O’Neill, Ambassador Labs

Skaffoldを使用してローカル環境を構築およびデプロイし、Telepresenceを起動して、構築しているローカルサービスをリモートクラスターに投影しながら、開発のループを回す方法を解説している。

Achieving Cloud Native Security and Compliance with Teleport

Ninad Desai, InfraCloud

Zero Trust Architectureの必要性に触れ、クラウドネイティブアプリ向けの「ゼロトラストネットワーク」の領域に適合するプロダクトとして「Teleport」を紹介している。

Kubernetes Liveness Probes – Examples & Common Pitfalls

Levent Ogut, Loft

筆者が以前の投稿で解説しているReadiness ProbeとLiveness Probeは挙動が異なることに触れ、各コンポーネント、構成およびトラブルシューティングする方法を解説している。

Let’s Learn Harvester

Saiyam Pathak, Civo

Kubernetes上で稼働するオープンソースのhyper-converged infrastructure(HCI)のソフトウェア。vSphere、Nutanixなどのプロダクトに相当するオープンソースのプロダクトである、とのこと。

ICYMI: CNCF online programs this week

A weekly summary of CNCF online programs from this week.

How to Manage Kubernetes Application Lifecycle Using Carvel

Helen George and Joao Pereira @VMware

アプリの構築、構成、Kubernetesへのデプロイを支援する、信頼性が高く、単一目的の、構成可能なツールのセットを提供するオープンソースプロジェクト「Carvel」を紹介している。
Carvelを活用する方法を示し、各ツールを個別に使用する方法、または一緒に使用する方法について解説している。

Debugging Kubernetes On The Fly

Josh Hendrick @Rookout

Kubernetesベースのアプリをデバッグする際の従来の課題とは何か、そして本番ワークロードのリアルタイムデバッグがそれらの解決にどのように役立つかを解説している。

The Editorial

Articles, announcements, and morethatgive you a high-level overview of challenges and features.

The State of Cloud Native Application Security survey—2021

Matt Jarvis, Snyk

Snyk社のCloud native application security(CNAS)の2021年のsurveyを案内し、そのレポートのプランを共有している。
先着500名はコーヒーが頂けるのと、調査結果は無償でコミュニティーに還元されるらしいので、興味のある方は回答してみては。

Garden: The Configure-Once Kubernetes Platform for Seamless Dev/Prod Integration

Thor Sigurdsson & Mike Winters, Garden

開発者がCIで遭遇する問題のほとんどは、a)開発環境とCI環境の間の不一致、およびb)不十分で遅い統合テストが原因として、これらの問題を解決する1つの可能なアプローチは、開発からテスト、CIに至るまで、すべての実稼働前環境に一貫した構成を使用することであるとして、「Garden」を紹介している。
Gardenはスタック全体（すべてのサービス、テスト、依存関係）を記述し、開発パイプラインのすべてのステップでオンデマンドのフルスタック環境を起動できるようにするオープンソースプロジェクト。
冒頭に開発環境で、より本番環境に似た設定でビルド、テスト、およびデプロイするCIとは異なり、完全に別個の(そして多くの場合は簡素化された)構成を使用するアプローチが開発者のエクスペリエンスにどのように影響するかを解説している。
- First, the discrepancy between development and CI environments leads to hard-to-predict errors in CI.
- Second, developers have no idea if integration tests will pass when they push to CI.
- Third, the process of troubleshooting CI is slow and tedious.
- And fourth, even just writing integration tests takes a lot of time and effort.

The deadline to apply for the upcoming LFX Spring Term is tomorrow, Feb 12!

This is a great opportunity for anyone interested in getting involved in open source projects. 💫

Learn more in this recent blog from @idvoretskyi and apply now!https://t.co/xkYzl6NtD9
— CNCF (@CloudNativeFdn) 2021年2月11日

Upcoming CNCF Online Programs

CNCF Live webinar: Toward Hybrid Cloud Serverless Transparency with Lithops Framework
presented by IBM
February 16, 2021 at 10:00 am PT
Register Now

This Week in Cloud Native (Livestream): KCD El Salvador
February 17, 2021 at 12:00 pm PT
Register Now

CNCF Online Programs Playlist on YouTube

Check out our playlist for more curated content you don’t want to miss! New content is added every Friday.

For more information, please visit our updated Online Programs page.

いかがでしたか？気になる記事や情報はありましたか？

私もまだ内容を咀嚼出来ていないものが多々ありますので、この備忘録兼リンク集を活用しながら理解を深めていきたいと思います。

では、また。

Bye now!!

Yoshiki Fujiwara