๋ฉ๋ชจ. ๋ฒ์ญ: K8s ํ๊ฒฝ์ ๋ํ YAML ๊ตฌ์ฑ์ ์๊ฐ ์ฆ๊ฐํจ์ ๋ฐ๋ผ ์๋ํ๋ ๊ฒ์ฆ์ ํ์์ฑ์ด ์ ์ ๋ ์๊ธํด์ง๊ณ ์์ต๋๋ค. ์ด ๋ฆฌ๋ทฐ์ ์์ฑ์๋ ์ด ์์ ์ ์ํด ๊ธฐ์กด ์๋ฃจ์ ์ ์ ํํ์ ๋ฟ๋ง ์๋๋ผ ๋ฐฐํฌ๋ฅผ ์๋ก ๋ค์ด ์๋ ๋ฐฉ์์ ํ์ธํ์ต๋๋ค. ์ด ์ฃผ์ ์ ๊ด์ฌ์ด ์๋ ๋ถ๋ค์๊ฒ๋ ๋งค์ฐ ์ ์ตํ ๋ด์ฉ์ด์์ต๋๋ค.
TL; DR: ์ด ๋ฌธ์์์๋ ๋ชจ๋ฒ ์ฌ๋ก ๋ฐ ์๊ตฌ ์ฌํญ์ ๋ฐ๋ผ Kubernetes YAML ํ์ผ์ ๊ฒ์ฆํ๊ณ ํ๊ฐํ๋ XNUMX๊ฐ์ง ์ ์ ๋๊ตฌ๋ฅผ ๋น๊ตํฉ๋๋ค.
Kubernetes ์ํฌ๋ก๋๋ ์ผ๋ฐ์ ์ผ๋ก YAML ๋ฌธ์ ํ์์ผ๋ก ์ ์๋ฉ๋๋ค. YAML์ ๋ฌธ์ ์ ์ค ํ๋๋ ๋งค๋ํ์คํธ ํ์ผ ๊ฐ์ ์ ์ฝ ์กฐ๊ฑด์ด๋ ๊ด๊ณ๋ฅผ ์ง์ ํ๊ธฐ ์ด๋ ต๋ค๋ ๊ฒ์
๋๋ค.
ํด๋ฌ์คํฐ์ ๋ฐฐํฌ๋ ๋ชจ๋ ์ด๋ฏธ์ง๊ฐ ์ ๋ขฐํ ์ ์๋ ๋ ์ง์คํธ๋ฆฌ์์ ๊ฐ์ ธ์จ ๊ฒ์ธ์ง ํ์ธํด์ผ ํ๋ ๊ฒฝ์ฐ ์ด๋ป๊ฒ ํด์ผ ํฉ๋๊น?
PodDisruptionBudget์ด ์๋ ๋ฐฐํฌ๊ฐ ํด๋ฌ์คํฐ๋ก ์ ์ก๋๋ ๊ฒ์ ๋ฐฉ์งํ๋ ค๋ฉด ์ด๋ป๊ฒ ํด์ผ ํฉ๋๊น?
์ ์ ํ ์คํธ๋ฅผ ํตํฉํ๋ฉด ๊ฐ๋ฐ ๋จ๊ณ์์ ์ค๋ฅ ๋ฐ ์ ์ฑ ์๋ฐ์ ์๋ณํ ์ ์์ต๋๋ค. ์ด๋ฅผ ํตํด ๋ฆฌ์์ค ์ ์๊ฐ ์ ํํ๊ณ ์์ ํ๋ค๋ ๋ณด์ฅ์ด ๊ฐํ๋๊ณ ํ๋ก๋์ ์ํฌ๋ก๋๊ฐ ๋ชจ๋ฒ ์ฌ๋ก๋ฅผ ๋ฐ๋ฅผ ๊ฐ๋ฅ์ฑ์ด ๋์์ง๋๋ค.
Kubernetes ์ ์ YAML ํ์ผ ๊ฒ์ฌ ์์ฝ์์คํ ์ ๋ค์ ๋ฒ์ฃผ๋ก ๋๋ ์ ์์ต๋๋ค.
- API ์ ํจ์ฑ ๊ฒ์ฌ๊ธฐ. ์ด ์นดํ ๊ณ ๋ฆฌ์ ๋๊ตฌ๋ Kubernetes API ์๋ฒ์ ์๊ตฌ ์ฌํญ์ ๋ํด YAML ๋งค๋ํ์คํธ๋ฅผ ํ์ธํฉ๋๋ค.
