코드 분석을 통한 ServiceAccount 로직 이해쿠버네티스에서 네임스페이스를 생성하면 자동으로 default 라는 이름의 서비스 어카운트가 생성됨.이 작업은 쿠버네티스 내부의 ServiceAccountsController에 의해 처리됨. ServiceAccountsController 작동 방식1. ServiceAccountsController는 kube-controller-manager의 일부로 실행됩니다.2. ServiceAccountsController는 모든 네임스페이스에 default 서비스 어카운트가 존재하는지 확인하고, 없을 경우 자동으로 생성합니다.3. 코드 내에서 DefaultServiceAccountsControllerOptions() 함수는 기본적으로 생성해야 할 서비스 어카운트 ..

kube-apiserver아키텍처 출처 : 쿠버네티스 인 액션 11장출처 : https://netpple.github.io/docs/deepdive-into-kubernetes/k8s-apiserver 인증 절차1. 사용자가 kubectl 명령어 수행2. kubectl → POST 요청 → kube-api-server의 HTTP 핸들러에 요청 처리3. kube-api-server에 구성된 인증(Authentication) 플러그인 수행 인증 요청하는 클라이언트 종류 - 실제 사람(사용자) - Pod(파드내에서 실행되는 애플리케이션) 방법 - 클라이언트의 인증서 - HTTP 헤더로 전달된 인증 토큰 - 기본 HTTP 인증 - 기타 추출 정..

cmd/kube-controller-manager/app/controllermanager.go# cmd/kube-controller-manager/app/controllermanager.go// NewControllerManagerCommand creates a *cobra.Command object with default parametersfunc NewControllerManagerCommand() *cobra.Command { s, err := options.NewKubeControllerManagerOptions() if err != nil { klog.Fatalf("unable to initialize command options: %v", err) } cmd := &cobra.Command{..

Released 상태의 PV를 삭제하고 다시 생성한다? 의문점1. PV가 무엇인지? 2. PV는 어디에 저장되고, 누가 관리하는 건지?3. PV를 삭제하고 재생성시 실제 DISK,Volume에는 어떤 영향이 있는지?https://arisukarno.medium.com/extend-physical-volume-claim-pvc-size-without-data-loss-in-openshift-4-565088216109https://www.giffgaff.io/tech/resizing-statefulset-persistent-volumes-with-zero-downtime Kubernetes Persistent Storage ProcessKubernetes Persistent Storage Processhtt..

원문 : https://alibaba-cloud.medium.com/kubernetes-persistent-storage-process-97372f86089d Kubernetes Persistent Storage ProcessHere shows the internal storage process of Kubernetes and the call relationships among PV, PVC, StorageClass, kubelet, and CSI.alibaba-cloud.medium.com Kubernetes 영구 저장소 프로세스작성자: Sun Zhiheng (Huizhi), Alibaba Cloud 개발 엔지니어Kubernetes Persistent Storage: Basic ConceptsKube..

https://arisukarno.medium.com/extend-physical-volume-claim-pvc-size-without-data-loss-in-openshift-4-565088216109https://www.giffgaff.io/tech/resizing-statefulset-persistent-volumes-with-zero-downtime Stateless vs Stateful기본 디플로이먼트(Pod)는 상태가 없어서, 삭제 시 데이터도 함께 사라짐.도커 볼륨 한계docker volume이나 hostPath는 특정 노드에만 데이터가 저장되어, Pod가 다른 노드로 이동하면 데이터 접근 불가.PV/PVC 도입 배경네트워크 스토리지(NFS, AWS EBS 등)를 워커 노드 어디서든 마운트해..

1. 취약점 개요​"Server: awselb/2.0" 헤더 노출은 정보 노출(Information Disclosure)로 공격자에게 시스템 구성에 대한 정보를 제공할 수 있어 보안 취약점으로 간주됩니다. 2. 취약점 확인 방법# 빈 Host 헤더 전송curl -v -H "Host: " [ALB-DNS-NAME]응답에 Server: awselb/2.0 헤더가 표시된다면, 조치가 필요합니다. 3. 조치 방법AWS 콘솔에서 다음 단계를 수행하여 Server 헤더를 비활성화할 수 있습니다1. AWS 콘솔에서 해당 ALB로 이동2. 'Listeners' 탭에서 조치가 필요한 리스너 선택 3. 'Attributes' 클릭 후 'Edit' 선택 4. 'ALB server response header' 섹션에서 'S..

에러 발생 환경 Kubernetes 클러스터에 Helm을 사용하여 Nginx Ingress Controller를 설치하고 Ingress 리소스를 생성하는 과정에서 에러가 발생함.Ingress 리소스를 적용할 때 웹훅 검증 서비스를 찾지 못하는 에러가 발생했습니다.웹훅은 존재하지만 참조하는 서비스가 없어서 검증에 실패한 상황으로, 웹훅 설정을 삭제하여 문제를 해결했습니다. # 네임스페이스 생성kubectl create namespace ingress-nginx# Helm으로 다시 설치 (네임스페이스 지정)helm repo add ingress-nginx https://kubernetes.github.io/ingress-nginxhelm repo update# 웹훅 설정을 포함한 완전한 설치helm ins..

EP1. 쿠버네티스에서 내 마이크로서비스로 트래픽을 라우팅 하는 방법https://www.youtube.com/watch?v=VBiMvlSNoewKEDA를 사용하여 NGINX Ingress Controller를 자동 스케일링하는 실습 진행중입니다.> KEDA설치는 완료하였고, 스케일링이 자동으로 되지 않아 이슈 파악중입니다.[레거시 환경 - 로드밸런서][쿠버네티스 - Ingress]Main LoadBalancerIngress하위 L4Service [Ingress Controller] 실제 트래픽을 받아서 동작함[Ingress]정책(쿠버네티스에서 관리되는 정책, 규칙) [URL 기반 분리][도메인 기반 분기] [자동확장]Ingress Controller 수평적 확장(HPA) NGINX 메트릭, 부하 정..

NGINX, Apache 주요 타임라인연도기술설명1995Apache HTTP Server 출시초기 Apache는 프로세스 기반 모델 사용1996Apache prefork MPMApache 1.3에서 공식화된 프로세스 기반의 초기 모델 (연결당 하나의 프로세스)2002Apache worker MPMApache 2.0에서 도입, 프로세스와 스레드 혼합 모델2002Nginx 개발 시작Igor Sysoev가 C10K 문제 해결을 위한 코드 작성 시작2004Nginx 공개 출시이벤트 기반 비동기 아키텍처로 출시2005Apache event MPM (실험적)Apache 2.2에서 실험 기능으로 도입, keepalive 연결 처리 개선2012Apache event MPM (안정화)Apache 2.4에서 안정화되어 기..