[ja]docs/concepts/security/security-checklist.md #47547 #48744
Conversation
Translated content/en/docs/concepts/security/security-checklist.md into Japanese.
Typo correction
Typo correction
k8s-ci-robot
added
the
cncf-cla: no
|
Welcome @luna029! |
|
[APPROVALNOTIFIER] This PR is NOT APPROVED This pull-request has been approved by: The full list of commands accepted by this bot can be found here.
Needs approval from an approver in each of these files:
Approvers can indicate their approval by writing |
k8s-ci-robot
added
size/L
Co-authored-by: Dipesh Rawat <[email protected]>
✅ Pull request preview available for checkingBuilt without sensitive environment variables
To edit notification comments on pull requests, go to your Netlify site configuration. |
There was a problem hiding this comment.
First of all, thank you for your contribution to k/website
In Japanese, spaces are not included between words.
Additionally, our project has a style guide, so please ensure that your translation adheres to it, particularly regarding the use of half-width and full-width characters, as well as long vowel marks.
FYI: https://kubernetes.io/ja/docs/contribute/localization/#style-guide
Since Kubernetes documentation is read by many Japanese speakers, l10n is a complex task.
Please make sure to work in the language you are most proficient in.
(If you choose to move forward with this PR, refer to the style guide. If it is too difficult, feel free to close it.)
/hold
k8s-ci-robot
added
the
do-not-merge/hold
|
@Okabe-Junya
|
|
こちらレビューいただくことはできますか? |
|
@luna029
|
Co-authored-by: inukai <[email protected]>
Co-authored-by: inukai <[email protected]>
Co-authored-by: inukai <[email protected]>
Co-authored-by: inukai <[email protected]>
Co-authored-by: inukai <[email protected]>
Co-authored-by: inukai <[email protected]>
Co-authored-by: inukai <[email protected]>
|
@t-inu |
Are you still working on the corrections for the “ネットワークセキュリティ” section and after? |
| ## ネットワークセキュリティ | ||
|
|
||
| - [ ] 使用中のCNIプラグインはネットワークポリシーをサポートしています。 | ||
| - [ ] イングレスおよびエグレスネットワークポリシーは、クラスター内のすべてのワークロードに適用しています。 |
There was a problem hiding this comment.
| - [ ] イングレスおよびエグレスネットワークポリシーは、クラスター内のすべてのワークロードに適用しています。 | |
| - [ ] ingressおよびegressのネットワークポリシーは、クラスター内のすべてのワークロードに適用しています。 |
I suggest that "ingress" and "egress" not to be translated, since they are not used in katakana in this document.
ネットワークポリシー page is also helpful.
| - [ ] 使用中のCNIプラグインはネットワークポリシーをサポートしています。 | ||
| - [ ] イングレスおよびエグレスネットワークポリシーは、クラスター内のすべてのワークロードに適用しています。 | ||
| - [ ] 各Namespace内のデフォルトのネットワークポリシーで、すべてのPodを選択して拒否しています。 | ||
| - [ ] 適切な場合、Service Meshを使用してクラスター内のすべての通信を暗号化しています。 |
There was a problem hiding this comment.
| - [ ] 適切な場合、Service Meshを使用してクラスター内のすべての通信を暗号化しています。 | |
| - [ ] 適切な場合、サービスメッシュを使用してクラスター内のすべての通信を暗号化しています。 |
"service mesh" is usually written in katakana.
| - [ ] 適切な場合、Service Meshを使用してクラスター内のすべての通信を暗号化しています。 | ||
| - [ ] Kubernetes API、kubelet API、およびetcdはインターネット上に公開していません。 | ||
| - [ ] ワークロードからクラウドメタデータAPIへのアクセスはフィルターしています。 | ||
| - [ ] LoadBalancerおよびExternalIPsの使用は制限しています。 |
There was a problem hiding this comment.
| - [ ] LoadBalancerおよびExternalIPsの使用は制限しています。 | |
| - [ ] LoadBalancerおよびExternalIPの使用は制限しています。 |
As a general rule, please use the singular form for Japanese.
|
|
||
| 多数の[コンテナネットワークインターフェース(CNI)プラグイン](/ja/docs/concepts/extend-kubernetes/compute-storage-net/network-plugins/)は、Podが通信できるネットワークリソースを制限する機能を提供します。 | ||
| これは、ルールを定義するためのNamespaceリソースを提供する[ネットワークポリシー](/ja/docs/concepts/services-networking/network-policies/)を通じて最も一般的に行われます。 | ||
| 各Namespaceですべての出力と入力をブロックし、すべてのPodを選択するデフォルトのネットワークポリシーは、許可リストアプローチを採用してワークロードが失われないようにするのに役立ちます。 |
There was a problem hiding this comment.
| 各Namespaceですべての出力と入力をブロックし、すべてのPodを選択するデフォルトのネットワークポリシーは、許可リストアプローチを採用してワークロードが失われないようにするのに役立ちます。 | |
| 各Namespaceですべてのegressとingressをブロックし、すべてのPodを選択するデフォルトのネットワークポリシーは、許可リストアプローチを採用してワークロードの見落としがないようにするのに役立ちます。 |
Default network policies blocking everything egress and ingress, in each namespace, selecting all the pods, can be useful to adopt an allow list approach, ensuring that no workloads is missed.
