In this post, you’ll discover what makes Deep Agents different, how the architecture works, how to get started quickly, and what you can build with this framework.

What Are Deep Agents?

Deep Agents are advanced AI agents built on top of LangChain and LangGraph that go beyond simple question-answering or single-tool invocation. They are designed for sustained, complex workflows that require:

• Breaking down large tasks into manageable subtasks
• Maintaining state and memory across long conversations
• Managing context windows intelligently through summarization
• Delegating specialized work to sub-agents
• Persistent file system access for offloading content

Think of Deep Agents as autonomous assistants that can work on research projects, codebases, data analysis, or any task requiring multiple steps, decision-making, and memory over time.

💡 Tip: Deep Agents are particularly useful when your task can’t be solved in a single LLM call and requires orchestration across multiple tools and steps.

Key Features

1. Task Planning and Decomposition

Deep Agents come with built-in planning tools like write_todos that help break complex tasks into smaller, trackable steps. The agent can adjust plans dynamically as it discovers new information or encounters blockers.

2. Virtual File System for Context Management

One of the standout features is file system access. Agents can use tools like ls, read_file, write_file, and edit_file to:

• Store intermediate results and notes
• Offload large content to avoid context overflow
• Maintain persistent workspaces for ongoing projects
• Keep organized state across multiple sessions

This approach prevents context window limits from becoming a bottleneck.

3. Sub-agent Spawning

When a task requires specialized focus, Deep Agents can spawn sub-agents in isolated context windows. Each sub-agent tackles a specific subtask, returns summarized results to the main agent, and keeps the primary context clean and manageable.

4. Long-term Memory

Using LangGraph’s persistent storage capabilities, Deep Agents maintain state across multiple conversations or sessions. They can recall past work, access historical context, and build on earlier progress — essential for extended projects.

5. Automatic Context Summarization

When conversations approach context limits, Deep Agents automatically summarize older content while archiving full histories. This keeps the active working memory focused on what matters most.

6. CLI and SDK

Deep Agents ship with both a Python SDK for programmatic control and a powerful CLI for interactive terminal sessions. The CLI acts as a coding assistant that can be run interactively or in headless script mode.

How Deep Agents Work

The architecture is modular and built on a middleware stack:

Architecture Overview

1. LangGraph Foundation — At the core, Deep Agents use LangGraph’s CompiledStateGraph for orchestration, execution streaming, and state checkpointing.

2. Middleware Stack — The create_deep_agent() function builds a layered middleware system:
   • TodoListMiddleware: Task decomposition and tracking
   • MemoryMiddleware: Agent documentation and knowledge integration
   • SkillsMiddleware: Custom Python tools and functions
   • FilesystemMiddleware: File operations for context management
   • SubAgentMiddleware: Sub-agent creation and isolation
   • SummarizationMiddleware: Automatic conversation summarization

3. Backend Abstraction — Agents support different file system backends (RAM, disk, or custom stores) for context and outputs.

4. Persistence — Built-in checkpointers provide robust long-term state retention, enabling workflows that span multiple sessions.

Workflow Example

1. Initialization: Create an agent with create_deep_agent(), supplying tools, system prompt, and configuration
2. Task Reception: The agent receives a user request and writes a task plan with subtasks
3. Tool Invocation: For each task, the agent selects and invokes appropriate tools
4. Context Management: Large results are saved to the file system; summaries are written back to context
5. Delegation: Specialized tasks are delegated to sub-agents with focused contexts
6. Persistence: State is maintained across sessions for long-running workflows

Quick Start

Installation

Install the Python SDK:

pip install deepagents

Or install the CLI for interactive use:

pip install deepagents-cli

Set Up API Keys

Deep Agents support multiple LLM providers. Set your API key:

export OPENAI_API_KEY="your_openai_api_key"
# Or for Anthropic:
export ANTHROPIC_API_KEY="your_anthropic_api_key"

Basic Python Example

from deepagents import create_deep_agent

# Create a default agent
agent = create_deep_agent()

# Invoke the agent with a task
result = agent.invoke({
    "messages": [{
        "role": "user",
        "content": "Research LangGraph and write a summary"
    }]
})

print(result["messages"][-1]["content"])

This agent automatically has access to planning tools, file operations, and context management out of the box.

Customizing with Tools

Add your own tools and system prompt:

from langchain_core.tools import tool
from langchain.chat_models import init_chat_model
from deepagents import create_deep_agent

@tool
def search_documentation(query: str) -> str:
    """Search technical documentation."""
    return f"Results for: {query}"

agent = create_deep_agent(
    model=init_chat_model("openai:gpt-4o"),
    tools=[search_documentation],
    system_prompt="You are a research assistant specialized in documentation.",
)

Using the CLI

Start the CLI in any project directory:

deepagents

Then interact naturally:

You: Add type hints to all functions in src/utils.py

The CLI will read files, propose changes, and ask for approval before making edits.

Example: Building a Research Agent

Here’s a more complete example using internet search:

import os
from tavily import TavilyClient
from deepagents import create_deep_agent

tavily_client = TavilyClient(api_key=os.environ["TAVILY_API_KEY"])

def internet_search(query: str, max_results: int = 5):
    """Search the internet for information."""
    return tavily_client.search(query, max_results=max_results)

research_instructions = """
You are an expert researcher. Use the `internet_search` tool for gathering information.
Create comprehensive summaries with citations.
"""

agent = create_deep_agent(
    model="anthropic:claude-sonnet-4-6",
    tools=[internet_search],
    system_prompt=research_instructions,
)

result = agent.invoke({
    "messages": [{
        "role": "user",
        "content": "What are the latest trends in Kubernetes security?"
    }]
})

print(result["messages"][-1].content)

The agent will:

1. Use the search tool to gather information
2. Store intermediate findings in its virtual file system
3. Synthesize results into a comprehensive summary
4. Maintain context if you ask follow-up questions

Next Steps

Now that you understand Deep Agents, here are some directions to explore:

Build Production Workflows

Deep Agents are production-ready. Integrate them into:

• Automated code review pipelines
• Documentation generation workflows
• Research and report automation
• Data analysis and visualization tasks

Explore Advanced Features

• Multi-agent systems: Create specialized agents for different domains
• Custom middleware: Build your own middleware layers for specialized behavior
• Persistent backends: Use PostgreSQL or Redis for durable state storage
• Observability: Integrate with LangSmith for tracing and monitoring

Learn from Examples

The Deep Agents repository includes example implementations:

• Coding assistants with GitHub integration
• Research agents with web search
• Data analysis agents with pandas tools
• Multi-step automation workflows

Compare with Other Frameworks

Deep Agents position themselves as an open-source alternative to proprietary solutions like Claude Code and Devin. Key advantages include:

• Full control over prompts, tools, and behavior
• Model-agnostic design (works with OpenAI, Anthropic, Google, etc.)
• Transparent architecture with readable source code
• Integration with the broader LangChain ecosystem

Conclusion

LangChain Deep Agents provide the first production-ready open-source solution for building powerful autonomous AI agents. By combining task planning, persistent memory, context management, and sub-agent orchestration, they address the major limitations of earlier agent frameworks.

Whether you’re building a coding assistant, research tool, or automation pipeline, Deep Agents offer a robust foundation with minimal boilerplate and maximum flexibility. The framework is model-agnostic, developer-friendly, and designed for real-world complexity.

Ready to build your first Deep Agent? Start with the quickstart guide and explore the examples to see what’s possible.

References:

• Deep Agents Overview - LangChain Docs
• Deep Agents Quickstart - LangChain Docs
• GitHub Repository - langchain-ai/deepagents
• LangChain Deep Agents Official Page
• DataCamp Tutorial: LangChain’s Deep Agents
• Introducing Deep Agents CLI - LangChain Blog

We will start with a tiny Flask app from my OpenTelemetry playground, wire it to an OpenTelemetry Collector and the Aspire dashboard, then move to the Otel Bank demo to follow traces across frontend, API, Redis, and worker services.

Why start with a small app first?

If you jump directly into a multi-service demo, it is easy to confuse telemetry collection with business logic. A one-endpoint Flask service makes the basics obvious:

• the app emits logs,
• instrumentation turns requests into traces and metrics,
• the collector receives telemetry and forwards it,
• the dashboard makes the results visible.

Once this first mental model is clear, the distributed bank demo becomes much easier to read.

