스터디 기록장

배경서비스를 하나 추가할때마다 필요한 작업들서비스 Domain Name에 해당하는 TLS 인증서 발급webserver or ingress에서 해당 서비스 프록시 추가TLS 인증서 자체를 관리하는것도 번거롭고, 서비스별로 프록시를 추가하고 관리하는 것도 상당히 귀찮음 물론 wildcard 도메인으로 발급받아서 공통으로 쓰는것도 가능하지만, 프록시를 추가하거나, 인증서를 갱신하는 과정은 필요함 Cloudflare에서 TLS termination도 지원하니까, 아예 TLS 인증 자체를 cloudflare에 넘겨버리고, 도메인 -> pod, service로 매핑만 할 수 있는 방법을 고민Cloudflare Tunnel 공식적인 설명은 다음과 같음Cloudflare Tunnel provides you with..

Background용어 정리인증 (Authenticate) : 해당 사용자가 누구인지 신원을 확인인가 (Authorization) : 해당 사용자가 어떤 권한을 가지는 확인하고 부여대칭키 (Symmetric Key) : 암호, 복호에 같은 키를 사용비대칭키 (Asymmetric Key) : 암호, 복호에 다른 키를 사용Root CA : 신뢰가능한 인증서 발급 기관 (GeoTrust)인증서는 왜 쓰는건가? 우리가 인터넷망을 통해 패킷을 주고받는 과정에서 다음과 같은 문제가 발생할 수 있음L2 스위칭, L3 라우팅 중에 패킷을 훔쳐본다면?Dst 주소가 정상적인 목적지가 아니라면?중간에 패킷이 변조된다면?기밀성(Confidentiality), 무결성(Integrity)을 보장하기 위해 통신 프로토콜에 보안 계..

docker engine에서 네트워크를 어떻게 구성하고, 컨테이너에 연결하는지 정리운영체제 확인Docker는 기본적으로 Linux의 커널 기능을 통해 컨테이너 기술들을 구현. 때문에 Mac, Window에서는 VM위에 docker를 돌리기에, host상에서는 network 인터페이스, 컴퓨팅 리소스가 안보일 수 있음 때문에 해당 실험은 Ubuntu 환경의 물리 서버에서 진행Docker Network도커 네트워크 드라이버는 다음과 같이 설정할 수 있음bridge : 기본 드라이버. 컨테이너 veth ↔ docker0 (브리지) ↔ host NIC. 호스트는 docker0 IP로 게이트웨이 역할host : 컨테이너가 host 네트워크 stack을 그대로 공유. 별도 네트워크 네임스페이스 없음, 컨테이너가 h..

IPSec 기반의 VPN이 주로 Site-to-Site 연결을 위해 사용된다면,SSL VPN은 외부 인터넷에 있는 개별 사용자가 사내망에 안전하게 접근할 수 있도록 만들어진 VPN 방식 SSL VPN을 위해서는 VPN 장비가 공인 IP를 가지고 있어야 하며 (DMZ에 배치), 동시에 사설 대역 IP 풀을 관리사용자가 VPN에 접속하면, 이 풀에서 사설 IP를 할당받아 터널 내부에서 통신 이 과정에서 VPN 장비는 Destination IP NAT 역할하기도 함-> 외부 사용자의 트래픽을 사내망에 맞게 변환해 전달 암호화 SSL VPN은 이름 그대로 SSL(Secure Socket Layer, 현재는 TLS로 발전) 기반의 암호화를 사용 클라이언트와 VPN 장비는 HTTPS와 동일한 방식으로 SSL/TL..