![]()
네트워크 계층 네트워크 계층은 크게는 하드웨어단과 소프트웨어단으로 나누고 소프트웨어단은 다시 Kernel mode와 User mode로 나뉜다.하드웨어를 설명하는 단어는 Physical 이라고 할 수 있다. 즉, 물리적으로 구현된 것을 의미한다. 반대로 소프트웨어를 설명하는 단어는 Logical 즉, 논리적으로 구현된 것이다. 논리적이라는 의미로 사용 되는 Logical 대신 사용되기도 하는 단어로 Virtual 이 있다. 물리적으로 구현된 하드웨어를 논리적으로 구현하는 것이 가능할까? 답은 가능하다. 흔히 CPU(하드웨어에 속함)은 Machine 이라고 표현한다. 이러한 CPU를 논리적으로 구현한 것을 Virtual Machine , VM 이라고 표현한다. 이렇게 하드웨어를 논리적으로 구현하는 것을 두..
![]()
Storage Class 아래에서는 Google Cloud의 Persistent Disk를 볼륨으로 사용하는 경우를 예시로 든다. Storage Class를 사용하면 PV가 생성되는 것은 변함없지만, 이를 직접 생성하지 않아도 되게 된다. Cf. Common Storage Class provisioner 더보기 GCE AWS EBS Azure File Azure Disk CephFS Portworx ScaleIO Cf. 프로비저너를 이용하면 프로비전할 디스크 유형, 복제 유형 등과 같은 추가 매개변수를 전달할 수도 있다. (파라미터 종류는 프로비저너에 따라 매우 상이하다.) Static Provisioning 필요로할 때 직접 스토리지를 생성하는 방식이다. 이보다는 애플리케이션이 필요로 할 때 자동으로 ..
![]()
쿠버네티스의 볼륨은 도커의 볼륨이 동작하는 방식을 기반으로 한다. 따라서 아래 도커의 볼륨 동작 방식에 대해 이해가 필요한 경우에는 아래 게시글을 보고 오는 것을 추천한다. 2024.03.11 - [Docker] - Docker) Storage in Docker Volumes Volumes & Mounts 도커의 컨테이너의 경우 클러스터가 삭제될 때 컨테이너가 처리하던 데이터도 함께 삭제된다. 이를 방지하기 위해 컨테이너로 데이터를 처리하고자 할 때는 컨테이너가 생성될 때 볼륨을 하나 붙여 컨테이너가 삭제된 후에도 데이터는 보존되도록 한다. 쿠버네티스의 파드도 마찬가지이다. 파드가 삭제되면 파드가 처리하던 파드 내의 데이터들도 함께 삭제 된다. 이를 방지하기 위해 파드에 볼륨을 붙일 수 있다. 아래는 0..
![]()
Storage in Docker 시스템에 도커를 설치하면 `/var/lib/docker/` 디렉토리가 생성된다. 하위에 있는 `aufs`, `containers`, `images`, `volumes` 와 같은 하위 디렉토리에는 관련 데이터들이 저장된다. Layered architecture 도커 파일의 모든 커맨드 라인은 `docker build` 커맨드가 실행될 때 실행된다. 도커 파일을 통해 빌드하여 생성되는 이미지 레이어는 읽기만 하고 수정할 수 없다. (수정하는 방법은 새로 생성하는 방법 뿐이다.) 이미지 레이어 자체에서는 파일들이 수정되지 않지만, 파일(ex. 소스 코드 등)을 수정하고자하면 자동으로 Read & Write 가능한 컨테이너 레이어에 해당 파일의 사본이 생성되고, 이를 수정할 수 ..
![]()
Network Policy Ingress & Egress 각 애플리케이션(서버)를 기준으로 들어오는 트래픽을 Ingress라고 하고, 나가는 트래픽을 Egress라고 한다. 예를 들어 아래와 같은 구조로 애플리케이션이 통신한다고 가정해보자. Web server를 기준으로 사용자로부터 오는 트래픽은 Ingress이고, API Server로 나가는 트래픽은 Egress이다. Network Security 아래 네트워크 솔루션에서는 노드들을 가로지르는 virtual private network에 의해 모든 파드들이 IP 또는 Pod name 또는 서비스들에 의해 기본적으로 서로 닿을 수 있다. 쿠버네티스에서 네트워킹을 위한 전제 조건 중 하나는 어떠한 솔루션을 구현하든 경로(routes)와 같은 추가 설정을 ..
