![]()
K8s를 운영하다 보면 흔히들 비밀정보를 관리를 해야하는 경우가 생긴다. - 비밀정보 : DB 정보, ID/PW 등의 일반적으로 노출되면 안되는 정보들이다. 기본적으로 K8s에서는 Secrets Kind를 제공하고 있지만, 여러가지 사유에 의해서 재직중인 회사에서는 Vault를 사용하고 있고, Secrets과의 장/단점과 설치와 사용 방법에 대해 간략하게 리뷰하고자 한다! Vault vs K8s secrets 아래의 장/단점만 보면 크게 Vault를 사용해야되는 장점이 없어보일 수 있으나 가장 큰 장점은 UI가 있어서 사용이 간편하고, DDB 등으로 백업을 하고 있기 때문에 휴먼에러 등으로 비밀정보를 삭제하는 경우 복원이 쉽다. 다만, 반대로 가장 큰 단점은 Vault를 사용하기 위해서는 각 Pod에 S..
![]()
최근 회사에서 장애 상황이 있었다. 장애가 발생할 수 있지만 장애 처리가 미흡하여 장애 기준, 절차에 대해 재정의를 하려고 한다. 장애를 정의하기 앞서서 당사 서비스의 SLI, SLO 를 좀 살펴보았는데, 딱히 정의되어 있지 않은것 같다. 그래서 SLI, SLO가 무엇이고, 타사에서 많이들? 정의하는것을 기반으로 벤치마킹하고자 한다. - 아직 공부를 하는 단계이고, 최대한 이해하고 게시물을 작성하였지만, 일부 작성된 내용이 있을 수 있다. SLA 계약 또는 공표하기 위해서는 SLO가 사전 정의가 되어 있어야 하고, SLO를 정의하기 위해서는 SLI로 지표를 정의해야 한다. SLI(Service Level Indicator) 서비스 수준 척도라고도 불리며, 자세하게 말하면 서비스에 대한 수준을 측정하고 정..
Docs를 참고하고 최대한 경험한 내용을 토대로 기재하였으나, 혹시나.. 잘못된 내용이 있을 수 있습니다. 잘못된 내용은 코멘트로 알려주시면 확인 후 반영하도록 하겠습니다 :) 최근 EKS 노드 관리를 위해 CAS -> Karpenter로 Migration 하였다. CAS, Karpenter의 장/단점을 정리하는 게시물이다! CAS/Karpenter 2가지 플러그인만 비교한것으로 비교 구분 CAS Karpenter 비고 노드 생성 시간 느리다. - Warmpool 도입 전 약 4분 - Warmpool 도입 후 약 36초 빠르다. - 약 1분 Karpenter - NotReady 상태에서도 Pod 할당이 가능하기 때문에 Pod 할당시간이 더 빠르다. 비용 효율화 미흡함 비용 효율 CAS - 미리 지정한 N..
![]()
많은 기사에서도 접할 수 있듯이 올해 스타트업의 시장이 좋지 않다. 그래서 현재 재직중인 회사에서도 불필요한 또는 비효율적인 AWS 인프라 비용을 줄이라는 특명이 내려왔다. 그래서 AWS 인프라 비용에서 가장 많은 부분을 차지하는 EKS Node 비용을 먼저 줄여보기로 했다. 가장 좋은 방법은 각 Deployment의 Request/Limit 사이즈를 조절하는 것이다. 하지만 이것은 개발팀에서 조절하는 부분이고 데브옵스팀에서는 관여하기 어렵기에 그럼 노드를 효율적으로 사용할 수 있는 부분을 찾아보기로 했다. 그러던 중 팀원이 좋은? 괜찮은? 오픈소스인 Karpenter를 공유해주었고 당사에 적용한 내용을 기술해보고자 한다. 먼저 대부분의 EKS를 운영하는 회사에서는 Cluster Auto Scaler(이..
