kubernetes_sd_config on Prometheus
service discovery 아래 링크에서 볼수 있듯이 pod 혹은 endpoint, servicem, node 등 다양한 role 선택이 가능하다. https://prometheus.io/docs/prometheus/latest/configuration/configuration/#pod simple Service Discovery 아래는 kube-prometheus-stack 을 기반으로 작업한 내용이다. 다음 링크에 소개된데로 additional scrap 설정을 진행한다. https://github.com/prometheus-operator/prometheus-operator/blob/main/Documentation/additional-scrape-config.md 먼저 아래와 같은 servi..
이미 만들어놓은 policy들을 가져다 쓸수는 없을까? 라는 의문이 들수 있다. 이를 library라는 항목으로 github내에 yaml 파일들을 제공하고 있다. 이는 kustomize 도구를 통해 배포가 가능하다. Library 공식 라이브러리로 제공되고 있으며 gatekeeper 의 기본동작방식에 맞게 다음 두가지 방식의 library를 제공한다. validation mutation https://github.com/open-policy-agent/gatekeeper-library/tree/master/library/general How to use 다음과 같은 순서로 constraint을 만들고 실제 policy로서 동작할수 있도록 해야 한다. library를 이용한 constrinat templa..
Gatekeeper monitoring and logging
Grafana Dashboard를 통해 gatekeeper 모니터링을 하려 했으나 공식적으로 관리되어지는 dashboard가 없는 상황이었다. https://github.com/open-policy-agent/gatekeeper/issues/2081 https://github.com/open-policy-agent/gatekeeper/issues/2070 https://github.com/open-policy-agent/gatekeeper/issues/897 하여 검색되어지는 dashboard중 나름 최신인 다음 dashboard를 사용한 내용을 정리해보려 한다. https://grafana.com/grafana/dashboards/15763-kubernetes-opa-gatekeeper prerequi..
Azure Custom Policy for AKS cluster
Basic of Azure Policy with AKS cluster https://mr100do.tistory.com/1501 VSCode를 이용한 policy 작성 VS CODE를 이용해서 좀더 쉽게 custom policy 작성이 가능하다. 먼저 아래 plugin 설치가 필요하다. (azure policy) plugin 설치후 VSCode에서 직접 azure resource manager에 연결하여 현재 보유중인 policy definition 및 initiative 등을 확인 할 수 있다. (참고로 해당 단계에서는 read-only형태로만 읽혀진다.) custom definition 생성 이제 custom policy를 만들어 definition으로 만들어보자. 이번에 생성할 custom poli..
Gatekeeper를 이용해 validation 을 통한 deny/audit 등을 수행할수도 있지만 muatation을 통한 특정조건을 강제화시킬수도 있다. mutation은 gatekeeper 3.10 이상부터 v1으로 제공되며 다음과 같은 4가지 방식의 CRD가 제공되어 이를 통한 강제화를 수행할수 있다. assign assignmetadata assignimage ModifySet How it works 아래 pod를 기반으로 위 4가지 CRD를 확인해보자. 동일한 내용을 가진 container를 name을 다르게 하여 비교하여 확인해볼 예정이다. jacob@laptop:~ $ cat testpod.yaml apiVersion: v1 kind: Pod metadata: name: testpod na..
Rego 로 policy 생성시 단순히 정해진 결과만이 아닌 dynamic하게 data를 가져오는것도 가능하다. 아래와 같은 http.send 함수를 사용하여 생성이 가능하며 간단한 sample code를 기반으로 사용법을 익혀해보도록 하자. http.send를 사용한 rego test 다음 작업을 위해서는 아래 사항이 필수적으로 존재해야 한다. opa cli 설치 json 결과를 return 해주는 웹서버 (이는 http.send를 사용하기 위해) 위 사항이 준비되었다면 이제 rego 파일 생성과 opa command를 통한 테스트 결과를 출력해보자. 먼저 아래와 같이 json result가 출력되는 테스트 서버를 구현하고 jacob@laptop:~ $ curl http://localhost/res/j..
introduce kubernetes node상에 다수의 image들이 존재함으로 인해 디스크 사용률이 높아지고 이로인한 부가적인 이슈들이 생길수 있어 이를 최소화할수 있도록 사용하지 않는 이미지를 주기적으로 삭제하는 도구이다. https://azure.github.io/eraser/docs/ how it works eraser는 주기적으로 삭제도 하지만 즉시 삭제해야하는 경우 특정 이미지를 추가하면 삭제도 가능하다. 또한 취약점 기반으로 이미지를 삭제할수도 있다. 우선 두가지 모드에 대하여 알아보자. manual 설명 : 삭제할 이미지리스트를 imagelist로 생성하면 노드별로 삭제진행 CRD: imagelist automated 설명 : 지정시간마다 자동으로 동작중이지 않은 이미지들을 제거를 한다...
Logic Apps for Azure Resource
Logic Apps 에서 Azure Resourece Manager 사용시 어떻게 사용할지 좀 애매한 부분들이 있어 이를 정리하고자 한다. Prerequisite 먼저 logic Apps 로 control할 resource에 대한 기본정보를 확인한다. 아래와 같이 특정 provider에 control할 resource의 resourceType을 확인한다. jacob@laptop:~ $ az provider list --query "[?namespace == 'Microsoft.ContainerService'].resourceTypes[].resourceType" -o json [ "ManagedClusters/eventGridFilters", "containerServices", "fleetMembers..
- Total
- Today
- Yesterday
- minikube
- aquasecurity
- metallb
- ceph
- kubernetes
- Terraform
- kubernetes install
- jenkins
- Jenkinsfile
- kata container
- open policy agent
- socket
- hashicorp boundary
- vmware openstack
- mattermost
- GateKeeper
- Helm Chart
- wsl2
- crashloopbackoff
- boundary ssh
- openstack backup
- K3S
- openstacksdk
- azure policy
- ansible
- OpenStack
- nginx-ingress
- minio
- macvlan
- DevSecOps
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 | 31 |