![]()
Image Security Image name 아래와 같이 Pod의 manifest 파일의 `spec.image` 값이 `nginx` 인 경우를 가정해보자. `pod-definition.yaml` spec: image: nginx Pod manifest 파일에서의 `image` 는 이미지 또는 저장소(Repository) 명이다. 위의 `image` 값은 실제로는 `library/nginx` 에 해당한다. (첫 번째 part는 사용자 또는 계정 이름이나, 제공되지 않으면 라이브러리라고 인식한다.) Cf. `library` 는 Docker의 공식 이미지가 저장되는 기본 계정의 이름이다. 더 나아가, 이미지를 어디서 pull 해오는지를 구체적으로 지정하지 않았기 때문에 도커의 기본 레지스트리 값인 Docke..
![]()
Authorization 앞선 내용들이 Authentication(인증)에 대한 내용이었다면, 여기서부터는 Authorization(인가, 권한 부여)에 관한 내용이다. 여러 팀 또는 조직간에 클러스터를 공유할 때 네임스페이스를 통해 논리적으로 분할함으로써 사용자의 액세스를 자신이 속한 네임스페이스에만 가능하도록 제한할 수 있다. Authorization Mechanisms Kube API 서버에 Authorization mode 옵션을 따로 명시하지 않으면 AlwaysAllow가 기본값이다. `/etc/kubernetes/manifests/kube-apiserver.yaml` 파일의 `spec.containers[*].command[*].authorization-mode` 필드값으로 다수의 메커니즘을 ..
![]()
KubeConfig kubernetes api를 통해 요청을 보낼 때 인증 관련 정보를 함께 제출해야한다. 아래와 같이 단계적으로 커멘드의 길이를 줄일 수 있다. server명이 playground-url이라는 전제하에 아래와 같이 요청 가능 curl \\ -- cert=admin.crt -- key=admin.key -- cacert=ca.cert kubectl을 통한 요청 kubectl get pods \\ -- server playground-url:6443 -- client-cert admin.crt -- client-key admin.crt -- certificate-authority ca.cert 인증 관련 정보를 모두 config 라는 파일에 저장한 후 이를 kubectl 명령시 마다 kub..
![]()
개요 Secure host kube-apiserver는 Kubernetes의 중심에 있으며, kubectl을 통해 접근할 수도 있고 직접 apiserver에 접근할 수도 있다. (apiserver에 대한 액세스를 제어하는 것이 1차 방어선이라고 할 수 있겠다.) Who can access? 이는 인증 메커니즘에 따라 달라진다. 유형은 아래와 같다. file - Username and passwords file - Username and tokens Certificates (인증서) 외부 인증 공급자 (ex. LDAP) Service account (컴퓨터가 생성) What can they do? 인증 메커니즘으로 정의된다. RBAC (역할 기반 액세스 컨트롤) ABAC Node Authorization ..
![]()
OS Upgrade 해당 내용은 OS Upgrade 뿐만 아니라 Kubelet Version Upgrade 등의 상황에서도 필요한 내용이다. 노드가 비활성화되었다가 활성화되면 즉시 Kubelet이 실행되고 노드에 배치된 파드는 다시 실행된다. 하지만 노드가 5분(`pod-eviction-timeout default value`) 이상 비활성화되면 파드는 다른 노드에 재배치되게 된다. Cf. set Pod eviction timeout(노드에서 파드를 삭제하기 위한 대기 시간) kube-controller-manager --pod-eviction-timeout=5m0s Drain 노드에 존재하는 모든 파드를 제거하여 노드를 비운다. 해당 노드는 `SchedulingDisable` 상태가 되어 새로운 파드의..
