俺の技術ノート

はじめに
✊🏻 俺
🌳 システム
🌳 システム
- システム
- アーキテクチャ特性
🧬 ソフトウェア
🧬 ソフトウェア
- ソフトウェア
- プラクティス集
🚀 アプリ
🚀 アプリ
- アーキテクチャ
- ■ バックエンドアーキテクチャ
  ■ バックエンドアーキテクチャ
  - ■ オブジェクト指向
    ■ オブジェクト指向
    
    オブジェクト指向
    
    オブジェクト指向分析
    
    オブジェクト指向設計
  - ドメイン駆動設計
  - クリーンアーキテクチャ
  - CQRS
- ■ フロントエンドアーキテクチャ
  ■ フロントエンドアーキテクチャ
  - フロントエンドアーキテクチャ
- ■ マイクロサービスアーキテクチャ
  ■ マイクロサービスアーキテクチャ
- ■ 通信方式
  ■ 通信方式
  - リクエスト/レスポンス方式
- ■ API
  ■ API
  - ■ RESTful-API
    ■ RESTful-API
    
    RESTful-API
    
    API仕様書
  - ■ RPC-API
    ■ RPC-API
    
    gRPC
    
    ■ クライアントパッケージ
    ■ クライアントパッケージ
    
    Go
  - ■ GraphQL-API
    ■ GraphQL-API
    
    GraphQL
- ■ ワークフロー
  ■ ワークフロー
  - ■ Argo Workflows
    ■ Argo Workflows
    
    Argo Workflows
    
    リソース定義
  - ■ Temporal
    ■ Temporal
    
    Temporal
    
    ■ 設定ファイル
    ■ 設定ファイル
    
    Clusterスコープ
    
    Webスコープ
🤝🏻 ミドルウェア
🤝🏻 ミドルウェア
- ■ Web系
  ■ Web系
  - ■ Nginx
    ■ Nginx
    
    Nginx
    
    nginx.conf
    
    コマンド
    
    ビルトインモジュール
    
    ユーティリティモジュール
  - ■ Apache
    ■ Apache
    
    Apache
    
    apache.conf
    
    コマンド
- ■ アプリケーション系
  ■ アプリケーション系
  - ■ PHP-FPM
    ■ PHP-FPM
    
    PHP-FPM
    
    設定ファイル
  - ■ uWSGI
    ■ uWSGI
    
    uWSGI
    
    設定ファイル
  - Uvicorn
- ■ リレーショナルデータベース系
  ■ リレーショナルデータベース系
  - ■ RDBMS
    ■ RDBMS
    
    RDBMS
    
    プラクティス集
    
    ACID
  - ■ My︎SQL
    ■ My︎SQL
    
    MySQL
    
    設定ファイル
    
    ■ SQL
    ■ SQL
    
    DML
    
    DCL
    
    DDL
  - ■ PostgreSQL
    ■ PostgreSQL
    
    設定ファイル
    
    Repmgr
- ■ NoSQL DB系
  ■ NoSQL DB系
  - NoSQL DB
  - Redis
- ■ コネクションプールプロキシ系
  ■ コネクションプールプロキシ系
  - ■ PgBouncer
    ■ PgBouncer
    
    PgBouncer
    
    設定ファイル
- ■ 時系列データベース系
  ■ 時系列データベース系
  - TSDB
  - ■ VictoriaMetrics
    ■ VictoriaMetrics
    
