Multi-Tenant K8s Cluster on ARM64 의 첫 스프린트(?)였던 프로젝트 구축 및 교내 개발 동아리(GREEDY) 프로젝트 지원이 지난주 토요일에 종료되었습니다. 첫 스프린트 기간을 회고해보겠습니다. 프로젝트는 왜 시작했는가? 작년 여름부터 인프

현재까지 구축한 멀티-테넌트 프로젝트의 네트워크 흐름에 대해 정리해보고 도식화 해보았습니다.현재 구축한 멀티-테넌트 프로젝트의 아키텍처 입니다. Users(클라이언트)가 테넌트 서버로 네트워크 통신을 보냈을 때 네트워크의 흐름을 패킷의 목적지 정보와 함께 정리해보겠습니

현재 테넌트 서버에 접속 가능한 포트는 SSH 접속을 위한 포트뿐입니다. 테넌트 서버에 백엔드 서비스 혹은 모니터링 대시보드 등을 띄웠을 경우 외부 접속 포트가 없고, SSH 접속을 위한 포트로 접속 시 브라우저(HTTP)가 기대하는 응답 웹 프로토콜과 실제 응답으로

마스터 노드의 리소스 구성은 CPU - 4.0 Core / RAM - 8GB / Storage - 256GB 입니다. 여기서 실제 마스터 노드 운영에 필요한 리소스를 제외하면 놀고 있는 리소스가 상당할 것으로 예상이 됩니다. 그래서 더 많은 리소스를 멀티 테넌트에 사용

이번에는 홈랩의 모니터링 서버를 구축해보려고 합니다. 고도화 해볼 요소가 많은 부분인데, 우선 간단하게 Node-Exporter/kube-state-metrics + Prometheus + Grafana 를 사용하겠습니다.우선 공통적으로 모니터링 서버를 클러스터와 격리

현재 입주해 있는 테넌트 중 한 분이 “인스턴스가 재시작 되면 일부 코드가 날라가는 것 같아요” 라는 피드백을 주셨습니다. 이전에 진행한 스토리지 설정 과정 에서 스토리지 자원 관리(Quota)와 데이터 격리(Isolation)만 설정을 했고, 영속성에 대한 생각을 못

홈랩 구축 및 멀티 테넌트 프로젝트를 진행하며 압도적으로 고생을 많이 했던 네트워크 설정 과정에서 경험한 트러블 슈팅 내용을 정리해보았습니다. 가정용 네트워크 환경에서 구축한 홈랩이다보니 문제 원인을 찾는 것도 오래 걸리고,, 파악하는 것도 정말 오래 걸렸던 것 같습니

쿠버네티스 내부의 파드는 기본적으로 외부와 격리되어 있습니다. 관리자(나)는 각 테넌트 네임스페이스에 MetalLB 를 이용한 LoadBalancer IP 를 할당하고, 이를 통해 사용자가 할당받은 IP로 즉시 SSH 접속을 할 수 있는 환경을 구축해보고자 합니다. 이

Egress All Deny - 나가는 문(Egress)을 모두 잠그기쿠버네티스의 기본 설정은 모든 파드가 외부와 자유롭게 통신할 수 있는 ‘Open’ 상태임/테넌트 환경에서는 보안 사고 방지를 위해 화이트리스트 전략이 필수임DNS 허용 (Essential) - 이름(

이전 포스팅에서 Network Policy 적용을 위해 Calico를 설치하는 과정 중, 기존에 사용하던 Flannel 과 충돌하여 파드 생성에 실패하는 오류가 발생했습니다.이번 포스팅에서는 CNI의 개념을 다시 한 번 짚어보고, 구체적인 문제 원인 파악과 함께 Cal

현재 클러스터는 자원은 분리되어 있지만, 네트워크는 여전히 모두가 모두와 대화할 수 있는 상태이를 해결하기 위해 Zero-Trust 기반 Network Policy 설정을 진행쿠버네티스의 기본 네트워크 구조는 Flat Network네임스페이스가 달라도 서로의 IP만 알

지난번에 스토리지에 대한 제한 및 격리를 진행했습니다. 이번에는 CPU와 RAM에 대한 제한과 격리 작업을 진행해보겠습니다.테넌트가 생성하는 파드들이 사용하는 물리적인 연산 자원(CPU/RAM)을 제한하는 기능안전한 멀티 테넌시 : 특정 테넌트의 코드가 무한 루프에 빠

RBAC 설정을 통해 ‘누가(admin/tenant)’ 들어올 수 있는지를 정의했습니다. 이제 각 테넌트가 사용할 수 있는 물리적 자원의 크기를 결정할 차례입니다.그 중에서 라즈베리파이의 SD 카드나 외장 SSD 를 보호하기 위한 Storage Quota & Isola

우선 제 홈랩 영역에 외부 사용자(테넌트)가 들어올 수 있기 때문에 권한 격리를 했습니다. 1. [기능 설명] 테넌트 인증 및 권한 격리 (RBAC) > 클러스터 내에서 각 테넌트가 자신의 자원만 제어할 수 있도록 논리적 격리를 구현하는 것.(CSP 서비스에서 사용

지난 홈랩 구축기 를 마무리 하며 드디어 온전한 홈랩을 갖게 되었습니다. 여기서 할 수 있는 것들이 너무나 많지만 가장 해보고 싶었던 것을 생각해보니 Google, AWS, MS 처럼 CSP의 시스템을 구축해보고 그 역할을 수행해보면 참 재밌겠다는 생각이 들었습니다.

Mumshad Mannambeth 님의 Certified Kubernetes Administrator (CKA) with Practice Tests 강의를 들으며 정리한 내용들입니다. Udemy Mumshad님- CKA 강의 들으러 가기클러스터의 워커노드로 구성된 머신

생성된 컨테이너에 접속할 때는 kubectl exec 명령어를 사용하는데 가상 터니멀을 생성(-t)하고 표준 입력을 패스 스루(-i) 하면서 /bin/sh 를 실행하면 컨테이너에 SSH로 로그인 한 상태가 됨정상 수행 중 인지 명령어 실행외부에서 명령어 실행도커 파일로

작년 6월부터 꾸준한 기여 활동을 하며 이번에 Kubernetes SIG-Docs-ko Reviewer 자격을 획득했습니다. 🎉🎉이번 포스트에서는 어떻게 쿠버네티스에 기여할 수 있는지, 문서 기여는 어떻게 진행되는지 등을 다뤄보겠습니다.우선 다들 쿠버네티스 문서 를

Network Address TranslationNAT는 사설 IP 주소를 공인 IP 주소로 변환하거나, 그 반대의 과정을 수행하는 기술이다. (사설 IP 주소 ↔ 공인 IP 주소)IPv4 주소 부족 문제를 해결하기 위해 고안되었으며, 내부 네트워크의 보안성을 높이는

가상적인 쿠버네티스 클러스터 분리 기능완전한 분리 개념이 아니기 때문에 용도는 제한되지만, 하나의 쿠버네티스 클러스터를 여러팀에서 사용하거나 서비스 환경/스테이징 환경/개발 환경으로 구분하는 경우 사용 가능기본 설정에서 제공하는 Namespacekube-system쿠버