book

Kubernetesベストプラクティス第2版

by Brendan Burns, Eddie Villalba, Dave Strebel, Lachlan Evenson

March 2025

Intermediate to advanced

324 pages

4h 29m

Japanese

O'Reilly Media, Inc.

Book available

Read now

Unlock full access

この本を読むべき人この本を書いた理由本書のナビゲーション今回の新機能本書で使用されている慣例コード例を使うオライリー・オンライン・ラーニング問い合わせ先謝辞
アプリケーションの概要構成ファイルを管理するデプロイを使って複製サービスを作成する画像管理のベストプラクティス複製アプリケーションの作成HTTPトラフィック用の外部イングレスをセットアップするコンフィグマップでアプリケーションを設定するシークレットで認証を管理するシンプルなステートフル・データベースをデプロイするサービスを使ってTCPロードバランサを作成するIngressを使用してトラフィックを静的ファイルサーバにルーティングするHelmを使ってアプリケーションをパラメータ化するサービスのデプロイのベストプラクティス概要
目標開発クラスターの構築複数の開発者用に共有クラスタをセットアップするユーザをオンボーディングする名前空間の作成と保護名前空間を管理するクラスター・レベルのサービス開発者のワークフローを可能にする初期化積極的な開発を可能にするテストとデバッグを可能にする開発環境のセットアップベストプラクティス概要
メトリックとログの比較モニタリング・テクニックモニタリング・パターンKubernetesメトリックの概要顧問弁護士メトリックサーバキューブ・ステート・メトリックどのようなメトリックを監視するか？監視ツールPrometheusを使ってKubernetesを監視するロギングの概要ログ用ツールLoki-Stackを使ってログを記録するアラートモニタリング、ロギング、アラートのベストプラクティスモニタリングロギングアラート概要
コンフィグマップとシークレットによるコンフィギュレーションコンフィグマップ秘密ConfigMapとSecrets APIの共通ベストプラクティスシークレット特有のベストプラクティスRBACRBAC入門RBACのベストプラクティス概要
バージョン管理継続的インテグレーションテストコンテナ建設コンテナ画像のタグ付け継続的デプロイデプロイ戦略本番でのテストパイプラインのセットアップとカオス実験の実施CIのセットアップCDのセットアップローリングアップグレードを実行するシンプルなカオス実験CI/CDのベストプラクティス概要
バージョニングリリースロールアウトすべてをまとめるバージョン管理、リリース、ロールアウトのベストプラクティス概要
画像を配信するデプロイをパラメータ化する世界中のトラフィックをロードバランサする世界中に確実にソフトウェアを展開するロールアウト前の検証カナリア地方リージョンタイプを特定するグローバル展開を構築する何かがうまくいかないときワールドワイド・ロールアウトのベスト・プラクティス概要
Kubernetesスケジューラー述語優先順位高度なスケジューリングテクニックPod親和性と反親和性ノードセレクタ汚点と許容範囲Podリソース管理リソース要求リソース制限とPodのサービス品質ポッド破壊予算名前空間を使用してリソースを管理するリソースクォータ限界範囲クラスター・スケーリングアプリケーションのスケーリングHPAでスケーリングするカスタムメトリクスのHPAバーチカル・ポッド・オートスケーラーリソース管理のベストプラクティス概要
Kubernetesネットワークの原則ネットワーク・プラグインクベネットKubenetのベストプラクティスCNIプラグインCNIのベストプラクティスKubernetesのサービスサービスタイプ ClusterIPサービスタイプノードポートサービスタイプ ExternalNameサービスタイプロードバランサーイングレスとイングレス・コントローラーゲートウェイAPIサービスとイングレス・コントローラーのベストプラクティスネットワーク・セキュリティ・ポリシーネットワーク・ポリシーのベスト・プラクティスサービスメッシュサービスメッシュのベストプラクティス概要

