😉
AWS EKS on Fargateの基本設計をかけ!未経験初勤務から2日目の僕は...
愚痴 + この記事を書く理由の背景
- SEって恐ろしい仕事ですね、未経験初勤務から2日目でEKS on Fargateの基本設計を書けと言われるんですから...
- 方式設計書も要求定義書も1.5日で読めと言われ、理解度を問われることもなく。読めと言ったら、向こうの認識では説明したことになっている...すごいね!!マサルさん!
- 分からないことを分からないとは言わずに、推測を述べた結果、間違っているパターンを何回も味わうと信頼されなくなるから止めたほうがいいですよ
この記事を書く理由
結論: 業務外で得た知識を合法的に業務上アクセス出来る + 有識者の方から私の誤認識を指摘いただける可能性がある
業務中(たとえお昼休憩でも)は情報漏洩の危険性のため、ストレージサービスがあるサービス(google, Notion等)のアカウントによるログインはできません。
しかし、ここに書けばインターネットを介して業務中もアクセスができます!インターネット最高かよ
EKSクラスター作成にパラメーターとして求められるセキュリティグループは何のために?
疑問の外堀
- どのNICに対するSG?
-> EKSクラスター作成に際して指定したサブネットに自動作成されるNICに対して
疑問の詳細
-
自動作成されたNICは何のために作成されたのか?
-> クラスターとVPCの通信のために作成された。(source) -
クラスターとVPC間の通信って具体的に何送るねん?
-> -
クラスターIPは、ALBが公開するときに使われるIP
AWS EKS Plugin
CNI (Contaner Network Interface)
CoreDNS
- クラスター内にDNS機能を提供するPodを構築する
- Podはプロビジョニングされた時点で仮想IPアドレスが付与される。
- kube-dnsが標準では入っているが、skydnsライブラリーを用いており、過去に脆弱性を孕んでいたこと、機能提供に必要なコンテナ数が3つであること。(kubedns, dnsmasq, sidecar)
Kubernetes network
- PodにはIP address
調べた単語
-
ベアメタル
- OSやソフトウェアがインスコされていないまっさらな物理サーバー
ここでは、クラウドと比較した際に、オンデマンドのベアメタルサーバーのほうがI/O等において有利とある。- クラウドとオンデマンドのベアメタルサーバーの違いは?
->仮想化されているかどうか、クラウドではコンピューターリソースを仮想化させ、顧客に提供
- クラウドとオンデマンドのベアメタルサーバーの違いは?
- OSやソフトウェアがインスコされていないまっさらな物理サーバー
-
DNS round robin
-
1つのFQDNに複数のIP addressを割り当て、トラフィックを振り分ける負荷分散方式
-> どういう原理で振り分けられんねん? 流れで回答- 問い合わせが来る(what ip address for google?)
- ドメイン情報に合致するレコードの一番目を返す
- (名前解決するたびに)DNSレコードの順番が入れ替わる(round robin)
- 次の問い合わせが来る (what ip address for google?)
- ドメイン情報に合致するレコードの一番目を返す
3の工程によって振り分けが行われる。
-
-
ClusterIP
Discussion