k9sでコンテナイメージのセキュリティスキャン

投稿者: | 1月 14, 2024

今日は、以前でいうとセンター試験。今は、大学入学共通テストというらしい。自分の時のセンター試験は、30年前の記憶を辿ると。。。

  • 国語 81/200点 (現国は満点、古文漢文はきっちり0点)
  • 英語 64/200点(赤点もいいところ)
  • 数学 150/200点(国立を受験するのは無理かも)
  • 合計 475/800点 (センター試験自体がもはや記念受験レベル)

という点数だった。。。たまたま記念受験した国立大学が2段階選抜が実質行われず、英語以外で満点を取ると無条件合格という裏技が設定されていて、物理が満点、英語は寝てたので0点で、ある意味事故って入学(すでに女子率が高い私立が受かっていた。)。教官に言わせると入学時の学科ビリ5人集(センター500点未満)のうちの一人だったらしい。まぁ満点と0点は自分でわかるw。

そういう大学なので、自分の在籍時、4年でストレートで卒業ができたのは50%くらいだった。

とは言え、有名難関国立出てたって、全く仕事はできない人はいるし、いたし、過去職の上司は大学は出ていないが、海外企業(外資系ではなく)の部長職を長年やっていた人もいるので、テストが全てを決めるわけでは無い。ちなみに、TOEICの過去最高得点は恥の上塗りで575点(その過去職の上司は400点台)でも、外資系だけではなく、海外企業で働くことは可能。(外国企業は、TOEICとか大学はみないかも。仕事ができるかどうかだけか?)

人生、テストだけで決まるのではない。何度でも、何事でも挑戦あるのみ。

 

閑話休題

 

Kubernetesでk9sというkubectlを使わなくてもいろいろできてしまうツールを使っているんだが、

最近、かなりの頻度でアップデートされていたのだが、どのバージョンも全く動かない。正しく何度でもやり直せるというコンセプトでリリースを乱発していた様子。向こうもこっちも打たれ強いw。ようやく、動くバージョンがリリースされた。0.31.5。いつのバージョンからか覚えていないが、0.31系はほぼ全滅。

インストールは、

Windowsなら

winget install k9s

wingetコマンドはとても便利。ただし今日現在は最新版がふってこないので、リリースページからダウンロードしたほうがいい。https://github.com/derailed/k9s/releases

Mac / Linuxならhomebrewから

brew install k9s

でインストールができる。

K9sは、コンテナにシェルアクセスしたり、マニフェストを書き換えたりするのが簡単なのだが、新しい機能として、コンテナイメージのセキュリティスキャン機能が実装された。

コンテナイメージのセキュリティって実は結構重要で、コンテナイメージ自体、リリースしたら、そのイメージにセキュリティ修正が適用されることはない。新しいイメージを使うか、自分でイメージを作り直す必要がある。つまり、コンテナイメージにapt/dnf updateなんていう概念はない。

新しいバージョンにするのであれば、マニフェストで指定しなおせばOKなのだが、このセキュリティスキャン機能は、稼働中の脆弱性を報告してくれる。

詳しくは、ここで解説をしている。

https://www.youtube.com/watch?v=ULkl0MsaidU

設定方法は、

k9s info

と入力すると、設定ファイルの情報が出てくる。

Configのconfig.yamlを以下のように修正する。

imageSans:

enableをfalseからtrueに変更する。

k9sを起動するとVSという列が表示される。Shift-Vでソートを変えれる。

拡大すると

VSのところに6ビットの数字が表示される。

最初の5ビットは、含まれている脆弱性のSeverityを表しているとのこと。最初の1ビットから5ビットまで含まれているSeverityが大きいー>小さいまでを表す。

10000

脆弱性のSeverityが高いものが含まれている。

00001

脆弱性のSeverityが低いものが含まれている。

11111

高いものから低いものまで全て含まれている。

最後の1ビットは、データベース外のものが含まれている

ということになる。

この画面から、Podを指定して、Vを押すと詳細画面になる。

拡大すると

FIXバージョンまで記載されている(あればだが。)。さぁ、直しましょう。。。

指定をして、Enterキーを押すと、ブラウザが開き、該当CVEのページが表示される。SSH経由で使っていると動作しない。。

 

このImage Scanの機能を有効にすると、少し動作がもっさりする。また、k9s自体、ドキュメントが少ないので使っていって覚えるという感じか。少なくともShellアクセスはめちゃくちゃ便利。

 

今後は、こういう方向もやっていこうということで書いてみた。実は一つ、古い知り合いから頼まれているものがあるのだが、もう少し理解したら紹介したいと思う。

コメントを残す