2021-01-01から1ヶ月間の記事一覧
EKSでCNIとしてCalico等を使うと、AdmissionWebhookが上手く動かないので、Istioのオートインジェクションが使えないらしいので確認する。 また、VPC CNI Pluign + Calicoなら大丈夫かを確認する。 https://github.com/istio/istio/issues/16434 クラスター…
Lambdaのコンテナイメージサポートを確認しつつ、実行ユーザーを確認したメモ。 参考リンク AWS Lambda の新機能 – コンテナイメージのサポート イメージの作成 イメージを作成する。RIC導入済みのベースイメージは以下のリンクに記載がある。Pythonのイメー…
Seccompに入門したメモ。 SeccompはDockerではデフォルトで有効でDocker用の制限されたプロファイルがある。Kubernetesではデフォルトでは有効ではなく、指定する必要がある。ランタイムのデフォルトを参照することは可能。 参考リンク Restrict a Container…
AppArmorに入門したメモ。 AppArmorが使えるLinuxディストリビューションではDockerではデフォルトで有効で、Docker用の制限されたプロファイルがある。Kubernetesではデフォルトでは有効ではなく、指定する必要がある。ランタイムのデフォルトを参照するこ…
kubeadmクラスターでauditログを有効化するメモ。 参考リンク https://kubernetes.io/docs/tasks/debug-application-cluster/audit/ https://github.com/killer-sh/cks-course-environment/tree/master/course-content/runtime-security/auditing 手順 ディ…
CKSコースで、コンテナをイミュータブルにするための強制方法の一つとして、starupProbeを使ってbashを取り除く方法が紹介されていたのでメモ。 そもそもstartupProbeを知らなかったが、1.18でベータ、1.20でGAしている。livenessProbe、readinessProbeに続…
Falcoを試したメモ。 参考リンク https://falco.org/docs/ https://v1-16.docs.kubernetes.io/docs/tasks/debug-application-cluster/falco/ インストール DaemonSetとしてインストールすることもできるが、ここではスタンドアローンでインストールする。 ht…
straceの使い方と/procディレクトリに関するメモ。 straceはプロセスが読ぶシステムコールをトレースするユーティリティ。内部的にはptraceというシステムコールを使っている。 コマンドを引数で渡す。 root@cks-master:~# strace ls execve("/bin/ls", ["ls…
ImagePolicyWebhookを有効にする手順を確認したメモ。実装はないので動かない。手順の確認のみ。 参考リンク https://kubernetes.io/docs/reference/access-authn-authz/admission-controllers/#imagepolicywebhook https://github.com/killer-sh/cks-course…
プライベートレジストリのイメージを実行する手順を確認したメモ。 PublicなDockerHubに置いてあるsotoiwa540/flask-sampleをpullしてきてECRにpushする。 docker pull sotoiwa540/flask-sample:latest aws ecr create-repository --repository-name flask-s…
以前に試したことはあるけど、CKSコースにしたがって試してみたメモ。 参考リンク https://github.com/open-policy-agent/conftest https://github.com/killer-sh/cks-course-environment/tree/master/course-content/supply-chain-security/static-analysis…
Kubernetesマニフェストを静的解析するツールのkubesecを試してみたメモ。 kubesecというツールは2つある。一つはSecretを暗号化するツールで、こちらのイメージが強かった。 https://github.com/shyiko/kubesec もう一つがKubernetesマニフェストを静的解析…
CKSコースのOPA部分のメモ。 参考リンク https://github.com/killer-sh/cks-course-environment/tree/master/course-content/opa https://github.com/killer-sh/cks-course-environment/tree/master/course-content/supply-chain-security/secure-the-supply…