| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | ||
| 6 | 7 | 8 | 9 | 10 | 11 | 12 |
| 13 | 14 | 15 | 16 | 17 | 18 | 19 |
| 20 | 21 | 22 | 23 | 24 | 25 | 26 |
| 27 | 28 | 29 | 30 |
- opensearch
- Kopf
- opentelemetry
- argocd
- Kubernetes
- xdp
- CI/CD
- MLflow
- seldon core
- blue/green
- Kubernetes 인증
- Continuous Deployment
- Litmus
- operator
- nginx ingress
- kubernetes operator
- Model Serving
- Kubeflow
- eBPF
- tekton
- Argo
- 카오스 엔지니어링
- 오퍼레이터
- Pulumi
- gitops
- knative
- mlops
- serving
- keda
- CANARY
- Today
- Total
목록전체 글 (170)
Kubernetes 이야기
dns 서버에 없는 임시 도메인을 테스트하고자 하는 경우 보통 linux에서 /etc/hosts 파일에 등록하여 사용한다. Kubernetes에서는 coredns 를 사용하기 때문에 coredns에 등록하여 사용할 수 있다. # kubectl -n kube-system edit configmap/coredns data: Corefile: | .:53 { errors health { lameduck 5s } ready kubernetes cluster.local in-addr.arpa ip6.arpa { pods insecure fallthrough in-addr.arpa ip6.arpa ttl 30 } prometheus :9153 forward . /etc/resolv.conf { max_concurr..
Connaisseur Connaisseur는 컨테이너 이미지 서명 확인을 위한 Kubernetes admission controller 이다. Cosign (https://github.com/sigstore/cosign) 을 사용하여 이미지 서명을 하였는데 서명된 이미지를 Kubernetes Pod로 실행 시 검증을 하기 위해서 Connaisseur을 사용한다. Connaisseur는 Kubernetes 클러스터에서 컨테이너 이미지의 무결성과 출처를 보장한다. 이미지 검증 결과에 따라 해당 요청을 수락하거나 거부할 수 있다. Connaisseur는 아래의 이미지 서명 솔루션과 연동을 목표로 하고 있다. Notary V1 / Docker Content Trust Sigstore / Cosign Notary..
Cosign 으로 Container 이미지 서명하기
Cosign 사용자가 만든 Container가 운영서버에 배포될때 변조 되지 않았음을 확인하는 것은 보안상 매우 중요한 일이다. Cosign 프로젝트는 OCI 레지스트리에서 컨테이너 서명, 확인 및 저장을 지원한다. (https://github.com/sigstore/cosign) 원래 컨테이너 이미지에 서명하는 것으로 잘 알려진 솔루션은 Docker Content Trust/Notary이다. 하지만 필자가 여러 자료를 찾고 있을 당시에는 Docker enginge없이 DCT/Notary를 사용하여 컨테이너 이미지를 서명하고 서명한 이미지를 Kubernetes에서 로딩할 때 검사하는 구성이 지원되지 않기(?) 때문이다. ( 지원이 안되는 것인지 못 찾은 것인지는 잘 모르겠다. ) 현재 Kubernetes..
Chaos Mesh 를 사용한 카오스 엔지니어링
Chaos Mesh (https://chaos-mesh.org/) Chaos Mesh는 현재 CNCF의 Incubating 프로젝트이다. Chaos Mesh는 Kubernetes 환경에서 다양한 유형의 오류 시뮬레이션을 제공하는 클라우드 네이티브 Chaos Engineering 플랫폼이다. Chaos Mesh를 사용하면 개발, 테스트, 프로덕션 환경에서 실제로 발생할 수 있는 다양한 이상 현상을 편리하게 시뮬레이션하고 시스템에서 잠재적인 문제를 찾을 수 있다. Chaos Mesh 외에 Kubernetes Chaos engineering 오픈소스로는 kube-monkey (https://github.com/asobti/kube-monkey), chaoskube (https://github.com/linki..
Kyverno 정책 모니터링
Kyverno를 사용한 정책을 만들어서 운영하는 경우에는 Kyverno UI를 설치하여 모니터링하면 쉽게 현재 만들어진 정책과 정책에 대한 감사를 확인할 수 있다. Kyverno는 검증 정책의 결과를 모니터링을 위해 Report기능을 제공한다. 기본적으로 Kyverno는 audit 또는 enforce모드에서 유효성 검사 정책을 생성하는 옵션을 제공한다. ( ClusterPolicyReport 또는 PolicyReport ) 설치 helm repo add policy-reporter https://kyverno.github.io/policy-reporter helm install policy-reporter policy-reporter/policy-reporter --set kyvernoPlugin.ena..
Kyverno ( Kubernetes Policy)
Kyverno Kubernetes에서는 PodSecurityPolicy라는 파드 명세의 보안 관련 측면을 제어할 수 있도록 하는 내장 admission controller이다. 하지만 Kubernetes v1.21부터 더이상 사용되지 않으며, v1.25에서 제거되는 리소스이다. (관련내용 : https://kubernetes.io/docs/concepts/policy/pod-security-policy/) PodSecurityPolicy와 유사한 기능을 하는 여러 외부 승인 컨트롤러가 있습니다. 이 중 대표적으로 OPA/Gatekeeper 가 있는데 이번에는 OPA와 더불어 많이 사용되고 있는 Kyverno에 대해 알아보도록 하자. ( Kubernetes 1.23 에서는 PodSecurityPolicy대..