    VictoriaMetrics
    
    コマンド
- ■ サービスメッシュ系
  ■ サービスメッシュ系
  - ■ サービスメッシュ
    ■ サービスメッシュ
    
    サービスメッシュ
    
    サービスメッシュの担う責務
  - ■ Envoy
    ■ Envoy
    
    Envoy
    
    envoy.yaml
    
    テレメトリー
    
    API
    
    プラクティス
  - ■ Istio
    ■ Istio
    
    Istio
    
    コントロールプレーン
    
    データプレーン
    
    コマンド
    
    プラクティス集
    
    IstioOperator
    
    ■ リソース
    ■ リソース
    
    リソース
    
    ■ リソース定義
    ■ リソース定義
    
    リソース定義
    
    メタデータ
    
    ConfigMap系
    
    Secret系
- ■ DNS系
  ■ DNS系
  - ■ CoreDNS
    ■ CoreDNS
    
    CoreDNS
    
    設定ファイル
- ■ セキュリティ系
  ■ セキュリティ系
  - ■ Cert Manager
    ■ Cert Manager
    
    Cert Manager
    
    リソース定義
  - ■ Falco
    ■ Falco
    
    Falco
    
    設定ファイル
  - ■ Keycloak
    ■ Keycloak
    
    Keycloak
    
    ■ クライアントパッケージ
    ■ クライアントパッケージ
    
    JavaScript
  - ■ OAuth2 Proxy
    ■ OAuth2 Proxy
    
    OAuth2 Proxy
    
    設定ファイル
- ■ メッセージング系
  ■ メッセージング系
  - メッセージング
  - ■ ブローカー系
    ■ ブローカー系
    
    RabbitMQ
  - ■ ストリーマー系
    ■ ストリーマー系
    
    Kafka
🐧 OS
🐧 OS
- ■ Linuxカーネル
  ■ Linuxカーネル
- ■ ユーティリティ
  ■ ユーティリティ
  - ユーティリティ
  - Unix系標準ユーティリティ
  - シェル
  - スクリプト
  - ■ パッケージ
    ■ パッケージ
    
    メモリ系
    
    ネットワーク系
    
    セキュリティ系
    
    ストレージ系
  - ■ パッケージ管理ユーティリティ
    ■ パッケージ管理ユーティリティ
    
    パッケージ管理ユーティリティ
    
    Linux系
    
    RedHat系
    
    Debian系
- ■ 言語プロセッサ
  ■ 言語プロセッサ
  - 言語プロセッサ
  - 機械語と進数
🔠 言語
🔠 言語
- 言語の種類
- 言語別の処理方式
- ■ データ記述言語
  ■ データ記述言語
  - ■ JSON
    ■ JSON
    