- ์ค๋น๋ ํ ์คํฐ. ์ด ์นดํ ๊ณ ๋ฆฌ์ ๋๊ตฌ์๋ ๋ณด์, ๋ชจ๋ฒ ์ฌ๋ก ์ค์ ๋ฑ์ ๋ํ ๊ธฐ์ฑ ํ ์คํธ๊ฐ ํจ๊ป ์ ๊ณต๋ฉ๋๋ค.
- ๋ง์ถค ์ ํจ์ฑ ๊ฒ์ฌ๊ธฐ. ์ด ์นดํ ๊ณ ๋ฆฌ์ ๋ํ์๋ฅผ ์ฌ์ฉํ๋ฉด Rego ๋ฐ Javascript์ ๊ฐ์ ๋ค์ํ ์ธ์ด๋ก ์ฌ์ฉ์ ์ ์ ํ ์คํธ๋ฅผ ๋ง๋ค ์ ์์ต๋๋ค.
์ด ๊ธ์์๋ ๋ค์๊ณผ ๊ฐ์ XNUMX๊ฐ์ง ๋๊ตฌ๋ฅผ ์ค๋ช ํ๊ณ ๋น๊ตํด ๋ณด๊ฒ ์ต๋๋ค.
- ํ๋ธ๋ฐ;
- ํ๋ธ ์ ์;
- ๊ตฌ์ฑ ๋ฆฐํธ;
- ๊ตฌ๋ฆฌ;
- ์ฝํ ์คํธ;
- ํด๋ผ๋ฆฌ์ค.
์, ์์ํด ๋ด ์๋ค!
๋ฐฐํฌ ํ์ธ
๋๊ตฌ ๋น๊ต๋ฅผ ์์ํ๊ธฐ ์ ์ ๋๊ตฌ๋ฅผ ํ ์คํธํ ๋ฐฐ๊ฒฝ์ ๋ง๋ค์ด ๋ณด๊ฒ ์ต๋๋ค.
์๋ ์ ์ธ๋ฌธ์๋ ์๋ง์ ์ค๋ฅ์ ๋ชจ๋ฒ ์ฌ๋ก ๋ฏธ์ค์๊ฐ ํฌํจ๋์ด ์์ต๋๋ค. ๊ทธ ์ค ๋ช ๊ฐ๋ฅผ ์ฐพ์ ์ ์๋์?
apiVersion: apps/v1
kind: Deployment
metadata:
name: http-echo
spec:
replicas: 2
selector:
matchLabels:
app: http-echo
template:
metadata:
labels:
app: http-echo
spec:
containers:
- name: http-echo
image: hashicorp/http-echo
args: ["-text", "hello-world"]
ports:
- containerPort: 5678
---
apiVersion: v1
kind: Service
metadata:
name: http-echo
spec:
ports:
- port: 5678
protocol: TCP
targetPort: 5678
selector:
app: http-echo
(base-valid.yaml
)
์ด YAML์ ์ฌ์ฉํ์ฌ ๋ค์ํ ๋๊ตฌ๋ฅผ ๋น๊ตํ๊ฒ ์ต๋๋ค.
์์ ์ ์ธ๋ฌธ
base-valid.yaml
์ด ๊ธฐ์ฌ์ ๋ค๋ฅธ ์ ์ธ๋ฌธ์ ๋ค์์์ ์ฐพ์ ์ ์์ต๋๋ค.ํ๋ด ์ ์ฅ์ .
๋งค๋ํ์คํธ๋ ํฌํธ 5678์ "Hello World" ๋ฉ์์ง๋ก ์๋ตํ๋ ๊ฒ์ด ์ฃผ์ ์์ ์ธ ์น ์ ํ๋ฆฌ์ผ์ด์ ์ ์ค๋ช ํฉ๋๋ค. ๋ค์ ๋ช ๋ น์ ์ฌ์ฉํ์ฌ ๋ฐฐํฌํ ์ ์์ต๋๋ค.
kubectl apply -f hello-world.yaml
๊ทธ๋์ - ์์ ์ ํ์ธํ์ญ์์ค :
kubectl port-forward svc/http-echo 8080:5678
์ด์ ์ด๋
1. ํ๋ธ๋ฐ
์ค์ฌ
์๋ณธ ๊ธฐ์ฌ๋ฅผ ์์ฑํ ๋น์์๋ ๋ฒ์ 0.15.0์ ์ฌ์ฉํ ์ ์์์ต๋๋ค.
์ค์น๊ฐ ์๋ฃ๋๋ฉด ์์ ๋งค๋ํ์คํธ๋ฅผ ์ ๋ ฅํด ๋ณด๊ฒ ์ต๋๋ค.
