스터디 기록장

Why k8s network?전통적인 모노리틱 구조에서는서버가 가진 고유 IP 또는 VIP에 애플리케이션이 직접 바인딩됨 Kubernetes 클러스터에서는 애플리케이션이 서버 위가 아니라 Pod 단위로 배치Pod는 클러스터 내부 Overlay Network 위에 존재Underlay(Baremetal 서버, 스위치, ToR)는 Pod나 컨테이너의 IP/Port를 직접 인지하지 않음즉, 인프라는 단순히 “Pod 네트워크를 전달하는 역할”만 수행이 추상화를 가능하게 하는 핵심 컴포넌트CNI (Container Network Interface)kube-proxy이번 글에서는 기본 구성(default) 인 kube-proxy을 기준으로 Kubernetes 네트워크 흐름을 정리k8s 통신 종류Kubernetes ..

배경서비스를 하나 추가할때마다 필요한 작업들서비스 Domain Name에 해당하는 TLS 인증서 발급webserver or ingress에서 해당 서비스 프록시 추가TLS 인증서 자체를 관리하는것도 번거롭고, 서비스별로 프록시를 추가하고 관리하는 것도 상당히 귀찮음 물론 wildcard 도메인으로 발급받아서 공통으로 쓰는것도 가능하지만, 프록시를 추가하거나, 인증서를 갱신하는 과정은 필요함 Cloudflare에서 TLS termination도 지원하니까, 아예 TLS 인증 자체를 cloudflare에 넘겨버리고, 도메인 -> pod, service로 매핑만 할 수 있는 방법을 고민Cloudflare Tunnel 공식적인 설명은 다음과 같음Cloudflare Tunnel provides you with..

Background용어 정리인증 (Authenticate) : 해당 사용자가 누구인지 신원을 확인인가 (Authorization) : 해당 사용자가 어떤 권한을 가지는 확인하고 부여대칭키 (Symmetric Key) : 암호, 복호에 같은 키를 사용비대칭키 (Asymmetric Key) : 암호, 복호에 다른 키를 사용Root CA : 신뢰가능한 인증서 발급 기관 (GeoTrust)인증서는 왜 쓰는건가? 우리가 인터넷망을 통해 패킷을 주고받는 과정에서 다음과 같은 문제가 발생할 수 있음L2 스위칭, L3 라우팅 중에 패킷을 훔쳐본다면?Dst 주소가 정상적인 목적지가 아니라면?중간에 패킷이 변조된다면?기밀성(Confidentiality), 무결성(Integrity)을 보장하기 위해 통신 프로토콜에 보안 계..

docker engine에서 네트워크를 어떻게 구성하고, 컨테이너에 연결하는지 정리운영체제 확인Docker는 기본적으로 Linux의 커널 기능을 통해 컨테이너 기술들을 구현. 때문에 Mac, Window에서는 VM위에 docker를 돌리기에, host상에서는 network 인터페이스, 컴퓨팅 리소스가 안보일 수 있음 때문에 해당 실험은 Ubuntu 환경의 물리 서버에서 진행Docker Network도커 네트워크 드라이버는 다음과 같이 설정할 수 있음bridge : 기본 드라이버. 컨테이너 veth ↔ docker0 (브리지) ↔ host NIC. 호스트는 docker0 IP로 게이트웨이 역할host : 컨테이너가 host 네트워크 stack을 그대로 공유. 별도 네트워크 네임스페이스 없음, 컨테이너가 h..