![]()
Kube Proxy 아래와 같이 Pod에는 여러가지 Container가 구동될 수 있다. 이때 POD끼리 통신하기 위해서는 POD Network가 필요하다. 만약 좌측 POD이 웹서버이고, 우측 POD이 데이터베이스라고할 때 전통적인 서버 방식이라면 IP가 변경될일이 없기 때문에 IP 기반으로 통신을 하면 된다. 하지만 POD은 수시로 생성/삭제가 이뤄지기 떄문에 IP 기반으로 통신할 수가 없다. 이때 웹서버가 데이터베이스에 접근하기 위한 좋은 방식이 서비스를 기반으로 하는 접근 방식이다. kube-proxy는 Node/Pod/Container간 통신을 하기 위한 서비스로 이는 DeamonSet으로 배포하기 때문에 항상 POD에 배포된다. kubectl get pods -n kube-system kube..
![]()
CKA 강의를 듣는데, 강의를 듣다보니 kubernetes의 구조를 알아야 할 것 같아서 구조를 먼저 알아보도록 한다. Kubernetes 구조 Udemy에서는 k8s를 선박으로 비유하였다. 그리고 k8s에는 Master/Worker Node가 존재한다. 위 그림에서 볼 수 있듯이 k8s 구조를 보면 Master Node와 Worker Node가 나온다. Master Node 란? Master Node는 클러스터에 관한 전반적인 결정을 수행하고, 이벤트를 감지하고 반응하는 역할을 한다. 즉, k8s의 두뇌이다. 그리고 해당 Node는 아래 컴포넌트로 이루어지며, 각 구성요소의 기능은 아래와 같다. kube-apiserver : 모든 요청을 처리하는 역할로 가장 중추적인 역할을 담당한다. Master No..
![]()
CKA 자격증 을 찾아보면 모두 다 Udemy의 "Certified Kubernetes Administrator (CKA) with Practice Tests" 강의를 추천한다. 해당 강의에서 CKA 기본 개념도 알 수 있고, 실습 환경도 제공해준다고하여 많이들 수강하는거 같다. 하지만, 가장 큰 문제가 있다.. 바로바로 영어로 강의가 제공된다는점이다. 처음에는 영어 자막을 틀어서, 듣고 있었는데 어느새 듣다보니 강의가 영어듣기인지.. CKA인지 이해하기가 어려웠다. - 기본 자막에서는 한국어 자막이 없다 ㅜㅜ 그래서 찾아보니!! Udemy 강의에 대해 아래 2가지 방법으로 한글자막을 추가하는 기능이 있었다! 1. 개발자도구를 통한 한글자막 구현 1) 먼저 영어 자막을 활성화한다. 2) 영어 대본을 활성..
![]()
AWS 에는 EC2 또는 VPC 기준으로 트래픽을 통제하는 방법이 다양하다. 대표적으로 Route53 DNS Firewall, NetworkFirewall, SG, NACL, 3rd Firewall이 있다. 각 서비스마다 사용 방법이 다르고, 기능이 다르고, 요금이 다르다. 그래서 이를 좀 정리하고자 한다!! 각 서비스에 대해 알아보자!! 1. Route53 DNS Firewall 서비스명에서도 알 수 있듯이, DNS Query 기반의 Firewall이다. DNS Firewall에서는 별도 구성 변경 없이 Route53 DNS Firewall 생성 후에 VPC만 연결하면 바로 사용할 수 있다. 다만, 한가지 문제점은 하위 도메인 통제가 불가능하다. 2. NetworkFirewall 서울 리전에는 2020..
![]()
어느 평화롭게 Terraform 코드를 고치고 있던 어느날 Github에 PUSH를 하기 위해 Merge를 하니 CONFLICT 에러가 발생했다!! 처음에는 아주 당황해서.. 옆 부서 인원에게 도움을 받았다.. 도움을 받고 그 이후에 왜 이런 문제가 발생했는지/대처할 수 있는 방법에 대해서는 어떤게 있을지에 대해 공부한 내역을 간략하게 정리한다. 그렇다면 CONFLICT 에러는 무엇일까? 간단하게 말하면, 서로 다른 User or Branch에서 같은 파일을 수정할 때 발생하는 오류이다. 위 그림의 예시를 들어보겠다. 1. John과 Bob은 동일함 Version 1.0에 대함 Branch를 만들어서 코드를 개발한다. 2. 하지만 우연히 John, Bob 모두 동일한 service.html를 수정한다. ..
