악분의 블로그

1. eksctl란? AWS에서 공식으로 지원하는 eks관리 CLI입니다. kubectl처럼 eks를 관리하고 싶으신 분들에게 매우 좋습니다. eksctl의 단점은 eks만 관리합니다. aws다른 리소스를 관리하지 못합니다. 개인적으로 eks에 익숙하지 않으면, eksctl로 eks를 관리하는 것이 매우 좋은 선택인 것 같습니다. 2. 준비 2.1 eksctl 설치 eksctl은 실행파일로 제공됩니다. 공식문서에서 제공해준 명령어 그대로 입력하면 실행파일 다운로드 받습니다. 출처: https://docs.aws.amazon.com/ko_kr/eks/latest/userguide/eksctl.html # linux기준 curl --silent --location "https://github.com/weav..

EKS를 생성하는 방법은 매우 다양합니다. AWS console AWS console에서 직접 EKS를 생성하는 방법입니다. 가장 쉽게 EKS를 관리하는 방법입니다. console로 직접 작업을 하기 때문에 히스토리를 추적하기 어렵습니다. 또한, EKS구성을 확인하려면 일일이 console에서 전부 확인해야 합니다. EKSCTL kubectl처럼 EKS를 조작할 수 있는 CLI입니다. EKS공식문서도 eksctl를 제공하기 때문에 CLI로 관리하고 싶으신 분들에게 추천드립니다. git과 연동을 하면 히스토리 관리도 할 수 있지만 의무사항이 아니기 때문에 누군가 지키지 않으면 히스토리 추적하기가 어렵습니다. EKSCTL의 또다른 단점은 EKS에 특화되어 있습니다. EKS와 연관되어 있지 않은 AWS리소스는..

EKS란? EKS는 AWS Managed Kubernetes입니다. AWS가 쿠버네티스 클러스터를 생성하고 수정, 삭제를 전부 담당하므로 “Managed”라는 키워드가 있습니다. 사용자는 비용을 지불하고 비지니스 로직을 쿠버네티스로 어떻게 관리할까만 고민하면 됩니다. 쿠버네티스만 아는 사람이 바라보는 EKS 쿠버네티스를 직접 설치하는 것과 EKS를 사용하는 것은 2가지 차이가 있습니다. 쿠버네티스가 AWS환경에서 실행된다. control-plane은 AWS가 직접 관리한다. AWS에 쿠버네티스에 동작하기 때문에 쿠버네티스는 AWS리소스가 활용됩니다. 워커노드는 EC2 Instance 또는 Fargate를 사용하고 네트워크는 VPC영향을 받습니다. LoadBalancer타입 서비스를 생성하면 AWS ELB..

이번주 매우 인상깊은 영화 리뷰를 봤습니다. 빨간도깨비 영화 유투브 채널에서 리뷰한 영상입니다. 마블영화에서 보여준 아이언맨을 매우 인상깊게 해석했습니다. 빨강도깨비님은 아이언맨 다음 시리즈에서 등장한 기술은 이전 영화에서 실수 또는 부족한점을 개선한 기술라고 해석했습니다. 마블영화를 볼 때 아무 생각없이 봤었는데, 실수개선이라고 생각하고 보니 본받을 점이 많은 캐릭터라고 느꼈습니다. https://youtu.be/xjtnEBt73AY

5주차 여섯번째 주제는 pod securityContext.allowPrivilegeEscalation입니다. allowPrivilegeEscalation이란? allowPrivilegeEscalation은 컨테이너가 실행 된 후, 컨테이너 유저 권한보다 높은 권한을 제어합니다. 공식문서 allowPrivilegeEscalation설명을 보면 부모 프로세스보다 높은 권한을 얻는 것을 제어한다고 되어 있습니다. 컨테이너에서 부모(최초) 프로세스는 entrypoint로 실행된 프로세스입니다. entrypoint는 Dockerfile에서 USER로 설정된 사용자로 실행됩니다. 결국, 컨테이너 유저보다 높은 권한을 제어한다는 의미와 같습니다. 예제 예제는 allowPrivilegeEscalation를 false..

5주차 다섯번째 주제는 pod securityContext.capability입니다. readOnlyRootFilesystem이란? 쿠버네티스 컨테이너 내부 파일을 수정하지 못하게 하려면 어떻게 해야할까요? 파일 읽기권한만 설정하면 됩니다. 쿠버네티스에서 파일읽기권한만 설정하는 것을 readOnlyRootFilesystem이라고 합니다. securitycontext.readOnlyRootFilesystem필드에 bool값으로 설정할 수 있습니다. apiVersion: v1 kind: Pod metadata: name: rootfile-readonly spec: containers: - name: busybox image: busybox command: ["tail"] args: ["-f", "/dev/n..