x509: certificate signed by unknown authority

gitlab에서 사용중인 인증서 문제인지 gitlab에 접근하는 ✗ failed to get Git repository "https://gitlab.jacobbaek.com/dubaek/flux-test": Get "https://gitlab.jacobbaek.com/api/v4/projects/dubaek%2Fflux-test": x509: certificate signed by unknown authorityPC에서 사용중인 루트 인증서 리스트에 사용하려는 인증서의 발급자가 없어서 발생된 이슈이다. jacob@dubaek:/tmp$ echo | openssl s_client -showcerts -connect gitlab.jacobbaek.com:443 CONNECTED(00000003) depth=..
DevOps/System&Tools 2022. 3. 25. 13:14
Kubernetes Sealed Secrets

Why Sealed-Secrets is needed Kubernetes 환경에서 대체로 Secret을 제외한 모든 설정정보를 Git으로 관리한다. Secret의 경우 사실 비밀정보이고 노출되면 문제가 되기에 이를 따로 보관하거나 별도의 secret management 서비스를 사용하는등의 고민이 되기 마련이다. SealedSecrets Sealed-Secrets는 앞선 어려움을 보안적으로 취약하지 않은 상태의 암호화된 Secret으로 Git 저장소에 저장되게 해주어 GitOps 환경상에 Secret 보관에 어려움을 해소시켜준다. 테스트 하며 확인한 특징을 정리해보자면, Kubernetes secret의 비밀정보를 암호화할 수 있다. 암호화된 비밀정보가 포함된 상태로 Git 저장소에 저장할수 있다. (이는..
Cloud/Kubernetes 2022. 3. 21. 22:22
log transfer into Loki which is in external cluster

다른 cluster에 존재하는 loki에 loki와 다른 cluster에서 동작되는 container에 sidecar 형태의 promtail을 동작시켜 log를 전달 및 간단히 분석할수 있는 label 설정등에 대하여 알아보도록 하자. 먼저 환경은 다음과 같다. 가칭 loki cluster grafana loki 가칭 nginx-ingress nginx-ingress 먼저 grafana는 접근이 되고 있고 loki도 외부로 연결이 가능하도록 ingress로 객체를 만들어서 연결을 시도해본다. (꼭 ingress로 만들 필요는 없고 kubernetes loadbalancer 타입과 같은 외부로 노출시킬수 있는 환경이면 된다.) loki access on external cluster (가칭 loki clu..
Cloud/Kubernetes 2022. 3. 17. 18:21
how to set http(s)_proxy on kubernetes

폐쇄망환경에 구성된 kubernetes 상에서 http(s)_proxy 설정을 하는 방법에 대하여 간단히 알아보자. 사전에 proxy 서버를 구성하고 해당 주소는 다음과 같다고 가정하고 다음 설정을 진행한다. proxy 서버 주소 : https://192.168.1.1:3128 사용하려는 pod 혹은 deployment 에 다음 항목을 env 위치에 추가한다. (deployment나 replicaset에 추가해주는것이 향후 재사용을 위해서도 좋다.) spec: template: spec: containers: ... envs: - name: https_proxy value: http://192.168.1.1:3128 - name: http_proxy value: http://192.168.1.1:3128..
Cloud/Kubernetes 2022. 3. 4. 22:10
response custom error page from proxy server

일반적으로 사용자의 요청에 대한 error 가 발생되면 origin 서버에서 error page를 rendering 하여 응답하게 된다. 만약 proxy 환경이라면 이를 proxy 서버에서 처리할수 있게 설정이 가능하다. location ~ \.(7z|avi|avif|apkbin|bmp|bz2|png|...|jpg)$ { ... proxy_pass http://192.168.1.1; proxy_intercept_errors on; error_page 404 500 501 502 503 /error_page.html; ... } location = /error_page.html { root /tmp; ##
Server/WebServer 2022. 3. 3. 18:19
How to use nginx lua module

먼저 가정은 별도의 lua module loading 과정은 사전에 이루어져 있다 보고 기술하였다. 기본 workflow를 알아둘 필요가 있다. https://cloud.githubusercontent.com/assets/2137369/15272097/77d1c09e-1a37-11e6-97ef-d9767035fc3e.png 위 flow에 기반하여 lua 모듈이 동작되어질 위치를 확인하고 다음과 같은 module을 통해 호출을 하면된다. (주로 사용해본 모듈은 rewrite_by_lua_xxx, access_by_lua_xxx, content_by_lua_xxx, set_by_lua_xxx 등이 있다.) https://github.com/openresty/lua-nginx-module#rewrite_by_..
Server/WebServer 2022. 2. 21. 21:47
print net_ratelimit in the message

현상 아래와 같은 message log 출력과 함께 ssh 연결이 간헐적으로 연결되지 않는 현상발생 Feb 14 17:30:07 ubuntu-instance kernel: net_ratelimit: 27 callbacks suppressed Feb 14 17:30:33 ubuntu-instance kernel: net_ratelimit: 10 callbacks suppressed 혹은 syslog에 다음과 같은 메세지가 출력될수도 있다. Neighbour table overflow 원인 다수의 arp table이 생기는 가상화 환경에서 발생될수 있는 문제로 기본적으로 아래와 같은 gc_thresh value를 가지고 있어 그 이상이 생길경우 문제가 발생된다. root@ubuntu-instance:/hom..
os/Linux 2022. 2. 15. 21:18
How to setup the custom config at the nginx-ingress

nginx-ingress를 사용하면서 ingress에 nginx 설정을 좀더 추가하고 싶고 때에 따라서는 nginx-ingress에 글로벌하게 설정이 필요한 경우도 있다. 하여 이를 설정하는 방법에 대하여 알아보도록 하겠다. 여기서는 log_format을 custom한 설정추가의 하나의 예로 기술하였다. 기본적인 custom 설정 추가 먼저 기본적으로 custom 설정을 추가하기 위한 기본 작업을 알아보면, nginx-ingress deployment를 확인해보면 다음과 같은 container 실행시 추가될 argument가 정의되어 있다. ... spec: containers: - args: - /nginx-ingress-controller - --election-id=ingress-controller..
Cloud/Kubernetes 2022. 2. 15. 18:23
1 2 3 4 5 ··· 26