Jacob Baek's home

Falco 오픈소스 실시간 보안 도구로 정의된 특정 행위에 대해 모니터링하는도구이다. 2018년도 부터 시작되었고 sysdig에 의해 CNCF에 기여되었다. 현재는 incubating 과정에 있는 project이다. https://www.cncf.io/ 간단하게 동작원리를 설명하자면, 커널 이벤트 모니터링하고 사전에 정의해놓은 rule에 행위상 위반되는 상황이 발생되면 경고를 발생시킨다. Falco는 Kubernetes, Linux, Cloud-Native 대상의 보안 rule set을 정의하여 사용할수 있다. Falco가 하는 일 Falco는 시스템/서비스 등 을 모니터링하고 안전하게 만드는 다음과 같은 system call을 사용한다. Kernel로부터 실시간 Linux System call들을 Pa..

starboard 란? Aquasecurity 사에서 개발해 opensource로 제공하는 Kubernetes-native security tool kit 이다. 실제 Kubernetes 환경에서 동작되는 모든 서비스(kubernete 자신을 포함)에 대한 취약점 분석을 진행하고 Report를 생성한다. https://github.com/aquasecurity/starboard 뜻을 알면 이해에 도움이 될거라 생각해서 찾아보았지만 정확한 의미가 나와있지는 않았다. starboard란? 배의 좌우측면을 현측이라 하는데 여기서 우현을 의미한다. 예상하기로는 기존 측면(좌측)이 아닌 다른 측면(우측, 보안적인)에서 바라보는 개념이지 않을까 한다. Aquasecurity에서 제공하는 CRD인 다음 항목에 대한 ..

certbot을 이용한 무료 certification 생성하여 적용하는 과정에 대해 알아보자. 해당 내용은 아래와 같은 환경이 마련된 상태에서 진행되었다. kubernetes AWS route53 dns 등록 : example.com(가정사항) nginx-ingress : abc.example.com 실제 동작될 환경은 kubernetes 상에 동작되는 pod이며 해당 pod는 ingress로 외부에서 연결이 가능하다. ingress의 tls 항목에 secretName에서 사용할 인증서를 아래와 같은 과정을 통해 생성 및 적용해보자. certbot 준비 CentOS7 기준으로 아래와 같은 순서로 인증서 생성을 진행한다. yum install epel-release -y yum install certbot..

이슈사항 및 발생원인 production 환경에서 잘못해서 PVC를 삭제한 경우 어떻게 대처하고 재생성을 하였는지를 기록해보고자 한다. 실수로 dev 환경으로 착각하고 아래와 같은 명령어를 실행하였다. [root@kube ~]# kubectl delete pvc/spinnaker-minio -n spinnaker실제 pvc는 volumeattached 명령어로 확인해본 결과 아직 attached 상태이기에 pv가 삭제되지는 않았다. (다시한번 production에 대한 permission 관리와 다양한 접근제어가 필요하다는 생각을...) [root@kube ~]# kubectl get volumeattachment -n spinnaker NAME ATTACHER PV NODE ATTACHED AGE cs..

minikube는 all-in-one kubernetes 이다. kubernetes가 설치된 하나의 VM을 생성하고 해당 VM을 통해 kubernetes를 연결할 수 있도록 도와주는 도구라 생각하면 좋다. 설치방법은 다음과 같다. Windows 간단히 아래 command를 통해 설치가 가능하다. choco install minikube 이후 powershell command line으로 연결해서 kubectl 명령을 수행해보면 정상적으로 명령이 실행됨을 확인할 수 있다. 이후 아래와 같은 명령을 통해 minikube VM을 실행한다. windows의 경우 hyperV (windows 내장 hypervisor)혹은 virtualbox를 사용할 수 있다. 기본은 virtualbox임으로 아래와 같이 수행한다..