![]()
2022년 11월 openssl 재단에서 엄청난 취약점이 발견되었다는 기사가 많이 나왔다. 취약점이 공개되기 이전에는 엄청난 취약점이라고 공포심 조장이 많았는데, 실제 취약점이 공개되고 난 다음에는 영향력도 크지 않고 유효한 취약점이 되기에는 많은 조건이 있기 때문에 사실 그만큼 위험성이 높은것은 아니었다. KISA 인터넷 보호나라&KrCERT KISA 인터넷 보호나라&KrCERT www.boho.or.kr 취약점에 대한 기사를 보자마자 우리 회사 Container image에는 해당 취약점이 없을까? 현황 파악을 할 수 있을까? 하는 생각이 많았다. 근데 결론부터 말하면, 현재 회사에서는 개발/배포 과정에서 image에 대한 취약점 점검이 없었어서 취약점 점검을 위한 설계를 하였다. 취약점 점검을 위한..
담당자의 업무 효율화를 위해 Ansible 사용 방법과 이를 통한 스크립트 점검 자동화 방법에 대해서 알아보자!! 먼저, Ansible을 사용하기 위해서는 기본적으로 작업 대상(hosts)을 지정하고 작업 내용(playbook)을 저장해야 한다. 작업 대상은 Ansible hosts, 작업 내용은 Ansible Playbook으로 분류되어 지정하면 되며, 실행 방법은 아래와 같다. - 물론 이외에도 Inventory 등의 기타 다른 옵션이 존재하나, 그것은 더 효율적으로 하기 위한 방법이지 필수 사항은 아니다.(아마(?)) [Ansible Server] ansible-playbook playbook_test.yml # playbook Name을 지정하면 된다. Ansible hosts 작성 hosts는 ..
![]()
Ansible 설치 방법 : https://dobby-isfree.tistory.com/85 [Ansible] 서버 스크립트 자동 점검 Ansible 설치 방법 [1/2] 필자가 재직중인 회사에서는 매년 정기적으로 각 서버의 취약점을 점검하기 위해 취약점 점검 스크립트를 실행하고 조치하고 이행점검을 하는 등의 반복적인 일을 하고 있다. 서버 취약점 점검 dobby-isfree.tistory.com Ansible 설치 방법은 위 게시물에 나와있듯이 매우매우 쉽다. 이번에는 Ansible을 통해 실제 서버 점검 스크립트를 자동으로 돌리기 위한 방법에 대해 알아보자!! Ansible 원격 접속 허용 사전 작업 먼저 Ansible은 아래 그림에서 알 수 있듯이, Server - Client 구조로 되어 있고, ..
![]()
필자가 재직중인 회사에서는 매년 정기적으로 각 서버의 취약점을 점검하기 위해 취약점 점검 스크립트를 실행하고 조치하고 이행점검을 하는 등의 반복적인 일을 하고 있다. 서버 취약점 점검 솔루션을 구매하여 운영한다면 편하겠지만, 상황상.. 솔루션은 없으므로 자체 점검 스크립트를 제작하여 직접 스크립트를 실행하여 취약점 점검을 진행하고 있었다.(작년까지만 해도..) 근데.. 서버 대수가 늘어남에 따라 수동으로 하기에는 너무너무!! 힘들어서 이를 자동화 하기 위한 방법을 알아 보았고, 타사에 재직 중인 지인을 물어보니깐 Ansible을 통해 원격에서 일괄 점검한다는 소식을 듣고 나도 시스템을 구성해보기로 했다!! Ansible이란? Ansible로 검색해보면 IaC란 키워드가 바로 보인다. IaC는 Intfas..
![]()
이전 게시물에서 Gophish 설치 방법에 대해 알아보았다. - Gophish 설치 방법 : https://dobby-isfree.tistory.com/83?category=891753 [Gophish] 악성메일 모의훈련 Gophish 설치 방법 Gophish 라는 아주아주 좋은 악성메일 모의훈련을 할 수 있는 Tool이 있어서, 오늘은 해당 Tool에 대해 소개를 하고자 한다. Gophish 설치 방법 1. 공식 Github를 통해 설치하는 서버 또는 단말기에 해당하 dobby-isfree.tistory.com 이번에는 실제 악성메일 모의훈련을 하기 위해 Gophish의 각 항목별로 설정 방법에 대해 알아보자!! 1. Users & Groups - 모의훈련을 하기 위한 대상자의 이름/메일주소/직책을 넣..
