기본값으로 비활성화 되어있는 인증관련설정을 활성화 함 7버전부터 인증설정이 없으면 익명사용자로 작업시 경고 메시지 출력됨 09:01:10 WARN org.elasticsearch.client.RestClient - request [GET ] returned 1 warnings: [299 Elasticsearch-7.17.1-e5acb99f822233d62d6444ce45a4543dc1c8059a "Elasticsearch built-in security features are not enabled. Without authentication, your cluster could be accessible to anyone. See to enable security." 아무런 인증없이 엘라스틱서치/키바나 사용할..
Pod를 배포할때 컨테이너가 사용할 자원에 대한 제한을 걸 수 있다 제한이 없는 Pod가 노드에 할당되면 Pod는 필요시 노드의 모든 자원을 사용 할 수 있음 제한 할 수 있는 리소스는 CPU,Memory,ephemeral(임시)스토리지 1.CPU제한 CPU는 밀리코어(m)로 표현 합니다 실제 물리 코어 1이 1000m코어이며 1코어를 1000개의 밀리코어로 나누어 할당할만큼 정확하게 작동하며 제한 됩니다 2.Memory 메모리는 일반적으로 사용하는 K,M,G,T,P 단위를 이용하여 제한 할 수 있습니다 3.임시 스토리지 emptydir등 pod에서 임시로 사용하는 스토리지에 대한 제한 입니다 메모리와 마찬가지로 데이터 단위를 이용하여 제한 할 수 있습니다 --- apiVersion: apps/v1 ki..
Kubernetes에서 Pod내 서비스나 상태를 직접 모니터링 하여 알맞은 조치를 취하게 함 총 3가지 Probe가 있음 여러개의 프로브를 여러가지 체크 메커니즘을 이용하여 복합적으로 사용할수도 있음 일반적으로 Readiness와 Liveness를 모두 설정하는것이 좋다 쿠버네티스 구조상 프로브 없이는 파드내 pid1번만 감시하므로 실제 서비스 장애나 로직 문제에 대응할수 없음 운영 앱에 대한 프로브 설정은 필수 사항 liveness프로브를 설정하지 않을경우 실제 앱이 구동되기전에 트래픽이 가기 시작하므로 짧은시간이지만 장애가 발생할수 있음 가장 좋은 방법은 probe로 실제 앱의 로직을 테스트 하는것 Readiness Probe 준비성 프로브의 경우 파드의 준비 상태를 체크 한다 기본적으로 설정되어있지..
기본적으로 alb-ingress사용시 아무런 옵션이 없이 ingress를 생성한다면 새로운 alb가 생성되고 all open sg(allow 0.0.0.0 80/443) 1개와 k8s 관리용 shared backend sg해서 2개의 sg가 할당됩니다 이중 후자는 lb에서 클러스터에 접근할때 사용하는 backend용 sg입니다 클러스터 sg에서 해당 sg를 선택하여 정책을 제어 합니다 전자는 기본값으로 all open 되어지며 lb생성시마다 새로 생성 됩니다 제가 사용하는 환경에서는 위와같이 실제 서비스 용도도 있지만 보안을 위하여 특정 ip에만 open된 ingress도 있습니다 또한 많은 alb가 있어 alb마다 똑같은 정책의 sg가 새로 생성되는것을 피하고자 해서 아래의 방법을 사용 하였습니다 기 ..
안녕하세요 저는 On-premise 환경에서의 쿠버네티스 경험만 있었습니다 처음 EKS로 쿠버네티스를 구성할때 On-premise환경보다 더 많은 옵션이 생겨 이것저것 고민을 한 경험이 있어 공유하고자 글을 남깁니다 가장 많이 사용하는 Ingress Controller가 뭐냐고 묻는다면 대부분의 사용자들께서 nginx-controller라고 대답 하실 겁니다 저 또한 nginx-ingress-contoller가 제일 익숙합니다 해서 처음에는 당연히 이것을 사용하려고 했습니다 alb를 잘 모르기도 했었고 nginx컨트롤러는 이미 잘 사용할수 있으니까요.. 그러나 alb에 대해 매뉴얼을 읽어보고 알아볼수록 장점들이 눈에 보였습니다 해서 조금더 알아보다가 결국 alb-ingress를 선택하게 되었습니다 먼저 ..