続・DistrolessコンテナでもEKSのデバッグを諦めない (EKS1.31対応版)
先日以下の記事を書きました。
DistrolessコンテナでもEKSでのデバッグを諦めない この記事を書いたときには、EKSの最新Kubernetesバージョンが1.30だったので、 一部のやりたい機能ができなかったのですが、 先月末についにEKSにも1.31がやってきたので、1.31でできるようになったことを紹介します。
[Read More]
DistrolessコンテナでもEKSでのデバッグを諦めない
結構前にStableになっている機能ですが、最近話していて意外と知られていないのかしら?と思ったのでまとめておきます。
一般的に、起動速度を速くするため、そしてセキュリティのために余計なものはコンテナに含めないことが推奨されます。 そして、究極的にはシェルもコンテナの中に含めない軽量コンテナの採用が検討されることも多くなってきました。
[Read More]
EKSのネットワーキングにディープダイブ
Amazon EKSをはじめとするパブリッククラウドのマネージドKubernetesでは、 VPC CNIなどパブクラのネットワークの仕組みと密連携したネットワークプラグインが用意されています。 これは、手軽に利用できて便利な反面、オンプレのKubernetesに慣れている人からすると意外な挙動をすることがあります。
[Read More]
EKSのVPC CNIでNetwork Policyを利用する
EKSでは標準のCNI(Container Network Interface)として、VPC CNIと呼ばれるものが提供されています。
VPC CNIでは、これまでネットワーク通信制御のために、PodのSecurity Groupが提供されていました。 一方で、Kubernetesで標準的な通信制御として利用されているNetwork Policyはサポートされておらず、 Network Policyを利用したい場合には、自己責任のもとCalicoなどNetwork PolicyをサポートするCNIを独自導入する必要がありました。
[Read More]
EKSのpodへのIAMアクセス付与はPod Identityにおまかせ
EKS上でシステムを動かす上で、AWS上のサービスと一切連携しないということは、まず無いでしょう。
当然ですが、Kubernetesの世界ではPodに対して、AWS IAMを直接設定する機能はありません。 Podと権限をひもづけする Service Account に対して、 なんらかの仕組みを用いて、 Service Account と IAMロール を結びつけてあげる必要があります。
[Read More]
EKSのMountpoint for Amazon S3 CSIにおけるエラー時の挙動の検証
以前、以下の記事でEKSでMountpoint for Amazon S3 CSI driverを用いて、 実際にS3をマウントして制限事項などを確認しました。
EKSでのMountpoint for Amazon S3を試す
[Read More]
EKSでのMountpoint for Amazon S3を試す
この前のRe:Invent中に発表された Mountpoint for Amazon S3 Container Storage Interfaceは、 EKS向けのCSIでS3をあたかもファイルストレージであるかのようにマウントすることができます。
[Read More]
FISからChaosMeshを呼び出しEKSのカオスエンジニアリングをおこなう
この記事は、AWSアドベントカレンダー2022 の20日目の記事です。
AWS Fault Injection Simulator(FIS)は、 障害を挿入する実験をおこない、アプリケーションの回復性や信頼性を 確認、改善するためのマネージドサービスです。 いわゆるカオスエンジニアリングの実験をおこなうことができます。
[Read More]
EKSのPodのSecurityGroupを試す
EKSは、3年前ぐらいに少しさわったぐらいで、あまり深くいじれてなかったので、再入門してみる。 今回は、2020年の9月ごろに利用できるようになった、Podへのセキュリティグループの割当てを試してみる。
[Read More]