분류 전체보기 (251) 썸네일형 리스트형 [Cilium] (18) 실리움 네트워킹 _ Cilium Security 실습환경 배포 실습 환경 소개 : k8s(1.33.4), cilium(1.18.1) - 기본 배포 가상 머신 : k8s-ctr, k8s-w1, k8s-w2mkdir cilium-lab && cd cilium-labcurl -O https://raw.githubusercontent.com/gasida/vagrant-lab/refs/heads/main/cilium-study/8w/Vagrantfilevagrant upvagrant ssh k8s-ctr# 프로메테우스 접속http://192.168.10.100:30001# 그라파나 접속http://192.168.10.100:30002# 허블 UI 접속http://192.168.10.100:30003 Cilium SecurityCilium 제공 보안 : Iden.. [Cilium] (17) 실리움 네트워킹 _ Cilum performance test 실습 환경 구성 (Type1) by kind k8s + Cilium CNI# Prometheus Target connection refused bind-address 설정 : kube-controller-manager , kube-scheduler , etcd , kube-proxykind create cluster --name myk8s --image kindest/node:v1.33.2 --config - 쿠버네티스 환경에서 속도 측정 테스트1. iperf3What is iPerf / iPerf3 ?iPerf3 is a tool for active measurements of the maximum achievable bandwidth on IP networks. It supports tuning of.. [Cilium] (16) 실리움 네트워킹 _ k8s performance test 실습 환경 구성 1. 클러스터 생성 # Prometheus Target connection refused bind-address 설정 : kube-controller-manager , kube-scheduler , etcd , kube-proxykind create cluster --name myk8s --image kindest/node:v1.33.2 --config - 2. kube-prometheus-stack 배포 # 파라미터 파일 생성cat monitor-values.yamlprometheus: prometheusSpec: scrapeInterval: "15s" evaluationInterval: "15s" service: type: NodePort nodePort: .. [Cilium] (15) 실리움 네트워킹 _ ServiceMesh 서비스 메시란? 클라우드에서 마이크로서비스를 운영하는 데는 여러 도전과제가 있다. -> 몇 가지를 꼽자면 신뢰할 수 없는 네트워크, 서비스 가용성, 이해하기 어려운 트래픽 흐름, 트래픽 암호화, 애플리케이션 상태, 성능 등이 있다.이런 어려움들은 각 애플리케이션 내에서 라이브러리를 사용해 패턴(서비스 디스커버리 등)들을 구현함으로써 완화된다.서비스들에 대한 관찰 가능성을 확보할 목적으로 메트릭과 트레이싱을 생성하고 배포하려면 추가적인 라이브러리와 서비스가 필요한다.서비스 메시는 이런 공통 관심사(애플리케이션 네트워킹)를 애플리케이션 대신 외부에서 투명한 방식으로 구현하는 인프라 기본 동작 : 파드 간 통신 경로에 프록시를 놓고 트래픽 모니터링이나 트래픽 컨트롤 → 기존 애플리케이션 코드에 수정 없이 구.. [Cilium] (14) 실리움 네트워킹 _ Service LB IPAM (BGP) Service(LoadBalancer - ExternalIP) IPs 를 BGP로 광고 LB IPAM (BGP) Bare-metal Kubernetes 환경→ 클라우드처럼 자동으로 로드밸런서 IP를 프로비저닝해주는 서비스가 없음.서비스 접근을 외부 네트워크로 확장해야 할 때→ 예: LoadBalancer 타입으로 발급된 ExternalIP를 회사 내부망 전체 또는 ISP로 바로 광고.L2 Broadcast 불가능 / 불필요한 경우→ Layer 2 모드(MetalLB ARP/NDP) 대신 Layer 3 라우팅(BGP)을 활용해 더 확장성 있게.멀티노드, 멀티랙, 멀티데이터센터 환경→ ARP flooding보다 BGP 라우팅이 안정적이고 트래픽 경로 제어 가능.쉽게 말해, "K8s 외부 로드밸런서 IP를 .. [Cilium] (13) 실리움 네트워킹 _ BGP Control Plane Cilium BGP Control Plane👉 :결론 먼저 이야기 하자면은 Cilium 으로 BGP 사용 시, 2개 이상의 NIC 사용할 경우에는 Node에 직접 라우팅 설정 및 관리가 필요함. BGP(Border Gateway Protocol)를사용해 외부 네트워크 장비나 다른 클러스터에 광고(advertise)하고, 반대로 외부 경로를 학습(learn)하여 Cilium CNI에서 활용할 수 있게 해줍니다.Kubernetes 노드의 Pod CIDR, 서비스 VIP, LoadBalancer IP 등을 BGP로 외부 네트워크에 알림클라우드/온프레 환경에서 L3 라우팅을 간소화 (별도의 오버레이 없이 Direct Routing 가능)External Router와 경로 자동 동기화 네트워크 정보 확인# .. [Cilium] (12) 실리움 네트워킹 _ Service LB-IPAM Service LB _ IPAMLB IPAM은 Cilium이 IP 주소를 LoadBalancer 유형의 서비스에 할당할 수 있게 해주는 기능입니다. 이 기능은 일반적으로 클라우드 제공업체에 맡겨지지만, 프라이빗 클라우드 환경에 배포할 때 이러한 기능을 항상 사용할 수 있는 것은 아닙니다.프라이빗 클라우드에서 LoadBalancer 서비스를 배포할 때 가장 흔한 고민 중 하나는 IP 할당입니다. 퍼블릭 클라우드에서는 클라우드 제공업체가 이를 자동으로 처리해주지만, 프라이빗 클라우드에서는 IP를 어떻게 할당하고 광고할지 사용자가 직접 고민해야 하죠.👉 Cilium을 사용 계획 중이라면 LB IPAM + BGP Control Plane 조합이 MetalLB보다 자연스럽고 강력한 선택일 수 있습니다.🔍 L.. [Cilium] (11) 실리움 네트워킹 _ VXLAN Encapsulation VXLAN Encapsulation mkdir cilium-lab && cd cilium-labcurl -O https://raw.githubusercontent.com/gasida/vagrant-lab/refs/heads/main/cilium-study/4w/Vagrantfilevagrant up ✅ VXLAN 모드란?Pod 간 통신 시 패킷을 IP-over-UDP 터널로 감싸서 전송하는 방식입니다.즉, 각 노드 간에 VXLAN 터널을 생성하고, Pod 간 트래픽을 그 터널을 통해 전달합니다.📦 상황Pod A (10.244.1.5)가 Node A에 존재Pod B (10.244.2.8)가 Node B에 존재각 Node는 서로 다른 서브넷에 있음 (예: AWS VPC 환경 등에서 흔함)라우터가 Pod C.. 이전 1 2 3 4 ··· 32 다음