Step 1: Run the basic Flask app without telemetry

The v1.0.0 playground starts with a tiny rolldice endpoint. Before adding OpenTelemetry, the app is intentionally simple:

# Source: https://github.com/mikamboo/opentelemetry-playground/blob/v1.0.0/app.py
from flask import Flask, request
import logging
from pythonjsonlogger.json import JsonFormatter

app = Flask(__name__)
handler = logging.StreamHandler()
handler.setFormatter(JsonFormatter())
logging.basicConfig(level=logging.WARN, handlers=[handler])

Start it locally:

uv sync
uv run flask --app app run --port 8082
curl http://localhost:8082/rolldice

At this stage, the service works, but nothing is exported yet. That is an important baseline: OpenTelemetry does not replace your app, it layers observability on top of it.

Step 2: Start the backend that will receive telemetry

For a quick local lab, the playground uses two components:

1. the Aspire dashboard for visualization,
2. the OpenTelemetry Collector as the ingestion and routing layer.

Run the dashboard first:

docker run --rm -d \
  -p 18888:18888 \
  -p 18889:18889 \
  --name aspire-dashboard \
  mcr.microsoft.com/dotnet/aspire-dashboard:latest

Then start the collector:

docker run --rm \
  -p 4317:4317 \
  -v $(pwd)/otel-collector-config.yaml:/etc/otelcol-contrib/config.yaml \
  otel/opentelemetry-collector-contrib:latest

The collector configuration is intentionally short:

# Source: https://github.com/mikamboo/opentelemetry-playground/blob/v1.0.0/otel-collector-config.yaml
receivers:
  otlp:
    protocols:
      grpc:
        endpoint: 0.0.0.0:4317

exporters:
  otlp_grpc:
    endpoint: "aspire:18889"
    tls:
      insecure: true

This is a great first lesson: the collector decouples your application from the final backend. Today it forwards to Aspire, but the same pattern works with Grafana, Jaeger, Tempo, Azure Monitor, or any other OTLP-compatible platform.

💡 Tip: Keep the collector in your first experiments, even if it feels like one extra container. It helps you learn the real OpenTelemetry data path early.

Step 3: Turn on auto-instrumentation for Flask

Before running the instrumentation wrapper, install the required packages using uv:

# Install the distro and OTLP exporter
uv add opentelemetry-distro opentelemetry-exporter-otlp

# Bootstrap: install all instrumentation libraries detected in the project
uv run opentelemetry-bootstrap -a requirements | uv add --requirement -

💡 Tip: opentelemetry-bootstrap scans your installed packages and installs the matching instrumentation libraries automatically (e.g. opentelemetry-instrumentation-flask for Flask). See the uv bootstrap guide for details.

Now restart the app with the OpenTelemetry wrapper:

OTEL_SERVICE_NAME=dice-service \
OTEL_EXPORTER_OTLP_PROTOCOL=grpc \
OTEL_EXPORTER_OTLP_ENDPOINT=http://localhost:4317 \
uv run opentelemetry-instrument \
  flask --app app run --host 0.0.0.0 --port 8082

Hit the endpoint again a few times. You should now see:

• traces for incoming HTTP requests,
• metrics about the service runtime,
• logs correlated in the same observability backend.

This is the “aha” moment for most beginners: with only a few environment variables and the instrumentation wrapper, your app becomes observable.

If you want more explicit control, the same sample also shows manual instrumentation:

# Source: https://github.com/mikamboo/opentelemetry-playground/blob/v1.0.0/app.py
from opentelemetry.instrumentation.flask import FlaskInstrumentor

FlaskInstrumentor().instrument_app(app)

Use auto-instrumentation to move fast, then switch to manual instrumentation when you need fine-grained spans or custom attributes.

Step 4: Move from one service to a distributed banking flow

Once the basic Flask app makes sense, the next step is to see the same concepts in a distributed system. The Otel Bank demo adds:

• a browser frontend,
• a Flask API,
• Redis as a queue,
• a background worker,
• the collector,
• the Aspire dashboard.

That topology is what makes distributed tracing interesting:

Bring the whole stack up with Docker Compose:

docker compose up --build

Then open:

• http://localhost:8080 for the frontend,
• http://localhost:8082 for the API,
• http://localhost:18888 for the Aspire dashboard.

The important concept here is not the UI itself. It is the path of a single user action across several components.

Step 5: Follow telemetry across frontend, API, queue, and worker

In the bank demo, telemetry moves through two different OTLP protocols:

• the browser sends spans over OTLP HTTP through the frontend proxy,
• the API and worker export traces, metrics, and logs over OTLP gRPC to the collector.

The Compose file shows the shared target clearly:

# Source: https://github.com/mikamboo/opentelemetry-playground/blob/main/docker-compose.yaml
app-api:
  environment:
    OTEL_SERVICE_NAME: bank-api
    OTEL_EXPORTER_OTLP_PROTOCOL: grpc
    OTEL_EXPORTER_OTLP_ENDPOINT: http://otel-collector:4317

app-worker:
  command: ["uv", "run", "opentelemetry-instrument", "python", "app-worker.py"]
  environment:
    OTEL_SERVICE_NAME: transfer-worker
    OTEL_EXPORTER_OTLP_PROTOCOL: grpc
    OTEL_EXPORTER_OTLP_ENDPOINT: http://otel-collector:4317

On the browser side, NGINX proxies both the API and telemetry traffic:

# Source: https://github.com/mikamboo/opentelemetry-playground/blob/main/app-frontend/nginx.conf
location /api/ {
    proxy_pass http://app-api:8082;
}

location /otel/ {
    proxy_pass http://otel-collector:4318/;
}

This is where the OpenTelemetry story gets more concrete: the same collector can ingest telemetry from very different runtimes without changing your application architecture.

Step 6: Understand trace propagation through Redis

The most useful part of the bank demo is queue propagation. The API creates a producer span before pushing work to Redis, then injects the span context into the job payload:

# Source: https://github.com/mikamboo/opentelemetry-playground/blob/main/app-api.py
with tracer.start_as_current_span(
    "redis.rpush transfers", kind=SpanKind.PRODUCER
) as queue_span:
    otel_context = {}
    inject(otel_context)
    job = {
        "tx_id": tx_id,
        "amount": amount,
        "otel_context": otel_context,
    }
    r.rpush("transfers", json.dumps(job))

The worker extracts that context and continues the same trace:

# Source: https://github.com/mikamboo/opentelemetry-playground/blob/main/app-worker.py
job_context = extract(job.get("otel_context", {}))
with tracer.start_as_current_span(
    "redis.rpop transfers", context=job_context, kind=SpanKind.CONSUMER
) as dequeue_span:
    process_transfer(
        job,
        parent_context=trace.set_span_in_context(dequeue_span, job_context),
    )

This is the key distributed systems concept to understand:

• one request starts in the frontend,
• the API creates business and queue spans,
• the worker resumes the context,
• the whole transfer stays visible as one trace.

That is much more useful than isolated logs from each service.

What to verify in the dashboard

After submitting a transfer in the bank UI, inspect a recent trace and confirm that you can follow the full business flow:

• the frontend request,
• the API transfer creation,
• redis.rpush transfers,
• redis.rpop transfers,
• process_transfer.

Also verify that custom attributes such as tx.id, tx.from, and tx.to stay attached to the relevant spans. Those attributes are what make traces actionable during debugging.

If you do not see browser spans, check the /otel/ proxy and the collector’s HTTP receiver. If the API and worker are visible but disconnected, the first thing to inspect is context injection/extraction around Redis.

Conclusion

OpenTelemetry becomes much easier when you learn it in two passes: first with a tiny Flask service, then with a distributed app that adds messaging and multiple runtimes. The basic sample teaches the pipeline, and the bank demo teaches propagation.

If you want a practical lab, clone the OpenTelemetry playground, start with the v1.0.0 Flask sample, and then move to the bank observability walkthrough once the first traces make sense. For structured learning, the Linux Foundation course below is also a good companion resource.

References:

• OpenTelemetry playground repository
• OpenTelemetry playground v1.0.0 quickstart
• Otel Bank observability guide
• Getting started with OpenTelemetry (Linux Foundation)
• OpenTelemetry Python getting started

In this post, we will learn how to monitor agent activity in Copilot and visualize the emitted telemetry with a local OpenTelemetry backend.

Why monitor agent usage?

When an agent can read files, plan tasks, call tools, and generate code, observability becomes more than a nice-to-have. It helps you answer practical questions such as:

• Which prompts triggered a long or expensive execution?
• How many tool calls were required to finish a task?
• Where did latency come from?
• Which sessions or models generated the most activity?
• How can we keep an audit trail for sensitive environments?

