shd-notifier

shd-notifierをセットアップしようとしたメモ。 リージョン規模の障害が発生した時に Service Health Dashboard から障害情報の通知を受け取る方法 AWS サービスヘルスダッシュボードの通知機能を実装する方法を教えてください。 https://github.com/aws/aws…

Git操作のメモ

Git操作についてのメモ。 やりたいことは以下。 mainブランチから、backup-20210729ブランチを作成した その後mainブランチにはいくつかのコミットが追加された mainブランチをbackup-20210729ブランチと同じ状態に戻したい mainブランチの変更はバックアッ…

Falcoルールのカスタマイズ

HelmでのFalco環境のセットアップをクラスターのデプロイからやり直し、Falcoルールをカスタマイズして実用に耐えそうな環境を目指すメモ。 コンポーネント バージョン EKS 1.20 プラットフォームバージョン eks.2 Falco 0.29.1 Falcoチャート 1.15.4 クラス…

Falcoでプレビルドのカーネルモジュールがダウンロードできない場合

以下のIssueにあるように、Falcoのプレビルドのカーネルモジュールがダウンロードできない場合について試したメモ。 https://github.com/falcosecurity/charts/issues/234 コンポーネント バージョン EKS 1.21 プラットフォームバージョン eks.1 Falco 0.29.…

Falcoをyumで入れる場合のPodとの連携

Falcoをyumで入れた場合に、Helmで入れたekscloudwatchやfalcosidekickとの連携を確認したメモ。 クラスターの作成 コンポーネント バージョン EKS 1.19 プラットフォームバージョン eks.5 Falco 0.29.1 falcosidekick 2.23.1 falcosidekickチャート 0.3.10 …

audit-bridgeを試す

ekscloudwatchと比較のためfalco-eks-audit-bridgeを試したメモ。 コンポーネント バージョン EKS 1.19 プラットフォームバージョン eks.5 Falco 0.29.1 Falcoチャート 1.15.3 audit-bridge v1.0.3 参考リンク https://github.com/xebia/falco-eks-audit-bri…

ekscloudwatchを試す

EKSでFalcoを試す2の続きでekscloudwatchを試したメモ。 コンポーネント バージョン EKS 1.19 プラットフォームバージョン eks.5 Falco 0.29.1 Falcoチャート 1.15.3 ekscloudwatch ekscloudwatch-0.3 参考リンク https://github.com/sysdiglabs/ekscloudwat…

EKSでFalcoを試す2

以前、Falcoを試したり、EKSでFalcoを試したりしたが、再びEKSでFalcoを試すメモ。 コンポーネント バージョン EKS 1.19 プラットフォームバージョン eks.5 Falco 0.29.1 Falcoチャート 1.15.3 クラスターの準備 1.19でクラスターを作成する。 cat << EOF > …

sedで検索した1つ下の行を置換する

sedで検索した1つ下の行を置換するメモ。 syslog_output: enabled: true stdout_output: enabled: true こういうyamlのsyslog_output:の下の行のenabledをfalseにしたい場合はどうすればよいか? こうする。 cat << EOF > test.yaml syslog_output: enabled:…

Logs Insightsのメモ

Logs Insightsの使い方のメモ。 CloudTrailログ CloudTrailログで特定のIAMロールが読んだAPIを確認する。 fields @timestamp, eventSource, eventName, @message | filter @message like /eksctl-audit-bridge-addon-iamserviceaccount-Role1-1522OIC96C2M1…

EKSでCiliumを試す2

以前EKSでCiliumを試したときに、そのままだと上手く動かなかったので、半年くらい経ってもう一度各コンポーネントの最新バージョンで試してみたメモ。 https://docs.cilium.io/en/v1.10/gettingstarted/cni-chaining-aws-cni/ コンポーネント バージョン 備…

Starboard Operatorを試す

Starboard Operatorを試してみたメモ。 https://github.com/aquasecurity/starboard https://aquasecurity.github.io/starboard/ StarboardはCLIとOperatorとある。 導入 インストールはマニフェスト、Helm、Operator Lifecycle Managerによる方法がある。こ…

Starboard CLIを試す

Starboard CLIを試してみたメモ。 https://github.com/aquasecurity/starboard https://aquasecurity.github.io/starboard/ StarboardはCLIとOperatorとある。 導入 CLIの導入はバイナリ、kubectlプラグイン、コンテナイメージなどが利用可能だが、今回はバ…

Polarisを試す

Polarisを試してみたメモ。 https://github.com/FairwindsOps/polaris https://polaris.docs.fairwinds.com/ Polarisは3つのモードで実行が可能。 ダッシュボード アドミッションコントローラー コマンドラインツール CLI まずはコマンドラインツールを試す…

sKanを試す

Alcide sKanを試してみたメモ。 https://github.com/alcideio/skan 導入 バイナリをダウンロードしてパスの通ったディレクトリに置く。 実行 適当なマニフェストを作る。 k create deploy nginx --image=nginx --dry-run=client -o yaml > nginx.yaml 検査を…

kubesecを試す

kubesecを試したメモ。kubesecというとSecretのマニフェストを暗号化するshyiko/kubesecのほうが有名な気もするが、controlplaneio/kubesecのほう。 https://github.com/controlplaneio/kubesec 導入 導入は以下の方法で可能。 コンテナイメージ バイナリ ア…

kubeauditを試す

kubeauditを試してみたメモ。 https://github.com/Shopify/kubeaudit 導入 brew install kubeaudit 実行方法 3つのモードがある。 マニフェストモード ローカルモード クラスターモード マニフェストモード 適当なマニフェストを作る。 k create deploy ngin…

