#컨테이너 오케스트레이션

72 편의 글

Certified Kubernetes Administrator (CKA) #16 Storage 1: Volume types, PV, PVC 정적 프로비저닝
10 분 소요

Certified Kubernetes Administrator (CKA) #16 Storage 1: Volume types, PV, PVC 정적 프로비저닝

Certified Kubernetes Administrator (CKA) 시리즈의 열여섯 번째 글입니다. Volume의 종류(emptyDir, hostPath, configMap,secret, PVC)부터 PersistentVolume의 capacity와 accessModes, persistentVolumeReclaimPolicy, PersistentVolumeClaim의 요청과 바인딩 규칙, 그리고 관리자가 PV를 미리 만들어 두는 정적 프로비저닝까지 YAML 예제로 짚겠습니다.

Certified Kubernetes Application Developer (CKAD) #11 Probes: liveness, readiness, startup (exec/HTTP/TCP)
9 분 소요

Certified Kubernetes Application Developer (CKAD) #11 Probes: liveness, readiness, startup (exec/HTTP/TCP)

Certified Kubernetes Application Developer (CKAD) 시리즈 11편입니다. 컨테이너가 살아있는지와 트래픽을 받을 준비가 됐는지 쿠버네티스가 확인하는 세 가지 probe(liveness,readiness,startup)와 세 가지 핸들러(exec,httpGet,tcpSocket)를 YAML 예제로 익히고, 시험에서 자주 혼동하는 liveness와 readiness의 차이까지 정확히 정리하겠습니다.

Certified Kubernetes Security Specialist (CKS) #9 Pod Security Admission (PSA, Pod Security Standards)
9 분 소요

Certified Kubernetes Security Specialist (CKS) #9 Pod Security Admission (PSA, Pod Security Standards)

Certified Kubernetes Security Specialist (CKS) 시리즈의 아홉 번째 글입니다. 폐지된 PodSecurityPolicy를 대체하는 Pod Security Admission으로 위험한 Pod를 네임스페이스 단위에서 거부하는 법을 정리합니다. Pod Security Standards의 세 단계(privileged,baseline,restricted)와 세 모드(enforce,audit,warn), 네임스페이스 label 적용, restricted가 요구하는 보안 설정과 통과하는 Pod 작성법까지 시험 관점에서 다루겠습니다.

Certified Kubernetes Administrator (CKA) #15 리소스 관리: requests/limits, QoS, LimitRange, ResourceQuota
10 분 소요

Certified Kubernetes Administrator (CKA) #15 리소스 관리: requests/limits, QoS, LimitRange, ResourceQuota

Certified Kubernetes Administrator (CKA) 시리즈의 15번째 글입니다. requests와 limits로 cpu,memory를 어떻게 예약하고 제한하는지, CPU 스로틀과 memory OOMKilled의 차이, Guaranteed,Burstable,BestEffort 세 QoS 클래스가 eviction 순서를 어떻게 가르는지 정리하겠습니다. 이어서 LimitRange로 컨테이너 기본값을, ResourceQuota로 네임스페이스 총량을 강제하는 운영 정책을 YAML로 다루겠습니다.

Certified Kubernetes Application Developer (CKAD) #10 Kustomize: overlay 패턴, 환경별 매니페스트
9 분 소요

Certified Kubernetes Application Developer (CKAD) #10 Kustomize: overlay 패턴, 환경별 매니페스트

Certified Kubernetes Application Developer (CKAD) 시리즈 열 번째 글입니다. 템플릿 없이 매니페스트를 환경별로 변형하는 Kustomize를 다룹니다. kustomization.yaml의 기본 필드부터 base/overlays 구조, patchesStrategicMerge와 JSON6902 패치, configMapGenerator,secretGenerator의 해시 롤링, 그리고 -k 플래그로 빌드하고 적용하는 흐름까지 실기 관점으로 정리하겠습니다.

Certified Kubernetes Security Specialist (CKS) #8 kernel hardening, capabilities, /proc 보호
11 분 소요

Certified Kubernetes Security Specialist (CKS) #8 kernel hardening, capabilities, /proc 보호

Certified Kubernetes Security Specialist (CKS) 시리즈의 여덟 번째 글입니다. securityContext로 컨테이너의 권한을 깎아 공격 표면을 줄이는 법을 다룹니다. Linux capabilities를 drop ALL 후 필요한 것만 add하는 패턴, privileged,allowPrivilegeEscalation의 위험, runAsNonRoot,readOnlyRootFilesystem, procMount의 /proc 마스킹, hostPID,hostNetwork,hostIPC와 host 경로 마운트 차단까지 hardened YAML 예제로 정리하겠습니다.

