[Project] Multi-Tenant K8s Cluster on ARM64
1.[Project] Multi-Tenant K8s Cluster on ARM64 - (1) Intro
지난 홈랩 구축기 를 마무리 하며 드디어 온전한 홈랩을 갖게 되었습니다. 여기서 할 수 있는 것들이 너무나 많지만 가장 해보고 싶었던 것을 생각해보니 Google, AWS, MS 처럼 CSP의 시스템을 구축해보고 그 역할을 수행해보면 참 재밌겠다는 생각이 들었습니다.
2.[Project] Multi-Tenant K8s Cluster on ARM64 - (2) RBAC - admin/tenant
우선 제 홈랩 영역에 외부 사용자(테넌트)가 들어올 수 있기 때문에 권한 격리를 했습니다. 1. [기능 설명] 테넌트 인증 및 권한 격리 (RBAC) > 클러스터 내에서 각 테넌트가 자신의 자원만 제어할 수 있도록 논리적 격리를 구현하는 것.(CSP 서비스에서 사용
3.[Project] Multi-Tenant K8s Cluster on ARM64 - (3) Storage Quota & Isolation
RBAC 설정을 통해 ‘누가(admin/tenant)’ 들어올 수 있는지를 정의했습니다. 이제 각 테넌트가 사용할 수 있는 물리적 자원의 크기를 결정할 차례입니다.그 중에서 라즈베리파이의 SD 카드나 외장 SSD 를 보호하기 위한 Storage Quota & Isola
4.[Project] Multi-Tenant K8s Cluster on ARM64 - (4) Dynamic Resource Quota - CPU/Memory
지난번에 스토리지에 대한 제한 및 격리를 진행했습니다. 이번에는 CPU와 RAM에 대한 제한과 격리 작업을 진행해보겠습니다.테넌트가 생성하는 파드들이 사용하는 물리적인 연산 자원(CPU/RAM)을 제한하는 기능안전한 멀티 테넌시 : 특정 테넌트의 코드가 무한 루프에 빠
5.[Project] Multi-Tenant K8s Cluster on ARM64 - (5) Zero-Trust Network Policy - 1
현재 클러스터는 자원은 분리되어 있지만, 네트워크는 여전히 모두가 모두와 대화할 수 있는 상태이를 해결하기 위해 Zero-Trust 기반 Network Policy 설정을 진행쿠버네티스의 기본 네트워크 구조는 Flat Network네임스페이스가 달라도 서로의 IP만 알
6.[Project] Multi-Tenant K8s Cluster on ARM64 - (6) CNI 설정 - Calico 사용
이전 포스팅에서 Network Policy 적용을 위해 Calico를 설치하는 과정 중, 기존에 사용하던 Flannel 과 충돌하여 파드 생성에 실패하는 오류가 발생했습니다.이번 포스팅에서는 CNI의 개념을 다시 한 번 짚어보고, 구체적인 문제 원인 파악과 함께 Cal
7.[Project] Multi-Tenant K8s Cluster on ARM64 - (7) Zero-Trust Network Policy - 2
Egress All Deny - 나가는 문(Egress)을 모두 잠그기쿠버네티스의 기본 설정은 모든 파드가 외부와 자유롭게 통신할 수 있는 ‘Open’ 상태임/테넌트 환경에서는 보안 사고 방지를 위해 화이트리스트 전략이 필수임DNS 허용 (Essential) - 이름(
8.[Project] Multi-Tenant K8s Cluster on ARM64 - (8) External Access Point
쿠버네티스 내부의 파드는 기본적으로 외부와 격리되어 있습니다. 관리자(나)는 각 테넌트 네임스페이스에 MetalLB 를 이용한 LoadBalancer IP 를 할당하고, 이를 통해 사용자가 할당받은 IP로 즉시 SSH 접속을 할 수 있는 환경을 구축해보고자 합니다. 이
9.[Project] Multi-Tenant K8s Cluster on ARM64 - (9) Network Trouble Shooting Report
홈랩 구축 및 멀티 테넌트 프로젝트를 진행하며 압도적으로 고생을 많이 했던 네트워크 설정 과정에서 경험한 트러블 슈팅 내용을 정리해보았습니다. 가정용 네트워크 환경에서 구축한 홈랩이다보니 문제 원인을 찾는 것도 오래 걸리고,, 파악하는 것도 정말 오래 걸렸던 것 같습니
10.[Project] Multi-Tenant K8s Cluster on ARM64 - (10) [Refactor] Building a Truly Stateful (Storage)
현재 입주해 있는 테넌트 중 한 분이 “인스턴스가 재시작 되면 일부 코드가 날라가는 것 같아요” 라는 피드백을 주셨습니다. 이전에 진행한 스토리지 설정 과정 에서 스토리지 자원 관리(Quota)와 데이터 격리(Isolation)만 설정을 했고, 영속성에 대한 생각을 못
11.[Project] Multi-Tenant K8s Cluster on ARM64 - (11) Monitoring Dashboard
이번에는 홈랩의 모니터링 서버를 구축해보려고 합니다. 고도화 해볼 요소가 많은 부분인데, 우선 간단하게 Node-Exporter/kube-state-metrics + Prometheus + Grafana 를 사용하겠습니다.우선 공통적으로 모니터링 서버를 클러스터와 격리
12.[Project] Multi-Tenant K8s Cluster on ARM64 - (12) Using Master Node Resource
마스터 노드의 리소스 구성은 CPU - 4.0 Core / RAM - 8GB / Storage - 256GB 입니다. 여기서 실제 마스터 노드 운영에 필요한 리소스를 제외하면 놀고 있는 리소스가 상당할 것으로 예상이 됩니다. 그래서 더 많은 리소스를 멀티 테넌트에 사용
13.[Project] Multi-Tenant K8s Cluster on ARM64 - (13) [Refactor] Add web external port
현재 테넌트 서버에 접속 가능한 포트는 SSH 접속을 위한 포트뿐입니다. 테넌트 서버에 백엔드 서비스 혹은 모니터링 대시보드 등을 띄웠을 경우 외부 접속 포트가 없고, SSH 접속을 위한 포트로 접속 시 브라우저(HTTP)가 기대하는 응답 웹 프로토콜과 실제 응답으로
14.[Project] Multi-Tenant K8s Cluster on ARM64 - (14) Network Flow
현재까지 구축한 멀티-테넌트 프로젝트의 네트워크 흐름에 대해 정리해보고 도식화 해보았습니다.현재 구축한 멀티-테넌트 프로젝트의 아키텍처 입니다. Users(클라이언트)가 테넌트 서버로 네트워크 통신을 보냈을 때 네트워크의 흐름을 패킷의 목적지 정보와 함께 정리해보겠습니
15.[Project] Multi-Tenant K8s Cluster on ARM64 - (15) Retrospect (Sprint 1)
Multi-Tenant K8s Cluster on ARM64 의 첫 스프린트(?)였던 프로젝트 구축 및 교내 개발 동아리(GREEDY) 프로젝트 지원이 지난주 토요일에 종료되었습니다. 첫 스프린트 기간을 회고해보겠습니다. 프로젝트는 왜 시작했는가? 작년 여름부터 인프