clean up the desk clean up the desk

요즘 kubernetes cluster 는 대부분 CSP에서 제공하는 managed kubernetes 를 사용하기 때문에, cluster 를 생성하고 워커노드를 추가/변경하기 위한 API 는 CSP 에서 제공하지만, pod 나 deployment 를 생성/관리하기 위해서는 kubernetes 자체에서 제공하는 api 를 사용해야 한다. api 테스트를 하기 위해 먼저 jane 이라는 service account 가 nsistio 의 namespace 에 있는 pod 만 조회할 수 있는 role 을 생성하고 binding 해준다. 1. service account 생성 kubectl create sa jane -n nsistio 2. role 생성 kind: Role apiVersion: rbac.aut..

매번 할때는 어케 되는데, 다시 할라면 자꾸 까먹어서 기록 인증서 갱신은 90일마다, 만료 30일 전부터 갱신 가능 1. 인증서 발급 전 확인 일단 도메인으로 인증서 발급할 사이트가 조회가 되어야 함 curl -Ii http://yesplease.ml HTTP/1.1 200 OK Date: Thu, 20 Jan 2022 05:13:58 GMT Server: Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/7.0.33 X-Powered-By: PHP/7.0.33 Link: ; rel="https://api.w.org/" Content-Type: text/html; charset=UTF-8 2. 인증서 발급 certbot --apache -d yesplease.ml 3. a..

네이버클라우드의 ALB 에는 ACG 로 인입되는 트래픽을 제어할 수 없다. NACL을 이용해서 LB Subnet 단위로 제어할 수 있지만, LB 별로 제어해야 하는 IP 가 다를 경우 이 방법을 사용하기 어렵다. LB 를 통해 서버로 트래픽이 들어올 때는 LB IP 를 달고 들어오기 때문에 서버의 ACG로도 source IP 를 제어할 수 없다. 이런 경우 ALB 에서는 모든 트래픽을 받고 서버에 설치한 apache, nginx 와 같은 웹서버에서 접근할 수 있는 IP 를 제어해야 한다. ALB 는 생성이 되었다는 가정하에 CentOS apache 기준으로 설정하는 방법이다. 1. X-Forwarded-For 설정 먼저 서버로 들어오는 IP가 ALB IP 가 아닌 source IP 를 헤더에 가지고 들어..

네이버클라우드 사용 시 VM의 트래픽 제어를 위해 ACG를 설정하는데, 어디로부터 온 트래픽이 내 VM 과 통신이 허용되었는지, 거부되었는지 확인이 필요할때가 있다. 이런 경우 flow log 를 설정하면 nic 별로 트래픽의 allow/deny 여부를 확인할 수 있다. 1. Flow log 를 저장할 Object Storage Bucket 생성 네이버클라우드 콘솔에서 Products and Services -> Server -> Object Storage 로 이동하여 flow log 를 저장할 bucket 을 생성한다. 2. Flow log 설정하기 네이버클라우드 콘솔에서 Products and Services -> Server -> Network Interface 이동하여 적용할 서버를 선택 후 Fl..

aws 의 ecr 에 private link 가 생겨서 접근 가능한 IP 를 제어할 수 있지만, 이전에는 http proxy 를 통해서 접근할 수 있는 IP 를 제어했다. ecr 에 사용할 일은 없겠지만, 인터넷 사용이 제한적이거나 source IP 를 proxy 로 제한하고 싶은 경우 squid proxy 를 사용할 수 있고, docker registry 로 push 하는 경우 https 를 사용하지만 별도의 docker 설정이 필요하므로 기록해둔다. 1. proxy 서버에 squid proxy 설치 위 그림에서는 ec2 에 설치, proxy 통신을 위한 acg, nacl 설정은 완료한 상태라고 가정한다. yum install squid -y squid.conf 수정 후 재시작 vi /etc/squid..

ALB를 사용해서 abc.com/path1, /path2 와 같은 분기도 많이 처리하지만, subdomain 분기도 사용할 수 있기에 테스트를 진행해 보았다. 전체적으로 아래와 같은 구성이고, alb annotation을 사용해서 더 다양한 방식으로 분기할 수 있다. 1. alb ingress controller 설치 alb ingress 를 사용하기 위해서는 네이버클라우드의 ALB 를 생성할 수 있는 alb ingress controller 를 설치해야 한다. 네이버클라우드 가이드 문서에 나와있는대로 설치한다. (https://guide.ncloud-docs.com/docs/k8s-k8suse-albingress) kubectl --kubeconfig=$KUBE_CONFIG apply -f https:..

금융권이나 공공기관에서는 종종 outbound 인터넷 트래픽도 차단하도록 설정하는 경우가 있어, 내부 repository 가 없는 경우 패키지 설치가 어려울(번거로울)때가 있다. 1. 인터넷이 되는 서버에서 kubectl 패키지 다운로드 1) Repository 설정 cat

Deployment 로 배포된 여러개의 pod 에서 동일한 파일에 접근하기 위해서는 오브젝트 스토리지를 사용하는 방법도 있지만, 상황에 따라서는 NAS 볼륨을 사용하는 것이 더 효율적일 수도 있다. 네이버클라우드의 kubernetes 에서 NAS 볼륨을 사용하는 방법을 제공하긴 했으나, worker node 가 증가되면 수동으로 설정해줘야 하는 부분들이 있었는데, NAS CSI 가 출시되면서 상당히 편리해졌다. 기본적으로 block storage csi 는 클러스터 생성 시 배포되어 있는데, NAS csi 역시 클러스터 생성 시 배포에 포함된다. (21년 11/25 이후 배포된 nks 클러스터) 11/25 이전에 생성하여 사용하던 클러스터라면 수동으로 NAS csi 를 배포해줘야 한다. 1. 기존 사용 ..