Jacob Baek's home

introduce kubernetes node상에 다수의 image들이 존재함으로 인해 디스크 사용률이 높아지고 이로인한 부가적인 이슈들이 생길수 있어 이를 최소화할수 있도록 사용하지 않는 이미지를 주기적으로 삭제하는 도구이다. https://azure.github.io/eraser/docs/ how it works eraser는 주기적으로 삭제도 하지만 즉시 삭제해야하는 경우 특정 이미지를 추가하면 삭제도 가능하다. 또한 취약점 기반으로 이미지를 삭제할수도 있다. 우선 두가지 모드에 대하여 알아보자. manual 설명 : 삭제할 이미지리스트를 imagelist로 생성하면 노드별로 삭제진행 CRD: imagelist automated 설명 : 지정시간마다 자동으로 동작중이지 않은 이미지들을 제거를 한다...

Logic Apps 에서 Azure Resourece Manager 사용시 어떻게 사용할지 좀 애매한 부분들이 있어 이를 정리하고자 한다. Prerequisite 먼저 logic Apps 로 control할 resource에 대한 기본정보를 확인한다. 아래와 같이 특정 provider에 control할 resource의 resourceType을 확인한다. jacob@laptop:~ $ az provider list --query "[?namespace == 'Microsoft.ContainerService'].resourceTypes[].resourceType" -o json [ "ManagedClusters/eventGridFilters", "containerServices", "fleetMembers..

Azure Network Policy는 다음 링크에서 설명되어 있듯이 NSG(Network Security Groups)처럼 kubernetes cluster 내부의 통신을 micro-segmentation 으로 관리하기 위한 서비스이다. https://learn.microsoft.com/en-us/azure/virtual-network/kubernetes-network-policies 설치 일반적으로 AKS(Azure Kubernetes Service) 생성시 argument로 전달하여 설치가 가능하다. $ az aks create -g resourcegroup -n clustername --network-plugin azure --network-policy azure https://learn.micr..

trivy database 내 존재하는 CVE를 확인해볼수 있는 방법을 기술한다. images database 다음과 같은 명령을 통해 database file을 다운로드 한다. TRIVY_TEMP_DIR=$(mktemp -d) trivy --cache-dir $TRIVY_TEMP_DIR image --download-db-only tar -cf ./db.tar.gz -C $TRIVY_TEMP_DIR/db metadata.json trivy.db https://github.com/aquasecurity/trivy-db#version-2 trivy db는 boltdb로 되어 있기에 아래 boltbrowser를 다운로드 받아 이를 통해 접근해 리스트를 확인해볼수 있다. https://github.com/br..

trivy는 security scanner로 다양한 방식의 스캔을 제공하고 명령 기반의 실행방식과 결과를 제공한다. 명령 기반이기에 harbor와 같은 registry나 gitlab, circleCI와 같은 CI/CD 도구들과 통합되지 않는 경우 코드기반의 수작업이 사전에 필요하다는 의미이다. 즉, 다양한 방식의 스캔과 이에 따른 결과를 제공하기에 이를 활용하기 위해서는 추가적인 사용법 및 기타 도구들과의 통합 작업이 필요하다. 이를 한번에 제공하는 도구가 있다면 좋을듯 한데 이런 기능을 제공해주는 trivy-operator가 존재하여 이에 대하여 알아보기로 하자. Trivy-operator Trivy-operator는 kubernetes cluster를 보안 이슈에 대해 지속적으로 scan 하고 CRD..