$ kubeval base-valid.yaml
PASS - base-valid.yaml contains a valid Deployment (http-echo)
PASS - base-valid.yaml contains a valid Service (http-echo)
์ฑ๊ณตํ๋ฉด kubeval์ ์ข ๋ฃ ์ฝ๋ 0์ผ๋ก ์ข ๋ฃ๋ฉ๋๋ค. ๋ค์๊ณผ ๊ฐ์ด ํ์ธํ ์ ์์ต๋๋ค.
$ echo $?
0
์ด์ ๋ค๋ฅธ ๋งค๋ํ์คํธ๋ฅผ ์ฌ์ฉํ์ฌ kubeval์ ์๋ํด ๋ณด๊ฒ ์ต๋๋ค.
apiVersion: apps/v1
kind: Deployment
metadata:
name: http-echo
spec:
replicas: 2
template:
metadata:
labels:
app: http-echo
spec:
containers:
- name: http-echo
image: hashicorp/http-echo
args: ["-text", "hello-world"]
ports:
- containerPort: 5678
---
apiVersion: v1
kind: Service
metadata:
name: http-echo
spec:
ports:
- port: 5678
protocol: TCP
targetPort: 5678
selector:
app: http-echo
(kubeval-invalid.yaml
)
๋์ผ๋ก ๋ฌธ์ ๋ฅผ ๋ฐ๊ฒฌํ ์ ์๋์? ์์ํด๋ณด์:
$ kubeval kubeval-invalid.yaml
WARN - kubeval-invalid.yaml contains an invalid Deployment (http-echo) - selector: selector is required
PASS - kubeval-invalid.yaml contains a valid Service (http-echo)
# ะฟัะพะฒะตัะธะผ ะบะพะด ะฒะพะทะฒัะฐัะฐ
$ echo $?
1
๋ฆฌ์์ค๊ฐ ํ์ธ๋์ง ์์ต๋๋ค.
API ๋ฒ์ ์ ์ฌ์ฉํ ๋ฐฐํฌ apps/v1
, ํฌ๋ ๋ผ๋ฒจ๊ณผ ์ผ์นํ๋ ์ ํ๊ธฐ๋ฅผ ํฌํจํด์ผ ํฉ๋๋ค. ์์ ๋งค๋ํ์คํธ์๋ ์ ํ๊ธฐ๊ฐ ํฌํจ๋์ด ์์ง ์์ผ๋ฏ๋ก kubeval์ ์ค๋ฅ๋ฅผ ๋ณด๊ณ ํ๊ณ XNUMX์ด ์๋ ์ฝ๋๋ก ์ข
๋ฃ๋์์ต๋๋ค.
๊ทธ๋ ๊ฒ ํ๋ฉด ์ด๋ป๊ฒ ๋ ์ง ๊ถ๊ธํด์ kubectl apply -f
์ด ์ ์ธ๋ฌธ์ผ๋ก?
์, ์๋ํด ๋ด ์๋ค:
$ kubectl apply -f kubeval-invalid.yaml
error: error validating "kubeval-invalid.yaml": error validating data: ValidationError(Deployment.spec):
missing required field "selector" in io.k8s.api.apps.v1.DeploymentSpec; if you choose to ignore these errors,
turn validation off with --validate=false
์ด๊ฒ์ด ๋ฐ๋ก kubeval์ด ๊ฒฝ๊ณ ํ ์ค๋ฅ์ ๋๋ค. ์ ํ๊ธฐ๋ฅผ ์ถ๊ฐํ์ฌ ๋ฌธ์ ๋ฅผ ํด๊ฒฐํ ์ ์์ต๋๋ค.
apiVersion: apps/v1
kind: Deployment
metadata:
name: http-echo
spec:
replicas: 2
selector: # !!!
matchLabels: # !!!
app: http-echo # !!!
template:
metadata:
labels:
app: http-echo
spec:
containers:
- name: http-echo
image: hashicorp/http-echo
args: ["-text", "hello-world"]
ports:
- containerPort: 5678
---
apiVersion: v1
kind: Service
metadata:
name: http-echo
spec:
ports:
- port: 5678
protocol: TCP
targetPort: 5678
selector:
app: http-echo
(base-valid.yaml
)
kubeval๊ณผ ๊ฐ์ ๋๊ตฌ์ ์ด์ ์ ๋ฐฐํฌ ์ฃผ๊ธฐ ์ด๊ธฐ์ ์ด์ ๊ฐ์ ์ค๋ฅ๋ฅผ ํฌ์ฐฉํ ์ ์๋ค๋ ๊ฒ์ ๋๋ค.
