2021-01-01から1ヶ月間の記事一覧

EKSでIstioとCalicoは動くのか

EKSでCNIとしてCalico等を使うと、AdmissionWebhookが上手く動かないので、Istioのオートインジェクションが使えないらしいので確認する。 また、VPC CNI Pluign + Calicoなら大丈夫かを確認する。 https://github.com/istio/istio/issues/16434 クラスター…

Lambdaをコンテナで実行したときの実行ユーザーを確認する

Lambdaのコンテナイメージサポートを確認しつつ、実行ユーザーを確認したメモ。 参考リンク AWS Lambda の新機能 – コンテナイメージのサポート イメージの作成 イメージを作成する。RIC導入済みのベースイメージは以下のリンクに記載がある。Pythonのイメー…

Kubernetes での Seccomp入門

Seccompに入門したメモ。 SeccompはDockerではデフォルトで有効でDocker用の制限されたプロファイルがある。Kubernetesではデフォルトでは有効ではなく、指定する必要がある。ランタイムのデフォルトを参照することは可能。 参考リンク Restrict a Container…

AppArmor入門

AppArmorに入門したメモ。 AppArmorが使えるLinuxディストリビューションではDockerではデフォルトで有効で、Docker用の制限されたプロファイルがある。Kubernetesではデフォルトでは有効ではなく、指定する必要がある。ランタイムのデフォルトを参照するこ…

Kubernetes auditログの有効化

kubeadmクラスターでauditログを有効化するメモ。 参考リンク https://kubernetes.io/docs/tasks/debug-application-cluster/audit/ https://github.com/killer-sh/cks-course-environment/tree/master/course-content/runtime-security/auditing 手順 ディ…

startupProbeを使ってbashを取り除く

CKSコースで、コンテナをイミュータブルにするための強制方法の一つとして、starupProbeを使ってbashを取り除く方法が紹介されていたのでメモ。 そもそもstartupProbeを知らなかったが、1.18でベータ、1.20でGAしている。livenessProbe、readinessProbeに続…

Falcoを試す

Falcoを試したメモ。 参考リンク https://falco.org/docs/ https://v1-16.docs.kubernetes.io/docs/tasks/debug-application-cluster/falco/ インストール DaemonSetとしてインストールすることもできるが、ここではスタンドアローンでインストールする。 ht…

straceと/proc

straceの使い方と/procディレクトリに関するメモ。 straceはプロセスが読ぶシステムコールをトレースするユーティリティ。内部的にはptraceというシステムコールを使っている。 コマンドを引数で渡す。 root@cks-master:~# strace ls execve("/bin/ls", ["ls…

ImagePolicyWebhookを試す

ImagePolicyWebhookを有効にする手順を確認したメモ。実装はないので動かない。手順の確認のみ。 参考リンク https://kubernetes.io/docs/reference/access-authn-authz/admission-controllers/#imagepolicywebhook https://github.com/killer-sh/cks-course…

imagePullSecretsの使い方

プライベートレジストリのイメージを実行する手順を確認したメモ。 PublicなDockerHubに置いてあるsotoiwa540/flask-sampleをpullしてきてECRにpushする。 docker pull sotoiwa540/flask-sample:latest aws ecr create-repository --repository-name flask-s…

conftestを試す

以前に試したことはあるけど、CKSコースにしたがって試してみたメモ。 参考リンク https://github.com/open-policy-agent/conftest https://github.com/killer-sh/cks-course-environment/tree/master/course-content/supply-chain-security/static-analysis…

kubesecを試す

Kubernetesマニフェストを静的解析するツールのkubesecを試してみたメモ。 kubesecというツールは2つある。一つはSecretを暗号化するツールで、こちらのイメージが強かった。 https://github.com/shyiko/kubesec もう一つがKubernetesマニフェストを静的解析…

OPAポリシーの例

CKSコースのOPA部分のメモ。 参考リンク https://github.com/killer-sh/cks-course-environment/tree/master/course-content/opa https://github.com/killer-sh/cks-course-environment/tree/master/course-content/supply-chain-security/secure-the-supply…