book

Kubernetesベストプラクティス第2版

by Brendan Burns, Eddie Villalba, Dave Strebel, Lachlan Evenson

March 2025

Intermediate to advanced

324 pages

4h 29m

Japanese

O'Reilly Media, Inc.

Book available

Read now

Unlock full access

この本を読むべき人この本を書いた理由本書のナビゲーション今回の新機能本書で使用されている慣例コード例を使うオライリー・オンライン・ラーニング問い合わせ先謝辞
アプリケーションの概要構成ファイルを管理するデプロイを使って複製サービスを作成する画像管理のベストプラクティス複製アプリケーションの作成HTTPトラフィック用の外部イングレスをセットアップするコンフィグマップでアプリケーションを設定するシークレットで認証を管理するシンプルなステートフル・データベースをデプロイするサービスを使ってTCPロードバランサを作成するIngressを使用してトラフィックを静的ファイルサーバにルーティングするHelmを使ってアプリケーションをパラメータ化するサービスのデプロイのベストプラクティス概要
目標開発クラスターの構築複数の開発者用に共有クラスタをセットアップするユーザをオンボーディングする名前空間の作成と保護名前空間を管理するクラスター・レベルのサービス開発者のワークフローを可能にする初期化積極的な開発を可能にするテストとデバッグを可能にする開発環境のセットアップベストプラクティス概要
メトリックとログの比較モニタリング・テクニックモニタリング・パターンKubernetesメトリックの概要顧問弁護士メトリックサーバキューブ・ステート・メトリックどのようなメトリックを監視するか？監視ツールPrometheusを使ってKubernetesを監視するロギングの概要ログ用ツールLoki-Stackを使ってログを記録するアラートモニタリング、ロギング、アラートのベストプラクティスモニタリングロギングアラート概要
コンフィグマップとシークレットによるコンフィギュレーションコンフィグマップ秘密ConfigMapとSecrets APIの共通ベストプラクティスシークレット特有のベストプラクティスRBACRBAC入門RBACのベストプラクティス概要
バージョン管理継続的インテグレーションテストコンテナ建設コンテナ画像のタグ付け継続的デプロイデプロイ戦略本番でのテストパイプラインのセットアップとカオス実験の実施CIのセットアップCDのセットアップローリングアップグレードを実行するシンプルなカオス実験CI/CDのベストプラクティス概要
バージョニングリリースロールアウトすべてをまとめるバージョン管理、リリース、ロールアウトのベストプラクティス概要
画像を配信するデプロイをパラメータ化する世界中のトラフィックをロードバランサする世界中に確実にソフトウェアを展開するロールアウト前の検証カナリア地方リージョンタイプを特定するグローバル展開を構築する何かがうまくいかないときワールドワイド・ロールアウトのベスト・プラクティス概要
Kubernetesスケジューラー述語優先順位高度なスケジューリングテクニックPod親和性と反親和性ノードセレクタ汚点と許容範囲Podリソース管理リソース要求リソース制限とPodのサービス品質ポッド破壊予算名前空間を使用してリソースを管理するリソースクォータ限界範囲クラスター・スケーリングアプリケーションのスケーリングHPAでスケーリングするカスタムメトリクスのHPAバーチカル・ポッド・オートスケーラーリソース管理のベストプラクティス概要
Kubernetesネットワークの原則ネットワーク・プラグインクベネットKubenetのベストプラクティスCNIプラグインCNIのベストプラクティスKubernetesのサービスサービスタイプ ClusterIPサービスタイプノードポートサービスタイプ ExternalNameサービスタイプロードバランサーイングレスとイングレス・コントローラーゲートウェイAPIサービスとイングレス・コントローラーのベストプラクティスネットワーク・セキュリティ・ポリシーネットワーク・ポリシーのベスト・プラクティスサービスメッシュサービスメッシュのベストプラクティス概要

