K8S

1) 개요 컨테이너란 Host OS로부터 격리된 환경에서 실행되는 프로세스 그룹이다. Host OS 커널을 공유하며 컨테이너가 동작하기 때문에 Host OS로부터 컨테이너가 완전히 독립적일 수는 없지만 격리된 공간에서 어플리케이션 동작에 필요한 프로세스만을 묶어서

1) 개요 앞서 chroot로 생성한 격리공간에는 다음과 같은 단점이 있었다. 탈옥이 가능하다. 완전한 격리가 불가능하다. (Host의 filesystems, network 등에 접근 가능) root 권한 사용 가능하다. host의 자원을 무제한으로 사용할 수 있다. 이러한 단점의 일부를 극복할 수 있는 pivot_root를 통한 격리에 대해 알아보겠...

1. chroot를 이용한 프로세스 격리 https://velog.io/@_gyullbb/1-1.-%EC%BB%A8%ED%85%8C%EC%9D%B4%EB%84%88-%EA%B2%A9%EB%A6%AC 2. pivot_root + mnt를 이용한 프로세스 격리 https://velog.io/@_gyullbb/1-2.-%EC%BB%A8%ED%85%8C%EC%9D...

컨테이너 내부에 Docker를 사용하는 것을 의미한다.그 중 Kind는 Node역할을 하는 Container안에서 또 컨테이너를 띄워 클러스터를 구성하는 방식으로, 손쉽게 클러스터를 생성하고 테스트 용도로 활용할 수 있다.Kind 설치 후 아래 yaml을 활용하여 클러

Calico CNI 구성 Calico는 아래의 구성요소들을 통해 Kubernetes에서의 네트워크 통신 기능을 제공한다. Calico-kube-controllers Kubernetes API Server로부터 pod, namespace, 네트워크 정책 등 클러스터의 네트워크 리소스를 주기적으로 조회하여 새로운 네트워크 정책이 생성된 것을 감지한 후 Cal...

동일 노드 내 파드 통신 동일 노드 내 파드 간 통신은 가상 라우터 calico-node를 통해 내부에서 직접 통신된다. 동일 노드 내에 파드를 2개 생성 한 후 통신을 하며 모니터링 해본다. pod 생성 전 상태 pod 생성 후 상태 calicoctl을 통해서

Service Kubernetes Service에는 clusterIP, nodePort, LoadBalancer 3가지 타입이 존재하고, Service는 kube-proxy에 의해 동작하게 된다. 각각에 대하여 상세히 알아보자. kube-proxy kube-proxy란? 서비스 통신 동작에 대한 설정을 관리하는 역할로 모든 Kubernetes 노드에 da...

LoadBalancer LoadBalancer 타입 서비스는 크게 2가지 방식으로 동작한다. 각 방식에 대하여 살펴보자. LoadBalancer - Nodeport - Pod 외부 클라이언트가 LoadBalancer로 접속을 하면, LoadBalancer는 노드의 NodePort를 목적지 포트로 트래픽을 전송한다. 이후 노드의 iptables 정보로 Po...

IPVS란 IPVS 는 리눅스 커널에서 동작하는 소프트웨어 로드밸런서이다. 백엔드(플랫폼)으로 Netfilter 를 사용하며, TCP/UDP 요청을 처리 할 수 있다. IPVS 설정 확인 strictARP IPVS 클러스터를 생성하고 난 후 kube-proxy configmap을 확인하면 strictARP: true 설정을 볼 수 있다. * strict...

ingress란 Kubernetes에서 클러스터 외부의 네트워크 트래픽을 클러스터 내부의 서비스로 라우팅하기 위한 리소스, 도메인 기반 라우팅 / 경로 기반 라우팅 / TLS 인증 / 로드 밸런싱 등 기능을 제공한다. ingress controller란 Ingress Controller는 정의된 Ingress 리소스를 실제로 동작하게 하는 리소스로, 클러...

Istio 구성요소 Istio는 크게 네트워크 정책을 설정하고 데이터플레인에 정책을 전달하는 중앙 관리 시스템인 컨트롤플레인, 실제로 서비스 간의 통신을 제어하며 실제 트래픽을 처리하는 데이터플레인으로 이루어진다. 각각에 대해서 자세히 알아본다. 컨트롤 플레인 (Istiod) Istiod Istiod는 컨트롤플레인의 관리 시스템이 동작하기 위한 핵심 컴포...

성능 저하: 방대한 규칙이 쌓일수록 검사해야하는 패킷 수가 늘어나면서 성능이 저하된다. 복잡한 유지보수: 규칙이 많아질수록 관리가

AWS VPC CNI AWS VPC CNI는 Amazon EKS에서 Pod가 VPC의 IP 주소를 직접 사용할 수 있게 해주는 네트워크 플러그인이다. 이를 통해 Pod와 외부 네트워크간의 통신이 VPC 내에서 직접적으로 이루어지며, 추가적인 네트워크 변환 없이 통신이 가능하도록 한다. VPC CNI의 중요한 특징 중 하나는 Pod가 노드의 네트워크 대역(...