    JSON
    
    JSONクエリ
  - ■ YAML
    ■ YAML
    
    YAML
  - ■ Protocol Buffer
    ■ Protocol Buffer
    
    Protocol Buffer
    
    コマンド
    
    ■ Protocol Bufferコンパイラー
    ■ Protocol Bufferコンパイラー
    
    Goプラグイン
- ■ PHP
  ■ PHP
  - PHP
  - コマンド
  - ■ クラスベース
    ■ クラスベース
    
    クラス
    
    メソッド/データ
    
    データ構造
  - ■ ロジック
    ■ ロジック
    
    検証ロジック
    
    エラーとエラーハンドリング
    
    反復ロジック
    
    アルゴリズム
    
    デバッグ
  - ■ フレームワーク
    ■ フレームワーク
    
    ■ Laravel
    ■ Laravel
    
    コンポーネント
    
    ︎Eloquent ORM
    
    専用パッケージ
    
    認証/認可系パッケージ
    
    コマンド
    
    ■ Symfony
    ■ Symfony
    
    コンポーネント
    
    Doctrine ORM
  - ■ パッケージ
    ■ パッケージ
    
    パッケージ管理
    
    SQLパッケージ
    
    ユーティリティパッケージ
- ■ JavaScript
  ■ JavaScript
  - ■ プロトタイプベース
    ■ プロトタイプベース
    
    プロトタイプ
    
    メソッド/データ
  - ■ ロジック
    ■ ロジック
    
    検証ロジック
    
    非同期処理ロジック
    
    デバッグ
    
    認証
  - ■ フレームワーク
    ■ フレームワーク
    
    Nuxt.js
    
    ■ Vue.js
    ■ Vue.js
    
    Vue.js
    
    vue-router
    
    Vuex
    
    ■ Remix
    ■ Remix
    
    Remix
    
    コマンド
  - ■ パッケージ
    ■ パッケージ
    
    パッケージ管理
    
    SQL
  - ■ ブラウザ
    ■ ブラウザ
    
    ブラウザレンダリング
- ■ Go
  ■ Go
  - Go
  - コマンド
  - ■ ロジック
    ■ ロジック
    
    データ
    
    メソッド
    
    検証ロジック
  - ■ フレームワーク
    ■ フレームワーク
    
    Gin
  - ■ パッケージ
    ■ パッケージ
    
    ビルトインパッケージ
    
    SQLパッケージ
    
    ユーティリティパッケージ
- ■ Python
  ■ Python
  - Python
  - ■ フレームワーク
    ■ フレームワーク
    
    ■ Flask
    ■ Flask
    
    コンポーネント
    
    コンポーネント
    
    コマンド
  - ■ パッケージ
    ■ パッケージ
    
    パッケージ管理
- R
🧪 テスト
🧪 テスト
- ■ ホワイトボックステスト
  ■ ホワイトボックステスト
  - ホワイトボックステスト
  - ■ アプリ (PHP)
    ■ アプリ (PHP)
    
    PHPのテストツール
    
    ■ 静的解析
    ■ 静的解析
    
    PHPStan
    
    ■ ユニットテスト
    ■ ユニットテスト
    
    PHPUnit
    
    Phake
  - ■ アプリ (Go)
    ■ アプリ (Go)
    
    Goのテストツール
    
    ■ 静的解析
    ■ 静的解析
    
    golangci-lint
    
    ■ ユニットテスト
    ■ ユニットテスト
    
    testify
  - ■ インフラ
    ■ インフラ
    
    ■ 静的解析
    ■ 静的解析
    
    静的解析ツール
    
    ■ 文法の誤りテスト
    ■ 文法の誤りテスト
    
    kubeconform
    
    ■ コード規約違反テスト
    ■ コード規約違反テスト
    
    confest
    
    ■ Kyverno
    ■ Kyverno
    
    Kyverno Kyverno
    このページの内容
    
    はじめに
    
    01. Kyvernoの仕組み
    
    リソース定義
    
    ■ OpenPolicyAgent
    ■ OpenPolicyAgent
    
    OpenPolicyAgent
    
    ■ ベストプラクティス違反テスト
    ■ ベストプラクティス違反テスト
    
    krr
    
    polaris
    
    ■ バージョンテスト
    ■ バージョンテスト
    
    pluto
    
    nova
    
    ■ 脆弱性診断
    ■ 脆弱性診断
    
    checkov
    
    kics
    
    kube-score
  - ■ アプリ/インフラ両方
    ■ アプリ/インフラ両方
    
    ■ 脆弱性診断
    ■ 脆弱性診断
    
    trivy
- ■ ブラックボックステスト
  ■ ブラックボックステスト
  - ブラックボックステスト
  - ■ システムテスト
    ■ システムテスト
    
    システムテスト
    
    JMeter
    
    ChaosMesh
💻 ハードウェア
💻 ハードウェア
🌏 ネットワーク
🌏 ネットワーク
- ネットワーク
- ■ OSI参照モデル
  ■ OSI参照モデル
  - OSI参照モデル
  - ■ L5 ~ L7
    ■ L5 ~ L7
    
    L5 ~ L7
    
    HTTP
  - ■ L4
    ■ L4
    
    L4
    
    ポート
  - ■ L3
    ■ L3
    
    L3
    
    IPアドレス
    
    ルーター
  - L2
  - L1
- TCP階層モデル
🔐 セキュリティ
🔐 セキュリティ
- ■ サイバー攻撃
  ■ サイバー攻撃
  - サイバー攻撃
  - マルウェア
- ■ ネットワークセキュリティ
  ■ ネットワークセキュリティ
  - ネットワークセキュリティ
  - ■ アプリケーションデータの暗号化技術
    ■ アプリケーションデータの暗号化技術
    