๋ํ ์ด๋ฌํ ๊ฒ์ฌ์๋ ํด๋ฌ์คํฐ์ ๋ํ ์ก์ธ์ค๊ฐ ํ์ํ์ง ์์ผ๋ฉฐ ์คํ๋ผ์ธ์ผ๋ก ์ํํ ์ ์์ต๋๋ค.
๊ธฐ๋ณธ์ ์ผ๋ก kubeval์ ์ต์ Kubernetes API ์คํค๋ง์ ๋ํด ๋ฆฌ์์ค๋ฅผ ํ์ธํฉ๋๋ค. ๊ทธ๋ฌ๋ ๋๋ถ๋ถ์ ๊ฒฝ์ฐ ํน์ Kubernetes ๋ฆด๋ฆฌ์ค๋ฅผ ํ์ธํด์ผ ํ ์๋ ์์ต๋๋ค. ์ด๋ ํ๋๊ทธ๋ฅผ ์ฌ์ฉํ์ฌ ์ํํ ์ ์์ต๋๋ค. --kubernetes-version
:
$ kubeval --kubernetes-version 1.16.1 base-valid.yaml
๋ฒ์ ์ ๋ค์ ํ์์ผ๋ก ์ง์ ๋์ด์ผ ํฉ๋๋ค. Major.Minor.Patch
.
๊ฒ์ฆ์ด ์ง์๋๋ ๋ฒ์ ๋ชฉ๋ก์ ๋ค์์ ์ฐธ์กฐํ์ธ์. --schema-location
.
๊ฐ๋ณ YAML ํ์ผ ์ธ์๋ kubeval์ ๋๋ ํฐ๋ฆฌ ๋ฐ stdin์์๋ ์๋ํ ์ ์์ต๋๋ค.
๋ํ Kubeval์ CI ํ์ดํ๋ผ์ธ์ ์ฝ๊ฒ ํตํฉ๋ฉ๋๋ค. ํด๋ฌ์คํฐ์ ๋งค๋ํ์คํธ๋ฅผ ๋ณด๋ด๊ธฐ ์ ์ ํ ์คํธ๋ฅผ ์คํํ๋ ค๋ ๊ฒฝ์ฐ kubeval์ด ์ธ ๊ฐ์ง ์ถ๋ ฅ ํ์์ ์ง์ํ๋ค๋ ์ฌ์ค์ ์๊ฒ ๋๋ฉด ๊ธฐ๋ปํ ๊ฒ์ ๋๋ค.
- ์ผ๋ฐ ํ ์คํธ;
- JSON;
- TAP(๋ฌด์์ด๋ ํ ์คํธ ํ๋กํ ์ฝ).
๊ทธ๋ฆฌ๊ณ ์ํ๋ ์ ํ์ ๊ฒฐ๊ณผ ์์ฝ์ ์์ฑํ๊ธฐ ์ํด ์ถ๋ ฅ์ ์ถ๊ฐ๋ก ๊ตฌ๋ฌธ ๋ถ์ํ๋ ๋ฐ ๋ชจ๋ ํ์์ ์ฌ์ฉํ ์ ์์ต๋๋ค.
kubeval์ ๋จ์ ์ค ํ๋๋ ํ์ฌ CRD(์ฌ์ฉ์ ์ ์ ๋ฆฌ์์ค ์ ์) ์ค์ ์ฌ๋ถ๋ฅผ ํ์ธํ ์ ์๋ค๋ ๊ฒ์
๋๋ค. ๊ทธ๋ฌ๋ kubeval์ ๊ตฌ์ฑํ๋ ๊ฒ์ ๊ฐ๋ฅํฉ๋๋ค.
Kubeval์ ๋ฆฌ์์ค๋ฅผ ํ์ธํ๊ณ ํ๊ฐํ๋ ํ๋ฅญํ ๋๊ตฌ์ ๋๋ค. ๊ทธ๋ฌ๋ ํ ์คํธ๋ฅผ ํต๊ณผํ๋ค๊ณ ํด์ ๋ฆฌ์์ค๊ฐ ๋ชจ๋ฒ ์ฌ๋ก๋ฅผ ์ค์ํ๋ค๊ณ ๋ณด์ฅ๋๋ ๊ฒ์ ์๋๋ผ๋ ์ ์ ๊ฐ์กฐํด์ผ ํฉ๋๋ค.
