본문 바로가기

컨테이너/쿠버네티스 네트워크

(18)

[KANS] 쿠버네티스 네트워크 (9) Service : ClusterIP, NodePort 대주제1. Service 에 대해 알아보자2. Service와 IPtables 의 관계에 대해서 분석해보자.3. 실습을 통해 통신흐름을 분석해보자. 서비스란? 컨테이너들은 각자 IP를 할당 받고 통신하는데 문제가 없었다.외부에서 클라이언트가 요청하는 TCP/UDP에 대한 통신에 대해서도 iptables NAT를 통하여 통신하는것이 가능하다. 하지만 파드는 epimeral(임시적인) 속성을 가지고 있기 때문에 파드의 IP는 영속성을 가지지 못한다.그로 인해 고정 VIP를 제공해야 된다고 생각했다. 그래서 떠올려낸 방법이 서비스 라는 논리적 리소스다 동일한 애플리케이션의 다수의 파드의 접속을 용이하게 하기 위한 서비스에 접속고정 접속(호출) 방법을 제공 : 흔히 말하는 ‘고정 VirtualIP’ 와 ‘..

[KANS] 쿠버네티스 네트워크 (8) Calico Mode / eBPF ✅ 다음과 같이 3가지 모드를 간략하게 정리하고 넘어가자IPIP - 실습을 default 모드인 IPIP로 진행했음으로 간략하게 복습하고 넘어가자.VXLAN - Flannel의 VXLAN 방식과 1도 다르지 않으므로 간략하게 복습하고 넘어가자.Direct - 쓸일이 없을것 같으므로, 간략하게 넘어가자.IPIP 다른 노드 간의 파드 통신은 tunl0 인터페이스를 통해 IP 헤더에 감싸져서 상대측 노드로 도달 후 tunl0 인터페이스에서 Outer 헤더를 제거하고 내부의 파드와 통신다른 노드의 파드 대역은 BGP로 전달 받아 호스트 라우팅 테이블에 업데이트됨( VXLAN 모드를 사용할 경우 ) FELIX 가 ETCD 에서 타 노드의 podCIDR 정보를 가져와서 업데이트 Azure 네트워크에서는 IPIP..

[KANS] 쿠버네티스 네트워크 (7) Calico CNI 목표:1. Calico architecture 및 구성요소에 대해서 먼저 학습합니다.2. 실제 구성 환경과 그림을 통해 브릿지 역할(cni0)과 터널 인터페이스(flannel.1)를 확인하며 통신과정을 분석합니다.3. 실제 구성 환경에서 Pod 통신과정을 확인합니다.지난 시간 복습 Flannel은 아래와 같은 방법을 이용하여 트래픽을 라우팅을 합니다.etcd에 라우팅 정보를 저장해두고 ARP 테이블을 지속적으로 업데이트 합니다.역사적으로 VXLAN 기능을 사용하고 Calico의 네트워크 정책 기능을 사용하기 위해 Calico와 Flannel을 동시에 사용하였습니다. 이것을 주로 Canal이라고 불렀습니다. VXLAN과 IP-in-IP는 네트워크 구조에 따라 선택하였습니다. VXLAN은 가상 layer ..

[KANS] 쿠버네티스 네트워크 (6) Flannel CNI 목표:1. CNI 가 무엇인지 알아봅니다.2. Flannel CNI의 특징에 대해서 알아봅니다.그중에서도 오버레이 네트워크 / VXLAN / VLAN Container network interface 먼저 쿠버네티스 네트워킹 모델을 이해하려 합니다.기본적으로 쿠버네티스는 다음과 같은 원칙을 지켜서 아키텍처가 만들어졌습니다.아래는 가시다님의 책 원고에 내용을 발췌 한 것 입니다.도커 네트워크를 통해 컨테이너의 네트워크에 대해서 앞시간에 아주 자세히 다뤘기 때문에, 쿠버네티스 네트워크 모델의 내용을 이해할수 있어야 합니다.도커 네트워크에서 다뤄지는 영역에서 더 추가된 부분은 다음과 같이 그림으로 나타내어진 동작 방식에서 유추해 볼수 있습니다.1. 루프백 통신2. 같은 노드 내에서 파드간 통신3. 클러스터 내..

