個人の、気になったことのメモ書きなので正しくない部分が大いにあります。

間違っている点など、ご指摘頂けると助かります！

---

Open Service Broker APIとKubernetes Service Catalog

データベースどのように作成しているか

• managed service
• vm上に自前に立てるなど
• etc...

Service Broker

• DBAとdeveloperの仲介をするAPIサーバ

Open Service Broker API

• Cloud ControllerとService Brokerの間?
• Cloud FoundaryとService Brokerの間?にあるAPI
  • Service Instance
    • developerが書く
  • Service Binding
    • Credentialsがsecretが格納されている

Kubernetes Service Catalog

• APIserver Service Brokerの間にある
• Service Bindingに対してsecret(credential)を渡す

Demo

• Service Broker経由で
  • MySQLデータベースを構築する
  • WordPress
  • kafka

---

Kubernetesセキュリティベストプラクティス

トークンの奪取

• 権限を限定したロールで制御
• Network PolicyでIPアドレスに制限
• rootユーザ以外で実行する設定
• ファイルシステムを読み込み専用にする設定

ホストを攻撃

• seccomp/AppArmor/SELinux
• kubeletの権限を制限する
• PodSecurityPolicy

トラフィックを傍受

• サービス菅野プロキシ
• 暗号化
• 証明書の自動更新
• ポリシーをセントラルサーバで集中管理

---

Debugging Applications in Kubernetes

発表資料

• Speaker Deck

  概要

• kuberntes上のアプリケーションのデバッグどうするか

kubectlでのデバッグの基本

kubectl run

• runコマンドでシェルをアタッチ
• alpineならwgetが入っている(curlは無い)
• --serviceaccount
  • ServiceAccountの権限周りのデバッグに便利
• --overrides
  • なんでも出来るオプション
  • JSON値での上書きが出来る
  • ホストのDockerを操作してrootにもなれる

    kubectl logs

• ログの表示
• --timestamp
  • ログをタイムスタンプつきで表示
• wercer/stern
  • 複数のPodのログをまとめて表示できるツール

kubectl exec

• コンテナ内で任意のコマンドを実行できる

kubectl port-foward

• デバッグ用のポートなど、ローカルのみListenしているポートにアクセスできる
• v1.10で、Service/Deploy指定もサポート

kubectl top nodes

• ノード上のCPU,メモリ使用量が見える

PodとLinux名前空間

• PIDはPod内で分離されている
• デバッグにはNetwork,PIDの教諭が便利
• 名前空間はpauseコンテナが保持
• /proc/[PID]/rootでそのPIDがマウントしているルートが見れる
• PID名前空間を共有していればアクセス可能

デバッグツールが含まれない場合

• (資料に表がある)
• docker runで他のコンテナと名前空間を共有

将来入りそうな便利機能

• Pod間のPID名前空間を共有を設定可能にする機能

---

LT

---

『入門Kubernetes』の紹介 - dblmkt

• 2018/3/22発売
• 初めての人に向けた題目も有る
  • コンテナ／マイクロサービスのメリット
  • kubernetesの経緯など
• 日本版独自の改善点
  • 原著は1.5、日本版は1.9に対応
  • サンプルファイルのリポジトリも1.9対応
• オライリーから提供された本3冊プレゼント
  • まだ印刷されていないので来週お届け

---

PodでわかるPreemption - y_taka_23

• 登壇者に猫耳がついてる
• Priority/Preemptionの意義
  • 重要なPodがブロックされない
  • コストが予測可能になる

---

Amazon EKSデモ - riywo

• コンテナを使う上でCodePipelineが重要
• EKSはpreview
• Tenet
  • エンタープライズ企業の本番
  • kubernetesが使える
  • （4つあったがひろえず）
• PrivateLinkなどを利用して完全にクローズドな環境で作れる
• kubectlの認証にIAMを使える
• EFSをPersistent Volumeに使える

---

other ingress voyager - gavinzhm

• Multi Ingress
  • 複数ingress設定管理が煩雑
  • Let's Encryptとの相性が悪い
  • ingressの監視が手間
• Ingress Voyager

---

DockerでHelmを使おう - ShoutaYoshikai

• ローカルで開発でHelmを使うのよくない？
• ミドルウェア管理がよい
• ワンコマンドでシュッと入る
• 本番がkubernetesでも本番にもHelmいれればよさそう