sts:AssumeRoleWithWebIdentityなポリシーのロールを作ってARNを変数に入れるだけ ARNだからロール名だけでは足りない
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Federated": "OIDC_PROVIDER_ARN" }, "Action": "sts:AssumeRoleWithWebIdentity", "Condition": { "StringEquals": { "SITE_ADDRESS:aud": "AUDIENCE_VALUE", "SITE_ADDRESS:sub": "organization:ORG_NAME:project:PROJECT_NAME:workspace:WORKSPACE_NAME:run_phase:RUN_PHASE" } } } ] }
2024/4にTerraform Cloudから名前が変わってた
自動で作られるが無意に削除をしない
Sidecar
VirtualService トラフィックの搬送時において、その通信経路におけるメッシュの振る舞いを定義 VirtualServiceを使うことで、特定の経路に対してリトライを有効にしたり、タイムアウト時間を設定したりできる
P374-375
プルリクやissueでmermaidが書ける それ以外に特筆することは何もない
のいずれかで、descriptionに何か文言を書き込めばsub issueになるとか、コメントにトリガーな文言を書き込めばそのissueがsub issueになるとかではない
インストールされている1つ以上のパッケージに関する情報を表示するので、インストールされてなかったら表示されない。
Show information about one or more installed packages.
The output is in RFC-compliant mail header format.
| フィールド | 型 | Optional | 説明 |
|---|---|---|---|
conditions |
[]CertificateCondition |
Yes | 証明書の状態を示す condition のリスト。既知の type は Ready と Issuing |
lastFailureTime |
meta/v1.Time |
Yes | 直近の発行が失敗した場合にのみセットされ、失敗時刻を保持する。次回発行までの遅延は time.Hour * 2 ^ (failedIssuanceAttempts - 1) で計算される。発行が成功するとこのフィールドはクリアされる |
notBefore |
meta/v1.Time |
Yes | spec.secretName で指定された Secret に格納されている証明書の有効開始日時 |
notAfter |
meta/v1.Time |
Yes | spec.secretName で指定された Secret に格納されている証明書の有効期限 |
renewalTime |
meta/v1.Time |
Yes | 次回の証明書更新予定時刻。未設定の場合は更新がスケジュールされていない |
revision |
int |
Yes | 現在発行されている証明書のリビジョン番号。CertificateRequest 作成時にはこの値 +1 が cert-manager.io/certificate-revision アノテーションとしてセットされる。発行完了時に CertificateRequest のアノテーション値がこのフィールドに反映される。これにより、リクエストが現在の発行サイクルのものか過去のものかを判別できる |
nextPrivateKeySecretName |
string |
Yes | 次回の証明書発行に使用される秘密鍵を格納する Secret 名。keymanager コントローラーが Issuing condition を True にセットした際に自動設定され、Issuing が未設定または False になると自動クリアされる |
failedIssuanceAttempts |
int |
Yes | 連続して失敗した発行試行の回数。発行成功時にクリアされ、未設定の状態で発行が失敗すると 1 にセットされる。次回発行までの遅延は time.Hour * 2 ^ (failedIssuanceAttempts - 1) で計算される(指数バックオフ) |
failedIssuanceAttempts |
次回リトライまでの待ち時間 |
|---|---|
| 1 | 1 時間 |
| 2 | 2 時間 |
| 3 | 4 時間 |
| 4 | 8 時間 |
| 5 | 16 時間 |
.status.conditions[?(@.type=="Ready")].status → Ready の True/False .status.notAfter → 有効期限 .status.notBefore → 有効開始日時 .status.renewalTime → 次回更新予定時刻 .status.lastFailureTime → 直近の失敗時刻 .status.revision → リビジョン番号 .status.failedIssuanceAttempts → 連続失敗回数 .status.nextPrivateKeySecretName → 次回用秘密鍵 Secret 名
すべての証明書名とその duration プロパティーおよび renewBefore プロパティーをリスト
kubectl -A get certificate -o custom-columns=NAME:metadata.name,DURATION:spec.duration,RENEWBEFORE:spec.renewBefore
カスタムリソースのReadyの一覧
kubectl -A get certificate -o custom-columns='NAMESPACE:.metadata.namespace,NAME:.metadata.name,READY:.status.conditions[0].status'
証明書更新予定時刻と証明書有効期限の一覧
kubectl -A get certificate --sort-by='.status.renewalTime' -o custom-columns='NAMESPACE:.metadata.namespace,NAME:.metadata.name,READY:.status.conditions[0].status,RENEWAL:.status.renewalTime,NOT_AFTER:.status.notAfter'
cmctlで代用できそう
cert-manager用のcli brewで入れられる
cmctl is a command line tool that can help you manage cert-manager and its resources inside your cluster.
P51
MongoDBの集計操作で、データドキュメントやレコードをグループ化して計算結果を返す。SQLに似ている。
db.aggregate() や db.collection.aggregate() にステージを渡す
各ステップは、前のステージの結果を受け取り、データをさらに処理した上で、そのデータを次のステージへの入力として送信する。集計処理では、サーバー上のインデックスを利用できる。
cert-manager uses Kubernetes Custom Resources to define the resources which users interact with when using cert-manager, such as Certificates and Issuers.
ということなので、cert-managerのカスタムリソースがCertificatesだったりIssuersだったりするということ