![]()
테라폼에는 많은 기본 개념이 있다. 이제 하나씩 배우는 단계이므로 각 개념에 대해서 정리하고자 한다. provider란? 테라폼은 AWS뿐만 아니라 다른 플랫폼에서도 사용이 가능하다. 그렇기에 해당 테라폼 코드가 어떤 플랫폼에서 실행을 할지 결정해주는 부분이라고 보면 된다. 일반적으로 aws 플랫폼 지정 외 아래와 같이 테라폼 코드로 리소스 생성을 할 수 있는 IAM 계정에 대한 정보를 많이 적는다. 만약, Key로 로그인하는 경우는 아래와 같이 Key 정보를 명시적으로 입력해주면 된다. 그리고 만약 okta 등으로 로그인이 대체되어 있다면 아래와 같이 credential 정보가 있는 경로를 지정해주면 된다. resouce란? 테라폼에서 가장 중요한 부분이다. 실제 리소스를 생성하기 위한 형태라고 이해하..
![]()
요즘 트렌드?는 IaC인 것 같다. 인프라를 직접 웹 콘솔로 들어가서 생성하는 것이 아니라 Code형태로 만들고 이를 배포함으로써 손쉽게 생성 및 삭제/관리할 수 있는 장점이 있다. 특히 IaC의 대표적인 Tool은 Terraform(이하 테라폼)이 있고, Ansible(이하 앤서블)이 있다. 이전에 다수의 서버에 일괄적으로 스크립트 파일을 배포하기 위해서 앤서블을 사용해보았다. 물론 앤서블도 사용하기가 편하지만 요즘은 테라폼이 대세라고 한다. (실제 원티드 등의 Cloud 관련 공고를 보면 테라폼에 대한 우대사항이 많다.) 그렇다면 테라폼이란 무엇일까? 쉽게 말하면 테라폼은 Hashicorp에서 제작한 IaC 도구이다. 즉 인프라를 코드로 관리하기 위한 도구라고 보면 된다. 필자가 느낀 가장 큰 장점은..
![]()
요즘에는 계속 SAA 자격증을 준비하느라 Examtopic 또는 Udemy만 진행했었는데, 회사 업무함에 있어서 S3 Bucket에 포함하고 있는 고유식별정보를 파악할 필요가 있어서 AWS Macie 서비스에 대해 알아보기로 했다. 먼저 AWS Macie 서비스는 S3 내의 민감정보를 식별하기 위해 만들어진 완전관리형의 서비스이다. 온프레미스로 따지면 Privacy-I와 같이 개인정보검출 솔루션과 비슷한 역할을 한다. 일단 AWS Macie는 30일동안 무료이다. 하지만 30일 지나면 아래와 같은 과금이 발생한다. 언뜻보면 크게 요금이 발생할 것 같지 않지만 기업에서 관리하는 S3양이 매우 많고 1회 점검에 처리되는 데이터의 양에 따라서 과금이 발생하기 때문에 생각보다 많은 요금이 발생할 수 있다. 사용..
![]()
사용자 계정이 무분별하게 생성 또는 삭제 되는것은 매우 위험한 행위이다. 그렇기에 IAM + CloudTrail + CloudEventBridge + Lambda를 통해 Slack으로 알람 받는 방법에 대해 알아보자!! 전체적인 로직은 다음과 같다. Slack알람 조건은 1. IAM 계정이 생성 또는 삭제되는 경우 2. AWS Console Login하는 경우이다. 1. Slack webhook 설정 가장 먼저 Slack webhook을 설정해야 한다. webhook은 해당 slack 채널로 메시지를 전송할 수 있는 Key를 의미한다. 최종적으로는 Lambda를 통해 Slack으로 메시지를 보내야 하므로 꼭 필요하다. 그리고 다른 사람에게 유출해서는 안된다. 2. Slack 알람 설정 CloudTrail..
