技術と日常を記録する日本語ブログ

Midnight Stops Time

Exploring Kubernetes, OSS, and Life Beyond the Clock

最新の記事

Argo CDの自動同期はどこまで任せるか――認証基盤を全断させて決めた3つの境界線のカバー画像
Tech

Argo CDの自動同期はどこまで任せるか――認証基盤を全断させて決めた3つの境界線

Argo CDのautomated sync・prune・selfHealは便利ですが、同期が途中で失敗したときに何が残るかを理解せず使うと、障害を自動で拡大することがあります。Helm hookを持つ認証基盤が全断した実際の事故と恒久対策から、自動に任せる範囲、慎重に自動化する範囲、手動に残す更新の境界線を整理します。

·約16分·7,978字
読む
Helm chartをKustomizeで包むときの判断基準――valuesで済ます、patchで矯正する、chartをやめるのカバー画像
Tech

Helm chartをKustomizeで包むときの判断基準――valuesで済ます、patchで矯正する、chartをやめる

KustomizeのhelmCharts機能でHelm製品を包み、chartをrepoに同梱する運用を2年続けました。HelmかKustomizeかの一般論ではなく、どの差分をvaluesで書き、どこからpatchで上書きし、いつchartを捨てるかという実運用の判断基準と、chartが6バージョン積もった反省を書きます。

·約15分·7,251字
読む
CrowdSecは入れて終わりではなかった――誤検知、閾値調整、そしてLAPI障害で全403のカバー画像
Tech

CrowdSecは入れて終わりではなかった――誤検知、閾値調整、そしてLAPI障害で全403

CrowdSecをk3sへ導入した後に必要だった、ログ取得の監視、誤banの確認と解除、検知感度の調整を整理します。さらに、Traefik bouncerをliveモードで使用していた構成で、LAPI障害が複数サービスの403につながった経験と、fail-open・fail-closedの考え方を紹介します。

·約15分·7,320字
読む
Traefikをクラスタの玄関にする――1本のリクエストが通る検問の順序と、障害の切り分けのカバー画像
Tech

Traefikをクラスタの玄関にする――1本のリクエストが通る検問の順序と、障害の切り分け

k3sで複数のサービスを公開すると、DNS、TLS、不正アクセス対策、認証、ルーティングが積み重なり、どの層で止まったのか分かりにくくなります。Traefik、cert-manager、CrowdSec、OAuth2 Proxyの責務をリクエストの通過順に整理し、症状から原因を逆引きする方法を紹介します。

·約12分·5,746字
読む