악분의 블로그

평소에 pause container는 어떻게 궁금했었는데, LuLu님 블로그에 pause container실행 과정을 분석해주셨습니다. kubelet, conatinerd 코드를 분석하면서 과정 하나하나 설명되어 있습니다.- 블로그 링크: https://mateon.tistory.com/127 1. pause contianer가 network namespace를 생성할까?위 블로그 내용을 읽고 공부를 해보니 제가 잘못 알고 있었던 내용이 있었습니다. pause container가 network namespace를 생성하고 유지하는줄 알았는데, CRI가 network namespace를 생성하고 pause container가 network namespace를 유지하는 것이었습니다. CRI가 contain..

이 글을 읽기 위해 chroot를 알고 있어야 합니다. chroot는 저의 이전 글에 정리했습니다.블로그 링크: https://malwareanalysis.tistory.com/763 1. chroot 취약점chroot는 디렉터리를 탐색할 수 있는 취약점이 있습니다.  아래 예제는 chroot로 nginx컨테이너를 생성한 프로세스입니다. nginx 컨테이너가 디렉터리 탐색을 사용해서 최상위 경로로 루트 디렉터리를 변경했습니다. nginx 컨테이너의 루트 디렉터리가 호스트 루트 디렉터리로 변경되었기 때문에, 호스트에 있는 정보를 탈취할 수 있습니다. 아래 예는 /etc/passwd파일을 탈취했습니다. 실습환경이 vagrant이기 때문에 vagrant user가 보입니다. 아래 코드는 파이썬 탈옥코드입니다...

안녕하세요. 저는 쿠버네티스로 커리어를 시작했고 어느덧 4년차 엔지니어가 되었습니다. 4년차가 되면서 어떻게 제가 쿠버네티스 등을 공부했는지 정리해봤습니다.운이 좋게 쿠버네티스로 커리어를 시작했지만 현재는 쿠버네티스 뿐만 아니라 클라우드, 네트워크 등 다양한 분야를 얇게 만지고 있습니다. 아마 대부분의 쿠버네티스를 다루는 사람들은 쿠버네티스 코어 코드를 개발하는 분야(예: EKS, AKS, GCP, NKS 등)가 아닌 쿠버네티스를 다루는 사람일 것이라고 생각합니다. 저 또한 쿠버네티스를 다루는 사람 중 한명입니다.쿠버네티스를 다룬다는 것은 개발자가 만든 애플리케이션을 쿠버네티스에 잘 실행되도록 설정하는 것입니다. 여기서 애플리케이션이 쿠버네티스에 잘 실행되게 한다는 것은 정말 많은 것을 포함합니다...

istio serviceentry는 service mesh에 없는 host를 등록하는 기능입니다. 보통 도메인을 설정하는데 도메인이 없는 IP를 serviceentry를 등록할 때가 있습니다. IP만 등록할 때는 protocol를 TCP 또는 UDP로 설정해야 합니다. 아래 예제처럼 HTTP로 설정하면 serviceentry가 동작하지 않습니다.apiVersion: networking.istio.io/v1beta1kind: ServiceEntrymetadata: name: test-serviceentryspec: addresses: - 192.168.0.3 hosts: - 192.168.0.3 location: MESH_EXTERNAL ports: - name: test ..

AWS에서 Security Group 체이닝은 두 개의 Security Group이 서로 통신할 수 있도록 연결시키는 것을 의미합니다. 모든 security group이 체이닝이 가능한 것은 아닙니다. TGW 등 Security Group 체이닝이 안되는 서비스가 일부 존재합니다. 안되는지 쉽게 확인하려면 무식하게 직접 설정하면서 깨닫는 수밖에 없습니다. Security Group 체이닝이 불가능한 상황이라면, Security Group이 있더라도 존재하지 않는 Security Group라고 에러가 발생합니다.

인프라 작업을 할 때 제어할 수 없는 영역이 있습니다. 바로, 나에게 설정권한이 없는 영역입니다. 그리고 내가 그 영역에 대한 지식이 없다면 매우 작업이 고단합니다. 최근에 제가 겪은 사례를 제어할 수 없는 2가지 사례를 공유드리려고 합니다. 첫 번째 사례는 도메인 설정작업입니다. 최근 작업한 도메인들 중 일부는 저에게 설정권한이 없었습니다. 그래서 신청했어야 하는데 누구한테 신청해야할지도 모르는 상황이고 무엇을 신청해야할지도 몰랐습니다. 우여곡절 끝네 신청했지만, 처음에 제가 의도한대로 동작을 안해서 설정 수정 요청을 해야했습니다. 요청한 작업이 끝날 때까지 기다렸고 오늘 다시 작업을 하려고 했는데... 또 제가 의도한대로 동작을 안해서 이번 주 안에 또 신청할 예정입니다. 😂 두 번째 사례는 ..