問題点：etcdには平文でデータが格納されている。 k8sの各種マニフェストははetcdに平文で保存されている。 secretであっても平文で保存されている。 twoという文字列を隠蔽したくてone-plus-oneというsecretを作成する。 $ k create secret generic one-plu…

etcdv3ではもはやetcdctl lsはできない。。。 というより、もはやディレクトリライクな構造になっていないようだ。 似たようなことをやりたければ以下のようにする。 etcdctl get / --keys-only --prefix

NodeRestrictionはKuberntesによって提供されるAdmissionPluginでkube-api-serverで--enable-admission-plugins=NodeRestionを指定することで有効化できる。 kubernetes.io 効果1 nodeが他のnodeのラベルを変更することを禁じる。 効果2 nodeにおけるnode-re…

方法 caとclient-certとclient-keyをkubeconfigから抽出する。 k config view --raw | yq .clusters[0].cluster.certificate-authority-data | tr -d '\n' | base64 -d > ca k config view --raw | yq .users[0].user.client-certificate-data | tr -d '\n' …

authorization mode kubernetesではauthorizationに関していくつかのモードを提供してくれている。 authorization modeの指定はkube-api-serverで--authorization-modeを使って行う。 よくある、設定は--authorization-mode=Node, RBACになっている。 Kubern…