์๋ฅผ ๋ค์ด ํ๊ทธ๋ฅผ ์ฌ์ฉํ๋ฉด latest
์ปจํ
์ด๋์์๋ ๋ชจ๋ฒ ์ฌ๋ก๋ฅผ ๋ฐ๋ฅด์ง ์์ต๋๋ค. ๊ทธ๋ฌ๋ kubeval์ ์ด๋ฅผ ์ค๋ฅ๋ก ๊ฐ์ฃผํ์ง ์์ผ๋ฉฐ ์ด๋ฅผ ๋ณด๊ณ ํ์ง ์์ต๋๋ค. ์ฆ, ํด๋น YAML์ ํ์ธ์ ๊ฒฝ๊ณ ์์ด ์๋ฃ๋ฉ๋๋ค.
ํ์ง๋ง YAML์ ํ๊ฐํ๊ณ ํ๊ทธ์ ๊ฐ์ ์๋ฐ์ ์๋ณํ๋ ค๋ฉด ์ด๋ป๊ฒ ํด์ผ ํ ๊น์? latest
? ๋ชจ๋ฒ ์ฌ๋ก์ ๋น๊ตํ์ฌ YAML ํ์ผ์ ํ์ธํ๋ ค๋ฉด ์ด๋ป๊ฒ ํด์ผ ํฉ๋๊น?
2. ํ๋ธ ์ ์
- ๋ฃจํธ๊ฐ ์๋ ์ปจํ ์ด๋๋ฅผ ์คํํฉ๋๋ค.
- ํฌ๋ ์ํ ํ์ธ์ด ๊ฐ๋ฅํฉ๋๋ค.
- ๋ฆฌ์์ค์ ๋ํ ์์ฒญ ๋ฐ ์ ํ์ ์ค์ ํฉ๋๋ค.
ํ ์คํธ ๊ฒฐ๊ณผ์ ๋ฐ๋ผ ์ธ ๊ฐ์ง ๊ฒฐ๊ณผ๊ฐ ์ ๊ณต๋ฉ๋๋ค. OK, ๊ฒฝ๊ณ ะธ ๊ฒฐ์ ์ ์ธ.
Kube-score๋ฅผ ์จ๋ผ์ธ์ผ๋ก ์ฌ์ฉํด ๋ณด๊ฑฐ๋ ๋ก์ปฌ๋ก ์ค์นํ ์ ์์ต๋๋ค.
์๋ฌธ์ ์์ฑํ ๋น์ kube-score์ ์ต์ ๋ฒ์ ์ 1.7.0์ด์์ต๋๋ค.
๋งค๋ํ์คํธ์์ ์๋ํด ๋ณด๊ฒ ์ต๋๋ค. base-valid.yaml
:
$ kube-score score base-valid.yaml
apps/v1/Deployment http-echo
[CRITICAL] Container Image Tag
ยท http-echo -> Image with latest tag
Using a fixed tag is recommended to avoid accidental upgrades
[CRITICAL] Pod NetworkPolicy
ยท The pod does not have a matching network policy
Create a NetworkPolicy that targets this pod
[CRITICAL] Pod Probes
ยท Container is missing a readinessProbe
A readinessProbe should be used to indicate when the service is ready to receive traffic.
Without it, the Pod is risking to receive traffic before it has booted. It is also used during
rollouts, and can prevent downtime if a new version of the application is failing.
More information: https://github.com/zegl/kube-score/blob/master/README_PROBES.md
[CRITICAL] Container Security Context
ยท http-echo -> Container has no configured security context
Set securityContext to run the container in a more secure context.
[CRITICAL] Container Resources
ยท http-echo -> CPU limit is not set
Resource limits are recommended to avoid resource DDOS. Set resources.limits.cpu
ยท http-echo -> Memory limit is not set
Resource limits are recommended to avoid resource DDOS. Set resources.limits.memory
ยท http-echo -> CPU request is not set
Resource requests are recommended to make sure that the application can start and run without
crashing. Set resources.requests.cpu
ยท http-echo -> Memory request is not set
Resource requests are recommended to make sure that the application can start and run without crashing.
Set resources.requests.memory
[CRITICAL] Deployment has PodDisruptionBudget
ยท No matching PodDisruptionBudget was found
It is recommended to define a PodDisruptionBudget to avoid unexpected downtime during Kubernetes
maintenance operations, such as when draining a node.
[WARNING] Deployment has host PodAntiAffinity
ยท Deployment does not have a host podAntiAffinity set
It is recommended to set a podAntiAffinity that stops multiple pods from a deployment from
being scheduled on the same node. This increases availability in case the node becomes unavailable.
