“DevOps를 위한 Kubernetes” 책

안녕하세요, 카브로 주민 여러분! Kubernetes는 현대 클라우드 생태계의 핵심 요소 중 하나입니다. 이 기술은 컨테이너 가상화에 안정성, 확장성 및 탄력성을 제공합니다. John Arundel과 Justin Domingus가 Kubernetes 생태계에 대해 이야기하고 일상적인 문제에 대한 입증된 솔루션을 소개합니다. 단계별로 자신만의 클라우드 네이티브 애플리케이션을 구축하고 이를 지원하는 인프라를 생성하며, 다음 애플리케이션 작업에 도움이 될 개발 환경과 지속적인 배포 파이프라인을 설정하게 됩니다.

• 기본부터 컨테이너와 Kubernetes를 시작하세요. 주제를 배우는 데 특별한 경험이 필요하지 않습니다. • 자체 클러스터를 실행하거나 Amazon, Google 등의 관리형 Kubernetes 서비스를 선택합니다. • Kubernetes를 사용하여 컨테이너 수명주기 및 리소스 소비를 관리합니다. • 비용, 성능, 탄력성, 성능 및 확장성을 기반으로 클러스터를 최적화합니다. • 애플리케이션을 개발, 테스트 및 배포하는 데 가장 적합한 도구를 알아보세요. • 현재 업계 관행을 활용하여 보안과 통제를 보장합니다. • 개발 팀이 보다 유연하고 신속하며 효율적으로 작업할 수 있도록 회사 전체에 DevOps 원칙을 구현합니다.

누구를 위한 책인가?

이 책은 서버, 애플리케이션, 서비스를 담당하는 관리 부서의 직원은 물론 새로운 클라우드 서비스를 구축하거나 기존 애플리케이션을 Kubernetes 및 클라우드로 마이그레이션하는 데 관련된 개발자에게 가장 관련성이 높습니다. 걱정하지 마세요. Kubernetes나 컨테이너를 사용하는 방법을 알 필요가 없습니다. 우리가 모든 것을 가르쳐 드리겠습니다.

숙련된 Kubernetes 사용자는 RBAC, 지속적인 배포, 민감한 데이터 관리 및 관찰 가능성과 같은 주제에 대한 심층적인 설명을 통해 많은 가치를 발견하게 될 것입니다. 귀하의 기술과 경험에 관계없이 책의 페이지에 귀하에게 흥미로운 내용이 확실히 포함되기를 바랍니다.

이 책은 어떤 질문에 대답합니까?

책을 기획하고 집필하는 동안 우리는 수백 명의 사람들과 클라우드 기술과 Kubernetes에 대해 논의하고 업계 리더와 전문가는 물론 완전 초보자와도 이야기를 나눴습니다. 다음은 이 간행물에서 답변을 보고 싶은 선별된 질문입니다.

• “저는 왜 이 기술에 시간을 투자해야 하는지 궁금합니다. 나와 우리 팀이 해결하는 데 어떤 문제가 도움이 될까요?”
• “쿠버네티스는 재미있어 보이지만 진입 장벽이 상당히 높습니다. 간단한 예제를 준비하는 것은 어렵지 않지만 추가 관리 및 디버깅은 어렵습니다. 우리는 사람들이 현실 세계에서 Kubernetes 클러스터를 관리하는 방법과 우리가 직면할 수 있는 문제에 대해 신뢰할 수 있는 조언을 얻고 싶습니다."
• “주관적인 조언이 도움이 될 것 같아요. Kubernetes 생태계는 새로운 팀에게 선택할 수 있는 옵션이 너무 많습니다. 동일한 작업을 수행하는 방법이 여러 가지일 때 어떤 방법이 가장 좋은지 어떻게 알 수 있습니까? 선택하는 방법?

그리고 아마도 모든 질문 중에서 가장 중요한 것은 다음과 같습니다.

• “회사에 지장을 주지 않고 어떻게 Kubernetes를 사용할 수 있나요?”

발췌. 구성 및 비밀 개체

Kubernetes 애플리케이션의 논리를 해당 구성(즉, 시간이 지남에 따라 변경될 수 있는 값이나 설정)에서 분리하는 기능은 매우 유용합니다. 구성 값에는 일반적으로 환경별 설정, 타사 서비스 DNS 주소 및 인증 자격 증명이 포함됩니다.