Podセキュリティ・アドミッション・コントローラPodのセキュリティ入場を可能にするPod セキュリティ・レベル名前空間ラベルを使用してPodセキュリティを有効にするワークロードの分離とRuntimeClassRuntimeClassを使うランタイム実装ワークロードの分離とRuntimeClassのベストプラクティスその他のポッドとコンテナのセキュリティに関する考察アドミッション・コントローラー侵入・異常検出ツール概要
なぜ政策とガバナンスが重要なのかこの政策はどう違うのか？クラウド・ネイティブ・ポリシー・エンジンゲートキーパーの紹介ポリシー例ゲートキーパー用語制約テンプレートの定義制約条件を定義するデータ複製UX強制措置と監査の活用突然変異試験方針ゲートキーパーを使いこなす政策とガバナンスのベストプラクティス概要
なぜ複数のクラスターなのか？マルチクラスター設計の懸念複数のクラスタデプロイを管理するデプロイと管理のパターンGitOpsのクラスタ管理アプローチマルチクラスター管理ツールKubernetesフェデレーション複数のクラスタを管理するベストプラクティス概要
Kubernetesにサービスをインポートする安定したIPアドレスのためのセレクタレス・サービス安定したDNS名のためのCNAMEベースのサービスアクティブ・コントローラーに基づくアプローチKubernetesからサービスをエクスポートする内部ロードバランサを使ってサービスをエクスポートするNodePortsでサービスをエクスポートする外部マシンとKubernetesを統合するKubernetes間でサービスを共有するサードパーティツールクラスタと外部サービスの接続ベストプラクティス概要
なぜKubernetesはマシンラーニングに最適なのか？機械学習ワークフローKubernetesクラスタ管理者のためのマシンラーニングKubernetesのモデルトレーニングKubernetesでの分散トレーニングリソースの制約特殊化ハードウェアライブラリ、ドライバ、カーネルモジュールストレージネットワーク特殊化プロトコルデータサイエンティストの懸念Kubernetesでのマシンラーニングのベストプラクティス概要
より高度な抽象化を開発するためのアプローチKubernetesを拡張するKubernetesクラスタを拡張するKubernetesユーザ体験の拡張コンテナ化された開発を容易にするプッシュ・トゥ・デプロイ」体験の開発プラットフォームを構築する際の設計上の考慮点コンテナイメージへのエクスポートをサポートする。サービスとサービス検出のための既存のメカニズムをサポートする。アプリケーションプラットフォームの構築ベストプラクティス概要
ボリュームとボリュームマウントボリュームのベストプラクティスKubernetesストレージ永続ボリュームPersistentVolumeClaimsストレージクラスKubernetesストレージのベストプラクティスステートフル・アプリケーションステートフルセット演算子StatefulSetと演算子のベストプラクティス概要
アドミッション・コントロールそれらは何なのか？なぜ重要なのか？アドミッション・コントローラーの種類アドミッションWebhookを設定するアドミッション・コントロールのベストプラクティス認可認証モジュール認証のベストプラクティス概要
GitOpsとは何か？なぜGitOpsなのか？GitOps リポジトリの構造秘密を管理するフラックスのセットアップGitOpsツールGitOpsのベストプラクティス概要
クラスター・セキュリティetcd アクセス認証認可TLSKubeletとクラウドメタデータへのアクセス秘密ロギングと監査クラスター・セキュリティ・ポスチャー・ツーリングクラスターセキュリティのベストプラクティスワークロードコンテナのセキュリティポッドセキュリティの入場Seccomp、AppArmor、そしてSELinuxアドミッション・コントローラー演算子ネットワーク・ポリシーランタイム・セキュリティワークロードコンテナセキュリティのベストプラクティスコード・セキュリティ非ルートおよびディストロレスコンテナコンテナ脆弱性スキャンコード・リポジトリ・セキュリティコード・セキュリティのベストプラクティス概要
カオステストカオステストの目標カオステストの前提条件アプリケーションの通信をカオステストするアプリケーションの動作をカオステストするアプリケーションのセキュリティとレジリエンスをファズテストする概要負荷テスト負荷テストの目標負荷テストの前提条件現実的なトラフィックを生み出すアプリケーションの負荷テスト負荷テストを使用してアプリケーションをチューニングする概要実験実験の目標実験の前提条件実験のセットアップ概要カオステスト、負荷テスト、実験のまとめ
演算子主要コンポーネントカスタムリソース定義APIを作成するコントローラーの照合リソースの検証コントローラーの実装演算子ライフサイクルバージョンアップ演算子ベストプラクティス概要