OpenTelemetry gives us a vendor-neutral way to collect traces, metrics, and logs for these workflows.

Run a local observability backend

For a quick demo, we can use the .NET Aspire dashboard locally. It provides a simple UI to inspect traces, metrics, and structured logs without setting up a full observability stack.

docker run --rm -d \
  -p 18888:18888 \
  -p 4317:18889 \
  --name aspire-dashboard \
  mcr.microsoft.com/dotnet/aspire-dashboard:latest

Once the container is running, open the dashboard on http://localhost:18888.

In the current Aspire dashboard image, the web UI listens on container port 18888 and the OTLP/gRPC endpoint listens on container port 18889. Mapping host port 4317 to container port 18889 keeps the standard OTLP/gRPC port on your machine while still targeting Aspire’s internal listener.

At this stage the dashboard is empty, which is expected: we still need to configure Copilot to export telemetry.

Enable OpenTelemetry for Copilot agents

Visual Studio Code can export telemetry for Copilot agent usage through OpenTelemetry. The exact setup evolves over time, so the safest path is to follow the official monitoring guide from the VS Code documentation:

• Monitor agents in GitHub Copilot

In practice, the workflow is straightforward:

1. Enable agent monitoring in VS Code.
2. Configure the OTLP exporter endpoint so telemetry is sent to your local backend.
3. Start an agent task in Copilot.
4. Inspect traces, metrics, and logs from the Aspire dashboard.

VS Code copilot otel config

{
  # Other config ...
  "github.copilot.chat.otel.enabled": true,
  "github.copilot.chat.otel.exporterType": "otlp-grpc",
  "github.copilot.chat.otel.otlpEndpoint": "http://localhost:4317",

  #USE WITH CAUTION - Potentially sensitive content in telemetry
  "github.copilot.chat.otel.captureContent": true 
}

Because Aspire is listening on OTLP/gRPC, it is a convenient target for a local demo.

What should you expect to see?

After running a few prompts through Copilot agent mode, the dashboard becomes much more interesting:

• Traces help you follow an end-to-end agent execution.
• Metrics help you understand throughput, latency, and activity volume.
• Structured logs help you correlate prompt execution with emitted events.

This gives you a first level of observability for agent workflows, which is useful both for debugging and for governance.

A good starting point for enterprise observability

This local setup is only the first step. The next logical move is to design an enterprise-grade observability platform based on OpenTelemetry for every running agent.

That could include:

• central trace and metrics collection,
• tenant or workspace level dashboards,
• cost and usage monitoring by model or team,
• long-term audit retention,
• alerting based on suspicious prompt patterns or abnormal execution behavior.

Once telemetry is standardized, it becomes much easier to integrate AI workflows into the same operational model as the rest of the platform.

Conclusion

Monitoring Copilot agents with OpenTelemetry is a simple but powerful way to make agent usage visible. With a lightweight backend such as the Aspire dashboard, you can validate the telemetry locally in just a few minutes and start exploring what production-grade observability for AI agents could look like.

Links

• Monitor agents in GitHub Copilot
• OpenTelemetry
• Aspire dashboard

In this post you’ll go from zero to a working pipeline: you’ll create a repository, write a workflow file, and have automated tests running on every push and pull request.

What is CI/CD and why GitHub Actions?

CI (Continuous Integration) is the practice of automatically building and testing code every time a change is pushed to a shared branch. CD (Continuous Delivery / Deployment) extends that by automatically delivering a verified build to a staging or production environment.

GitHub Actions is GitHub’s built-in automation platform. Workflows live inside your repository as YAML files, run on GitHub-hosted virtual machines (called runners), and are free for public repositories and within generous limits for private ones.

Key concepts you’ll encounter:

• Workflow — an automated process defined in a .yml file under .github/workflows/
• Event — a trigger that starts a workflow (e.g. push, pull_request, schedule)
• Job — a set of steps that run on the same runner machine
• Step — a single shell command or a pre-built action
• Action — a reusable unit of automation (e.g. actions/checkout, actions/setup-node)

Step 1: Create a GitHub repository

Start by creating a new repository on GitHub — or use an existing one. If you’re starting from scratch:

# Initialise a local project and push it to GitHub
git init my-project
cd my-project
git remote add origin https://github.com/<your-username>/my-project.git

Make sure your repository has a default branch (usually main) before adding any workflow, since the workflow trigger below listens to pushes on that branch.

💡 Tip: If your project already has tests (e.g. npm test, pytest, go test) you’ll see the most value from a CI pipeline immediately.

Step 2: Create the workflow file

GitHub Actions picks up any .yml file inside the .github/workflows/ directory automatically. Create that directory and add your first workflow:

mkdir -p .github/workflows
touch .github/workflows/ci.yml

Open ci.yml and add the following pipeline definition. This example targets a Node.js project, but the structure is the same for any language — only the setup action and run commands change.

# .github/workflows/ci.yml
name: CI/CD Pipeline

on:
  push:
    branches: [main]
  pull_request:
    branches: [main]

jobs:
  build-and-test:
    runs-on: ubuntu-latest

    steps:
      - name: Checkout code
        uses: actions/checkout@v4

      - name: Set up Node.js
        uses: actions/setup-node@v4
        with:
          node-version: "20"

      - name: Install dependencies
        run: npm ci

      - name: Run tests
        run: npm test

      - name: Build
        run: npm run build

Here’s what each block does:

• on — defines when this workflow runs. The pipeline activates on every push to main and on every pull request targeting main.
• jobs.build-and-test — a single job that runs on a fresh Ubuntu virtual machine provided by GitHub.
• actions/checkout@v4 — clones your repository into the runner so subsequent steps can access your code.
• actions/setup-node@v4 — installs the specified Node.js version and makes npm available.
• npm ci — installs dependencies from package-lock.json for a clean, reproducible build.
• npm test / npm run build — your project’s test and build commands. Swap these for pytest, go build, mvn test, etc. as needed.

Step 3: Commit and trigger the pipeline

Push your new workflow file and watch the pipeline run:

git add .github/workflows/ci.yml
git commit -m "ci: add GitHub Actions CI/CD pipeline"
git push origin main

Navigate to your repository on GitHub and click the Actions tab. You’ll see the workflow appear and begin running within seconds. Each step updates in real time, and the overall job goes green (or red) once it finishes.

💡 Tip: A red check on a pull request will block merging when branch protection rules are configured — a great way to enforce quality gates without manual review.

Step 4: Extend your pipeline

Once the basic pipeline is green, here are common next steps:

Add a deploy stage

To deploy only after all tests pass, add a second job that depends on the first:

deploy:
  needs: build-and-test
  runs-on: ubuntu-latest
  if: github.ref == 'refs/heads/main'

  steps:
    - name: Checkout code
      uses: actions/checkout@v4

    - name: Deploy to production
      run: ./scripts/deploy.sh
      env:
        DEPLOY_TOKEN: $

The needs keyword enforces ordering — deploy only starts when build-and-test succeeds. Sensitive credentials are stored in GitHub Secrets (Settings → Secrets and variables → Actions) and injected at runtime via $, keeping them out of your source code.

Cache dependencies for faster runs

Repeated npm ci calls download the same packages every time. The cache action skips that:

- name: Cache node modules
  uses: actions/cache@v4
  with:
    path: ~/.npm
    key: $-node-$
    restore-keys: |
      $-node-

Add this step before the install step to cut build times significantly on large projects.

Run against multiple Node.js versions

Use a matrix strategy to test compatibility across versions:

strategy:
  matrix:
    node-version: ["18", "20", "22"]

GitHub Actions will spin up a parallel job for each matrix entry automatically.

Conclusion

You now have a fully automated CI/CD pipeline that builds and tests your code on every push and pull request. The workflow file is version-controlled alongside your code, reviewable in pull requests, and free to iterate on.

From here you can add linting, security scanning, Docker image builds, or deployment steps — all using the same YAML structure. Explore the GitHub Actions Marketplace for thousands of pre-built actions to slot into your pipeline.

References:

• GitHub Actions documentation
• Quickstart for GitHub Actions
• Understanding GitHub Actions
• GitHub Actions Marketplace

🔒 Sealed Secrets (9K Github stars)

Sealed Secrets est une solution open-source de Bitnami Labs qui permet de stocker des secrets chiffrés dans un dépôt Git. Contrairement aux secrets classiques, les Sealed Secrets sont encryptés à l’aide d’une clé publique spécifique au cluster Kubernetes. Cela signifie que les secrets peuvent être stockés en toute sécurité dans un dépôt sans risque de divulgation accidentelle.