YAML์ kubeval ํ ์คํธ๋ฅผ ํต๊ณผํ ๋ฐ๋ฉด kube-score๋ ๋ค์๊ณผ ๊ฐ์ ๊ฒฐํจ์ ์ง์ ํฉ๋๋ค.
- ์ค๋น ํ์ธ์ด ๊ตฌ์ฑ๋์ง ์์์ต๋๋ค.
- CPU ๋ฆฌ์์ค ๋ฐ ๋ฉ๋ชจ๋ฆฌ์ ๋ํ ์์ฒญ์ด๋ ์ ํ์ด ์์ต๋๋ค.
- ํฌ๋ ์ค๋จ ์์ฐ์ด ์ง์ ๋์ง ์์์ต๋๋ค.
- ์ด๋ณ์ ๋ฒ์น์ ์๋ค (๋ฐ์นํ์ฑ) ๊ฐ์ฉ์ฑ์ ๊ทน๋ํํฉ๋๋ค.
- ์ปจํ ์ด๋๋ ๋ฃจํธ๋ก ์คํ๋ฉ๋๋ค.
์ด๋ ๋ชจ๋ ๋ฐฐํฌ๋ฅผ ๋ณด๋ค ํจ์จ์ ์ด๊ณ ์์ ์ ์ผ๋ก ๋ง๋ค๊ธฐ ์ํด ํด๊ฒฐํด์ผ ํ๋ ๋จ์ ์ ๋ํ ์ ํจํ ์ฌํญ์ ๋๋ค.
ํ kube-score
๋ชจ๋ ์ ํ ์๋ฐ์ ํฌํจํ์ฌ ์ฌ๋์ด ์ฝ์ ์ ์๋ ํ์์ผ๋ก ์ ๋ณด๋ฅผ ํ์ํฉ๋๋ค. ๊ฒฝ๊ณ ะธ ๊ฒฐ์ ์ ์ธ, ๊ฐ๋ฐ ์ค์ ๋ง์ ๋์์ด ๋ฉ๋๋ค.
CI ํ์ดํ๋ผ์ธ ๋ด์์ ์ด ๋๊ตฌ๋ฅผ ์ฌ์ฉํ๋ ค๋ ๊ฒฝ์ฐ ํ๋๊ทธ๋ฅผ ์ฌ์ฉํ์ฌ ๋ ์์ถ๋ ์ถ๋ ฅ์ ํ์ฑํํ ์ ์์ต๋๋ค. --output-format ci
(์ด ๊ฒฝ์ฐ ๊ฒฐ๊ณผ๊ฐ ํฌํจ๋ ํ
์คํธ๋ ํ์๋ฉ๋๋ค. OK):
$ kube-score score base-valid.yaml --output-format ci
[OK] http-echo apps/v1/Deployment
[OK] http-echo apps/v1/Deployment
[CRITICAL] http-echo apps/v1/Deployment: (http-echo) CPU limit is not set
[CRITICAL] http-echo apps/v1/Deployment: (http-echo) Memory limit is not set
[CRITICAL] http-echo apps/v1/Deployment: (http-echo) CPU request is not set
[CRITICAL] http-echo apps/v1/Deployment: (http-echo) Memory request is not set
[CRITICAL] http-echo apps/v1/Deployment: (http-echo) Image with latest tag
[OK] http-echo apps/v1/Deployment
[CRITICAL] http-echo apps/v1/Deployment: The pod does not have a matching network policy
[CRITICAL] http-echo apps/v1/Deployment: Container is missing a readinessProbe
[CRITICAL] http-echo apps/v1/Deployment: (http-echo) Container has no configured security context
[CRITICAL] http-echo apps/v1/Deployment: No matching PodDisruptionBudget was found
[WARNING] http-echo apps/v1/Deployment: Deployment does not have a host podAntiAffinity set
[OK] http-echo v1/Service
[OK] http-echo v1/Service
[OK] http-echo v1/Service
[OK] http-echo v1/Service
kubeval๊ณผ ์ ์ฌํ๊ฒ, kube-score๋ ์คํจํ ํ ์คํธ๊ฐ ์๋ ๊ฒฝ์ฐ XNUMX์ด ์๋ ์ข ๋ฃ ์ฝ๋๋ฅผ ๋ฐํํฉ๋๋ค. ๊ฒฐ์ ์ ์ธ. ๋ค์์ ๋ํด ์ ์ฌํ ์ฒ๋ฆฌ๋ฅผ ํ์ฑํํ ์๋ ์์ต๋๋ค. ๊ฒฝ๊ณ .
