Jacob Baek's home

trivy database 내 존재하는 CVE를 확인해볼수 있는 방법을 기술한다. images database 다음과 같은 명령을 통해 database file을 다운로드 한다. TRIVY_TEMP_DIR=$(mktemp -d) trivy --cache-dir $TRIVY_TEMP_DIR image --download-db-only tar -cf ./db.tar.gz -C $TRIVY_TEMP_DIR/db metadata.json trivy.db https://github.com/aquasecurity/trivy-db#version-2 trivy db는 boltdb로 되어 있기에 아래 boltbrowser를 다운로드 받아 이를 통해 접근해 리스트를 확인해볼수 있다. https://github.com/br..

trivy는 security scanner로 다양한 방식의 스캔을 제공하고 명령 기반의 실행방식과 결과를 제공한다. 명령 기반이기에 harbor와 같은 registry나 gitlab, circleCI와 같은 CI/CD 도구들과 통합되지 않는 경우 코드기반의 수작업이 사전에 필요하다는 의미이다. 즉, 다양한 방식의 스캔과 이에 따른 결과를 제공하기에 이를 활용하기 위해서는 추가적인 사용법 및 기타 도구들과의 통합 작업이 필요하다. 이를 한번에 제공하는 도구가 있다면 좋을듯 한데 이런 기능을 제공해주는 trivy-operator가 존재하여 이에 대하여 알아보기로 하자. Trivy-operator Trivy-operator는 kubernetes cluster를 보안 이슈에 대해 지속적으로 scan 하고 CRD..

webhookinterface를 이용해 입력 메세지를 받은 메세지를 라우팅해주는 어플리케이션으로 사전에 정의된 output과 통합하여 강제화 액션을 수행할 수도 있다. Postee는 취약점 스캔결과를 전달하거나 Aqua Platform에서 협업시스템들에 감사 알람을 전달할수 있다. (Aqua platform은 Postee를 개발한 회사의 platform으로 opensource로 제공되고 있지만 해당 기업이 contributing하고 있다.) Rego rule을 이용하여 route를 수행하고 그에 맞는 action(ex, slack webhook 실행)을 수행한다. Installation helm은 다음 aquasecurity helm repo를 등록하고 사용하면 되고 jacob@laptop:~$ helm..

kubernetes는 다양한 API version을 제공하고 있고 Upgrade 시에 이로 인한 지원되지 않는다는 에러를 받게되는 경우가 종종 있다. 이를 좀더 쉽게 접근하기 위해 다양한 도구들이 제공되고 있다. 이중 kubet(No Trouble)에 대한 사용법을 간단히 정리하고자 한다. 먼저 help message는 다음과 같다. help message에서 볼수 있듯이 manifest 파일 및 helm chart 그리고 cluster 자체에 대한 검사도 가능하다. jacob@laptop:~ $ ./kubent -h Usage of ./kubent: -A, --additional-annotation strings additional annotations that should be checked to d..

kata container 기본적으로 container는 host와 공유된 kernel을 사용하고 cgroup 및 namespace를 통한 자원을 분리하여 사용하는 방식이다. 이러한 방식가운데 host kernel의 취약점이나 악의적인 사용자에 의한 해킹으로 인해 다른 container의 권한이 탈취되는 문제가 발생될수도 있다. 이러한 관점에서 공유된 커널을 VM과 같이 분리된 환경으로 만드는 기술이 kata container 라 볼수 있다. katacontainer on AKS 현재(2023.03 기준) 으로 node image version이 이렇게 출력되어진다. AKSCBLMariner-V2katagen2-2023.02.15 다음 문서를 기반으로 kata container를 사용할수 있는 node를..

VPA(Vertical Pod Autoscaler)란 안정성과 비용효율성간의 관계로 인해 request 혹은 limits를 낮게 혹은 너무 높게 설정하게 될수 있다. 이러한 상황에서는 OOM(out of memory) 및 불필요한 자원 과소비가 이루어지게 된다. Pod들의 up/down scale을 지원하는 VPA는 이런 이슈를 대응할 수 있는 방안이 된다. pod내 container들에 대한 최신 resource limits 과 requests를 설정에서 자유롭게 해준다. 자동으로 requests를 사용량에 기반해 설정하고 이로인해 resource 양에 적절한 노드에 적절한 스케쥴링이 이루어지게 된다. 또한 limits과 requests에 사이에 비율도 관리한다. https://github.com/ku..

Kubernetes 및 OpenStack을 주로 해왔던 입장에서 ChatGPT의 출현이후에 Infra / Cloud Engineer로의 미래가 궁금해지게 되었다. 개발코드를 쉽게 만들어주고 고 퀄리티의 소설을 작성해주는등 다양한 직업들을 대체해 나갈수 있는 ChatGPT가 infra 단에는 어떤 영향을 미칠지 조심스레 개인의 생각을 정리해본다. Infra 입장에서 ChatGPT이 영향을 주는 부분은 다음 두가지로 분류해볼수 있을것 같다. ChatGPT를 문의처로 이용 (tunning과 같은 운영상 필요한 방법등을 문의하고 검증) ChatGPT를 기존 infra단의 서비스와 통합 ChatGPT를 실제 동작시키는 환경 제공 1번의 경우는 배포 및 관리를 할때 필요한 정보들을 좀더 쉽게 접근하고 검증할 수 있..

Containerd를 Kubernetes runtime으로 사용하는 근래의 환경에서 docker insecure 설정과 같은 설정을 해야할 상황이 있어 이를 기술해보았다. 아래 링크를 기반으로 /etc/containerd/certs.d/ 하위에 디렉토리 및 hosts.toml을 생성하여 설정을 진행한다. https://github.com/containerd/containerd/blob/main/docs/cri/config.md#registry-configuration 테스트 환경 nexus 를 docker-compose로 동작 (5000 포트로 http 연결만 가능하도록) nginx image를 nexus상에 push 하여 pull 가능한 이미지 구성 아래와 같이 http로 연결을 시도하면 "http: ..