Content preview from Kubernetesベストプラクティス第2版

第9章ネットワーク・セキュリティとサービス・メッシュネットワーク、ネットワーク・セキュリティ、サービスメッシュ

この作品はAIを使って翻訳されている。ご意見、ご感想をお待ちしている：translation-feedback@oreilly.com

Kubernetesクラスタは、事実上、接続されたシステムのクラスタにわたる分散システムのマネージャーである。このため、接続されたシステム同士がどのように通信するかが極めて重要になるが、そのカギを握るのがネットワーク接続だ。Kubernetesが管理する分散サービス間の通信をどのように促進するかを理解することは、サービス間通信を効果的に適用するために重要だ。

この章では、Kubernetesがネットワークに課す原則、およびこれらの概念をさまざまな状況で適用する際のベストプラクティスに焦点を当てる。ネットワークに関する議論では、通常、セキュリティも一緒に議論される。ネットワークセキュリティの境界がネットワークレイヤーで制御されるという伝統的なモデルは、Kubernetesの分散システムという新しい世界にも存在しないわけではないが、その実装方法や提供される機能は若干変化する。Kubernetesはネットワーク・セキュリティ・ポリシーのためのネイティブAPIをもたらすが、それは昔のファイアウォール規則と不気味なほど似ている。

この章の最後のセクションでは、サービスメッシュの新しく恐ろしい世界を掘り下げていく。怖い」という言葉は冗談で使われているが、Kubernetesのサービスメッシュ技術に関しては、まさにワイルドウエストだ。

Kubernetesネットワークの原則

Kubernetesがどのように基礎となるネットワークを使用してサービス間の通信を促進しているかを理解することは、アプリケーションアーキテクチャを効果的に計画する方法を理解する上で非常に重要だ。通常、ネットワーキングのトピックは、ほとんどの人に大きな頭痛の種を与え始める。これはコンテナネットワーキングのレッスンというより、ベストプラクティスのガイダンスなので、かなりシンプルにするつもりだ。幸いなことに、Kubernetesはネットワークに関するいくつかの規則を定めている。この規則には、異なるコンポーネント間で通信がどのように動作することが期待されているかが概説されている。それぞれの規則を詳しく見ていこう：

同一Pod内のコンテナ間通信: 同じPod内のすべてのコンテナは、同じネットワークスペースを共有する。これにより、コンテナ間のローカルホスト通信が効果的に可能になる。また、同じポッド内のコンテナは異なるポートを公開する必要がある。これはLinuxの名前空間とDockerネットワーキングの力を使って行われ、ポッドのネットワーキングをホストすることだけを行う一時停止コンテナをすべてのポッドで使用することで、これらのコンテナが同じローカルネットワーク上にあることを可能にする。図9-1は、コンテナAがlocalhostとコンテナがリッスンしているポート番号を使用してコンテナBと直接通信できる方法を示している。

図9-1. コンテナ間のイントラポッド・コミュニケーション
ポッド間コミュニケーション: すべてのPod（）は、ネットワークアドレス変換（NAT）なしで互いに通信する必要がある。つまり、受信側のポッドに表示されるポッドのIPアドレスは、送信側の実際のIPアドレスである。これは、使用するネットワークプラグインによって異なる方法で処理されるが、これについてはこの章の後のほうで詳しく説明する。この規則は、同じノード上のPod間でも、同じクラスタ内の異なるノード上のPod間でも同じである。これは、ノードがNATを介さずに直接ポッドと通信できることにも及ぶ。これにより、ホスト・ベースのエージェントまたはシステム・デーモンが必要に応じてポッドに通信できるようになる。 ...