#컨테이너 오케스트레이션
72 편의 글
Certified Kubernetes Administrator (CKA) #19 Networking 2: Ingress, IngressClass, TLS
Certified Kubernetes Administrator (CKA) 시리즈의 열아홉 번째 글입니다. Service만으로는 풀리지 않는 host,path 기반 라우팅과 TLS 종단을 Ingress로 모으는 방법을 정리하겠습니다. Ingress 규칙(pathType Prefix/Exact, rules/backend, defaultBackend), 여러 컨트롤러를 가르는 IngressClass, Ingress가 동작하려면 반드시 있어야 하는 Ingress Controller, 그리고 Secret을 참조하는 TLS 섹션을 운영 관점에서 다루겠습니다.
Certified Kubernetes Application Developer (CKAD) #14 ServiceAccount와 RBAC (앱 관점)
Certified Kubernetes Application Developer (CKAD) 시리즈 14편입니다. Pod 안에서 도는 앱이 쿠버네티스 API를 호출할 때 어떤 신원으로 인증하고 어떤 권한으로 인가받는지를 ServiceAccount와 RBAC 관점에서 정리합니다. SA 토큰 자동 마운트와 끄는 법, Role,RoleBinding으로 권한을 부여하는 법, kubectl auth can-i로 검증하는 법을 손에 익히겠습니다.
Certified Kubernetes Security Specialist (CKS) #12 Pod-to-Pod mTLS: Cilium
Certified Kubernetes Security Specialist (CKS) 시리즈의 열두 번째 글입니다. Minimize Microservice Vulnerabilities도메인의 마지막 주제로, Pod 사이 통신이 기본적으로 평문이라는 문제와 전송 중 암호화(encryption in transit)를 다룹니다. Service Mesh(Istio,Linkerd)의 사이드카 mTLS 개념, Cilium의 투명 암호화(WireGuard,IPsec)와 mTLS 방향, NetworkPolicy(L3,L4)와 mTLS(암호화,신원)의 차이, 그리고 CKS 관점에서 in-transit 암호화가 왜 필요한지를 개념 중심으로 정리하겠습니다.
Kubernetes and Cloud Native Associate (KCNA) #3 Kubernetes Fundamentals 2: API, 컨테이너, 스케줄링
쿠버네티스 API의 객체 모델(apiVersion,kind,metadata,spec,status)과 선언형,명령형 방식, 컨테이너 이미지와 런타임, kube-scheduler의 스케줄링 과정(nodeSelector,affinity,taint), 그리고 ConfigMap과 Secret으로 설정을 주입하는 방법을 정리하겠습니다. Domain 1 Kubernetes Fundamentals(46%)의 후반부를 마무리합니다.
Certified Kubernetes Administrator (CKA) #18 Networking 1: Service (ClusterIP/NodePort/LoadBalancer/ExternalName)
Certified Kubernetes Administrator (CKA) 시리즈 18편입니다. Service가 selector로 Pod를 골라 Endpoints를 만들고 kube-proxy가 이를 노드의 규칙으로 구현하는 흐름을 따라가겠습니다. ClusterIP,NodePort,LoadBalancer,ExternalName 네 타입과 port/targetPort/nodePort의 구분, headless Service, k expose, 그리고 Service가 안 될 때 Endpoints로 원인을 추적하는 운영 감각까지 정리하겠습니다.
Certified Kubernetes Application Developer (CKAD) #13 ConfigMap과 Secret 깊이: volume vs env, 자동 갱신
Certified Kubernetes Application Developer (CKAD) 시리즈의 열세 번째 글입니다. 설정과 민감 정보를 코드 밖으로 빼내는 ConfigMap과 Secret을 만들고, env(valueFrom,envFrom)와 volume 마운트로 주입하는 세 가지 방식을 실기 형식으로 다루겠습니다. 특히 env는 Pod 재시작 전까지 바뀌지 않고 volume은 일정 시간 후 자동 갱신되는 차이를 손에 익히겠습니다.
