Devsecops

API 인증 - 어떠한 요청을 k8s에게 하면 Master Node API로 전달 된다 - 이 때 요청을 수행하기 위해 인증 -> 권한 확인 -> 요청이 적절한가?(k8s가 제한한 명령) 과정을 수행한다 인증 - .kube/config에 있는 user name, 인증서를 가지고 인증 수행(linux의 권한x) - .kube/config에 다른 계정을 추가할 수 있다 권한 확인 - service account, token로 확인 - /kube/config에 있는 user name의 권한 확인 요청이 적절한가? - 제한된 명령을 실행 하는건 아닌가? Service Account 인증 - 모든 동작되는 pod는 Service Account계정을 가지고 동작 - pod가 쿠버네티스 API를 다룰 때 사용하는 계정

etcd - master 시스템에 있는 저장소 - 현재 k8s의 상태 정보 저 - kublet 내 CAdvisor로 부터 받아온 정보를 저장 - key - value 형태로 저장 - 어떤 명령이 들어 오고 작업을 할 때 그 과정을 저장한다 - 현재 운영되고있는 k8s에 대한 모든 운영 정보가 저장 되어있다 - 기본적으로 Memory에 저장 - /var/lib/etcd 파일에 따로 하나 더 DB형태로 보관 - static pod 형태로 동작(API 서버 없이 특정 노드의 kubelet 데몬에 의해 관리되는 pod) etcd가 손상될경우 - 모든 서비스를 할 수 없다. - 이와 같은 경우를 대비하기 위해 고가용성을 유지해야 한다 고가용성 유지법 - 동일한 etcd를 여러가 가지고 있어야 함 - 기본 3개 이..

k8s 아키텍쳐 Kublet - 해당 데몬으로 k8s 동작 - k8s를 통해 컨테이너에게 명령을 내릴때 API Server(Master Node)가 가장 먼저 응답 - 응답 후 허가받은 유저인지 확인(홈 디렉토리에 있는 인증서 확인, 6443 port) - etcd에서 정보를 받고 scheduler 전송 - scheduler 정보를 받으면 실행하려는 특정 pod 를 어디에 배치하면 가장 좋은지 결정(etcd로 부터 가져온 정보를 가지고 최적 배치 결정), (ex) ngnix 2개 실행해줘) - 어디가 적합한지를 결정하면 etcd에 저장 후 각 WorkNode의 kublet에게 명령 전달 - WorkNode의 kublet는 docker에게 명령 전달 CAdvisor - Kublet 부속품 - 컨테이너 엔진..