물론 이 모든 것을 코드에 직접 넣을 수 있지만 이 접근 방식은 충분히 유연하지 않습니다. 예를 들어 구성 값을 변경하면 코드를 다시 빌드하고 배포해야 합니다. 훨씬 더 나은 해결책은 구성을 코드에서 분리하여 파일이나 환경 변수에서 읽는 것입니다.

Kubernetes는 구성을 관리하는 여러 가지 방법을 제공합니다. 먼저, 포드 래퍼 사양에 지정된 환경 변수를 통해 애플리케이션에 값을 전달할 수 있습니다(192페이지의 "환경 변수" 참조). 둘째, 구성 데이터는 ConfigMap 및 Secret 개체를 사용하여 Kubernetes에 직접 저장할 수 있습니다.

이 장에서는 이러한 개체를 자세히 살펴보고 데모 애플리케이션을 사용하여 구성 및 민감한 데이터를 관리하는 몇 가지 실용적인 접근 방식을 살펴봅니다.

구성 변경 시 포드 셸 업데이트

클러스터에 배포가 있고 해당 ConfigMap에서 일부 값을 변경하려고 한다고 가정해 보겠습니다. Helm 차트(102페이지의 "Helm: Kubernetes용 패키지 관리자" 참조)를 사용하면 구성 변경 사항을 자동으로 감지하고 한 번의 깔끔한 방법으로 포드 셸을 다시 로드할 수 있습니다. 배포 사양에 다음 주석을 추가합니다.

checksum/config: {{ include (print $.Template.BasePath "/configmap.yaml") .
       | sha256sum }}

이제 배포 템플릿에는 구성 매개변수의 체크섬이 포함됩니다. 매개변수가 변경되면 합계가 업데이트됩니다. helm 업그레이드를 실행하면 Helm은 배포 사양이 변경되었음을 감지하고 모든 Pod 셸을 다시 시작합니다.

Kubernetes의 민감한 데이터

우리는 ConfigMap 객체가 클러스터의 구성 데이터를 저장하고 액세스하기 위한 유연한 메커니즘을 제공한다는 것을 이미 알고 있습니다. 그러나 대부분의 애플리케이션에는 비밀번호나 API 키와 같이 민감하고 민감한 정보가 있습니다. ConfigMap에 저장할 수도 있지만 이 솔루션은 이상적이지 않습니다.

대신 Kubernetes는 민감한 데이터를 저장하도록 설계된 특별한 유형의 객체인 Secret을 제공합니다. 다음으로, 데모 애플리케이션에서 이 객체를 어떻게 사용할 수 있는지에 대한 예를 살펴보겠습니다.

시작하려면 Secret 객체에 대한 Kubernetes 매니페스트를 살펴보세요(hello-secret-env/k8s/secret.yaml 참조).

apiVersion: v1
kind: Secret
metadata:
    name: demo-secret
stringData:
    magicWord: xyzzy

이 예에서 MagicWord 개인 키는 xyzzy(en.wikipedia.org/wiki/Xyzzy_(computing))입니다. xyzzy라는 단어는 일반적으로 컴퓨터 세계에서 매우 유용합니다. ConfigMap과 유사하게 Secret 객체에 여러 키와 값을 저장할 수 있습니다. 여기서는 단순화를 위해 하나의 키-값 쌍만 사용합니다.

비밀 개체를 환경 변수로 사용

ConfigMap과 마찬가지로 Secret 객체는 컨테이너에서 환경 변수 또는 디스크의 파일로 사용할 수 있습니다. 다음 예에서는 Secret의 값에 환경 변수를 할당합니다.

spec:
   containers:
       - name: demo
          image: cloudnatived/demo:hello-secret-env
          ports:
             - containerPort: 8888
          env:
             - name: GREETING
               valueFrom:
               secretKeyRef:
                  name: demo-secret
                  key: magicWord

매니페스트를 적용하려면 데모 저장소에서 다음 명령을 실행하세요.

kubectl apply -f hello-secret-env/k8s/
deployment.extensions "demo" configured
secret "demo-secret" created

이전과 마찬가지로 로컬 포트를 배포로 전달하여 브라우저에서 결과를 확인합니다.

kubectl port-forward deploy/demo 9999:8888
Forwarding from 127.0.0.1:9999 -> 8888
Forwarding from [::1]:9999 -> 8888

주소를 열 때 로컬 호스트:9999/ 다음이 표시되어야 합니다.