Certified Kubernetes Administrator (CKA) #14 Scheduling 2: Taints/tolerations, Priority/PriorityClass, preemption
10 분 소요

Certified Kubernetes Administrator (CKA) #14 Scheduling 2: Taints/tolerations, Priority/PriorityClass, preemption

Certified Kubernetes Administrator (CKA) 시리즈의 열네 번째 글입니다. 노드가 Pod를 밀어내는 taint와 그 거부를 받아들이는 toleration의 동작(effect NoSchedule/PreferNoSchedule/NoExecute, tolerationSeconds), control plane 노드의 기본 taint, 그리고 PriorityClass로 우선순위를 매기고 자원이 부족할 때 낮은 우선순위 Pod를 축출하는 preemption까지 운영 관점에서 YAML과 kubectl로 손에 익히겠습니다.

Certified Kubernetes Application Developer (CKAD) #9 Helm: install, upgrade, rollback, values
8 분 소요

Certified Kubernetes Application Developer (CKAD) #9 Helm: install, upgrade, rollback, values

Certified Kubernetes Application Developer (CKAD) 아홉 번째 글입니다. 매니페스트 묶음을 하나의 패키지로 다루는 Helm의 차트 구조와 release 개념을 정리하고, helm repo,install,upgrade,rollback과 values 오버라이드를 실기 명령 위주로 손에 익히겠습니다. dry-run으로 결과를 미리 보고 history로 되돌리는 흐름까지 따라 쳐 봅니다.

Certified Kubernetes Security Specialist (CKS) #7 seccomp 프로파일
9 분 소요

Certified Kubernetes Security Specialist (CKS) #7 seccomp 프로파일

Certified Kubernetes Security Specialist (CKS) 시리즈의 일곱 번째 글입니다. seccomp으로 컨테이너가 호출할 수 있는 시스템 콜을 필터링하는 방법을 정리합니다. RuntimeDefault,Localhost,Unconfined 세 가지 프로파일 타입과 securityContext.seccompProfile 설정, 노드에 올리는 커스텀 프로파일 JSON 작성과 검증까지 직접 다루겠습니다.

Certified Kubernetes Administrator (CKA) #13 Scheduling 1: nodeSelector, nodeAffinity, podAffinity/antiAffinity
10 분 소요

Certified Kubernetes Administrator (CKA) #13 Scheduling 1: nodeSelector, nodeAffinity, podAffinity/antiAffinity

Certified Kubernetes Administrator (CKA) 시리즈의 열세 번째 글입니다. 스케줄러가 Pod를 어느 노드에 두는지를 통제하는 네 가지 도구를 정리하겠습니다. nodeSelector로 라벨을 단순 매칭하고, nodeAffinity의 required와 preferred로 노드 조건을 표현하며, podAffinity와 podAntiAffinity의 topologyKey로 다른 Pod를 기준으로 같은 노드나 다른 노드에 배치하겠습니다. nodeName으로 스케줄러를 우회하는 수동 배치도 함께 봅니다.

Certified Kubernetes Application Developer (CKAD) #8 Deployment 전략: Blue-green, canary
8 분 소요

Certified Kubernetes Application Developer (CKAD) #8 Deployment 전략: Blue-green, canary

Certified Kubernetes Application Developer (CKAD) 시리즈의 여덟 번째 글입니다. 매니지드 배포 도구 없이 Deployment와 Service, label만으로 무중단 배포 전략을 직접 구현합니다. rolling update와 recreate를 복습하고, blue-green으로 즉시 컷오버와 롤백을 만들며, canary로 replicas 비율을 통한 트래픽 분배를 구현하겠습니다.

Certified Kubernetes Security Specialist (CKS) #6 AppArmor 프로파일 (System Hardening)
10 분 소요

Certified Kubernetes Security Specialist (CKS) #6 AppArmor 프로파일 (System Hardening)

Certified Kubernetes Security Specialist (CKS) 시리즈의 여섯 번째 글입니다. 리눅스 MAC인 AppArmor로 컨테이너의 파일,기능 접근을 커널 수준에서 제한하는 법을 정리합니다. enforce와 complain 모드의 차이, deny 규칙을 담은 프로파일 작성, apparmor_parser로 노드에 로드하고 aa-status로 확인하는 절차, 1.30+ securityContext.appArmorProfile와 구버전 annotation으로 Pod에 붙이는 두 방식, 그리고 프로파일이 실제로 막는지 exec로 검증하는 방법까지 손으로 다루겠습니다.