L’un des avantages majeurs de Sealed Secrets est sa facilité d’utilisation. Vous pouvez simplement créer et gérer les secrets de la même manière que vous le feriez avec les secrets Kubernetes natifs. C’est aussi très intéressant du point de vue GitOps avec des outils tels que ArgoCD qui se basent sur le code poussé sur un dépôt Git.

Ci-dessous un exemple du yaml d’une CRD SealedSecret que le contrôleur va écouter afin générer d’un secret Kubernetes.

apiVersion: bitnami.com/v1alpha
kind: SealedSecret
metadata:
  name: repo-gitops-01
  namespace: argocd
spec:
  encryptedData:
    name: 
    project: AgDRMeh3ZGHWQa0R+Oe6tGBvAZaY2C12nU... # truncated
    sshPrivateKey: AgBThtU2NCQQITLBw+SXqeAlxKoj... # truncated
    type: AgAJxVg34JaVYt0PYq6f5IrJu9gkLk3BeNwIr... # truncated
    url: AgAkaAkhxgqq88i/XS7+afvtbXYihjbOUjVYes... # truncated
  template:
    metadata:
      annotations:
        managed-by: argocd.argoproj.io
      creationTimestamp: null
      labels:
        argocd.argoproj.io/secret-type: repository
      name: repo-gitops-01
      namespace: argocd
    type: Opaque

Pour créer les secrets, Sealed Secrets fourni l’utilitaire en ligne de commande kubeseal pour chiffrer les secret via un clé publique stockée sur le cluster. Se pose la question du “Disaster Recovery” mais à priori la sauvegarde la restauration des clés de chiffrement se fait assez facilement.

En bref Sealed Secrets c’est:

• Open source: https://github.com/bitnami-labs/sealed-secrets
• Se base sur un opérateur / CRDs installé sur le cluster pour générer les secrets Kube
• Gère le chiffrements via clé publiques / privée stockées de manière sécurisée dans le cluster.
• Fourni un utilitaires en ligne de commande pour réaliser le chiffrement des secrets avant de les pousser sur vos dépôts Git.
• Intégration au flux de travail CI/CD : Le déploiement des secrets Sealed Secrets peut être intégré à votre flux de travail CI/CD.

🔑 External Secrets (6.5K Github stars)

External Secrets, quant à lui, est une autre solution open-source intéressante pour la gestion des secrets dans Kubernetes. Il permet de récupérer les secrets depuis des systèmes externes tels que AWS Secrets Manager, HashiCorp Vault, ou encore Azure Key Vault. Plutôt que de stocker les secrets directement dans le cluster Kubernetes, External Secrets les récupère dynamiquement à partir des systèmes externes.

External Secrets offre une grande flexibilité dans le choix de vos systèmes de gestion de secrets. Vous pouvez continuer à utiliser vos outils préférés pour stocker et gérer les secrets, tout en les exposant de manière sécurisée à vos applications Kubernetes. Cela simplifie considérablement la gestion des secrets à grande échelle et facilite l’intégration avec vos processus de développement et de déploiement existants.

La création de secrets sur Kubernetes avec External Secret repose aussi sur des CRD

• SecretStore pour faire le lien avec un fouisseur externe de secrets (ci-dessous un exemple avec AWS Secret Manager)

apiVersion: external-secrets.io/v1beta
kind: SecretStore
metadata:
  name: secretstore-sample
spec:
  provider:
    aws:
      service: SecretsManager
      region: us-east-1
      auth:
        secretRef:
          accessKeyIDSecretRef:
            name: awssm-secret
            key: access-key
          secretAccessKeySecretRef:
            name: awssm-secret
            key: secret-access-key1

• ExternalSecret La définition du secret à créée qui sera hydraté à partir d’une source externe (secretStoreRef)

apiVersion: external-secrets.io/v1beta
kind: ExternalSecret
metadata:
  name: example
spec:
  refreshInterval: 1h
  secretStoreRef:
    name: secretstore-sample
    kind: SecretStore
  target:
    name: secret-to-be-created
    creationPolicy: Owner
  data:
  - secretKey: secret-key-to-be-managed
    remoteRef:
      key: provider-key
      version: provider-key-version
      property: provider-key-property
  dataFrom:
  - extract:
      key: remote-key-in-the-provider1

En bref Sealed Secrets c’est:

• Open source: https://github.com/external-secrets/external-secrets
• Se base sur un opérateur / CRDs installé sur le cluster pour générer les secrets Kube
• Permet d’intégrer des secrets provenant de sources externes, telles que des services de gestion des secrets comme AWS Secrets Manager, HashiCorp Vault …
• Les secrets externes sont déclarés dans Kubernetes à l’aide de fichiers YAML
• Offre une approche centralisée pour la gestion des secrets. Vous pouvez définir des politiques de gestion des accès aux sources externes, configurer des rotations automatiques des secrets et bénéficier d’une visibilité centralisée sur l’état des secrets.

Conclusion

En résumé, Sealed Secrets et External Secrets sont deux outils puissants qui simplifient la gestion des secrets dans les environnements Kubernetes. Que vous choisissiez de stocker vos secrets directement dans un référentiel chiffré avec Sealed Secrets ou d’utiliser External Secrets pour récupérer les secrets depuis des systèmes externes, ces outils vous permettront de garder vos secrets en sécurité tout en facilitant leur utilisation par vos applications.

Vous pouvez les tester assez rapidement, ça s’installe en 2 lignes (en environnement des test bien sûr 😋)

Sealed Secrets

helm repo add bitnami-labs https://bitnami-labs.github.io/sealed-secrets
helm install my-sealed-secrets bitnami-labs/sealed-secrets --version 2.10.0

External Secrets

helm repo add external-secrets https://charts.external-secrets.io
helm install external-secrets external-secrets/external-secrets

Il existe évidement d’autres solutions pour gérer vos secrets, sur Kubernetes ce billet est un focus sur deux solutions assez populaires. Sealed Secrets a l’avantage de vous rendre indépendant d’une source externe mais attention quand même au cycle de vie des secrets qui me semble plus facile à partir d’un gestionnaire externe et donc avec External Secrets.

N’hésitez pas à me contacter si vous avez des questions ou si vous souhaitez en savoir plus sur ces outils passionnants !

Enfin ! Quel soulagement (et pas que pour moi …), j’avais déjà oublié ce stress qui nous habite dans l’attente du résultat d’un examen. Et pour cause, la veille pendant près de 3h le matin, je passais l’exmen en ligne pour obtenir la certification AWS Certified Solutions Architect – Associate.

La certification AWS Certified Solutions Architect – Associate (SAA), met en valeur les connaissances et les compétences en matière de technologie AWS pour une grande variété de services AWS. Cette certification est centrée sur la conception de solutions optimisées en termes de coûts et de performances, démontrant une solide compréhension du cadre AWS Well-Architected.

Source: Amazon

Le test de l’examen est un QCM de 65 questions à finir en 2h10 (voir 2h40 bonus langue). C’est long !

Comme d’habitude, j’ai embarqué toute la maison dans mon projet. Ma femme la première, qui a accepté de me voir disparaître derrière mon téléphone / ordi ces derniers jours pour faire du training sur Udemy (plateforme d’e-learning). M’aidant même depuis son téléphone à chercher sur les sites AWS les infos pour répondre à des questions compliquées pendant mon entrainement.

La motivation

AWS est pour l’instant le leader inconournable du cloud, j’ai la chance de bosser actuellement sur cet écosystème hyper innovant qui offre pas mal de possibilités intéressantes. J’ai donc naturellement essayé d’approfondir mes connaissances et challenger mon envie d’en faire plus dans le domaine des architectures cloud.

Mon expérience

J’ai décidé en Mars 2022 (c’est loin mais c’est la date de mes achat des cours en ligne) de préparer la certification à mon rythme, sans me presser car en parralèle j’ai quelques gros sujet sur les bras. J’ai pu au passage réaliser à quel point l’univers AWS est vaste (plus de 200 services) et dynamique bien plus que ce que j’imaginais.

J’ai profité de quelques conseils, en particulier de ceux de mon collègue et ami Vuthy, qui m’a bien aidé pour trouver la motivation afin d’arrêter de laisser trainer les choses et me fixer une date de passage de l’examen: ce sera le 4 septembre 2022 à 9h30.