๋ํ kubeval์์์ ๊ฐ์ด ๋ฆฌ์์ค๊ฐ ๋ค์ํ API ๋ฒ์ ์ ์ค์ํ๋์ง ํ์ธํ ์ ์์ต๋๋ค. ๊ทธ๋ฌ๋ ์ด ์ ๋ณด๋ kube-score ์์ฒด์ ํ๋์ฝ๋ฉ๋์ด ์์ผ๋ฏ๋ก ๋ค๋ฅธ ๋ฒ์ ์ Kubernetes๋ฅผ ์ ํํ ์ ์์ต๋๋ค. ํด๋ฌ์คํฐ๋ฅผ ์ ๊ทธ๋ ์ด๋ํ๋ ค๋ ๊ฒฝ์ฐ ๋๋ K8 ๋ฒ์ ์ด ์๋ก ๋ค๋ฅธ ํด๋ฌ์คํฐ๊ฐ ์ฌ๋ฌ ๊ฐ ์๋ ๊ฒฝ์ฐ ์ด๋ฌํ ์ ํ์ ํฐ ๋ฌธ์ ๊ฐ ๋ ์ ์์ต๋๋ค.
์ฐธ๊ณ
์ด๋ฏธ ๋ฌธ์ ๊ฐ ์์ด ์ด ๊ธฐํ๋ฅผ ์คํํ์๋ ์ ์์ผ๋ก.
kube-score์ ๋ํ ์์ธํ ๋ด์ฉ์ ๋ค์์์ ํ์ธํ ์ ์์ต๋๋ค.
Kube-score ํ ์คํธ๋ ๋ชจ๋ฒ ์ฌ๋ก๋ฅผ ๊ตฌํํ๊ธฐ ์ํ ํ๋ฅญํ ๋๊ตฌ์ ๋๋ค. ํ์ง๋ง ํ ์คํธ๋ฅผ ๋ณ๊ฒฝํ๊ฑฐ๋ ์์ฒด ๊ท์น์ ์ถ๊ฐํด์ผ ํ๋ ๊ฒฝ์ฐ์๋ ์ด๋ป๊ฒ ํด์ผ ํ ๊น์? ์์ฝ๊ฒ๋ ์ด๊ฒ์ ๋ถ๊ฐ๋ฅํฉ๋๋ค.
Kube-score๋ ํ์ฅ์ด ๋ถ๊ฐ๋ฅํฉ๋๋ค. ์ ์ฑ ์ ์ถ๊ฐํ๊ฑฐ๋ ์กฐ์ ํ ์ ์์ต๋๋ค.
ํ์ฌ ์ ์ฑ ์ค์ ์ฌ๋ถ๋ฅผ ํ์ธํ๊ธฐ ์ํด ์ฌ์ฉ์ ์ ์ ํ ์คํธ๋ฅผ ์์ฑํด์ผ ํ๋ ๊ฒฝ์ฐ config-lint, Copper, conftest ๋๋ polaris์ ๋ค ๊ฐ์ง ๋๊ตฌ ์ค ํ๋๋ฅผ ์ฌ์ฉํ ์ ์์ต๋๋ค.
3.๊ตฌ์ฑ ๋ฆฐํธ
Config-lint๋ YAML, JSON, Terraform, CSV ๊ตฌ์ฑ ํ์ผ ๋ฐ Kubernetes ๋งค๋ํ์คํธ๋ฅผ ๊ฒ์ฆํ๊ธฐ ์ํ ๋๊ตฌ์ ๋๋ค.
๋ค์์ ์ฌ์ฉํ์ฌ ์ค์นํ ์ ์์ต๋๋ค.
์๋ณธ ๊ธฐ์ฌ๋ฅผ ์์ฑํ๋ ์์ ์ ํ์ฌ ๋ฆด๋ฆฌ์ค๋ 1.5.0์ ๋๋ค.
Config-lint์๋ Kubernetes ๋งค๋ํ์คํธ ๊ฒ์ฆ์ ์ํ ๋ด์ฅ ํ ์คํธ๊ฐ ์์ต๋๋ค.
ํ ์คํธ๋ฅผ ์ํํ๋ ค๋ฉด ์ ์ ํ ๊ท์น์ ๋ง๋ค์ด์ผ ํฉ๋๋ค. "ruleset"์ด๋ผ๋ YAML ํ์ผ๋ก ์์ฑ๋ฉ๋๋ค. (๊ท์น ์ธํธ)์ด๋ฉฐ ๋ค์๊ณผ ๊ฐ์ ๊ตฌ์กฐ๋ฅผ ๊ฐ์ต๋๋ค.
version: 1
description: Rules for Kubernetes spec files
type: Kubernetes
files:
- "*.yaml"
rules:
# ัะฟะธัะพะบ ะฟัะฐะฒะธะป
(rule.yaml
)
์ข ๋ ์์ธํ ์ฐ๊ตฌํด ๋ณด๊ฒ ์ต๋๋ค.
