2019-11-22
Want to do
- None
Achievement
- None
Diary
- Learn more about Kubernetes certificates
Note
- Accessing Kubelet API
- https://gist.github.com/lizrice/c32740fac51db2a5518f06c3dae4944f
- Kubelet の API にアクセスする
- Is there API documentation for Kubelet API
- https://stackoverflow.com/questions/35075195/is-there-api-documentation-for-kubelet-api
- Kubelet の API のドキュメントはないよってやつ
- Attacking Kubernetes through Kubelet
- https://labs.f-secure.com/blog/attacking-kubernetes-through-kubelet/
- Kubelet の API で Pod への exec ができるので ServiceAccount の token 取ってきて API Server に攻撃する話
- Kubelet はデフォルトで匿名のアクセスを受け入れるので無効にするためには明示的にオプションを指定する必要がある
- Kubelet authentication/authorization
- kubelet - command line tools reference
- https://kubernetes.io/docs/reference/command-line-tools-reference/kubelet/
- Kubelet の起動オプション一覧
- Set Kubelet parameters via a config file
- https://kubernetes.io/docs/tasks/administer-cluster/kubelet-config-file/
- Kubelet のコマンドライン引数でオプションを指定するんじゃなくて config ファイルで設定しようという話
- Lyft のクラスタアップグレードの話
- KubeCon NA 2019(Day3) 参加メモ - Qiita
- https://qiita.com/go_vargo/items/794b1a9b4491d547b858
- 上の Lyft のクラスタアップグレードの話 とか Graceful Traffic の話とか
- Pod の preStop に sleep 仕込むのは現状の最適解らしい
- Client Authentication against the API server and kubelet
- https://docs.datadoghq.com/ja/integrations/faq/client-authentication-against-the-apiserver-and-kubelet/
- Datadog agent の Kubelet の API Server の認証について
- TLS bootstrappingでkubeletクライアント証明書の作成、更新を自動化する
- TLS bootstrapping
d-kuro
Software Engineer
I’m a software engineer interested in Kubernetes and other cloud-native technologies.