Kubernetes でコンテナワークロードの脅威検出として使える「Falco」に入門する．CNCF (Cloud Native Computing Foundation) で Incubating に位置しているプロジェクトで，今回は実際に Falco を使って Pod に対する操作（振る舞い）を検出したり，独自ルー…

GitOps ソフトウェアの Flux v1 にはイメージレジストリを監視してイメージタグを自動的に最新化する「Automate image updates（自動イメージ更新）機能」が組み込まれている．別名で「Image Ops」と言ったりもする．具体的には Deployment YAML などの anno…

Kubernetes で Pod（正確にはコンテナ単位）に securityContext.readOnlyRootFilesystem: true を設定すると，ルートファイルシステムを読み取り専用にして書き込み操作を抑止できる．アプリケーションのセキュリティ対策として使える．補足をすると Kuberne…

Kubernetes で有効化できる Admission Plugin である「NodeRestriction」の動作確認をした．簡単にまとめておく！ 「NodeRestriction」は kubelet に対して Node / Pod の操作範囲を制限できる．具体例を挙げると kubelet によるラベル操作を自ノードに制限…

textlint で textlint-filter-rule-comments を使うとコメント記法で「特定のルールを無視する」範囲を設定できる． github.com しかし textlint-plugin-review と組み合わせて Re:VIEW で textlint-filter-rule-comments を使う場合は ではなく #@# という…

AppArmor (Application Armor) とは Linux Security Modules の1つで，プログラムに対して「ファイル操作」や「マウント操作」などを制限する．詳しくは以下のドキュメントに載っている． ubuntu.com コンテナワークロードのセキュリティ対策として，AppArmo…

最近「Monokle」を使っている．Monokle（モノクレ）は「Kubernetes マニフェスト用エディタ」とも言えるアプリで，2週間ほど使って操作にも慣れてきたので紹介する！macOS でも Windows でもアプリをダウンロードすればすぐに使えるぞ！ github.com 機能 ☸️ …

「Software Design 2022年4月号」を読んだ．本誌の第2特集「堂々と使える！人に教えられる！本質から学ぶ Git」に寄稿をされた id:syobochim に献本（ギフトコード）をもらったので第2特集を中心にまとめる．献本ありがとうございます！ Software Design (ソ…