쿠버네티스, 왜 필요할까 🤔
모놀리스 애플리케이션에서 마이크로 서비스로 전환
- 모놀리스 애플리케이션
- 전체가 하나의 운영체제 프로세스로 실행되기 때문에 하나의 개체로 개발, 배포, 관리된다.
- 하나의 변경 사항을 적용하기 위해 전체를 다시 빌드/테스트/배포 해야한다.
- 애플리케이션 확장이 어렵다.
이러한 문제로
모놀리스 애플리케이션을 마이크로 서비스라는 독립적으로 배포할 수 있는 작은 구성 요소로 분할했다.
- 마이크로 서비스
- 각 마이크로 서비스는 독립적인 프로세스로 실행되며 api로 또 다른 마이크로 서비스와 통신한다.
- 새로 추가되거나 변경 사항이 있는 서비스만 빠르게 빌드/테스트/배포가 가능하다.
- 리소스가 더 필요한 서비스만 별도로 확장 가능하다.
[문제 상황 1] 마이크로 서비스의 단점 : 종속성의 충돌
마이크로 서비스 아키텍쳐의 구성 요소는 독립적인 방식으로 개발된다.
각 구성 요소를 개발하는 별도의 팀이 있는 것이 일반적인데
각각의 개발자가 자신의 노트북으로 애플리케이션은 개발 중인 상황을 떠올려보자.
각각의 어플리케이션은 서로 다른 라이브러리, 종속성 및 파일에 의존하고 있으며,
동시에 회사는 자체 설정과 지원 파일 세트에 준하여 표준화된 개발 및 프로덕션 환경을 갖추고 있다.
이때, 서버 환경을 재구축하는 부가적인 작업 없이 가능한 한 로컬에서 이러한 환경을 에뮬레이션하려고 한다. 그렇다면 이러한 환경 전체에서 애플리케이션이 작동되게 하고, 품질 검사를 통과하고, 큰 문제나 수정 없이 애플리케이션을 배포할 수 있을까?
동일한 호스트에 배포해야하는 구성 요소 수가 많을 수록 모든 종속성을 관리하기 매우 어려워진다.
[문제 상황 2] 일관된 환경의 중요성 : 개발, 프로덕션 환경
개발, 배포하는 구성 요소의 수에 상관없이, 개발팀과 운영팀이 해결해야 하는 큰 문제가 있다.
애플리케이션을 실행하는 환경이 매번 다르다는 것이다.
개발자의 로컬 환경에서는 잘 운영되던 코드가
운영팀이 운영하는 프로덕션 환경에서는 오류가 생길 수도 있다.
프로덕션 환경에서만 나타나는 문제를 줄이기 위해
애플리케이션 개발과 프로덕션이 정확히 동일한 환경에서 실행돼
운영체제, 라이브러리, 시스템 구성, 네트워킹 환경 등 모든 것이 동일한 환경으로 만들어야 한다.
[문제 상황 3] 개발자와 시스템 관리자의 동상이몽
-
개발자와 시스템 관리자의 공통 목표
고객이 성공적으로 실행할 수 있는 애플리케이션을 제공하는 것 -
개발자는
새로운 기능을 만들고 사용자 경험 향상에 중요도를 둔다. -
시스템 운영자는
개발자에게 우선순위가 낮은 시스템 보안, 사용률과 같은 측면에 중요도를 둔다.
해답은 쿠버네티스
앞서 언급한 문제 상황을
쿠버네티스가 어떻게 해결해주는지 살펴보자!🔍
컨테이너 소개 📦
컨테이너의 개요
[문제 상황 1] 마이크로 서비스의 단점! 에서
한 호스트에 마이크로 서비스 애플리케이션을 개발한다고 가정할 때,
구성 요소의 구성(라이브러리 버전 등)은 다를 수 있다는 종속성 차이에 대해 언급했다.
이에 대한 답은 바로 '컨테이너'를 사용하는 것이다.
애플리케이션을 실행하는 컨테이너는 각각의 필수 라이브러리, 종속 요소와 파일을 사용하므로
문제없이 원활하게 애플리케이션을 프로덕션으로 진행할 수 있다.