Je fais partie des premiers candidats à avoir passé la nouvelle verison de l’examen qui a été lancée le 1er septembre 2022, passant de SAA-C02 à SAA-C03. Sachant que j’avais passé les deux derniers mois à préparer la version précedente, j’ai dû pendant une semaine le soir refaire tous les tests de ma formation (hereusement elle aussi a été mise à jour). Je ne voulais pas repousser ma date de passage car j’en pouvais plus, il fallait le passer car l’entrainement est très chronophage (au moins 2h à passer pour chaque examen blanc et j’en avait 6). Je n’en pouvais plus, à un moment donné, il faut savoir dire stop et y aller !

Et pour ne rien arranger, j’ai passé 30 min (encore) le jour J, à essayer de régler des problèmes techniques avec mon PC pour passer le test 🥵.

Après le test il faut penser à autre chose, décompresser, ça tombe bien il y’avait l’anniversaire de Samira et Emmanuel à faire, rien de mieux qu’un petit barbecue pour me faire arrêter de checker toutes le 2 minutes le site AWS en espérant voir tomber le résultat. Mais ça continue de trotter dans un coin car il y avait quand même quelques questions assez tendues.

Mon avis

La certification SAA demande un bon niveau d’entraînement, il faut une sacrée préparation avant de se lancer. Avoir quelques connaissances en amont sur l’écosystème AWS est un plus.

La plus part des ressources utiles pour s’entrainer sont en Anglais, ce qui peut être un frein pour tous ceux qui sont allergiques à la langue de Shakespeare.

De plus, on peut se poser la question de savoir si ce test en mode QCM de 2h30 démontre vraiment la capacité d’un candidat à concevoir des solutions sur AWS ? Ou simplement une certaine capacité à bachoter un sujet ?

Quoi qu’il en soit, si vous êtes prêts à passer quelques jours / semaines sur des doc et formation AWS (en attendant les nouveaux épisodes de votre série préférée) alors la SAA est dans vos cordes 😂.

Quelques conseils

• Une fois qu’on a fini la formation théorique, il faut s’entrainer un bon moment, de préférence sans interruption avant l’examen.
• Il faut gérer le stress, après tout ce n’est qu’un test.
• Attention tout de même, cet axamen coute 150$ avec les taxe et le taux de change j’en ai eu pour 162€ et il n’ya pas comme pour les certification Kubernetes d’otion de “free-retake”.
• Lisez attentivement les questions, pafois un simple mot peut suffir à éliminer certaines propositions de réponse.
• Utiliser l’avantage qui permet d’obenir 30 minutes suppélementaires à l’examen si vous n’êtes pas hyper à l’aise en anglais. De plus la nouvelle version de l’examen se décline désormais aussi en Français.

Quelques liens utiles

• AWS Certified Solutions Architect – Associate

• Formation (Anglais) : Ultimate AWS Certified Solutions Architect Associate SAA-C03 créée par Stephane Maarek. 27 heure de VOD, il aurait pu faire une série de 3 saisons sur Netflix…

• Formation (Anglais) : AWS Certified Solutions Architect Associate Practice Exams

Bonne chance à vous !

]]>Michael

2020-12-12T21:33:08+00:002020-12-12T21:33:08+00:00https://pamboognana.netlify.app/blog/2020/12/12/local-minio-object-storage-over-ngrok-public-httpsCreate in less than 5 minutes an Object Storage with local files exposed via HTTPS public URL. In this tutorial I use Docker to quickly run MinIO server, and ngrok to easily share files from local machine without messing with DNS and firewall settings.

You can use it to create an ephemeral private media sharing for friends and family.

Summary in two commands:

docker run --rm -p 9000:9000 \
  -v /tmp/local-data:/data \
  -e "MINIO_ACCESS_KEY=EXAMPLE_ACCESS_KEY" \
  -e "MINIO_SECRET_KEY=EXAMPLE_SECRET_KEY" \
  minio/minio server /data

./ngrok http 9000  

Read following step by step guide for explanations …

Prequistes

• Download ngrok
• Docker for minio (install alternatives without docker exists, read the doc)

Step 0 : Download and init ngrok

1. Download link: https://ngrok.com/download
2. Authenticate yourself to ngrok
3. Run following command over dowloaded ngrok binary file

./ngrok authtoke XXXXXX

Where XXXXXX is your account auth token. More on ngrok doc

Step 1 : Create MinIO server using Docker

mkdir /tmp/local-data

docker run --rm -p 9000:9000 \
  -v /tmp/local-data:/data \
  -e "MINIO_ACCESS_KEY=EXAMPLE_ACCESS_KEY" \
  -e "MINIO_SECRET_KEY=EXAMPLE_SECRET_KEY" \
  minio/minio server /data

• NB : Replace EXAMPLE_ACCESS_KEY / EXAMPLE_SECRET_KEY with our more secure values.
• NB : Replace /tmp/data with path of directory where you put files to share

Test using MinIO Browser:

Point your web browser to http://127.0.0.1:9000 to ensure your server has started successfully.

Step 2 : Connect to MinIO and create a bucket

From your web browser, go to http://127.0.0.1:9000, enter your EXAMPLE_ACCESS_KEY + EXAMPLE_SECRET_KEY (provided to server on previous step) as athentication credentials.

When you are connected on MinIO web app, create a bucket ex: bucket01

Step 3 : Expose the MinIO serve

Expose the MinIO server which is running on port 9000 by runnin following CMD :

cd /to-dir/of-ngrok/downloaded-file

./ngrok http 9000

The command will display a generated url like https://6441f740aac1.ngrok.io wich exposed the local MinIO web server.

NOTICE : You can replace ngrok with altenative solutiions like localtunnel

Links

• MinIO : https://min.io
• Ngrok : https://ngrok.com
• Docker: https://www.docker.com

]]>Michael

2020-11-23T00:00:00+00:002020-11-23T00:00:00+00:00https://pamboognana.netlify.app/blog/2020/11/23/i-passed-kubernetes-cka-examC’est l’objectif majeur en terme de formation IT que je me suis fixé pour 2020, et je peux enfin dire que c’est fait ! Il s’agit du CKA - Certified Kubernetes Administrator, l’une des certifications délivrée par la Fondation Linux. Au final ce n’est qu’un bout de papier (plutôt un simple enregistrement en base de données), mais c’est toujours gratifiant de se fixer un objectif et l’atteindre.

Vous l’aurez compris je suis fan de Kubernetes, l’orchestrateur à la fois puissant et souple qui répond bien aux enjeux de l’Agilité dans l’IT. C’est selon moi un outil extraordinaire pour une équipe #DevOps.

Kubernetes is DevOps-ready by Design !

Motivation

Six mois après avoir passé le CKAD, je me suis enfin décidé à tenir mon engagement et passer le CKA. Il faut dire que le temps commençait à me presser, sachant que j’avais payé mon inscription en décembre 2019 et qu’elle était valable 12 mois.

Pour moi, réussir cette certification qui a très bonne presse, était l’occasion de valider les compétences que j’ai pu acquérir en DevOps sur les environnements conteneurisés. De plus, préparer la certification permet d’aller plus loin dans la compréhension du sujet et de balayer de façon plus rigoureuse les points essentiels.

Le CKA est plus complexe que le CKAD c’est certain, mais il permet de valider des connaissances qui sont utilies au delà du scope de Kubernetes, telles que le gestion de certificats ou encore les bases du réseau sous Linux…

Training et examen

Pour me préparer au CKA j’ai utilisé l’excellente formation Certified Kubernetes Administrator (CKA) with Practice Tests de Mumshad Mannambeth disponible sur Udemy. Je l’avais en eu promo et je ne regrette vraiment pas mon achat.

Je m’y suis vraiment mis à partir de début novembre, un entrainement que j’ai voulu le plus rigoureux possible. J’ai d’ailleurs posé quelques jours de congés pour pouvoir m’entrainer tranquillement. Une fois les connaissances en tête et bien maîtrisées, il faut pratiquer, encore et encore afin que le jour J et malgré le stresse vous soyez le plus efficace possible. En effet l’épreuve est chronométrée, elle dure 2h00 et pas une minute de plus.

Si vous souhaitez en savoir plus sur ma préparation, j’ai fait un petit gist technique que j’ai enrichi petit à petit pendant mon entrainement.

