1단계. ACK를 통한 S3 버킷 생성 - ACK 설치 확인 - IRSA 권한 추가 - 버킷 생성 및 확인 - 버킷 속성 업데이트 : Tag - 버킷 삭제 2단계. ACK를 통한 EC2 배포 - ACK 설치 확인 - IRSA 권한 추가 - VPC 생성 - subnet 생성 3단계. ACK를 통한 VPC workflow 배포 - 목표구성도 - 배포후 초기 상태 확인 - public 서브넷에 신규 인스턴스 생성 - 신규 생성된 EC2에 접속 후 ping 확인 - security group 변경 후 ping 확인 - private 서브넷에 신규 인스턴스 생성 - SSH 터널링 구성 통해 외부에서 private 서브넷에 위치한 EC2 인스턴스 접근 1) public 서브넷에 위치한 EC2에 SSH 터널링 구성 ..
클라우드 네이티브 형태의 애플리케이션이 늘어나면서, 결국은 수명주기가 짧고 많아진 애플리케이션들을 어떻게 관리할 것인가가 또 하나의 화두가 되었습니다. 베어메탈 서버에서 가상머신으로, 다시 컨테이너 그리고 K8s 로 흘러가면서 모든 관리는 자동화로 진화하고 있습니다. 개발자는 애플리케이션은 상태만을 선언하고, K8s에서 그 상태를 유지시켜주기 위해 알아서 관리하는 형태도 자동화의 한 형태라고 할 수 있습니다. EKS에서의 자동화는 API를 연동하거나 스크립트를 통해 구현할 수도 있지만, 단지 K8s에 대한 관리뿐만 아니라 추가적인 생태계에 대한 관리까지 자동화의 범위에 포함시키기 위해 다양한 솔루션들이 함께 사용되고 있습니다. 1. AWS Controller for Kubernetes(ACK) K8s를 ..
1단계. RBAC 관련 krew 플러그인 - access-matrix : 서비스 리소스별 RBAC access 정보 확인 - rbac-tool : rbac 관련 lookup, whoami policy-rules 등 여러가지 확인 기능 제공 - rbac-view : 웹을 통해 Cluster Roles와 Roles를 확인 - rolesum : 사용자, Service Account별 RBAC 역할에 대해 간략하게 요약 정리 ※ 2/3단계 참고 2단계 : 인증 과정 따라가기 - kubectl 관련 임시자격 토큰 요청 확인 : ~./kube/config 파일 내에 user 부분에서 요청 확인 : eks get-token --output json --cluster-name myeks --region ap-north..
모든 보안의 기본은 올바른 인증과 권한(인가)을 어떻게 제어하느냐로부터 시작합니다. K8s도 예외는 아니며, 특히 EKS에서는 다양한 native AWS 서비스를 활용하여 인증과 인가를 처리합니다. - 인증(Authentication) : 접근한 사용자 또는 서비스가 정상적인 사용자인지를 확인 - 인가(Authorization) : 해당 사용자가 어떠한 권한을 가지고 있는지, 어떤 역할을 담당하는지 정의 EKS는 인증/인가와 관련하여 AWS IAM 서비스에 대한 의존도가 높습니다. AWS IAM에서 제공하는 자격증명과 정책 설정 등을 통해 EKS 자체의 운영환경뿐만 아니라 EKS와 연계되어 운영될 수 있는 다양한 AWS 서비스에 대한 권한관리를 수행합니다. 결과적으로 EKS에서는 기본적인 k8s의 인증 ..