Nasir

We, are our choices.

1 minute read

일지

특이사항없음

오늘의 할일

  • 220723 TIL 작성
  • 블로그 구조개편
  • 멘토링 9회차
  • 중간발표 PPT 작성

멘토링 9회차

arch arch

MIS App 현대화를 위한 플랫폼 구축

자동으로 eks 서버엔드포인트를 받아올수는 없을지?

대부분 프라이빗에 구성

배스천조차도 비용낭비라서 없애거나 >
프라이빗쪽에 직접연결 (DX) 특정사용자에대해서만 프라이빗하게 열어놓는다던가.

보통은 트래픽을 분리를한다

1. 매니지먼트에대한 TRF
2. API CONTROLPLANE에 대한 TRF
2. NODE 워커노트에 대한 TRF
3. VIP > 서비스에 대한 TRF

일반적으로는 POD나 서비스가 필요한 PORT만 개방하는 보안그룹을 만들고
그거를 ATTACH하는식으로 SG설정이 진행이된다

30080 - 32504 워커노드에 대해 열어두는 PORT. NUM.
NODE PORT로 LB를 진행한다

S.G가 기본이되어야한다 어떻게되고 어떻게안되고
어떤부분을 건드려야할지 어떤부분을 건드리지말아야할지 아라야한다.

eks
pod 서비스 expose하면 자동 lb를 생성ㅎ고 보안기능도 업데이트
> 수동으로 운영하다가 잘못만져서 고장나고 장애나면 즐거움

LB서비스가안된다
> LB뒷단의 서비스가 IN SERVICE/ OUT SERVICE?

노드포트부터 레인지로 주기때문에 맞춰서 제어하기힘들다
일반적으로 플랫폼을 쓰거나 다 올로쓴다

NACL과 컴비네이션으로 쓰면 복잡해지고
장애나 관리시 대응하기 쉽지않다. 

컨테이나환경에서는
Ingress / Egress를 제어할수있다 

pod간 네트워크는 network policy(리소스명)를 통해서 ing/eng 제어가 가능
pod<>ip/대역

리소스를 생성했다하더라고 이를 관리하기위한 cni 가 필요하다 calico antrea / 

이런게 있어야 n/w policy를 리소스를생성하더라도 실제로 적용이된다

기본적인 n/w 플러그인은 calico를 사용한다

eks는 vpc cni라는 cni를 사용한다.
특정용도로 사용한다 ip대역을 pod/node대역과 같이사용할수있게한다

k8s ip대역이 감춰진... 암튼.. 프라이빗한 네트워킹환경이되는데
vpc cni를쓰면 외부와도 통신할수있는 환경이 된다.

but calico로 바꿀수도있다

멘토님 보안그룹 나온김에 평소에 궁금했던거 한가지 여쭤보고 싶습니다.
 1. 아웃바운드 그룹은 보통 컨트롤 하지않나요?
주로 예시들 보면 인바운드 포트/소스에 대해서 컨트롤하고 아웃바운드쪽은 All traffic, 0.0.0.0/0으로 두고 사용하더라구요. 이미 인바운드로 들어오는 트래픽을 제어했기때문에 다열어두고쓰는지, 혹은 아웃바운드를 컨트롤한다면 어떤상황에서 하는지 궁금합니다.

 2. NACL도 자주사용되나요?
트래픽 관리를 위한 서비스로 리소스단위에 적용되는 보안그룹과 서브넷 단위에 적용되는 NACL이 있다고 알고있습니다. 보통 NACL은 적용대상이 큰만큼 DDoS 방지를 위한 WAF(WebApplicationFirewall)에서 사용되는거 한번 봤는데 그외에 NACL로도 트래픽관리를 하는 사례가 있는지, 어떤경우가 있는지 궁금합니다




clb<>nlb

생성이후 lb에 대한 고유한 ip가 생성이될것
clb
> lb ip가 내부적으로 바뀌어짐
> fw등으로 한번더 보안으로 감싸는데, static ip로 등록
> but clb의 ip가 변해버리면? fw 의미없음

nlb> lb ip가 static하게 제공됨 

clb는 sg를통해서 제어
nlb는 타겟그룹을 통해 참조를하고 로드밸런싱을하고 개별 인스턴스에 붙은 sg를 통해서 제어

min<desire<max

노드풀 구성
앱이 가지는 고유한 workload 가 다르다
cpu 지향 / mem지향 / gpu지향 /
적절한 workernode단을 구성가능

배포전략에대해 고민을해봐야함
> 디플로이먼트에 어피니티같은거 주고 또는 노드레이블을 줘서 pinning을 시켜야함.

멀티/퍼블릭 클라우드환경에서 인프라구축가능
점수붙이는건 비추

순서 > 최신순

플젝이름
플젝목표(1~2줄)
담당역할
수행기술
성과보고

Cloud native applicaiton 개발능력

비전공자출신의 클라우드엔지니어 > 롤모델

워크에씩 > 프로페셔널리즘 직무윤리
클라우드 아키텍쳐와 빌딩
컨테이너 플랫폼
클라우드

Categories:

Updated:

Leave a comment