지식창고

https://kubernetes.io/ko/docs/concepts/storage/persistent-volumes/ 퍼시스턴트 볼륨 이 페이지에서는 쿠버네티스의 퍼시스턴트 볼륨 에 대해 설명한다. 볼륨에 대해 익숙해지는 것을 추천한다. 소개 스토리지 관리는 컴퓨트 인스턴스 관리와는 별개의 문제다. 퍼시스턴트볼륨 서 kubernetes.io deployment에 volume mount를 할 때에는 PV가 아닌 PVC를 만들어서 붙여야. PVC가 retain 상태로 만들어지면 delete 이후에 pv도 삭제했다가 새로 만들어야. https://kubernetes.io/ko/docs/concepts/storage/storage-classes/ 스토리지 클래스 이 문서는 쿠버네티스의 스토리지클래스의 개념을 ..

https://kubernetes.io/ko/docs/setup/production-environment/tools/kubeadm/install-kubeadm/ kubeadm 설치하기 이 페이지에서는 kubeadm 툴박스 설치 방법을 보여준다. 이 설치 프로세스를 수행한 후 kubeadm으로 클러스터를 만드는 방법에 대한 자세한 내용은 kubeadm을 사용하여 클러스터 생성하기 페이지를 참 kubernetes.io Follow the steps in the official documentation. These steps have to be performed on both nodes. set net.bridge.bridge-nf-call-iptables to 1: cat

CoreDNS Configuration file 경로 아래의 명령어 입력 후 config 환경 변수 확인 kubectl describe deploy -n kube-system coredns​ service 호출 할 때 가능한 DNS web-service.payroll web-service.payroll.svc web-service.payroll.svc.cluster.local web-service 호출하는 주체의 namespace가 수신하는 pod와 같은 namespace일 때에는 namespace 생략 가능 ex) payroll namespace pod에서 호출할 때

https://kubernetes.io/ko/docs/concepts/extend-kubernetes/compute-storage-net/network-plugins/ master node에 연결되어 있는 network configure 확인하는 명령어. 입력 후 master node의 IP 찾으면 됨 ip a ip link 연결하려는 시스템의 MAC 주소 확인하는 명령어 arp node01 arp -v default gateway IP 확인하는 명령어 ip route show default pod 포트번호 확인 명령어 netstat -nplt Correct! That's because 2379 is the port of ETCD to which all control plane components con..

https://kubernetes.io/docs/tasks/configure-pod-container/security-context/ Configure a Security Context for a Pod or Container A security context defines privilege and access control settings for a Pod or Container. Security context settings include, but are not limited to: Discretionary Access Control: Permission to access an object, like a file, is based on user ID (UID) and gro kubernetes.io ..

- secret type 확인 명령어 kubectl create secret --help - docker registry Type의 secret 생성 명령어 kubectl create secret docker-registry private-reg-cred --docker-server=myprivateregistry.com:5000 --docker-username=dock_user --docker-password=dock_password --docker-email=dock_user@myprivateregistry.com - deployment에 secert 사용하도록 수정 apiVersion: v1 kind: Pod metadata: name: private-reg spec: containers: - na..

본 문서에서는 Istio를 이용한 Service Mesh 구성에서 Pod sidecar로 실행되는 Envoy에 대한 on-line config 방법에 대해서 공유한다. Istio 로 service mesh가 구성된 상태에서, 특정 pod의 sidecar로 떠있는 container에 접근하여 admin page에 접속하는 명령어는 아래와 같다. kubectl exec -it productpage-v1-6b746f74dc-28fl8 -c istio-proxy -- curl -X POST http://localhost:15000/ 또한, 위의 페이지를 호출하여 istio envoy 의 현재 설정값을 확인하거나 수정이 가능하다. 전체 path 목록은 아래의 명령어를 입력한다. kubectl exec -it pr..

본 문서에서는 application의 sidecar로 떠 있는 istio-envoy container의 TCP Dump를 수집하는 방법에 대해서 설명한다. TCP Dump란? TCP Dump는 주어진 조건식을 만족하는 네트워크 인터페이스를 거치는 패킷들의 헤더들을 출력해주는 프로그램이다. 주로 쓰임은 지정된 상대방 호스트로부터 들어오는 패킷을 체크하는 데 있다. Worker node 확인 아래의 명령어로 내가 확인하고자 하는 pod가 어느 worker node에 떠있는지 확인한다. kubectl get pod -A -o wide Container Process ID 확인 Pod가 떠있는 worker node에 접속하여 아래의 명령어로 sidecar container의 Process ID를 확인한다. 여러..

User Account: 말 그대로 사용자 Service Account: 외부 application에서 kubernetes api 호출할 때 (ex: prometheus) 사용하는 권한 kubectl create serviceaccount dashboard-sa kubectl get serviceacccount kubectl describe serviceaccount dashboard-sa service account를 생성하면 service account token도 Secret로 함께 생성된다. kubectl describe secret dashboard-sa-token-kbbdm 이 token값을 외부 api application에다가 저장하여 호출할 때 헤더로 붙여서 사용하면 접근 가능 만약 th..

Node Authentication Node Authorizer 사용자와 kubelet의 요청을 다루는 역할 사용자의 요청 이름이 system node인 것과 node group의 일부에서 오는 요청들은 node authorizer에서 권한 인증함. ABAC(Attribute Based Access Control) Authentication 외부 접근 사용자별 policy 생성해서 관리함 변경이 발생하면 매번 수정하고 kube-api server 다시 띄워야 해서 관리가 어렵다. RBAC(Role Based Access Control) Authentication 권한을 역할로 생성하고, 사용자를 해당 역할과 묶음. K8S Cluster에서 표준화된 권한 관리 방법 Webhook Authenciation ..