뿐만 아니라 이식성, 구성 가능성, 격리가 필요한 경우 리눅스 컨테이너를 다양한 문제에 적용할 수 있다.
컨테이너는 동일한 호스트 시스템에서
동시에 서로 다른 환경을 만들어주어 가상머신과 유사하게 격리한다.
하지만 가상머신보다 오버헤드가 훨씬 적은 기술이다.
컨테이너와 가상머신 비교
| 가상머신 | 컨테이너 | |
|---|---|---|
| 주요 차이점 | 단일 하드웨어 시스템에서 여러 운영 체제가 동시에 실행될 수 있도록 한다. | 호스트 OS에서 실행되는 커널을 공유하고, 동일한 커널에서 시스템 콜을 수행한다. |
| 동일한 하드웨어에서 실행할 수 있는 구성요소 양 비교 | 적다. 구성요소 프로세스 뿐만 아니라 시스템 프로세스를 실행하기 때문에 추가 컴퓨팅 리소스가 필요하기 때문이다. | 많다. 컨테이너는 모두 동일한 OS에서 실행되기 때문에 오버헤드가 낮기 때문이다. |
| 격리 수준 비교 | 가상머신은 자체 리눅스 커널을 실행하기 때문에 호스트와 완전한 격리를 제공한다. | 컨테이너는 동일한 OS의 커널을 호출함으로 완전한 격리를 제공하지 않는다. 따라서 보안 위험이 발생할 가능성이 있다. |
컨테이너 격리를 가능하게 하는 매커니즘
컨테이너는 동일한 호스트의 OS를 공유하고 있는데, 어떤 매커니즘으로 격리를 제공하고 있을까?
⑴ namespace
각 프로세스가 시스템(파일, 프로세스, 네트워크 인터페이스, 호스트 이름 등)에 대한 독립적인 뷰만 볼 수 있도록 한다.
현재 리눅스 커널에서는 다음 6가지 namespace를 지원하고 있다:
- mnt (파일시스템 마운트): 호스트 파일시스템에 구애받지 않고 독립적으로 파일시스템을 마운트하거나 언마운트 가능
- pid (프로세스): 독립적인 프로세스 공간을 할당
- net (네트워크): namespace간에 network 충돌 방지 (중복 포트 바인딩 등)
- ipc (SystemV IPC): 프로세스간의 독립적인 통신통로 할당
- uts (hostname): 독립적인 hostname 할당
- user (UID): 독립적인 사용자 할당
기본적으로 리눅스 시스템에 하나의 네임스페이스가 있다.
그러나 추가 네임 스페이스를 생성하고 구성할 수 있다.
프로세스를 실행할 때 네임스페이스 중 하나에서 프로세스를 실행한다.
(프로세스는 하나의 네임스페이스에만 속하는 것이 아니라 여러 네임스페이스에 속할 수도 있다.)
⑵ cgroups
프로세스가 사용할 수 있는 리소스의 양을 제한하게 해주는 리눅스의 기능이다.
cgroups는 다음 리소스를 제어할 수 있다:
- 메모리
- CPU
- I/O
- 네트워크
- device 노드(
/dev/)
프로세스는 설정된 양 이상의 리소스를 사용할 수 없다.
이런 방식으로 프로세스는 다른 프로세스 용으로 설정된(예약해 놓은) 리소스를 사용할 수 없으며
이는 프로세스가 별도의 시스템에서 실행될 때와 비슷하다.
Docker
도커는 애플리케이션을 패키징, 배포, 실행하기 위한 플랫폼이다.
애플리케이션에 필요한 전체 환경을 패키지화 하여,
중앙 저장소로 전송할 수 있으며,
도커를 실행하는 모든 컴퓨터에서 사용할 수 있다.
이러한 도커의 세가지 주요 개념은 다음과 같다.
- 이미지 : 애플리케이션과 해당 환경을 패키지화 한 것이다.
- 레지스트리 : 이미지를 저장하고, 공유할 수 있는 저장소이다.
- 컨테이너 : 도커 기반 컨테이너 이미지에서 생성된 리눅스 컨테이너로, 호스트에서 실행되는 프로세스이지만 격리돼 있다. 프로세스는 cgroups로 리소스 양이 제한되어 있으므로 할당된 양만 사용 가능하다.