L’inscription à l’examen coûte 300$ soit environs 253€ (taux de change au moment de l’écriture). Mais il y’a régulièrement des promotions qui permettent de l’avoir pour moins chère. Pour passer il vous faudra avoir un score minimum de 66% à l’examen, sachant que vous avez le Free Retake qui vous permet de le repasser si vous ne l’avez pas du premier coup.

Conseils utiles

• Lisez attentivement les guides disponibles sur le portail de l’examen.
• Vérifier que vous possédez une connexion stable et une webcam capable d’afficher clairement votre pièce d’identité (fonction autofocus) à l’examinateur.
• Exercez-vous encore et encore pour gagner en vitesse dans l’exécution des tâches, l’examen dure 2h00 vous n’avez pas de temps à perdre.
• Vous devez être parfaitement à l’aise avec la ligne de commande dans un terminal sous Linux !
• Faites attention au poids des questions, le pourcentage sur la note de chaque question est affiché, ne passez donc pas trop de temps pour une question qui ne vaut 4% par exemple.
• Pensez à réserver suffisamment tôt votre date de passage (minimum une semaine avant) sinon vous risquez de ne pas avoir de place aux dates que vous souhaitez. Au pire des cas, faites plusieurs essais sur les dates de réservation car il y’a des créneaux qui se libèrent.
• Mettez en favoris certaines pages clés de la documentation officielle Kubernetes afin d’y avoir accès le plus rapidement possible le jour de l’examen
• Ne paniquez pas, même si vous ne l’avez pas du premier coups si vous vous êtes bien entrainé, avec le FREE RETAKE ça passera la seconde fois.

Quelques liens utiles

• https://www.udemy.com/course/certified-kubernetes-administrator-with-practice-tests
• https://eazytraining.fr/cours/kubernetes-devenez-certified-kubernetes-administrator
• https://levelup.gitconnected.com/kubernetes-cka-example-questions-practical-challenge-86318d85b4d
• https://medium.com/akena-blog/k8s-admin-exam-tips-22961241ba7d
• https://medium.com/faun/how-to-pass-certified-kubernetes-administrator-cka-exam-on-first-attempt-36c0ceb4c9e
• https://github.com/walidshaari/Kubernetes-Certified-Administrator

Conclusion

Le CKA encore en préparation, je découvrais que la Fondation Linux a sorti une nouvelle certification le CKS : Certified Kubernetes Security Specialist qui requiert d’avoir au préalable réussi le CKA … Peut-être l’étape suivante qui sait ? :)

Bonne chance à vous !

]]>Michael

2020-05-27T09:55:01+00:002020-05-27T09:55:01+00:00https://pamboognana.netlify.app/blog/2020/05/27/i-passed-the-ckad-examC’est l’un des objectifs que je me suis fixé pour 2020 et on peut dire que c’est fait ! Il S’agit du CKAD - Certified Kubernetes Application Developper, une certification délivrée par la Fondation Linux.

Motivation

Après plus d’un an de pratique quasi quotidienne de Kubernetes et de veille active sur le sujet, il m’a paru naturel de passer cet examen. C’est aussi un bon moyen de se challenger et d’évaluer son propre niveau de maîtrise pratique des concepts.

Avec la crise du COVID-19, on va dire que j’ai eu un peu de temps libre ce qui m’a permis d’accélérer la réalisation de cet objectif. En plus l’examen étant en ligne, je n’avais aucune excuse pour ne pas le passer.

Mon avis

Au final, le CKAD est plutôt accessible lorsqu’on possède une bonne connaissance des bases et un peu d’entrainement. Je dois avouer que j’avais un petit de stresse à l’approche du jour J, mais une fois lancé plus le temps d’y penser.

Si comme moi vous avez déjà une expérience en déploiement d’applications conteneurisées sur K8S, quelques jours de préparation suffisent. Sinon prenez le temps de bien connaître les concepts de base (Pod, Déploiement, Services, ReplicaSet, ConfigMap, Secrets …).

Training et examen

Si vous souhaitez en savoir plus sur ma préparation, j’ai fait un petit article technique ici, avec les liens des ressources que j’ai utilisé.

J’ai passé l’examen le matin sur un créneau réservé de 08h00 à 10h00. Mais je n’ai commencé qu’à 10h30 car quelques petits soucis au démarrage avec ma web car qui ne permettait pas de lire de près ma pièce d’identité.

Conseils utiles

• Lisez attentivement les guides disponibles sur le portail de l’examen. Par exemple, notez bien que si aucune indication n’est donnée sur le namespace, alors vous utiliserez le namespace par défaut ! (ça m’a coûté des points faciles …)
• Exercez-vous encore et encore pour gagner en vitesse dans l’exécution des tâches, l’examen dure 2h00 vous n’avez pas de temps à perdre.
• Vous devez être parfaitement à l’aise avec la ligne de commande dans un terminal !
• Faites attention au poids des questions, le pourcentage sur la note de chaque question est affiché, ne passez donc pas trop de temps pour une question qui vaut 2% par exemple.
• Pensez à réserver suffisamment tôt votre date de passage (minimum une semaine avant) sinon vous risquer de ne pas avoir de place aux dates que vous souhaitez. Au pire des cas, faites plusieurs essais sur les dates de réservation car il y’a des créneaux qui se libèrent.
• Vous trouverez dans cet article les ressources que j’ai utilisé pendant ma préparation. Il y’a énormément de littérature disponible en ligne au sujet de cette certification.

Conclusion

Le CKAD en poche je suis déjà en train de préparer le CKA qui s’adresse plus à des administrateurs de Kubernetes, c’est l’un de mes prochains challenges …

Bonne chance à vous !

]]>Michael

2020-05-22T10:14:03+00:002020-05-22T10:14:03+00:00https://pamboognana.netlify.app/blog/2020/05/22/kubernetes-ckad-weekly-challengeAfin de préparer le passage du CKAD : Certified Kubernetes Application Developer il est bon de se promener sur le web afin de récolter les conseils précieux des personnes qui ont passé cet examen avant nous. C’est dans ce cadre que j’ai décidé de faire le Kubernetes CKAD weekly challenge, une Série de 13 problèmes pratiques à résoudre. A moins d’une semaine de l’examen pratique c’est le truc qui vous met tout de suite en condition.

Rules !

1. Be fast, avoid creating yaml manually from scratch
2. Use only kubernetes.io/docs for help.

Images docker utiles

Ces images sont utiles pour créer rapidement des service ou des Pod de débogage. Les connaître permet d’aller vite dans la résolution d’un challenge.

Nom	Utilité	Exemple
bash	Léger, équipé de Bash	k run --image=bash my-bash -- /bin/bash -c "date && sleep 10s"
busybox	Léger, inclus wget.	k run -it --rm --image=busybox -- /bin/sh
nginx	Serveur web port 80	k create deployment nginx-app --image=nginx

Liens utiles

• Kubernetes CKAD weekly challenge by Kim Wuestkamp
• CKAD-exercises by @dgkanatsios
• Enable Network Policy on minikube
• The Mega Kubernetes Learning Resources List
• CKAD resources by @veggiemonk

Task 00 : Configuration

• Go to kubernetes.io/docs > Install tools > Set up kubectl : create alias with bash completion

echo 'source <(kubectl completion bash)' >>~/.bashrc
echo 'alias k="kubectl"' >> .bashrc
echo 'complete -F __start_kubectl k' >>~/.bashrc

echo 'alias kx="kubectl explain"' >>~/.bashrc
echo 'alias kgp="kubectl get pods"' >>~/.bashrc
echo 'alias kdp="kubectl delete pod"' >>~/.bashrc
echo 'alias kgs="kubectl get svc"' >>~/.bashrc
echo 'alias kn="kubectl config set-context --current --namespace "' >>~/.bashrc

• Set current context with specific namespace

k config set-context --current --namespace <namespace>

Challenge 01 : Creating Pods

• Créer un Pod et spécifier un commande de démarrage
• Enregiistrer la config dans un fichier
• Se connecter en SSH au conteneur du pod
• Ajouter un label au pod
• Supprimer instantanément le pod

ATTENTION : bash -c indispensable pour démmarer avec cette commande !

k run -h 
k run --image=bash --restart=Never --dry-run=client -o yaml mypod -- bash -c "hostname > /tmp/hostname && sleep 1d" > 01-pod.yaml
k apply -f 01-pod.yaml
k exec -it  mypod -- bash
k exec mypod -- cat /tmp/hostname
k label -f 01-pod.yaml my-label=test 
k replace -f 01-pod.yaml --force #if label added by file edit
k get pods --show-labels
k delete pod mypod --grace-period=0 --force