[KANS] 쿠버네티스 네트워크 (5) PAUSE 컨테이너 대주제 PAUSE 컨테이너 vs init containerhttps://blog.hyojun.me/4요약 : 파드는 1개 이상의 컨테이너로 구성된 컨테이너의 집합이며, PAUSE 컨테이너가 Network/IPC/UTS 네임스페이스를 생성하고 유지/공유합니다. Init Container와 Pause Container는 Kubernetes에서 각각 다른 목적으로 사용됩니다. 주요 차이점을 설명해드릴게요.1. Init Container목적: 메인 애플리케이션 컨테이너가 시작되기 전에 반드시 수행해야 할 작업을 위해 사용됩니다.사용 예시: 데이터베이스 연결 확인, 파일 다운로드, 초기화 작업 등.작동 방식: Init 컨테이너는 순차적으로 실행되며, 모든 Init 컨테이너가 정상적으로 종료되어야 메인 애플리케이션..

[KANS] 쿠버네티스 네트워크 (4) 쿠버네티스 인증 deep div 더보기목표 # 쿠버네티스 인증 딥다이브 # PKI 인증 체계와 쿠버네티스 인증에 대해서 인증이란? 인증서에 대해서 간략하게 짚고 넘어가자PKI = '공개키 기반구조(Public Key Infrastructure)'라는 뜻PKI 는 비대칭 암호화 기술을 이용한 공개키 기반의 인증 체계입니다.X.509는 PKI 기술 중에서 가장 널리 알려진 표준 포맷입니다. 공개키가 뭘까? Public 키반댓말은 개인키= 비밀키= Private키 X.509 기술의 근간이 되는 암호화 기술입니다. 여기에는 Public 키와 Private 키가 존재합니다. Public 키는 누구나 가질 수 있으며 Private 키는 오직 Public, Private 키페어 소유자만 가지고 있습니다. Public 키를 이용하여 메세지를 암호화하..

[KANS] 쿠버네티스 네트워크 (3) 컨테이너 네트워크 & IPTABLES 대주제RED ↔ BLUE 네트워크 네임스페이스 간 통신 RED ← Bridge(br0) → BLUE 간 통신RED/BLUE → 호스트 & 외부(인터넷) 통신1. REDBLUE 네임스페이스간 통신결론 : 네트워크 네임스페이스 생성 시 호스트 네트워크와 구별된다# 터미널1~3 관리자sudo su -whoami# veth (가상 이더넷 디바이스) 생성, man ip-linkip link add veth0 type veth peer name veth1# veth 생성 확인(상태 DOWN), ifconfig 에는 peer 정보 확인 안됨# very pair 정보 확인 : ({iface}@if{pair#N})ip -c linkip -c addr # 축약 ip -c aifconfig -a# 네트워크 네임스페이스 생..

[KANS] 쿠버네티스 네트워크 (2) 컨테이너 격리 cloudNet@ 팀의 가시다 님이 진행하는 쿠버네티스 네트워크 스터디 1주차 정리입니다. ✅ 대주제도커 컨테이너의 격리 요약컨테이너는 독립된 리눅스 환경(pivot-root, namespace, Overlay filesystem, cgroup)을 보장받는 프로세스chroot와 탈옥네임스페이스overlay filesystemhttps://tech.kakaoenterprise.com/171cgroup 1. chroot와 탈옥chroot는 경로를 모으고 패키징 해주는 리눅스 기능이다 # [터미널1] 관리자 전환sudo su -whoami#cd /tmpmkdir myroot# chroot 사용법 : [옵션] NEWROOT [커맨드]chroot myroot /bin/shchroot: failed to ru..

이전 1 2 3 다음

티스토리툴바