タイトルの件について結論から言っておくと,スマートな解決策は今のところない. 一応回避することはなんとなくできるのだが,全然スマートではない.今後のアップデートに期待したい.
続きを読むkopsで構築したkubernetesクラスタを1.11.7->1.13.10までバージョンアップした
タイトルの通りです. 結構ハマったので書き残しておく.
続きを読むkube2iamからkiamに乗り換えた
AWS上に構築したKubernetesクラスタ内のPodが,AWSのリソースにアクセスしようとしたときには,もちろんAWS IAM Roleか,AWSの認証情報を使ってAWSのAPIを叩く必要がある.
しかし,Kubernetesはクラスタだ.もちろんノードはいっぱいあるし,その上では様々なPodが動くことになる.そういうときに,ノード全体に強い権限を持ったIAM Roleを付与するのは,あまり嬉しくない. 意図せず別のPodが,アクセスしてほしくないリソースにアクセスできることになってしまう.
というわけで,Podごとに個別にIAM Roleを付与したいという要求があるのだが,それを満たすのがkube2iamやkiamというOSSだ.
で,中身の仕組みの話を詳しくここではしないのだが,基本的にkube2iamの方が仕組みが単純である. ただし,たまにバグを拾うことがあって,正しくAWSのCredentialを引けない場合があった.
というわけで今回kiamに移行した.
ちなみにKubernetesクラスタはkopsで構築している. EKSを使っている場合は,つい最近発表されたIAM Role for Service Account を使うと良いと思うよ.
続きを読むbuilderscon tokyo 2019に行ってきた
今年も行ってきました,builderscon tokyo 2019. 去年は発表者だったけど今年は参加者として行ってきました.端的に言うとCfP落ちました.
続きを読む