Jacob Baek's home

starboard 란? Aquasecurity 사에서 개발해 opensource로 제공하는 Kubernetes-native security tool kit 이다. 실제 Kubernetes 환경에서 동작되는 모든 서비스(kubernete 자신을 포함)에 대한 취약점 분석을 진행하고 Report를 생성한다. https://github.com/aquasecurity/starboard 뜻을 알면 이해에 도움이 될거라 생각해서 찾아보았지만 정확한 의미가 나와있지는 않았다. starboard란? 배의 좌우측면을 현측이라 하는데 여기서 우현을 의미한다. 예상하기로는 기존 측면(좌측)이 아닌 다른 측면(우측, 보안적인)에서 바라보는 개념이지 않을까 한다. Aquasecurity에서 제공하는 CRD인 다음 항목에 대한 ..

Octant 란? Octant의 경우 개발자가 Web UI를 통해 복잡성을 가진 kubernetes 관리할수 있도록 하는 웹 기반 플랫폼이다. 여기서 주목해야 할 것은 개발자 입장에서 좀더 쉽게 kubernetes를 관리 및 사용할수 있도록 돕는것이다. 하여 개발자의 입장에서 만들어진 것이라 여겨져 생각보다는(개인적인 판단임으로 참고만) UI 상의 퀄리티가 좋지는 않다. How to use 동작방식은 octant가 동작될 localhost에 octant binary를 다운로드 받아 실행되기 때문에 개발 머신에서 사용하는것을 권장한다. (실제 목적 자체가 개발자용이기에 개발가능한 IDE를 사용하는 환경이 더 좋을것이라 판단된다.) 또한 octant가 동작될 환경에서 저장되어 있는 kubeconfig 파일을..

cirros image를 이용해 다른 VM에 ssh로 접근하는 방법에 대하여 알아보도록 하겠다. (사실 이방법은 의미있는 작업은 아니나 debugging이 필요한 VM에 연결 가능한 VM이 cirros밖에 없었던 상황에서 유용하게 쓰여서 간단히 정리해보려 한다.) cirros image에는 openssh client가 아닌 dropbear client가 설치되어 있다. 하여 openssh key를 가지고 연결하려 하니 아래와 같은 에러가 발생되었고 (private-key는 copy&paste로..) $ ssh -i ./openssh-private-key centos@10.10.10.21 ssh: Exited: String too long아래와 같은 변환 작업을 통해 접속이 가능하였다. $ dropbear..

Predefined Should have packages jq (https://stedolan.github.io/jq/download/) openstacksdk (https://docs.openstack.org/openstacksdk/latest/user/) Defined variables for using script. ImageName="centos7" VmName="TestVM" Flavor="m1.large" Keypair="testvm-key"gathering UUID and names flavorUuid=`openstack flavor list -f value | grep $Flavor | awk '{print $1}'` echo "flavor uuid : "$flavorUuid..

clouds.yaml이란? OpenStack이 다수 존재하는 경우 sdk를 이용하거나 openstack command를 이용하여 관리하고자 할때 사용하는 template 이라 보면 된다. https://specs.openstack.org/openstack/openstack-specs/specs/clouds-yaml-support.html 참고로 openstack으로 public cloud service를 하는 대상들도 사용할 수 있다. 그예로 platform9이 있다. https://docs.platform9.com/openstack/cli-access/multi-cloud-cli/ 사용을 위한 준비 우선 다음과 같은 구조의 파일을 생성해야 한다. (자동으로 생성해주지는 않고 형식을 맞춰 생성한다.) c..

nginx-ingress와 namespace nginx-ingress는 기본적으로 모든 namespace의 resource를 control할 수 있도록 배포가 되어진다. 해당 개념과는 다르게 지정된 namespace의 resource만을 control할수 있게도 가능하다. 이번에는 지정된 namespace의 resource만 control 되는 환경에서 다른 namespace에 있는 service를 backend로 가지는 ingress를 생성하는 방법에 대하여 알아보도록 하겠다. 참고로 아래 링크에 namespace를 지정하는 방식에 대한 설명이 있으니 한번 참고해 보면 좋을듯하다. https://docs.nginx.com/nginx-ingress-controller/installation/running..

certbot을 이용한 무료 certification 생성하여 적용하는 과정에 대해 알아보자. 해당 내용은 아래와 같은 환경이 마련된 상태에서 진행되었다. kubernetes AWS route53 dns 등록 : example.com(가정사항) nginx-ingress : abc.example.com 실제 동작될 환경은 kubernetes 상에 동작되는 pod이며 해당 pod는 ingress로 외부에서 연결이 가능하다. ingress의 tls 항목에 secretName에서 사용할 인증서를 아래와 같은 과정을 통해 생성 및 적용해보자. certbot 준비 CentOS7 기준으로 아래와 같은 순서로 인증서 생성을 진행한다. yum install epel-release -y yum install certbot..

Kubernetes 환경에서 Logging 및 Monitoring을 위한 환경 구성에 대하여 알아보도록 하자. 먼저 사용되는 구성요소들은 다음과 같다. logging Fluent-bit (각 노드) -> elasticsearch -> grafana / kibana monitoring node_exporter (각 노드) -> prometheus -> grafana 각 구성요소는 다음과 같은 구성으로 이루어진다. component helm chart namspace persistence volume etc ElasticSearch elastic/elasticsearch(helm.elastic.co) LMA 사용 Fluentbit stable/fluent-bit LMA 미사용 elasticsearch로 lo..