Podセキュリティ・アドミッション・コントローラPodのセキュリティ入場を可能にするPod セキュリティ・レベル名前空間ラベルを使用してPodセキュリティを有効にするワークロードの分離とRuntimeClassRuntimeClassを使うランタイム実装ワークロードの分離とRuntimeClassのベストプラクティスその他のポッドとコンテナのセキュリティに関する考察アドミッション・コントローラー侵入・異常検出ツール概要
なぜ政策とガバナンスが重要なのかこの政策はどう違うのか？クラウド・ネイティブ・ポリシー・エンジンゲートキーパーの紹介ポリシー例ゲートキーパー用語制約テンプレートの定義制約条件を定義するデータ複製UX強制措置と監査の活用突然変異試験方針ゲートキーパーを使いこなす政策とガバナンスのベストプラクティス概要
なぜ複数のクラスターなのか？マルチクラスター設計の懸念複数のクラスタデプロイを管理するデプロイと管理のパターンGitOpsのクラスタ管理アプローチマルチクラスター管理ツールKubernetesフェデレーション複数のクラスタを管理するベストプラクティス概要
Kubernetesにサービスをインポートする安定したIPアドレスのためのセレクタレス・サービス安定したDNS名のためのCNAMEベースのサービスアクティブ・コントローラーに基づくアプローチKubernetesからサービスをエクスポートする内部ロードバランサを使ってサービスをエクスポートするNodePortsでサービスをエクスポートする外部マシンとKubernetesを統合するKubernetes間でサービスを共有するサードパーティツールクラスタと外部サービスの接続ベストプラクティス概要
なぜKubernetesはマシンラーニングに最適なのか？機械学習ワークフローKubernetesクラスタ管理者のためのマシンラーニングKubernetesのモデルトレーニングKubernetesでの分散トレーニングリソースの制約特殊化ハードウェアライブラリ、ドライバ、カーネルモジュールストレージネットワーク特殊化プロトコルデータサイエンティストの懸念Kubernetesでのマシンラーニングのベストプラクティス概要
より高度な抽象化を開発するためのアプローチKubernetesを拡張するKubernetesクラスタを拡張するKubernetesユーザ体験の拡張コンテナ化された開発を容易にするプッシュ・トゥ・デプロイ」体験の開発プラットフォームを構築する際の設計上の考慮点コンテナイメージへのエクスポートをサポートする。サービスとサービス検出のための既存のメカニズムをサポートする。アプリケーションプラットフォームの構築ベストプラクティス概要
ボリュームとボリュームマウントボリュームのベストプラクティスKubernetesストレージ永続ボリュームPersistentVolumeClaimsストレージクラスKubernetesストレージのベストプラクティスステートフル・アプリケーションステートフルセット演算子StatefulSetと演算子のベストプラクティス概要
アドミッション・コントロールそれらは何なのか？なぜ重要なのか？アドミッション・コントローラーの種類アドミッションWebhookを設定するアドミッション・コントロールのベストプラクティス認可認証モジュール認証のベストプラクティス概要
GitOpsとは何か？なぜGitOpsなのか？GitOps リポジトリの構造秘密を管理するフラックスのセットアップGitOpsツールGitOpsのベストプラクティス概要
クラスター・セキュリティetcd アクセス認証認可TLSKubeletとクラウドメタデータへのアクセス秘密ロギングと監査クラスター・セキュリティ・ポスチャー・ツーリングクラスターセキュリティのベストプラクティスワークロードコンテナのセキュリティポッドセキュリティの入場Seccomp、AppArmor、そしてSELinuxアドミッション・コントローラー演算子ネットワーク・ポリシーランタイム・セキュリティワークロードコンテナセキュリティのベストプラクティスコード・セキュリティ非ルートおよびディストロレスコンテナコンテナ脆弱性スキャンコード・リポジトリ・セキュリティコード・セキュリティのベストプラクティス概要
カオステストカオステストの目標カオステストの前提条件アプリケーションの通信をカオステストするアプリケーションの動作をカオステストするアプリケーションのセキュリティとレジリエンスをファズテストする概要負荷テスト負荷テストの目標負荷テストの前提条件現実的なトラフィックを生み出すアプリケーションの負荷テスト負荷テストを使用してアプリケーションをチューニングする概要実験実験の目標実験の前提条件実験のセットアップ概要カオステスト、負荷テスト、実験のまとめ
演算子主要コンポーネントカスタムリソース定義APIを作成するコントローラーの照合リソースの検証コントローラーの実装演算子ライフサイクルバージョンアップ演算子ベストプラクティス概要

Content preview from Kubernetesベストプラクティス第2版

第4章. コンフィギュレーション、シークレット、RBAC

この作品はAIを使って翻訳されている。ご意見、ご感想をお待ちしている：translation-feedback@oreilly.com

コンテナのコンポーザブルな性質により、私たち演算子は実行時に設定データをコンテナに導入することができる。これにより、アプリケーションの機能を実行環境から切り離すことができる。コンテナ・ランタイムで認められている、実行時にコンテナに環境変数または外部ボリュームをマウントする規約によって、インスタンス化時にアプリケーションの設定を効果的に変更することができる。開発者としては、この振る舞いの動的な性質を考慮し、環境変数の使用や、アプリケーション・ランタイム・ユーザが利用可能な特定のパスからの設定データの読み取りを許可することが重要である。

シークレットなどの機密データをKubernetesのネイティブAPIオブジェクトに移動させる場合、KubernetesがAPIへのアクセスをどのようにセキュア化するかを理解することが重要だ。Kubernetesで使用されている最も一般的に実装されているセキュリティメソッドは、特定のユーザまたはグループによってAPIに対して実行可能なアクションに関するきめ細かな権限構造を実装するためのロールベースアクセスコントロール（RBAC）である。この章では、RBACに関するベストプラクティスをいくつか取り上げ、ちょっとした入門書も提供する。

コンフィグマップとシークレットによるコンフィギュレーション

Kubernetesでは、ConfigMapsやシークレットリソースを通じて、アプリケーションにネイティブに設定情報を提供することができる。この2つの主な違いは、Podが受信情報を保存する方法と、データがetcdデータストアに保存される方法だ。

コンフィグマップ

アプリケーションが、コマンドライン引数、環境変数、またはシステムで利用可能なファイルなど、何らかのメカニズムを通じて構成情報を消費することは非常に一般的である。コンテナによって、開発者はこの構成情報をアプリケーションから切り離すことができ、アプリケーションの真の移植性を実現できる。ConfigMap APIは、提供された設定情報を注入することができる。ConfigMapはアプリケーションの要件に非常に適応しやすく、キーと値のペアや、JSON、XML、独自の設定データなどの複雑なバルクデータを提供できる。

ConfigMapは、Podの設定情報を提供するだけでなく、コントローラ、CRD、演算子など、より複雑なシステムサービスのために消費される情報を提供することもできる。前述したように、ConfigMap APIは、あまり機密性の高くない文字列データを対象としている。アプリケーションに機密性の高いデータが必要な場合は、Secrets APIが適している。

アプリケーションでConfigMapデータを使用するには、Podにマウントされたボリュームとして、または環境変数として注入することができる。

秘密

コンフィグマップを使いたくなるような属性や理由の多くがシークレットにも当てはまる。主な違いはシークレットの基本的な性質にある。シークレットデータは、環境がそのように設定されている場合、簡単に隠すことができ、場合によっては静止時に暗号化できるような方法でストアされ、扱われるべきである。シークレットデータはbase64エンコードされた情報として表現され、暗号化されていないことを理解することが重要である。 ...