Study_note

Kuernetes Secret Secret은 상대적으로 configmap과 비교가 많이 되는데 configmap이 쿠버네티스에서 특정 정보를 보관, 저장하는 오브젝트라 하면 Secret은 보안 정보를 보관, 저장하는 오브젝트이다. 하지만 Secret은 보안 정보를 보관, 저장한다하여 암호화된채로 저장 되지 않고 Base64로 인코딩 되어서 보관되어지며 해당 파일을 가진 모든 사람이 해당 시크릿 파일에 접근 가능하여 굉장히 보안적으로 취약한 보관 방법이다. 이런 보안취약점 때문에 AWS Secrets Manager를 사용하여 Secrets Manager 내 저장되어있는 암호들을 Kuernetes Secret의 동기화여 사용하며 해당 시크릿을 파드에 마운트하여 사용한다. AWS Secrets Manager ..

보호되어 있는 글입니다.

ArgoCD sync git에 올라와 있는 파일을 argocd를 통해 클러스터에 동기화 하는 작업을 의미한다 여기서 argocd는 default 설정으로 3분마다 git과 버네티스 클러스터의 현재상태를 비교하며 이 주기를 Period라고 한다. 중요한건 Period가 디폴트로 3분으로 설정된 상황에서 git의 업데이트 내용이 바로 반영이 안되는 상황이 발생한다면 최대 3분까지 동기화를 기다려야 한다 이러한 문제로 git에 업데이된 내용을 바로 쿠버네티스 클러스터에 적용하고 싶을 때 사용하는 Refresh가 있다. Refresh는 3분 주기를 기다리지 않고 사용자가 수동으로 git의 업데이트 내용을 argo가 바로 인지하는 방법이다. Refresh 사용 git에서 디플로이먼트 파일에 레플리카 수를 변경하였..

ArgoCD 단일 진실의 원천(SSOT)을 기반으로 하는 쿠버네티스에서만 사용되는 CD 툴로 오직 진실(결과)이 오직 한가지의 원천(이유)에서 비롯된다는 의미로 사용되며 ArgoCD에서는 원천을 git을 기반으로 사용한다. 또한 쿠버네티스는 선언적 api를 기반으로 사용되어 모든 명령어는 Desired state로 인식되어 실행되는데 ArgoCD 또한 git에 저장되어 있는 선언형 파일들과 쿠버네티스 리소스들과 차이가 있다면 Desired state에 맞춰 쿠버네티스에 동기화 시켜준다. 즉 간단하게 쿠버네티스 상태를 git으로 관리하는 툴이다 장점으로는 위에서 말한걸 더 디테일하게 설명하면 아래와 같다 1. 선언형 작업 정의서 더 쉽게 배포할 수 있으며 문제 발생시, 쉬운 롤백 및 장애 등으로 인해 손상..

Envoy proxy 마이크로서비스 아키텍처용으로 설계된 오픈 소스 서비스 프록시 및 통신 오픈소스이다. circuit breaker 등 MSA를 구축하면서 중요한 역할을 맡는다 특징은 아래와 같다. C++로 구현된 고성능 프록시 네트워크의 투명성을 목표 다양한 필터체인 지원 L3/L4 필터 HTTP L7 필터 Dynamic configuration API 제공 -> 설정 정보를 동적으로 읽어와서 서버 재시작없이 라우팅 설정 변경이 가능함 기능이 많다. -> circuit breaker, 부하량 제한등 다양한 로드밸런싱 기능 제공 CNCF / 벤더가 없다 다운스트림(Downstream) : 엔보이에 요청을 보내고 응답을 받는 호스트 업스트림(Upstream) : 엔보이로 부터 요청을 받아서 응답을 보내는..

예전에 aws에서 주최하는 쿠버네티스 핸즈온 세션에서 여러 주제로 강의를 해준적 있었다. 그중 보안에 대한 이해가 부족하고 iam 권한 할당과 irsa의 권한 할당 workflow를 이해하지 못해 공부해본다. 우선 IAM 권한 할당 workflow WorkFlow 및 구성 AWS-IAM-Authenticator AWS IAM 자격 증명을 사용하여 Kubernetes 클러스터에 인증하는 도구로 쿠버네티스의 RBAC 권한을 AWS IAM을 통해 제어할 수 있도록 해주는 도구이다 ( EKS에서는 자동으로 내장되어 있음 ) Client 사용자가 요청을 보내면 AWS-IAM-Authenticator Client가 AWS sts:GetCallerIdentity API endpoint에 대한 요청을 생성하고 요청에 ..