The magic word is "xyzzy"

파일에 비밀 개체 쓰기

이 예에서는 Secret 개체를 컨테이너에 파일로 첨부합니다. 코드는 데모 저장소의 hello-secret-file 폴더에 있습니다.

Secret을 파일로 연결하기 위해 다음 배포를 사용합니다.

spec:
   containers:
       - name: demo
          image: cloudnatived/demo:hello-secret-file
          ports:
              - containerPort: 8888
          volumeMounts:
              - name: demo-secret-volume
                mountPath: "/secrets/"
                readOnly: true
   volumes:
      - name: demo-secret-volume
        secret:
           secretName: demo-secret

페이지의 "ConfigMap 개체에서 구성 파일 생성" 하위 섹션에서와 같습니다. 240에서는 볼륨(이 경우에는 데모-비밀 볼륨)을 생성하고 이를 사양의 VolumeMounts 섹션에 있는 컨테이너에 마운트합니다. mountPath 필드는 /secrets이므로 Kubernetes는 Secret 객체에 정의된 각 키/값 쌍에 대해 이 폴더에 하나의 파일을 생성합니다.

이 예에서는 MagicWord라는 하나의 키-값 쌍만 정의했으므로 매니페스트는 컨테이너의 민감한 데이터가 포함된 단일 읽기 전용 파일 /secrets/magicWord를 생성합니다.

이전 예제와 동일한 방식으로 이 매니페스트를 적용하면 동일한 결과를 얻을 수 있습니다.

The magic word is "xyzzy"

비밀 객체 읽기

이전 섹션에서는 kubectl explain 명령을 사용하여 ConfigMap의 내용을 표시했습니다. Secret에서도 같은 작업을 수행할 수 있나요?

kubectl describe secret/demo-secret
Name:          demo-secret

Namespace:      default
Labels:             <none>
Annotations:
Type:               Opaque

Data
====
magicWord: 5   bytes

데이터 자체는 표시되지 않으므로 주의하시기 바랍니다. Kubernetes의 비밀 객체는 Opaque 유형입니다. 즉, 해당 내용이 kubectl 설명 출력, 로그 항목 또는 터미널에 표시되지 않아 실수로 중요한 정보를 공개하는 것이 불가능합니다.

민감한 데이터의 인코딩된 YAML 버전을 보려면 kubectl get 명령을 사용하십시오.

kubectl get secret/demo-secret -o yaml
apiVersion: v1
data:
   magicWord: eHl6enk=
kind: Secret
metadata:
...
type: Opaque

base64

원래 값과 완전히 다른 eHl6enk=는 무엇입니까? 이는 실제로 base64 인코딩으로 표현되는 Secret 객체입니다. Base64는 임의의 이진 데이터를 문자열로 인코딩하는 방식입니다.

민감한 정보는 바이너리일 수 있고 출력되지 않을 수 있으므로(TLS 암호화 키의 경우처럼) Secret 객체는 항상 base64 형식으로 저장됩니다.

beHl6enk= 텍스트는 비밀 단어 xyzzy의 base64 인코딩 버전입니다. 터미널에서 base64 —decode 명령을 실행하여 이를 확인할 수 있습니다.

echo "eHl6enk=" | base64 --decode
xyzzy

따라서 Kubernetes는 터미널이나 로그 파일에 민감한 데이터가 실수로 출력되지 않도록 보호하지만, 특정 네임스페이스의 Secret 개체에 대한 읽기 권한이 있으면 해당 데이터를 base64로 처리한 후 디코딩할 수 있습니다.

일부 텍스트를 base64로 인코딩해야 하는 경우(예: 보안 비밀에 넣기 위해) 인수 없이 base64 명령을 사용하세요.

echo xyzzy | base64
eHl6enkK

비밀 객체에 접근하기

비밀 개체를 읽고 편집할 수 있는 사람은 누구입니까? 이는 액세스 제어 메커니즘인 RBAC에 의해 결정됩니다(258페이지의 "역할 기반 액세스 제어 소개" 하위 섹션에서 자세히 설명합니다). RBAC가 없거나 활성화되지 않은 클러스터를 실행하는 경우 모든 사용자 및 컨테이너가 모든 Secret 객체를 사용할 수 있습니다. RBAC가 없는 프로덕션 클러스터가 있어서는 안 된다는 점은 나중에 설명하겠습니다.

