| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | ||
| 6 | 7 | 8 | 9 | 10 | 11 | 12 |
| 13 | 14 | 15 | 16 | 17 | 18 | 19 |
| 20 | 21 | 22 | 23 | 24 | 25 | 26 |
| 27 | 28 | 29 | 30 |
- tekton
- keda
- Kubernetes 인증
- serving
- Continuous Deployment
- Kopf
- kubernetes operator
- knative
- Pulumi
- blue/green
- gitops
- Model Serving
- operator
- CANARY
- seldon core
- Litmus
- xdp
- Argo
- eBPF
- CI/CD
- nginx ingress
- argocd
- MLflow
- 오퍼레이터
- 카오스 엔지니어링
- Kubeflow
- mlops
- Kubernetes
- opensearch
- opentelemetry
- Today
- Total
목록Kubernetes (136)
Kubernetes 이야기
Connaisseur Connaisseur는 컨테이너 이미지 서명 확인을 위한 Kubernetes admission controller 이다. Cosign (https://github.com/sigstore/cosign) 을 사용하여 이미지 서명을 하였는데 서명된 이미지를 Kubernetes Pod로 실행 시 검증을 하기 위해서 Connaisseur을 사용한다. Connaisseur는 Kubernetes 클러스터에서 컨테이너 이미지의 무결성과 출처를 보장한다. 이미지 검증 결과에 따라 해당 요청을 수락하거나 거부할 수 있다. Connaisseur는 아래의 이미지 서명 솔루션과 연동을 목표로 하고 있다. Notary V1 / Docker Content Trust Sigstore / Cosign Notary..
Cosign 으로 Container 이미지 서명하기
Cosign 사용자가 만든 Container가 운영서버에 배포될때 변조 되지 않았음을 확인하는 것은 보안상 매우 중요한 일이다. Cosign 프로젝트는 OCI 레지스트리에서 컨테이너 서명, 확인 및 저장을 지원한다. (https://github.com/sigstore/cosign) 원래 컨테이너 이미지에 서명하는 것으로 잘 알려진 솔루션은 Docker Content Trust/Notary이다. 하지만 필자가 여러 자료를 찾고 있을 당시에는 Docker enginge없이 DCT/Notary를 사용하여 컨테이너 이미지를 서명하고 서명한 이미지를 Kubernetes에서 로딩할 때 검사하는 구성이 지원되지 않기(?) 때문이다. ( 지원이 안되는 것인지 못 찾은 것인지는 잘 모르겠다. ) 현재 Kubernetes..
Chaos Mesh 를 사용한 카오스 엔지니어링
Chaos Mesh (https://chaos-mesh.org/) Chaos Mesh는 현재 CNCF의 Incubating 프로젝트이다. Chaos Mesh는 Kubernetes 환경에서 다양한 유형의 오류 시뮬레이션을 제공하는 클라우드 네이티브 Chaos Engineering 플랫폼이다. Chaos Mesh를 사용하면 개발, 테스트, 프로덕션 환경에서 실제로 발생할 수 있는 다양한 이상 현상을 편리하게 시뮬레이션하고 시스템에서 잠재적인 문제를 찾을 수 있다. Chaos Mesh 외에 Kubernetes Chaos engineering 오픈소스로는 kube-monkey (https://github.com/asobti/kube-monkey), chaoskube (https://github.com/linki..
Kyverno 정책 모니터링
Kyverno를 사용한 정책을 만들어서 운영하는 경우에는 Kyverno UI를 설치하여 모니터링하면 쉽게 현재 만들어진 정책과 정책에 대한 감사를 확인할 수 있다. Kyverno는 검증 정책의 결과를 모니터링을 위해 Report기능을 제공한다. 기본적으로 Kyverno는 audit 또는 enforce모드에서 유효성 검사 정책을 생성하는 옵션을 제공한다. ( ClusterPolicyReport 또는 PolicyReport ) 설치 helm repo add policy-reporter https://kyverno.github.io/policy-reporter helm install policy-reporter policy-reporter/policy-reporter --set kyvernoPlugin.ena..
Kyverno ( Kubernetes Policy)
Kyverno Kubernetes에서는 PodSecurityPolicy라는 파드 명세의 보안 관련 측면을 제어할 수 있도록 하는 내장 admission controller이다. 하지만 Kubernetes v1.21부터 더이상 사용되지 않으며, v1.25에서 제거되는 리소스이다. (관련내용 : https://kubernetes.io/docs/concepts/policy/pod-security-policy/) PodSecurityPolicy와 유사한 기능을 하는 여러 외부 승인 컨트롤러가 있습니다. 이 중 대표적으로 OPA/Gatekeeper 가 있는데 이번에는 OPA와 더불어 많이 사용되고 있는 Kyverno에 대해 알아보도록 하자. ( Kubernetes 1.23 에서는 PodSecurityPolicy대..
Kubernetes의 다양한 배포방식 (3) Canary 배포
Canary 배포 Canary 라는 용어는 옛날 탄광에서 나오는 유독 가스에 죽거나 다치는 일을 피하고자 광부들이 유독 가스에 민감한 카나리아를 데리고 갱도로 내려간 일에서 나온 용어로 다가온 위험을 먼저 알려준다는 의미로 사용된다. Canary 배포는 새 버전이 모든 사용자에게 릴리스되기 전에 초기 테스트로 일부 사용자에게 점진적으로 롤아웃하는 방법이다. 이 방법의 목적은 성능 메트릭을 수집하고 전체 배포에 대한 사용자의 영향을 예측하기 위해 소수의 사용자를 대상으로 하는 것입니다. 또한 Istio 등을 사용하면 특정 조건 ( 예를 들어, IE 사용자는 신규앱, 나머지는 기존앱, 특정 IP는 신규앱, 나머지는 기존앱 ) 으로도 사용자 요청을 분배해서 처리할 수 있다. 장점 빠른 롤백 실제 사용자 및 사..