DevOps (114) 썸네일형 리스트형 [AEWS 4기] EKS 스터디 4주차 [ EKS 인증/인가] 암호학 (2) K8s 인증체계: PKI(X.509) - 서버와 서버간의 통신K8s 인증체계: JWT Token - pod와 API 서버간의 통신 앞선 포스팅에서 대칭키/비대칭키 암호화 방식과 PKI(X.509) 개념을 다뤘다.이번 포스팅에서는 Kubernetes가 실제로 PKI를 어떻게 활용하는지,각 컴포넌트(API 서버, etcd, kubelet, kubeconfig)의 인증서 구조와 흐름을 실습과 함께 살펴본다. TL;DRK8s의 모든 컴포넌트 간 통신은 TLS(PKI/X.509 기반) 로 보호된다각 컴포넌트는 개인키(Private Key) 와 인증서(Certificate = 공개키 + 서명) 를 한 쌍으로 보유한다모든 인증서는 클러스터 CA(Certificate Authority)가 서명한다 → 신뢰 체계의 출발.. [AEWS 4기] EKS 스터디 4주차 [ EKS 인증/인가] 암호학 (1) EKS 스터디: 암호학 기초 — 대칭키와 비대칭키CloudNet@팀의 EKS 스터디 AEWS 2기 자료를 토대로 작성합니다.암호(대칭키/비대칭키), 전자서명, PKI(X.509) 등의 이해를 돕기 위한 포스팅입니다.1. 대칭키 암호화 방식 대칭키 암호화(Symmetric Key Encryption) 란 쌍방이 공유하는 하나의 비밀키를 사용하여 암호화하고 복호화하는 방식이다. 대칭(symmetric) 혹은 관용(conventional) 암호 방식이라고도 부른다.대표적인 블록 암호화 방식으로는 DES, 3DES, IDEA, RC4/5 등이 있다.장점성능이 우수하고 암복호화에 CPU 리소스 소모가 적다단점비밀키 분실 시 복호화가 어렵다비밀키를 상대방에게 전달해야 하기 때문에, 탈취 시 해킹 위협이 크다2. 공.. [AEWS 4기] EKS 스터디 4주차 [ EKS 인증/인가 ] - 4개의 인증 흐름 EKS 인증/인가 4종 비교 — 누가, 무엇에 접근하는가EKS를 운영하다 보면 "권한"이라는 단어가 두 가지 맥락에서 등장한다.하나는 클라이언트 즉 , 사람(또는 CI/CD)이 kubectl을 칠 수 있는 권한이고,다른 하나는 Pod가 AWS 리소스(S3, DynamoDB 등)를 호출할 수 있는 권한이다.이 두 가지는 완전히 다른 레이어에서 동작하지만, 둘 다 IAM을 기반으로 하기 때문에 처음 접하면 헷갈리기 쉽다.[외부 → Kubernetes API 접근 제어]├── aws-auth ConfigMap ← 레거시└── EKS Access Entry ← 신규 (2024~)[Pod → AWS API 접근 제어]├── IRSA ← OIDC 기반└── Pod Identi.. [AEWS 4기] EKS 스터디 3주차 [ 오토스케일링 ] EKS 오토스케일링 관련 기술Kubernetes 오토스케일링 기술 완전 정리Kubernetes 환경에서 워크로드 변화에 자동으로 대응하기 위한 오토스케일링 기술들을 비교하고 정리합니다. 각 기술의 동작 방식, 트리거 기준, 요구 조건을 한눈에 파악할 수 있도록 구성했습니다.오토스케일링이 왜 필요한가?트래픽이 일정하지 않은 서비스에서 리소스를 고정으로 할당하면 두 가지 문제가 생깁니다.트래픽 급증 시 → 파드/노드 부족으로 서비스 장애트래픽 감소 시 → 불필요한 리소스 낭비 (비용 증가)오토스케일링은 이 문제를 자동으로 해결합니다. 다만 "무엇을" "어떻게" 스케일링하느냐에 따라 적합한 기술이 다릅니다.스케일링 기법 개요Kubernetes에서 스케일링은 크게 4가지 레벨로 나뉩니다.TechniqueActi.. [AEWS 4기] EKS 스터디 3주차 [테라폼 코드 분석 ACM+ Route53 포함] 3주차 Terraform 코드 분석 — EKS 클러스터 + VPC + Route53 + ACM이번 포스팅에서는 Terraform으로 AWS EKS 클러스터를 구축하는 전체 코드를 파일별로 분석합니다. VPC 네트워크 설계부터 EKS 클러스터, 노드 그룹, IAM 정책, Route53 DNS, ACM 인증서까지 한 번에 다루는 구성입니다.전체 파일 구조3w/├── var.tf # 변수 정의├── vpc.tf # VPC 및 서브넷 구성├── eks.tf # EKS 클러스터, 노드 그룹, IAM 정책, 보안 그룹├── route53.tf .. [AEWS 4기] EKS 스터디 2주차 ( ALB Controller 배포 및 NLB 사용 가이드 ) 개요AWS Load Balancer Controller(이하 AWS LBC)는 EKS 클러스터에서 Kubernetes Service와 Ingress 리소스를 기반으로 AWS Elastic Load Balancer를 자동으로 프로비저닝하는 컨트롤러다.Service (type: LoadBalancer) → NLB (Network Load Balancer) 생성Ingress → ALB (Application Load Balancer) 생성참고: AWS 공식 문서AWS LBC가 AWS 서비스를 이용하는 방법AWS LBC 파드가 AWS API를 호출하려면 적절한 인증 방식이 필요하다. 4가지 방안이 있다.방안방식권장 여부방안 1IRSA (IAM Roles for Service Accounts)✅ 권장방안 2Pod.. [AEWS 4기] EKS 스터디 2주차 ( Service와 IPTALBES 관계) 1. Kubernetes Service란?Kubernetes에서 Pod는 생성과 삭제를 반복하며 IP가 수시로 바뀝니다. Service는 이런 Pod 집합에 대해 안정적인 네트워크 엔드포인트를 제공하는 추상화 계층입니다.클라이언트 → Service (ClusterIP) → Pod A / Pod B / Pod C 10.100.50.10 10.0.1.15 10.0.1.16 10.0.2.20Service는 고정된 ClusterIP와 DNS 이름을 가지며, 뒤에 있는 Pod가 바뀌어도 클라이언트는 동일한 주소로 접근할 수 있습니다.Service의 종류타입설명접근 범위ClusterIP클러스터 내부 전용 가상 IP클러스터 내부만NodePort모든 노드의 특정 포트로 노출클러.. [AEWS 4기] EKS 스터디 2주차 ( VPC CNI란? ) Amazon EKS에서 Pod가 어떻게 VPC 네이티브 IP를 받고, 컨테이너 간 통신이 어떻게 이루어지는지 veth pair, Network Namespace, ARP Proxy까지 깊이 있게 살펴봅니다.1. VPC CNI란?VPC CNI(Container Network Interface)는 Amazon EKS의 기본 네트워킹 플러그인으로, 정식 명칭은 amazon-vpc-cni-k8s입니다.일반적인 Kubernetes CNI(Calico, Flannel 등)는 오버레이 네트워크를 구성하여 Pod에 가상 IP를 부여합니다. 반면 VPC CNI는 VPC의 실제 ENI(Elastic Network Interface)에서 Secondary IP를 할당하여 Pod에 직접 부여합니다.핵심 특징특징설명VPC 네이.. 이전 1 2 3 4 ··· 15 다음