    アプリケーションデータの暗号化技術
    
    暗号方式
    
    暗号化プロトコル
  - ■ 保管データの暗号化技術
    ■ 保管データの暗号化技術
    
    保管データの暗号化技術
- ■ 認証/認可
  ■ 認証/認可
  - ■ 認証
    ■ 認証
    
    認証
    
    HTTP認証
    
    Form認証
    
    JWT
  - ■ 認可
    ■ 認可
    
    認可
  - ■ SSO
    ■ SSO
    
    SSO
    
    OAuth
    
    SAML
    
    OIDC
⛅️ 3大クラウド
⛅️ 3大クラウド
- 3大クラウド
- ■ AWS
  ■ AWS
  - AWS CLI
  - ■ AWSリソース
    ■ AWSリソース
    
    アカウント
    
    Amplify
    
    ■ API Gateway
    ■ API Gateway
    
    ︎API Gateway
    
    ︎API Gatewayに対するymlインポート
    
    AutoScaling
    
    Backup
    
    Certificate Manager
    
    Chatbot
    
    CloudFormation
    
    CloudFront
    
    CloudTrail
    
    CloudWatch
    
    Code兄弟
    
    Control Tower
    
    DirectConnect
    
    EC2
    
    ECR
    
    ECS
    
    EFS
    
    EKS
    
    ︎ElastiCache
    
    EventBridge
    
    FireLens
    
    Global Accelerator
    
    Glue
    
    IAM
    
    Kinesis
    
    KMS
    
    ■ Lambda
    ■ Lambda
    
    Lambda
    
    Lambda関数
    
    LB
    
    RDS
    
    Redshift
    
    Route53
    
    S3
    
    Secrets Manager
    
    SES
    
    SNS
    
    SQS
    
    Step Functions
    
    STS
    
    Systems Manager
    
    VPC
    
    WAF
    
    WorkMail
    
    X-Ray
  - ■ プラクティス集
    ■ プラクティス集
    
    運用性
    
    信頼性
    
    アプリケーションデータ安全性
    
    ストレージ安全性
    
    コスト最適化
  - ツール
- ■ Google Cloud
  ■ Google Cloud
  - Google Cloud CLI
  - ■ Google Cloudリソース
    ■ Google Cloudリソース
    
    ■ Anthos
    ■ Anthos
    
    Anthos
    
    アップグレード
    
    Cloud Logging
    
    IAM
📦 仮想化
📦 仮想化
- 仮想化
- ■ コンテナ型仮想化
  ■ コンテナ型仮想化
  - コンテナ
  - ■ Docker
    ■ Docker
    
    Docker
    
    ストレージ
    
    ネットワーク
    
    コマンド
  - ■ Containerd
    ■ Containerd
    
    Containerd
    
    コマンド
⚙️ IaC
⚙️ IaC
- IaC
- ■ 手続き型
  ■ 手続き型
  - ■ Ansible
    ■ Ansible
    
    Ansible
    
    コマンド
    
    Playbook
    
    設定ファイル
    
    Ansible Galaxy
  - ■ Docker
    ■ Docker
    
    Dockerfile
    
    コマンド
    
    プラクティス集
- ■ 宣言型
  ■ 宣言型
  - ■ Docker Compose
    ■ Docker Compose
    
    コマンド
    
    docker-compose.yml
  - ■ Kaniko
    ■ Kaniko
    
    Kaniko
    
    設定ファイル
    
    コマンド
  - ■ Packer
    ■ Packer
    
    Packer
    
    template.json
  - ■ Serverless Framework
    ■ Serverless Framework
    
    serverless.yml
    
    コマンド
  - ■ Terraform
    ■ Terraform
    
    コマンド
    
    設定ファイル
    
    ■ tfファイル
    ■ tfファイル
    
    ブロック
    
    モジュール
    
    ■ プロバイダー
    ■ プロバイダー
    
    AWSプロバイダー
    
    Kubernetesプロバイダー
    
    CI/CDパイプライン
    
    ■ プラクティス集
    ■ プラクティス集
    
    プラクティス集
    
    tfstateファイル分割
  - ■ Vagrant
    ■ Vagrant
    
    Vagrantfile
    
    コマンド
☸️ K8s
☸️ K8s
- ■ Kubernetes
  ■ Kubernetes
- ■ プラクティス集
  ■ プラクティス集
- ■ Kubernetesリソース
  ■ Kubernetesリソース
  - Kubernetesリソース
  - ■ リソース定義
    ■ リソース定義
    
