![]()
예전부터 Jenkins 관련해서 아래 2가지 주제에 대해 실습을 하고 싶었습니다. jenkins - slack 연동을 통한 빌드 승인 거부 프로세스 구현 [Jenkins] 원격으로 빌드 유발 (Trigger builds remotely) with AWS Lambda (Python) [Jenkins] Slack Slash Command로 원격 빌드 유발 with AWS API Gateway, Lambda(Python) [Jenkins] pipeline interactive input (choice parameter) [Jenkins] pipeline interactive input Slack 연동 �Jenkins on Kubernetes [NHN FORWARD 22] Jenkins에서 Jenkins로의 여..
![]()
1. Jenkins 설치 해당 실습은 Docker로 jenkins를 설치하는 방식으로 진행했습니다. #!/bin/bash # Update package index and install required packages for Docker sudo yum update -y sudo yum install -y tree sudo yum install -y docker # Start Docker service sudo service docker start # Add the current user to the docker group sudo usermod -aG docker root sudo usermod -aG docker ec2-user # Restart Docker service to apply changes..
![]()
1. Dockerfile 실습 # ubuntu 이미지 다운로드 docker pull ubuntu:20.04 docker images # 실습을 위한 디렉터리 생성 및 이동 mkdir -p /root/myweb && cd /root/myweb # Dockerfile 파일 생성 vi Dockerfile FROM ubuntu:20.04 ENV TZ=Asia/Seoul VERSION=1.0.0 NICK=younggi RUN ln -snf /usr/share/zoneinfo/$TZ /etc/localtime && echo $TZ > /etc/timezone && \\ sed -i 's/archive.ubuntu.com/mirror.kakao.com/g' /etc/apt/sources.list && \\ sed -..
![]()
[medium] Directory Structure and Installing Plugins in Jenkins 폴더 구조 정리 사이트 (https://yeongki.notion.site/Jenkins-3ccd5eaef5744d409a18d3dcbaf817a8?pvs=4) 1. 실습 환경 (Jenkins 설치) visual studio code - icon 팩 설치 vscode > extension > vscode-icons 설치 > Set File Icon Theme Jenkins 설치 - docker 젠킨스에 대한 학습을 목표로하는 글이기 때문에 Docker를 통해 간단하게 배포하였습니다. #!/bin/bash # Update package index and install required packag..
![]()
실습3(This webhook is for mutating pods that will require AWS IAM access) For the webhook to inject a new Token into our Pod, we are going to create a new Kubernetes Service Account, annotate our Service Account with an AWS IAM role ARN, and then reference this new Kubernetes Service Account in a Kubernetes Pod. The eksctl tool can be used to automate a few steps for us, but all of these steps can..
![]()
실습2 - Kubernetes Service Accounts Kubernetes Pods are given an identity through a Kubernetes concept called a Kubernetes Service Account. When a Service Account is created, a JWT token is automatically created as a Kubernetes Secret. This Secret can then be mounted into Pods and used by that Service Account to authenticate to the Kubernetes API Server. # 파드2 생성 cat
![]()
보안 컨텍스트 내용과 실습 참고 책 ⇒ 쿠버네티스 완벽 가이드 👍🏻 쿠버네티스 완벽 가이드 - 예스24 일본 아마존 쿠버네티스 분야 베스트셀러 1위! 쿠버네티스 버전 1.18로, 쿠버네티스의 기본부터 실무까지 총망라! 쿠버네티스 환경, 버전, kubectl 버전, 그 외 시스템 버전 업데이트! 쿠버네티스 1.1 www.yes24.com 컨테이너 보안 컨텍스트 SecurityContext - 링크 ← 파드가 아님음 주의! 각 컨테이너에 대한 보안 설정 → 침해사고 발생 시 침해사고를 당한 권한을 최대한 축소하여 그 사고에 대한 확대를 방치 종류개요 privileged 특수 권한을 가진 컨테이너로 실행 capabilities Capabilities 의 추가와 삭제 allowPrivilegeEscalation..
![]()
Kyverno : K8S Native Policy Mgmt [EKS Workshop] Policy management with Kyverno - Link Managing Pod Security on Amazon EKS with Kyverno - 링크 & PSS - Link Kyverno (Greek for “govern”) is a policy engine designed specifically for Kubernetes. It is a Cloud Native Computing Foundation (CNCF) project allowing teams to collaborate and enforce Policy-as-Code. Kyverno allows for declarative Kubernetes re..
![]()
(최성욱님) 악성코드분석님 : EKS pod가 IMDS API를 악용하는 시나리오 - 링크 Github Youtube mysql 배포 cat /etc/profile MyDnzHostedZoneId=$(aws route53 list-hosted-zones-by-name --dns-name "${MyDomain}." --query "HostedZones[0].Id" --output text) echo $MyDomain, $MyDnzHostedZoneId # 사용 리전의 인증서 ARN 확인 CERT_ARN=`aws acm list-certificates --query 'CertificateSummaryList[].CertificateArn[]' --output text` echo $CERT_ARN cat Me..
![]()
EKS → 액세스 구성 모드 확인 : EKS API 및 ConfigMap ← 정책 중복 시 EKS API 우선되며 ConfigMap은 무시됨 기본 정보 확인 access policy, access entry, associated-access-policy - Link Docs User-facing_roles # EKS API 액세스모드로 변경 aws eks update-cluster-config --name $CLUSTER_NAME --access-config authenticationMode=API # List all access policies : 클러스터 액세스 관리를 위해 지원되는 액세스 정책 ## AmazonEKSClusterAdminPolicy – 클러스터 관리자 ## AmazonEKSAdmin..
![]()
1. 노드 mapRoles 확인 # 노드 IP 확인 및 PrivateIP 변수 지정 N1=$(kubectl get node --label-columns=topology.kubernetes.io/zone --selector=topology.kubernetes.io/zone=us-east-1a -o jsonpath={.items[0].status.addresses[0].address}) N2=$(kubectl get node --label-columns=topology.kubernetes.io/zone --selector=topology.kubernetes.io/zone=us-east-1b -o jsonpath={.items[0].status.addresses[0].address}) N3=$(kubectl ..
