Passwd

Service Account는 인증, 권한, 역할 기반 접근 제어 등과 같은 쿠버네티스의 보안 관련 개념과 관련된 개념이다. 사용자 계정; User Account 사람이 사용하는 계정이다. 관리 작업을 수행하기 위해 쿠버네티스 클러스터에 접근하는 관리자, 애플리케이션 배포를 위한 클러스터에 접근하는 개발자 등이 사용한다. 서비스 계정; Service Account 기계가 사용하는 계정으로 애플리케이션이 쿠버네티스 클러스터와 상호작용하는 데 사용한다. Service Account Token 서비스 계정 생성 시 자동으로 생성되며 외부 애플리케이션이 Kubernetes API에 인증할 때 사용한다. 생성된 토큰은 secret 개체로 저장된다. 서비스 계정 생성 -> 서비스 계정 토큰 생성 -> secret ..

도커 컨테이너에 프로세스 실행 user와 capabilities를 설정할 수 있던 것과 같이 쿠버네티스에서도 동일한 부분을 설정할 수 있다. 쿠버네티스 컨테이너는 Pod에 캡슐화되어 있으므로 컨테이너 레벨, 또는 Pod 레벨에서 설정을 구성할 수 있다. Pod 레벨 Pod 내 모든 컨테이너에 설정을 적용한다. yaml 파일에서 securityContext 옵션을 사용하여 프로세스 실행 user를 지정할 수 있다. apiVersion: v1 kind: Pod metadata: name: web-pod spec: securityContext: runAsUser: 1000 containers: - name: ubuntu image: ubuntu command: ["sleep", "3600"] Container..

configMap은 데이터를 일반 텍스트, 즉 평문으로 저장하기 때문에 암호를 저장하여 사용하기에는 적절하지 않다. 암호와 같은 민감정보를 저장해 사용할 때는 secret을 사용한다. Secret 암호나 키와 같은 중요한 정보를 저장할 때 사용한다. 해쉬 형식으로 인코딩 되어 저장된다는 것을 제외하면 configMap과 유사한다. configMap과 마찬가지로, 생성한 뒤 Pod에 주입되어 데이터를 전달한다. 생성 방법 명령형 방법으로 생성 명령어로 직접 키-값 쌍을 지정할 수 있다. 여러 키-값 쌍을 지정할 때에는 --from-literal 옵션을 여러 번 사용한다. 데이터가 많아져 복잡해지는 경우에는 파일로 데이터를 저장한 뒤, 해당 경로를 지정한다. kubectl create secret gener..

2021.07.08 - 환경 변수 설정에서는 포드 정의 파일에서 환경변수를 정의하는 방법을 알아보았다. 하지만 포드 정의 파일로 환경 변수를 정의하면 포드 정의 파일이 많아지면 환경변수를 관리하기가 어려워진다. 이런 어려움을 해결하기 위해 ConfigMap을 사용할 수 있다. ConfigMap 키-값 형태로 구성되며, Pod 생성 시 ConfigMap을 주입하여 Pod 컨테이너 내부에 호스팅 되는 애플리케이션의 환경 변수로 사용할 수 있도록 데이터 전달에 사용한다. 생성 방법 명령형 방법으로 생성 kubectl create configmap --from-literal== --from-literal== # –from-literal : 키 값 쌍 지정에 사용 kubectl create configmap --..

쿠버네티스는 다음과 같은 방법으로 환경변수를 설정할 수 있다. 1. ENV 속성 사용 yaml 파일에 ENV 속성을 사용하여 환경변수를 설정한다. apiVersion: v1 kind: Pod metadata: name: simple-webapp-color spec: containers: - name: simple-webapp-color image: simple-webapp-color ports: - containerPort: 8080 env: - name: APP_COLOR value: pink array이기 때문에 ENV 아래의 모든 항목은 array의 항목임을 나타내는 -로 시작한다. 각 항목은 name과 value 속성으로 구성되어 있으며, 각 속성이 의미하는 것은 다음과 같다. name : 컨테이..

2021.07.05 - 컨테이너 실행 시 매개변수 지정 위 글에서는 도커에서 컨테이너를 실행할 때 명령어로 또는 Dockerfile에서 실행 CMD나 매개변수를 지정하는 방법에 관해 적었다. 쿠버네티스에서도 비슷하게 Pod 생성 시 실행할 명령어와 매개변수를 지정할 수 있다. pod를 정의하는 yaml 파일에 command와 args를 추가하면 된다. apiVersion: v1 kind: Pod metadata: name: ubuntu-sleeper-pod spec: containers: - name: ubuntu-sleeper image: ubuntu-sleeper command: ["sleep"] # Entrypoint in Dockerfile args: ["10"] # CMD in Dockerfil..

Namespace 동일한 물리 클러스터를 기반으로 하는 가상 클러스터 Default Namespace 클러스터를 처음 설정할 때 쿠버네티스에 의해 자동으로 생성된다. kube-system 쿠버네티스 시스템에서 생성한 오브젝트를 위한 네임스페이스 생성한 포드와 서비스를 사용자에게서 격리하여, 실수로 서비스를 삭제하거나 수정하지 않도록 한다. kube-public 인증되지 않은 사용자를 포함하여 모든 사용자가 읽기 권한으로 접근할 수 있는 자동 생성 네임스페이스 네임스페이스 내의 리소스는 이름으로 지칭할 수 있다. 다른 네임스페이스와 통신하기 위해서는 ..svc.cluster.local 형식의 DNS를 사용해야 한다. DNS에서 cluster.local은 쿠버네티스의 기본 도메인 이름이며, svc는 서비스의..

Pod 컨테이너가 캡슐화되는 개체로, 애플리케이션 단일 인스턴스 쿠버네티스에서 생성할 수 있는 가장 작은 단위 애플리케이션 확장/축소를 위해 스케일 업/다운 시 pod를 추가 생성하고 삭제한다. 일반적으로 애플리케이션을 실행하는 컨테이너와 일대일 관계이다. Multi-Contianer Pods pod 내에는 다수의 컨테이너가 존재할 수 있다. 하지만 동일 컨테이너가 어려 개 존재할 수 없다. Multi-Contianer Pod 내 컨테이너는 동일한 네트워크 네임스페이스를 공유하기 때문에 서로 직접 통신할 수 있을 뿐만 아니라 스토리지 공간 공유도 용이하다. 참고 문서 https://kubernetes.io/ko/docs/tutorials/kubernetes-basics/explore/explore-int..

노드; Node 쿠버네티스가 설치된 물리 또는 가상 머신 컨테이너가 호스팅 된다. 미니언이라고 알려지기도 했다. 고가용성을 확보하기 위해서는 두 개 이상의 노드가 필요하다. 클러스터; Cluster 그룹화 상태인 노드의 집합 노드 하나에 장애가 발생해도 다른 노드를 통해 애플리케이션을 사용할 수 있다. 즉, 고가용성이 확보된다. 부하 분산에 도움이 된다. 마스터; Master 쿠버네티스를 설치하고 마스터로 설정한 노드 클러스터에 있는 노드를 감시하면서 워커 노드 컨테이너의 실제 오케스트레이션을 담당한다. 구성 요소 API 서버 쿠버네티스 프런트엔드 역할을 담당한다. 사용자, 관리 장비, 커맨드 라인 인터페이스는 API 서버를 통해 쿠버네티스 클러스터와 상호작용한다. ETCD 서비스 쿠버네티스에서 클러스터..