    リソース定義
    
    共通項目
    
    AWS EKS
- ■ カスタムリソース
  ■ カスタムリソース
🌊 K8s開発
🌊 K8s開発
- ■ 開発環境
  ■ 開発環境
  - ■ Minikube
    ■ Minikube
    
    Minikube
    
    コマンド
  - ■ Kind
    ■ Kind
    
    コマンド
    
    設定ファイル
  - ■ K3D
    ■ K3D
    
    コマンド
    
    設定ファイル
  - ■ K3S
    ■ K3S
    
    コマンド
    
    設定ファイル
- ■ 本番環境
  ■ 本番環境
  - ■ VCluster
    ■ VCluster
    
    VCluster
- ■ マニフェスト管理
  ■ マニフェスト管理
  - ■ Helm
    ■ Helm
    
    Helm
    
    ■ コマンド
    ■ コマンド
    
    コマンド
    
    helmプラグイン
    
    ■ チャート
    ■ チャート
    
    チャート
    
    共通項目
    
    関数
    
    プラクティス集
    
    ■ Helmfile
    ■ Helmfile
    
    Helmfile
    
    コマンド
  - ■ Kustomize
    ■ Kustomize
    
    Kustomize
    
    コマンド
    
    プラクティス集
⏬ K8sアドオン
⏬ K8sアドオン
- ■ コントロールプレーン系
  ■ コントロールプレーン系
  - admission-controllers
- ■ Ingressコントローラー系
  ■ Ingressコントローラー系
  - Ingressコントローラー
  - ■ AWS Load Balancerコントローラー
    ■ AWS Load Balancerコントローラー
    
    AWS Load Balancerコントローラー
    
    リソース定義
  - ■ Nginx Ingressコントローラー
    ■ Nginx Ingressコントローラー
    
    Nginx Ingressコントローラー
    
    リソース定義
- ■ ハードウェアリソース管理系
  ■ ハードウェアリソース管理系
  - addon-resizer
  - cluster-autoscaler
  - descheduler
  - metrics-server
  - ■ Karpenter
    ■ Karpenter
    
    Karpenter
    
    リソース定義
- ■ ネットワーク系
  ■ ネットワーク系
  - CNI
  - Cilium
  - ExternalDNS
- ■ Secret系
  ■ Secret系
  - ■ SecretsストアCSIドライバー
    ■ SecretsストアCSIドライバー
    
    SecretsストアCSIドライバー
    
    ︎リソース定義
  - ■ ExternalSecretsOperator
    ■ ExternalSecretsOperator
    
    ExternalSecretsOperator
- ■ クラウドプロバイダー系
  ■ クラウドプロバイダー系
  - ■ AWS EKSアドオン
    ■ AWS EKSアドオン
    
    AWS EKSアドオン
    
    AWS EBS CSIドライバー
    
    AWS VPC CNI
    
    AWS OpenTelemetry Collector Operator
♾️ DevOps
♾️ DevOps
- ■ DevOps
  ■ DevOps
  - DevOps
  - ■ SREing
    ■ SREing
    
    SREing
    
    アンチパターン
  - ■ Platform Engineering
    ■ Platform Engineering
    
    Platform Engineering
- ■ 技術的要素
  ■ 技術的要素
  - ■ ドキュメンテーション
    ■ ドキュメンテーション
    
    ドキュメンテーション
    
    Mermaid
- ■ 技術的要素
  ■ 技術的要素
  - 文化
🔄 CI/CD
🔄 CI/CD
- CI/CD
- デプロイ手法
- ■ CIツール
  ■ CIツール
  - GitHub Actions
  - GitLab CI
  - Capistrano
  - ■ CircleCI
    ■ CircleCI
    