수동적 데이터 암호화

Kubernetes가 모든 정보를 저장하는 etcd 데이터베이스에 액세스할 수 있는 사람은 어떻습니까? API를 통해 Secret 객체를 읽을 수 있는 권한이 없어도 민감한 데이터를 읽을 수 있나요?

버전 1.7부터 Kubernetes는 수동 데이터 암호화를 지원합니다. 이는 etcd 내부의 민감한 정보가 디스크에 암호화되어 저장되며 데이터베이스에 직접 액세스하는 사람도 읽을 수 없음을 의미합니다. 이를 해독하려면 Kubernetes API 서버에만 있는 키가 필요합니다. 적절하게 구성된 클러스터에서는 수동 암호화를 활성화해야 합니다.

다음과 같은 방법으로 클러스터에서 수동 암호화가 작동하는지 확인할 수 있습니다.

kubectl describe pod -n kube-system -l component=kube-apiserver |grep encryption
        --experimental-encryption-provider-config=...

Experiment-encryption-provider-config 플래그가 표시되지 않으면 수동 암호화가 활성화되지 않은 것입니다. Google Kubernetes Engine 또는 기타 Kubernetes 관리 서비스를 사용하는 경우 데이터는 다른 메커니즘을 사용하여 암호화되므로 플래그가 표시되지 않습니다. etcd 콘텐츠가 암호화되었는지 확인하려면 Kubernetes 공급업체에 문의하세요.

기밀 데이터 저장

매우 민감한 보안 비밀 개체와 같이 클러스터에서 제거하면 안 되는 일부 Kubernetes 리소스가 있습니다. Helm 관리자가 제공하는 주석을 사용하여 리소스가 삭제되지 않도록 보호할 수 있습니다.

kind: Secret
metadata:
    annotations:
        "helm.sh/resource-policy": keep

비밀 객체 관리 전략

이전 섹션의 예에서는 중요한 데이터가 클러스터에 저장된 후 즉시 무단 액세스로부터 보호되었습니다. 그러나 매니페스트 파일에서는 일반 텍스트로 저장되었습니다.

버전 관리 대상 파일에 기밀 정보를 배치해서는 안 됩니다. 이 정보를 Kubernetes 클러스터에 적용하기 전에 어떻게 안전하게 관리하고 저장할 수 있습니까?

애플리케이션에서 민감한 데이터를 처리하기 위한 도구나 전략을 선택할 수 있지만 최소한 다음 질문에 답해야 합니다.

• 민감한 데이터에 쉽게 접근할 수 있도록 어디에 저장해야 합니까?
• 활성 애플리케이션에서 민감한 데이터에 액세스하려면 어떻게 해야 합니까?
• 민감한 데이터를 교체하거나 편집할 때 애플리케이션은 어떻게 되나요?

저자 소개

존 애런델 컴퓨터 업계에서 30년 경력의 컨설턴트입니다. 그는 여러 권의 책을 집필했으며 다양한 국가의 많은 회사와 협력하여 클라우드 네이티브 인프라 및 Kubernetes에 대해 조언하고 있습니다. 여가 시간에는 서핑을 즐기고 권총 사수를 잘하며 아마추어로서 피아노를 연주합니다. 영국 콘월의 동화 속 별장에 살고 있습니다.

저스틴 도밍구스 — Kubernetes 및 클라우드 기술을 사용하여 DevOps 환경에서 작업하는 시스템 관리 엔지니어입니다. 그는 야외에서 시간을 보내고, 커피를 마시고, 게잡이를 즐기고, 컴퓨터 앞에 앉아 있는 것을 즐깁니다. 워싱턴 주 시애틀에 살고 있으며 멋진 고양이와 훨씬 더 멋진 아내이자 가장 친한 친구인 Adrienne과 함께 살고 있습니다.

» 책에 대한 자세한 내용은 다음에서 확인할 수 있습니다. 발행인의 웹사이트
» 차례
» 발췌

Khabrozhiteley의 경우 쿠폰을 사용하여 25% 할인을 받으세요 - Kubernetes

종이책을 결제하시면 전자책이 이메일로 발송됩니다.

출처 : habr.com