AWS Secrets & Configuration Providerを試す

以下のブログを試したメモ。 (6/28にSecretとのSyncまでやり直して更新) https://aws.amazon.com/jp/blogs/security/how-to-use-aws-secrets-configuration-provider-with-kubernetes-secrets-store-csi-driver/ https://aws.amazon.com/jp/blogs/news/how…

EKSでランタイムデフォルトのseccompプロファイルを使用する

EKSでランタイムデフォルトのseccompプロファイルが使用できるかを確認する。 https://aws.github.io/aws-eks-best-practices/security/docs/runtime/ Dockerのデフォルトで適用されるプロファイルは以下に記載がある。 https://docs.docker.com/engine/secu…

SPIFFEのチュートリアルを試したメモ

以下ブログを翻訳しようとしたが、SPIFFEが全然わからなかったので、SPIFFEのチュートリアルを試したメモ。 https://aws.amazon.com/jp/blogs/containers/using-mtls-with-spiffe-spire-in-app-mesh-on-eks/ 参考リンク Quickstart for Kubernetes 注目のSPI…

Cloud9からMySQLやPostgreSQLに接続する

Cloud9からAurora MySQLやAurora PostgreSQLに接続してバージョンを確認したメモ。 MySQL mysqlクライアントはインストール済み。 接続する。 mysql -h <エンドポイント> -P 3306 -u admin -p バージョンを確認する。 MySQL [(none)]> SELECT VERSION(); +--…

EKSでKubeFedを試す

EKSでKubeFedを試してみたメモ。 コンポーネント バージョン Kubernetesバージョン 1.18.9 プラットフォームバージョン eks.3 kubefedctl 0.6.1 kubefed 0.6.1 kubefedチャート 0.6.1 参考リンク https://github.com/kubernetes-sigs/kubefed/tree/master/ch…

KubeFedのクイックスタート

このAWSソリューション実装を理解するために、先ずそもそもKubeFedのクイックスタートを試してみたメモ。 https://github.com/kubernetes-sigs/kubefed クイックスタート リポジトリをクローンする。 git clone https://github.com/kubernetes-sigs/kubefed.…

CalicoとCiliumでの細かい動作の違い

以下のセッションを見ていたら自分の記憶とちょっと違ったので確認したメモ。 ケース別に考えるPod間通信制御の話 具体的には以下の点。 ALBからのIngress接続を許可するため、VPCのIPブロックを許可すると、Podが全部接続可能になってしまう(PodはVPC CNI…

VSCodeやLensでEKSに接続する

VSCodeのKubernetes拡張やLensでEKSに接続しようとしたとき、コンテキストを選択してもAWSプロファイルが適切でないと接続できないので、どうしたらいいのか調べたメモ。 .kube/configのuserフィールドにあるトークンを取得するコマンドに環境変数としてプロ…

EKSでFalcoを試す

以下のAWSブログにしたがってEKSでFalcoを試したメモ。 Implementing Runtime security in Amazon EKS using CNCF Falco もう一つFalcoに関するAWSブログがあるが、内容がちょっと古い。 Securing Amazon EKS Using Lambda and Falco コンポーネント バージ…

ECSタスク起動ハマりポイント

よくECSタスクが上手く起動しなくてハマるので、ハマったポイントをメモしておく。 コンテナのポートを間違えていてヘルスチェックに失敗している ALBからのヘルスチェックがセキュリティグループにブロックされている AmazonECSTaskExecutionRolePolicyには…

CDKの導入

ひさしぶりにCDKを使おうとして環境の更新方法を忘れてたのでメモ。 Node.js Node.jsはnodenvを使って導入している。 CDKの要件はNode.js 10.3.0以上で最新のLTSバージョンが推奨。 Getting started with the AWS CDK - AWS Cloud Development Kit (AWS CDK)…

Kyvernoを試す

Kyvernoを試してみたメモ。AWSブログにしたがって試す。 参考リンク https://kyverno.io/ Easy as one-two-three policy management with Kyverno on Amazon EKS Kyvernoのインストール クラスターを作成する。 eksctl create cluster -f cluster.yaml マニ…

QoS ClassとPriorityClass

QoS ClassとPriorityClassの違いがわからなくなったので、調べたメモ。 QoS ClassとPriorityClassは2つの独立した無関係の機能。 QoS Classはノードのリソースが不足した際にEviction ManagerがPodをEvictionする際に使われる。PriorityClassはSchedulerがス…