    CircleCI
    
    config.yml
    
    orbs
    
    プラクティス集
  - ■ Skaffold
    ■ Skaffold
    
    skaffold.yaml
    
    コマンド
- ■ CDツール
  ■ CDツール
  - ■ ArgoCD
    ■ ArgoCD
    
    ArgoCD
    
    コマンド
    
    プラクティス集
    
    ■ リソース定義
    ■ リソース定義
    
    リソース定義
    
    共通項目
    
    プラグイン
    
    認証/認可系
    
    ConfigMap系
    
    Secret系
    
    Job系
  - ■ Argo Rollouts
    ■ Argo Rollouts
    
    Argo Rollouts
    
    リソース定義
- ■ 自動レビューツール
  ■ 自動レビューツール
🔎 可観測性
🔎 可観測性
- 可観測性
- ■ 監視
  ■ 監視
- ■ テレメトリー
  ■ テレメトリー
- ■ テレメトリー収集ツール
  ■ テレメトリー収集ツール
  - テレメトリー収集ツール
  - ■ Datadog
    ■ Datadog
    
    datadogエージェントの設定
    
    監視
    
    インテグレーション
    
    ■ テレメトリー
    ■ テレメトリー
    
    メトリクス
    
    ログ
    
    分散トレース
    
    テレメトリー間の紐づけ
    
    ■ クライアントパッケージ
    ■ クライアントパッケージ
    
    分散トレース
  - ■ FluentBit/Fluentd
    ■ FluentBit/Fluentd
    
    FluentBit/Fluentd
    
    ■ FluentBit
    ■ FluentBit
    
    設定ファイル
    
    コマンド
    
    リソース定義
  - ■ Grafana
    ■ Grafana
    
    Grafana
    
    ■ リソース定義
    ■ リソース定義
    
    リソース定義
    
    ConfigMap
    
    ダッシュボード
  - ■ Jaeger
    ■ Jaeger
    
    Jaeger
  - ■ Kiali
    ■ Kiali
    
    Kiali
    
    ■ リソース定義
    ■ リソース定義
    
    ConfigMap系
  - ■ OpenTelemetry
    ■ OpenTelemetry
    
    OpenTelemetry
    
    リソース定義
    
    計装
    計装
    
    計装
    
    ■ 分散トレース
    ■ 分散トレース
    
    クライアントパッケージ
    
    Go
    
    Python
    
    ■ OpenTelemetry Collector
    ■ OpenTelemetry Collector
    
    OpenTelemetry Collector
    
    設定ファイル
  - ■ Prometheus
    ■ Prometheus
    
    Prometheus
    
    設定ファイル
    
    リソース定義
    
    ■ Exporter
    ■ Exporter
    
    Exporter
    
    Blackbox Exporter
    
    kube-state-metrics
    
    Node Exporter
    
    ■ メトリクス
    ■ メトリクス
    
    メトリクス
    
    PromQL
    
    クライアントパッケージ
  - ■ Googleアプリ
    ■ Googleアプリ
    
    Googleアナリティクス
    
    Googleサーチコンソール
- ■ インシデント管理ツール
  ■ インシデント管理ツール
  - PagerDuty
👥 開発手法
👥 開発手法
- 開発手法論
- 組織論
- OSSコントリビューション
- ■ バージョン管理
  ■ バージョン管理
  - ■ Git
    ■ Git
    
    コマンド
    
    GitHub
- ■ プロジェクト管理
  ■ プロジェクト管理

Kyverno＠コード規約違反¶

はじめに¶

本サイトにつきまして、以下をご認識のほど宜しくお願いいたします。

https://hiroki-it.github.io/tech-notebook/

01. Kyvernoの仕組み¶

kyverno_architecture

Kyvernoは、admission-controllersアドオン、webhookサーバー、Controllerなどのコンポーネトから構成されている。

文法の誤りテストを実施する静的解析ツール (例：kubeconform) とは異なり、kube-apiserverにマニフェストが送信された後に静的解析を実行する。

kube-apiserverのmutating-admissionステップとvalidating-admissionステップでKyvernoのwebhookサーバーにWebhookが送信される。

送信されたマニフェストの宣言が事前に設定されたルールに則っているかを検証し、もし則っていなければマニフェストの宣言を変更する。

https://www.squadcast.com/blog/kyverno-policy-management-in-kubernetes

https://www.kreyman.de/index.php/others/linux-kubernetes/244-erhoehung-der-container-security-mit-kyverno