쿠버네티스 소개 ⚙️
결론적으로 쿠버네티스가 해결해주는것은 무엇일까?
- [문제 상황 3] 개발자와 시스템 관리자의 동상이몽
개발자는 기능 개발을,
시스템 관리자는 보안과 같은사용률과 같은 측면에 중요도를 둔다고 했었다.
-
쿠버네티스를 이용하면
개발자는 특정 인프라 관련 서비스를 애플리케이션에 구현하지 않아도 된다.
따라서 실제 기능을 개발하는 것에만 집중할 수 있다. -
또한 시스템 관리자는 쿠버네티스가 애플리케이션을 재배치하고 조합함으로 리소스를 훨씬 더 효율적으로 이용할 수 있게 된다.
뿐만아니라 고장 난 노드를 자동으로 처리하도록 함으로써 따라서 운영팀은 더 편하게 잠을 잘 수 있다...ㅎ
쿠버네티스 핵심
우선 쿠버네티스의 핵심적인 구조와 워크 플로우에 대해서만 정리했다.
쿠버네티스는 컨테이너화된 애플리케이션을 쉽게 배포하고 관리할 수 있게 해주는 소프트웨어 시스템이다.
다음 그림은 쿠버네티스의 구조이다.
크게 마스터 노드와 워커노드로 구성된다.
- 마스터 노드 : 전체 쿠버네티스 시스템을 제어하고 관리하는 쿠버네티스 컨트롤 플레인을 실행
- 워커 노드 : 실제 배포되는 컨테이너 애플리케이션을 실행
큰 워크 플로우는
개발자가 애플리케이션 매니페스트를 작성
➡️ 매니페스트를 마스터 노드에 배포
➡️ 쿠버네티는 해당 애플리케이션을 워커 노드 클러스터에 배포한다.
구조를 더 자세히 살펴 보자.
컨트롤 플레인
- 마스터 노드가 실행시킨다.
- 클러스터를 제어하고 작동시킨다.
- 구성요소
- kube-apiserver : K8S API를 노출하는 컨트롤 플레인의 프론트엔드
- etcd : 클러스터의 모든 데이터를 보관하는 일관성, 고가용성을 보장하는 키-값 저장소
어떤 노드가 존재하고 클러스터에 어떤 리소스가 존재하는지와 같은 정보
- kube-scheduler : 새로운 POD 생성을 감지하고, 실행시킬 워커 노드를 선택하는 역할
- kube-controller-manager : 디플로이먼트 같은 리소스 컨트롤러를 관리. API 서버를 통해 클러스터의 공유된 상태를 감지하고, 현재 상태를 원하는 상태로 이행하는 컨트롤 루프를 관리
- cloud-controller-manager : 클라우드 업체와 연동하여 로드 밸런서나 디스크 볼륨 같은 자원을 관리
이 컨트롤 플레인의 구성요소는 클러 스터 상태를 유지하고 제어하지만 애플리케이션을 실행시키지는 않는다.
노드
워커 노드는 컨테이너화 된 애플리케이션을 실행하는 시스템이다.
- kubelet : 각 노드에서 실행되는 에이전트, 컨테이너 런타임을 관리하고 상태를 모니터링, POD에서 컨테이너가 확실하게 동작하도록 관리
- kube-proxy : 각 노드에서 실행되는 네트워크 프록시. Service 개념의 구현부. 서로 다른 노드에 있는 POD 간 통신이나 POD와 인터넷 사이의 네트워크 트래픽을 라우팅
- 컨테이너 런타임 : 테이너를 시작하고, 중지. 대표적으로 Docker
출처
- 책 - Kubernetes in action
- https://velog.io/@cclare/%EB%AA%A8%EB%86%80%EB%A6%AC%EC%8B%9D-%EB%A7%88%EC%9D%B4%ED%81%AC%EB%A1%9C%EC%84%9C%EB%B9%84%EC%8A%A4
- https://kubernetes.io/ko/docs/concepts/overview/what-is-kubernetes/
- https://www.redhat.com/ko/topics/containers/whats-a-linux-container
- https://tech.ssut.me/what-even-is-a-container/
- https://bcho.tistory.com/1256