Certified Kubernetes Security Specialist (CKS) #11 격리: gVisor, Kata Containers, RuntimeClass
Certified Kubernetes Security Specialist (CKS) 시리즈의 열한 번째 글입니다. 컨테이너가 호스트 커널을 공유하기 때문에 격리가 약하다는 근본 문제를 짚고, 이를 보완하는 샌드박스 런타임을 정리하겠습니다. 유저 공간 커널로 시스템 콜을 가로채는 gVisor(runsc)와 경량 VM으로 워크로드를 분리하는 Kata Containers의 동작 원리를 비교하고, RuntimeClass로 핸들러를 선언해 Pod의 runtimeClassName으로 적용하는 방법, 보안과 성능,호환성의 트레이드오프, 그리고 시험에서 자주 나오는 RuntimeClass 생성과 Pod 지정 작업까지 직접 만들어 보며 다루겠습니다.
Kubernetes and Cloud Native Associate (KCNA) #2 Kubernetes Fundamentals 1: 아키텍처와 핵심 리소스
KCNA 시리즈의 두 번째 글입니다. 비중 46%로 가장 큰 Domain 1의 전반부로, control plane과 worker node의 구성 요소(kube-apiserver,etcd,kube-scheduler,controller-manager,kubelet,kube-proxy,컨테이너 런타임), 선언형 모델과 reconciliation loop, 그리고 Pod,ReplicaSet,Deployment,Service,Namespace 핵심 리소스를 정리하겠습니다.
Certified Kubernetes Administrator (CKA) #17 Storage 2: StorageClass, 동적 프로비저닝, reclaim policy, expansion
Certified Kubernetes Administrator (CKA) 시리즈의 17번째 글입니다. StorageClass로 동적 프로비저닝을 구성해 PVC만 만들면 PV가 자동으로 생기게 하고, default StorageClass와 volumeBindingMode의 차이를 정리하겠습니다. reclaimPolicy(Delete/Retain)가 PV를 지울 때 데이터를 어떻게 다루는지, allowVolumeExpansion으로 볼륨을 어떻게 키우는지까지 YAML로 확인하겠습니다.
Certified Kubernetes Application Developer (CKAD) #12 Observability: logging, kubectl debug, port-forward, ephemeral container
Certified Kubernetes Application Developer (CKAD) 시리즈의 열두 번째 글입니다. 앱이 잘못 돌 때 들여다보는 관측 도구를 실기 관점에서 정리합니다. kubectl logs로 로그를 따라가고, describe와 events로 상태를 읽고, exec와 port-forward로 안으로 들어가며, kubectl debug의 ephemeral container로 셸 없는 컨테이너까지 디버깅하는 흐름을 손에 익히겠습니다.
Certified Kubernetes Security Specialist (CKS) #10 Secrets 관리: etcd 암호화, External Secrets
Certified Kubernetes Security Specialist (CKS) 시리즈의 열 번째 글입니다. 쿠버네티스 Secret이 기본적으로 etcd에 base64로만 저장되어 암호화가 아니라는 사실에서 출발해, EncryptionConfiguration으로 secrets를 at rest 암호화하는 절차와 apiserver 플래그 연결, 기존 Secret 재암호화, etcdctl로 평문 여부를 확인하는 방법을 정리합니다. 이어 External Secrets Operator와 KMS로 외부 비밀 저장소를 연동하는 큰 그림과 Secret 접근 RBAC 최소화까지 묶어, 시험 단골인 etcd 암호화 활성화 작업을 손에 익히겠습니다.
Kubernetes and Cloud Native Associate (KCNA) #1 시험 소개: 시험 구조와 학습 전략
Kubernetes and Cloud Native Associate (KCNA) 시리즈의 첫 글입니다. 60문항 90분 75% 합격선의 구조, 5개 도메인의 비중과 의미, 등록과 온라인 감독 응시 환경, 그리고 [K8s 실무 트랙](/ko/posts/k8s-basics-1)으로 다진 감각을 객관식 시험 문제로 풀어내는 학습 전략까지 정리하겠습니다. 이 시리즈는 KCNA 합격을 목표로 하는 9편이며, 마지막 #9에서 모의 객관식 시험을 풉니다.