I think this "miss" refers to a security issue that allows communication that should be restricted.
| 各Namespaceですべての出力と入力をブロックし、すべてのPodを選択するデフォルトのネットワークポリシーは、許可リストアプローチを採用してワークロードが失われないようにするのに役立ちます。 | ||
|
|
||
| すべてのCNIプラグインが転送中の暗号化を提供するわけではありません。 | ||
| 選択したプラグインにこの機能がない場合、代替ソリューションとして、Service Meshを使用してその機能を提供することができます。 |
There was a problem hiding this comment.
| 選択したプラグインにこの機能がない場合、代替ソリューションとして、Service Meshを使用してその機能を提供することができます。 | |
| 選択したプラグインにこの機能がない場合、代替ソリューションとして、サービスメッシュを使用してその機能を提供することができます。 |
| すべてのCNIプラグインが転送中の暗号化を提供するわけではありません。 | ||
| 選択したプラグインにこの機能がない場合、代替ソリューションとして、Service Meshを使用してその機能を提供することができます。 | ||
|
|
||
| コントロールプレーンのetcdデータストアには、アクセスを制限し、インターネット上で公開されないようにするコントロールが必要です。 |
There was a problem hiding this comment.
| コントロールプレーンのetcdデータストアには、アクセスを制限し、インターネット上で公開されないようにするコントロールが必要です。 | |
| コントロールプレーンのetcdデータストアには、アクセスを制限し、インターネット上で公開されないようにする制御が必要です。 |
Either is fine.
|
|
||
| Kubernetes APIサーバーへの外部インターネットアクセスは、APIが公開されないように制限する必要があります。 | ||
| 多くのマネージドKubernetesディストリビューションは、デフォルトでAPIサーバーを公開しているため注意してください。 | ||
| その後、Bastionホストを使用してサーバーにアクセスできます。 |
There was a problem hiding this comment.
| その後、Bastionホストを使用してサーバーにアクセスできます。 | |
| その場合、要塞ホストを使用してサーバーにアクセスできます。 |
From the context, "その場合" would be better.
"bastion host" translates to "要塞ホスト".
| 多くのマネージドKubernetesディストリビューションは、デフォルトでAPIサーバーを公開しているため注意してください。 | ||
| その後、Bastionホストを使用してサーバーにアクセスできます。 | ||
|
|
||
| [kubelet](/ja/docs/reference/command-line-tools-reference/kubelet/)APIアクセスは制限し、公開しないようにする必要があります。 |
There was a problem hiding this comment.
| [kubelet](/ja/docs/reference/command-line-tools-reference/kubelet/)APIアクセスは制限し、公開しないようにする必要があります。 | |
| [kubelet](/ja/docs/reference/command-line-tools-reference/kubelet/)のAPIアクセスは制限し、公開しないようにする必要があります。 |
| その後、Bastionホストを使用してサーバーにアクセスできます。 | ||
|
|
||
| [kubelet](/ja/docs/reference/command-line-tools-reference/kubelet/)APIアクセスは制限し、公開しないようにする必要があります。 | ||
| デフォルトの認証および承認設定は、`--config`フラグで構成ファイルが指定されていない場合は許可されています。 |
There was a problem hiding this comment.
| デフォルトの認証および承認設定は、`--config`フラグで構成ファイルが指定されていない場合は許可されています。 | |
| `--config`フラグで設定ファイルが指定されていない場合、デフォルトの認証および認可設定は過度に許可されています。 |
Suggestion for more understandable.
And translation for "overly".
|
|
||
| Kubernetesのホスティングにクラウドプロバイダーを使用する場合、PodからクラウドメタデータAPI`169.254.169.254`へのアクセスも、情報が漏洩する可能性があるため、必要でない場合は制限またはブロックする必要があります。 | ||
|
|
||
| LoadBalancerおよびExternalIPsの制限付き使用の詳細については[CVE-2020-8554: LoadBalancer または ExternalIPs を使用した中間者攻撃](https://github.com/kubernetes/kubernetes/issues/97076)および[DenyServiceExternalIPs アドミッション コントローラー](/ja/docs/reference/access-authn-authz/admission-controllers/#denyserviceexternalips)を参照してください。 |
There was a problem hiding this comment.
| LoadBalancerおよびExternalIPsの制限付き使用の詳細については[CVE-2020-8554: LoadBalancer または ExternalIPs を使用した中間者攻撃](https://github.com/kubernetes/kubernetes/issues/97076)および[DenyServiceExternalIPs アドミッション コントローラー](/ja/docs/reference/access-authn-authz/admission-controllers/#denyserviceexternalips)を参照してください。 | |
| LoadBalancerおよびExternalIPの制限付き使用の詳細については[CVE-2020-8554: Man in the middle using LoadBalancer or ExternalIPs](https://github.com/kubernetes/kubernetes/issues/97076)および[DenyServiceExternalIPsアドミッションコントローラー](/docs/reference/access-authn-authz/admission-controllers/#denyserviceexternalips)を参照してください。 |
It is not necessary to translate GitHub issue title.
"Admission Control in Kubernetes" page in Japanese does not exist.
BTW, since "DenyServiceExternalIPs" is the admission control plugin name itself, it should remain in the plural form I think.
Description
Translated content/en/docs/concepts/security/security-checklist.md into Japanese.
The following Open Issues have been addressed #47547
Issue
#47547
Closes: #