背景 以前Google Cloud サービスアカウントのimpersonationを使った Workload Identity Federation の例を紹介しました。 christina04.hatenablog.com ただ最近は従来のWIFから、Direct Workload Identity Federationと呼ばれるサービスアカウントを挟まず直…

概要 GKEの権限管理は、Google Cloud IAM（プロジェクトレベルの操作）と Kubernetes RBAC（クラスター内部のリソース操作）の組み合わせで決まります。 IAMの権限が多く、それぞれの違いがぱっと見分かりづらかったので、一覧化したり知っておくべき差分を…

概要 GKE Ingressを使うとGCE LBのヘルスチェックが自動的に作成されますが、一定のルールがあります。 これらを理解していないと期待しないヘルスチェックが作成され、疎通ができなかったりするのでまとめておきます。 生成ルール GKE Ingressは次の流れで…

背景 Kubernetes Ingressで作成されたGCPロードバランサー周りのコンポーネントは k8s2-um-xxx k8s2-rm-xxx k8s2-tp-xxx k8s-be-xxx など色々あり、どれが何を表しているのか分かりづらかったのでまとめます。 命名規則とコンポーネント 命名規則とコンポー…

概要 従来のGKEのロードバランサーはNodeに到達後iptablesで再度負荷分散するという２段階ロードバランシングでした。 これによりレイテンシの増加、分散のばらつきといった問題が生じていました。 ref: Google Cloud Blog - News, Features and Announcemen…

概要 GKEのPodといったWorkloadからGCPのリソース（GCS、PubSubなど）にアクセスする場合 GKE NodeのService Accountの権限でアクセスする 権限を持ったService AccountのJSONキーを使う の２通りあります。 それぞれの問題点の理解と、その解決策としてのWo…