先月sig-architectureのMLに投げられて結構盛り上がってる(た？)みたい。今のBetaステージはデフォルト有効で、Betaにした瞬間、世界中から依存され始めてどうせ戻ったりできないので、いっそ、取っ払ってAlpha->GAにするのどう？みたいな相談。 #Kubernetes #k8sjp groups.google.com/g/kubernetes-s… (続く)

.io なくなるかものニュースはkubernetesでも大変盛り上がってますね。なんてったって k8s.io ですからね。 #k8sjp #Kubernetes github.com/kubernetes/kub…

本日のLT資料はこちらになります。eBPF Japan Meetup #2 登壇希望者の方はこちらへの返信などで私までご連絡ください! speakerdeck.com/kentatada/cgro… #k8sjp

ありがとうございました！ #k8sjp

ありがとうございました！ #k8sjp

Karpenterのコストを考慮したノード集約の処理の流れがとても分かり易かったです！ #k8sjp

cgroup v2 依存の問題、お仕事で踏んだことがある。単純に Java の version を上げたら解決したけど。 #k8sjp

無駄な Node を削除してリソースを効率よく使うようにしてくれるっていうの、商用環境だとコスト面で嬉しいことが多そう。 #k8sjp

なるほど。Pod 1つだけだと適切な Node が判断ができないかもしれない、というのは納得感がある。ある程度まとまった Pod の情報を見た方がより適切な Node を選択できそう。 #k8sjp

GPU ノードをスケールさせたいときとかよさそう。karpenter #k8sjp

昔のKarpenterってkube-scheduler から独立してPodスケジューリングしてたんだ。#k8sjp

Karpenter 最近 v1 になったのも知らなかったし、EKS 以外にも使えるの知らなかった。なんも知らなかった… #k8sjp

Kuberntestで脆弱性見つけたかも！？という方はこちらにReport & Disclosure Processが定義されています！ので、いきなりissueを立ててPublicに公開したりせずに定義されたプロセスに沿ってレポートされるようにお願いします🙇 #k8sjp kubernetes.io/docs/reference… x.com/kota2and3kan/s…

「Karpenter is no more node autoscaler」 なるほど。 #k8sjp

Karpenter 1.0 が最近リリースされたらしい。知らなかった。 #k8sjp

Karpenterの話だ！ #k8sjp

Karpenter GAのはなし #k8sjp

最初は Security Issue として窓口に報告してみたけど、アップストリームの判断は Security Issue ではない (想定通りの動作) という感じだったらしい。 #k8sjp

「レビューが遅延しないように工夫する」の内容、普段のお仕事でも大事かもしれない。特に打ち返しの速さの部分。 #k8sjp

「containerd v2 に依存しているのに既に Beta に昇格してしまったものも存在」 そんなこともあるのか...w #k8sjp

この問題に対する修正が入っている containerd v2 がそもそもまだリリースされていないらしい。なるほど。 #k8sjp

Beta に昇格するまでの間に実施可能な Workaround もあるらしい。 #k8sjp

container runtime 側でサポートされてないと Strict が silent に無視されることもあるので注意が必要とのこと。 #k8sjp

SupplementalGroupsPolicy は v1.31 で Alpha feature としてリリース済みらしい。なるほど。 #k8sjp

KEP-3619 では containerd や CRI-O の修正も必要だったらしい。 #k8sjp

OCI Image SpecとKubernetesのSecurityContextで仕様がねじれている解説から提案まで分かりやすかったです...!! #k8sjp

Breaking Change を避ける必要があったということは、supplementalGroupsPolicy のデフォルト値は Merge ってことだろうか。 #k8sjp

Pod の status でも関連する情報が見れるらしい。 #k8sjp

特に理由がなければ supplementalGroupsPolicy には Strict を設定しておいた方が良いって感じだろうか。 #k8sjp

securityContext の supplementalGroupsPolicy という設定項目で挙動を変更できるようになったらしい。 #k8sjp

「ねじれている仕様を OCI の仕様に寄せる変更は Breaking Change になる」 なるほど、単純に Bug として修正する訳にはいかないのか... #k8sjp

現状の Kubernetes ではどうやっても /etc/group を読み込む作りになってるらしい。なるほど。 #k8sjp

厳密に仕様に従ってない点については、意図的なものではなかったらしい。ただ、今まで再検討はされてこなかったとのこと。 #k8sjp

「Kubernetes はこの仕様に厳密に従ってない点に注意」 なるほど、そうなのか。 #k8sjp

OCI Image Spec、ちゃんと読んだことない。 #k8sjp

本日の資料です！ #k8sjp SIG-Schedulingが行なっている、パフォーマンス改善を話の軸に、Kubernetes Schedulerの初歩から入って、Scheduler Queueとかの細かい部分まで説明しました！ kube-scheduler: from 101 to the frontier speakerdeck.com/sanposhiho/kub…

SupplementalGroupsに指定してなくても、imageにgidを焼くだけで、SupplementalGroupsに指定していないgidを使えてしまう。nfs volume 使う時に、gidをbypassできてしまう問題がある #k8sjp

spec.securityContext.supplementalGroups知らなかった... #k8sjp

SupplementalGroups では /etc/group の情報が暗黙的にマージされるらしい。 #k8sjp