Challenge 02 : Namespaces, Deployments, Pod and Services

• Create a namespace
• Create de deployment of 3 repplicas
• Output and edit config in file via DryRun
• Expose deploment using Service
• Create pod and execute command
• Access to service from a pod in same namespace
• Access service from another namespace via DNS

Doc-Help : concepts > services-networking > service/#service-resource

k create ns 02-namespace-a
k config set-context --current --namsespace 02-namespace-a
k create deployment nginx-deployment --image=nginx --dry-run=client -o yaml > 02-deployment.yaml
k apply -f 02-deployment.yaml
k scale deployment nginx-deployment --replicas=3
k set resources deployment nginx-deployment --limits=cpu=200m,memory=512Mi

k expose deployment nginx-deployment --port 4444 --target-port 80
k expose deployment nginx-deployment --port 4444 --target-port 80 --name my-service

k run --image=cosmintitei/bash-curl --restart=Never pod1 -- bash -c "curl http://nginx-deployment:4444"
k run --image=cosmintitei/bash-curl --restart=Never --command=true pod2 -- sleep 1d

k exec -it pod2 -- bash
k exec pod2 -- bash -c "curl http://nginx-deployment:4444"
k exec pod2 -- bash -c 'curl http://$NGINX_DEPLOYMENT_SERVICE_HOST:$NGINX_DEPLOYMENT_SERVICE_PORT'

k create ns 02-namespace-b
k run --image=cosmintitei/bash-curl --restart=Never --namespace 02-namespace-b pod3 -- sleep 1d
k exec pod3 --namespace 02-namespace-b -- bash -c "curl http://my-service.k8s-challenge-2-a:4444"
k exec pod3 --namespace 02-namespace-b -- bash -c "curl http://my-service.k8s-challenge-2-a.svc.cluster.local:4444"

Challenge 03 : CronJobs and Volumes

• Create node hostPath PersistenVolume
• Create PVC resolved by previous PV
• Create cronjob and with successfulJobsHistoryLimit and parallelism
• Check volume file updated by pod
• Check nuber of succefful job history

Doc-Help : tasks > configure-pod-container > configure-persistent-volume-storage

k create ns k8s-challenge-3
k config set-context --current --namespace k8s-challenge-3

# Use doc tasks snippet to create PV + PCV confif files (use storageClassName="" or storageClassName=manual)
k apply -f pv-manual.yaml
k-apply -f pv-claim.yaml

k explain PersistentVolume.spec
k create cj cronjob1 --image=bash --schedule="*/1 * * * *" -o yaml --dry-run=client -- bash -c "hostname >> /tmp/vol/storage" > cronjob1.yaml
# Edit Cronjob1.yaml file and add volume + volumeMount / Set spec.successfulJobsHistoryLimit=4 / Set jobTemplate.spec.parallelism=2
k get jobs,pods

Challenge 04 : Deployment, Rollouts and Rollbacks

• Create deployment
• Scala deployment
• Set deployement image to a new value
• Verify deployement image changes
• Rollout a deploymeny

Doc-Help : concepts > workloads > controllers > deployment

k create ns one
k config set-contex --current --namespace one
k explain deployment.spec.template.spec.containers

k create deployment nginx --image=nginx:1.14.2 --dry-run=client -o yaml > deployment.yaml
k apply -f deployment.yam
k scale deploy nginx1 --replicas=15

k patch deployments.apps nginx -p '{"spec": {"template": {"spec": {"containers": [{"name": "nginx", "image": "nginx:1.15.10"}]}}}}'
k patch deployments.apps nginx -p '{"spec": {"template": {"spec": {"containers": [{"name": "nginx", "image": "nginx:1.15.666"}]}}}}'

k set image deploy/nginx nginx=nginx:1.15.10

k get pods -o yaml | grep 1.15.10 | wc -l

k rollout -h
k rollout history deployment/nginx
k rollout undo deployment/nginx

Challenge 05 : Secrets and ConfigMaps

• Create secret from lietterals
• Create configMap from files
• Use Secret in pod as volume

Doc-Help : tasks > configure-pod-container > configure-pod-configmap

k create -h
k creat secret generic -h

k create secret generic secret1 --from-literal=password=12345678 --dry-run=client -o yaml > secret1.yaml
k applt -f secret1.yaml

# Copy past pod1.yaml from k8s docs/tasks : Inject data to pod via secret (update secret volume)
k apply -f pod1.yaml

k exec pod1 -- bash -c "cat /tmp/secret1/password && echo"

mkdir drinks; echo ipa > drinks/beer; echo red > drinks/wine; echo sparkling > drinks/water
k create configmap configmap1 --from-file=./drinks

# Edit pod1.yam and envFrom->ConfigMapRef->configmap1 (cf docs/tasks : configure pod)

k replace -f pod1.yaml --force --grace-period=0

k exec pod1 -- env

Challenge 06 : NetworkPolicy

Requirement : Network Policy feature enabled.

• Enable Network Policy on minikube

Doc-Help : tasks > administer-cluster > declare-network-policy

Ex: Authorize trafic ingress to pod labelled app=secured only from pod labbelled access=true

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: access-nginx
spec:
  podSelector:
    matchLabels:
      app: secured
  ingress:
  - from:
    - podSelector:
        matchLabels:
          access: true

Test the policy

# Create service on wiche the policy will be applicable
k run api --image=nginx --labels app=secured
k expose pod api --port 80 --name api-svc

k run --image=busybox --restart=Never testpod -- sleep 1d
k exec testpod -- wget --spider api-svc                          #BLOCKED
k run --image=busybox --restart=Never --labels=access=true wget --spider api-svc        #PASSED

Challenge 07 : Service Migration

• Create deployment
• Create ExternalName Service
• Test acces to external service

Doc-Help : concepts > services-networking > service#externalname

k create deployment 

k create svc -h
k create svc externalname -h
k create svc externalname my-svc --external-name www.google.com

k run --image=byrnedo/alpine-curl --command pod1 -- sleep 1d
k exec pod1 -- sh -c "ping -c 4  my-svc"
k exec pod1 -- sh -c "curl --header "" -c 4  my-svc"

# Test using curl
k exec pod1 -- sh -c "ping -c 4 mysvc"
k exec pod1 -- sh -c "curl -h"
k exec pod1 -- sh -c "curl --header 'Host: www.google.com' mysvc"

# Test using busybox/wget
k run --restart=Never --image=busybox --rm pod2 -- sh -c "wget --spider --header 'Host: www.google.com' mysvc"

Challenge 08 : User Authorization RBAC

• Create a ClusterRole and ClusterRoleBinding
• Limit authorisations to specific verbs / obejcts

Doc-Help : reference > access-authn-authz > rbac#default-roles-and-role-bindings

k create clusterrole -h
k create clusterrole secretmanager --verb=* --resource=secret

# Bind clusterrole to "secret@test.com" user
k create clusterrolebinding secretmanager-rb --clusterrole=secretmanager --user=secret@test.com

# Test
kubectl auth can-i create secret --as secret@test.com
k auth can-i * secrets --as secret@test.com

# Auth for specific pod
k create clusterrole podmgr --verb=* --resource=pods --resource-name=compute
k create clusterrolebinding podmgr-rb --clusterrole=podmgr --user=deploy@test.com
k auth can-i * secrets --as deploy@test.com #no
k auth can-i create pod/compute --as deploy@test.com #yes

# Authorize read permission to secrets 
k create clusterrole secret-reader --verb=get,list,watch --resource=secrets --resource-name=compute-secret
k create clusterrolebinding secret-reader-rb --clusterrole=secret-reader --user=deploy@test.com
k auth can-i get secret/compute-secret --as deploy@test.com #yes
k auth can-i delete secrets/compute-secret --as deploy@test.com # no

Challenge 09 : Logging Sidecar

• Export deployment to json
• Edit Yaml to add sidecar container
• Test display logs from sidecar container
• Bonus get pod name from app label

Init : kubectl create -f https://raw.githubusercontent.com/wuestkamp/k8s-challenges/master/9/scenario.yaml

Doc-Help : docs > reference > kubectl > jsonpath

# Chek log from existing pod volume
k exec nginx-54d8ff86dc-tthzg -- tail -f /var/log/nginx/access.log

# Export deployement to edit
k get deploy nginx -o yaml > deployment.yaml

# Sidecar container snippet to add

#  - image: bash
#    name: logging
#    args: ["bash", "-c", "tail -f /var/log/nginx/acces.log"]
#    volumeMounts:
#      - name: logs
#        mountPath: /var/log/nginx

k apply -f deployment.yaml

# Test (after acces nginx page Ex: curl $(minikube -p ckad ip):1234
k logs nginx-788965584-gnftv -c logging

# Bonus
POD=$(k get pod -l run=nginx -o jsonpath='{.items[0].metadata.name}'
k logs $POD -c logging

Challenge 10 : Deployment Hacking

• Create a deployment of image nginx
• Scale deployment to 3 replicas
• Check deployment events
• Try to add manually pods to deployment set

k create deployment super-app --image=nginx
k scale deployment super-app --replicas=3

kubectl get events | tail -n 10

# Show pod labels (replicaset template-hash is added to pod)
k get pod --show-labels # app=super-app,pod-template-hash=747cdb6c98

# Try create pod with these labels : #FAILURE : POD DELETED BY REPLICA CONTROLLER
k run nginx --image=nginx --labels="app=super-app,pod-template-hash=747cdb6c98"

Challenge 11 : Security Contexts

• Add Security Context to pod
• Add Security Context to pod container
• Add Security Context to run container as root

kx pod.spec.securityContext

# Edit Pod.yaml to add Pod global securityContext

k apply -f pod.yaml
k exec bash -c bash1 -- touch /tmp/share/file
k exec bash -c bash2 -- ls -lh /tmp/share/file

k exec bash -c bash1 -- whoami # ftp
k exec bash -c bash2 -- whoami # ftp

# Edit Pod.yaml to add Container bash1 securityContext => root
k apply -f pod-securityContext-2.yaml
k exec bash -c bash1 -- whoami # root
k exec bash -c bash2 -- whoami # ftp

k exec bash -c bash1 -- touch /tmp/share/file
k exec bash -c bash2 -- ls -lh /tmp/share/file
k exec bash -c bash2 -- rm /tmp/share/file # FILE DELETED !!!

# Check parent dir premission
k exec bash -c bash2 -- ls -la /tmp/share # => drwxrwxrwx    2 root     root

# Edit Pod.yaml to add set /tmp/share dir permission
k exec bash -c bash1 -- chmod og-w -R /tmp/share
k exec bash -c bash1 -- touch /tmp/share/file
k exec bash -c bash2 -- ls -lh /tmp/share/file
k exec bash -c bash2 -- rm /tmp/share/file # PERMISSION DENIED :)

# Check parent dir premission
k exec bash -c bash2 -- ls -la /tmp/share # => drwxr-xr-x    2 root     root 

Add Pod wide security context : pod.spec.securityContext.runAsUser: 21 :

# kubernetes sample configuration of pod wide SecurityContext to run containers as specific user

apiVersion: v1
kind: Pod
metadata:
  creationTimestamp: null
  labels:
    run: bash
  name: bash
spec:

  # Start Pod securityContext
  securityContext:
    runAsUser: 21
  # End Pod securityContext

  volumes:
    - name: share
      emptyDir: {}
  containers:
  - command:
    - /bin/sh
    - -c
    - sleep 1d
    image: bash
    name: bash1
    volumeMounts:
      - name: share
        mountPath: /tmp/share
  - command:
    - /bin/sh
    - -c
    - sleep 1d
    image: bash
    name: bash2
    volumeMounts:
      - name: share
        mountPath: /tmp/share
  restartPolicy: Never

Bonus : Set permission for shared dir on initContainer

Edit previous pod.yaml to add :

#...
spec:
  initContainers:
    - name: permission
      image: bash
      args: ["sh", "-c", "chmod og-w -R /tmp/share"]
    volumeMounts:
      - name: share
        mountPath: /tmp/share
    securityContext:
      runAsUser: 0
#...

k delete -f pod.yaml
k apply -f pod-securityContext-3.yaml

k exec bash -c bash1 -- touch /tmp/share/file
k exec bash -c bash2 -- ls -lh /tmp/share/file
k exec bash -c bash2 -- rm /tmp/share/file # PERMISSION DENIED :)

Challenge 12 : Various Environment Variables

• Create secret from file
• Create pod that consume secret as env vars

cat <<EOF > env.txt
CREDENTIAL_001=-bQ(ETLPGE[uT?6C;ed
CREDENTIAL_002=C_;SU@ev7yg.8m6hNqS
CREDENTIAL_003=ZA#$$-Ml6et&4?pKdvy
CREDENTIAL_004=QlIc3$5*+SKsw==9=p{
CREDENTIAL_005=C_2\a{]XD}1#9BpE[k?
CREDENTIAL_006=9*KD8_w<);ozb:ns;JC
CREDENTIAL_007=C[V$Eb5yQ)c~!..{LRT
SETTING_USE_SEC=true
SETTING_ALLOW_ANON=true
SETTING_PREVENT_ADMIN_LOGIN=true
EOF

k create secret -h 
k create secret generic app-secret --from-env-file env.txt
k describe secrets app-secret

# Create pod
k run nginx --image=nginx --restart=Never --dry-run=client -o yaml > pod.yaml

k explain pod.spec.containers.envFrom
# Edit nginx pod to add ennFrom secret entry

# ... 
#spec:
#  containers:
#    - name: app
#      envFrom: 
#        - secretRef:
#            name: app-secret
# ... 

k apply -f pod.yaml

# Test pod env
k exec nginx -- env
k exec nginx -- sh -c echo '$CREDENTIAL_002'

Challenge 13 : ReplicaSet without Downtime

• Add label to existing Pod
• Create a ReplicaSet to handle existing Pod

Doc-Help : concepts > workloads > controllers > replicaset

# Create pod

cat <<EOF | k apply -f -
apiVersion: v1
kind: Pod
metadata:
  name: pod-calc
spec:
  containers:
  - command:
    - sh
    - -c
    - echo "important calculation"; sleep 1d
    image: nginx
    name: pod-calc
EOF

# Label the pod
k label pod pod-calc app=calc

# 1. Create a ReplicaSet of 2 replicas with the same template spec as pod-calc (with lablel app=calc). 
# 2. Ensure to set ReplicaSet selector.matchLabels to app=calc, so it will handle existing Pod as of its replicas

cat <<EOF | k apply -f -
apiVersion: apps/v1
kind: ReplicaSet
metadata:
  name: calculation-rs
spec:
  replicas: 2
  selector:
    matchLabels:
      app: calc
  template:
    metadata:
      labels:
        app: calc
    spec:
      containers:
        - command:
            - sh
            - -c
            - echo "important calculation"; sleep 1d
          image: nginx
          name: pod-calc
EOF

# Check 
k get rs

Challenge 14 : LivenessProb

• Create my-app deployment of nginx in namespace zeus
• Add liveness-prob on http port 80 with 10s of delay and 15s period

k create ns zeus
k config set-context --current --namespace zeus
k create deployment my-app --image=nginx --dry-run=client -o yaml > my-app-deployment.yaml

k explain k explain pod.spec.containers
k explain k explain pod.spec.containers.livenessProbe

Edit my-app-deployment.yaml and add following linessProb snippet at .spec.template.spec.containers[0]

        livenessProbe:
          initialDelaySeconds: 10
          periodSeconds: 10
          httpGet:
            path: /
            port: 80
            scheme: HTTP

Apply configuration and test

k apply -f my-app-deployment.yaml

# Get IP of one pod of my-app deployment exemple: 172.17.0.2
k get pod -o wide 

k run tmp --rm -ti --restart=Never --image=busybox -- sh -c "wget -O- 172.17.0.2"

Challenge 14 : Horizontal po Autoscaler

• Create de 5 pods Deployemùent of nginx
• Autoscale this deployment using yaml

k create deployment nginx --image=nginx
k scale deployment nginx --replicas=5

k autoscale -h
k autoscale deployment nginx --min=5 --max=10 --cpu-percent=80 --dry-run -o yaml > autoscale.yaml

k appply -f autoscale.yaml

Content of autoscale.yaml :

# Example of a Kuberntetes HorizontalPodAutoscaler resource for existing Deployment

apiVersion: autoscaling/v1
kind: HorizontalPodAutoscaler
metadata:
  creationTimestamp: null
  name: nginx
spec:
  maxReplicas: 10
  minReplicas: 5
  scaleTargetRef:
    apiVersion: apps/v1
    kind: Deployment
    name: nginx
  targetCPUUtilizationPercentage: 80

]]>Michael