- ๋ถ์ผ
type
config-lint๊ฐ ์ฌ์ฉํ ๊ตฌ์ฑ ์ ํ์ ์ง์ ํฉ๋๋ค. K8์ ๊ฒฝ์ฐ ์ด๋ ๋ค์๊ณผ ๊ฐ์ต๋๋ค. ํญ์Kubernetes
. - ํ์ฅ์์
files
ํ์ผ ์์ฒด ์ธ์๋ ๋๋ ํฐ๋ฆฌ๋ฅผ ์ง์ ํ ์ ์์ต๋๋ค. - ๋ถ์ผ
rules
์ฌ์ฉ์ ํ ์คํธ๋ฅผ ์ค์ ํ๊ธฐ ์ํ ๊ฒ์ ๋๋ค.
๋ฐฐํฌ์ ์ด๋ฏธ์ง๊ฐ ํญ์ ๋ค์๊ณผ ๊ฐ์ ์ ๋ขฐํ ์ ์๋ ์ ์ฅ์์์ ๋ค์ด๋ก๋๋๋๋ก ํ๊ณ ์ถ๋ค๊ณ ๊ฐ์ ํด ๋ณด๊ฒ ์ต๋๋ค. my-company.com/myapp:1.0
. ์ด๋ฌํ ๊ฒ์ฌ๋ฅผ ์ํํ๋ config-lint ๊ท์น์ ๋ค์๊ณผ ๊ฐ์ต๋๋ค.
- id: MY_DEPLOYMENT_IMAGE_TAG
severity: FAILURE
message: Deployment must use a valid image tag
resource: Deployment
assertions:
- every:
key: spec.template.spec.containers
expressions:
- key: image
op: starts-with
value: "my-company.com/"
(rule-trusted-repo.yaml
)
๊ฐ ๊ท์น์๋ ๋ค์ ์์ฑ์ด ์์ด์ผ ํฉ๋๋ค.
id
- ๊ท์น์ ๊ณ ์ ์๋ณ์severity
- ์๋ง๋ ๊ณ ์ฅ ๋ถ์, ๊ฒฝ๊ณ ะธ ๋น์ค์;message
โ ๊ท์น์ ์๋ฐํ๋ฉด ์ด ์ค์ ๋ด์ฉ์ด ํ์๋ฉ๋๋ค.resource
โ ์ด ๊ท์น์ด ์ ์ฉ๋๋ ์์์ ์ ํassertions
โ ์ด ๋ฆฌ์์ค์ ๊ด๋ จํ์ฌ ํ๊ฐ๋ ์กฐ๊ฑด ๋ชฉ๋ก์ ๋๋ค.
์์ ๊ท์น์์ assertion
์๊ฒฉ every
key: spec.templates.spec.containers
) ์ ๋ขฐํ ์ ์๋ ์ด๋ฏธ์ง๋ฅผ ์ฌ์ฉํฉ๋๋ค(์: my-company.com/
).
์ ์ฒด ๊ท์น ์ธํธ๋ ๋ค์๊ณผ ๊ฐ์ต๋๋ค.
version: 1
description: Rules for Kubernetes spec files
type: Kubernetes
files:
- "*.yaml"
rules:
- id: DEPLOYMENT_IMAGE_REPOSITORY # !!!
severity: FAILURE
message: Deployment must use a valid image repository
resource: Deployment
assertions:
- every:
key: spec.template.spec.containers
expressions:
- key: image
op: starts-with
value: "my-company.com/"
(ruleset.yaml
)
ํ
์คํธ๋ฅผ ํด๋ณด๊ธฐ ์ํด ๋ค๋ฅธ ์ด๋ฆ์ผ๋ก ์ ์ฅํด ๋ณด๊ฒ ์ต๋๋ค. check_image_repo.yaml
. ํ์ผ์ ๊ฒ์ฌํด๋ณด์ base-valid.yaml
:
$ config-lint -rules check_image_repo.yaml base-valid.yaml
[
{
"AssertionMessage": "Every expression fails: And expression fails: image does not start with my-company.com/",
"Category": "",
"CreatedAt": "2020-06-04T01:29:25Z",
"Filename": "test-data/base-valid.yaml",
"LineNumber": 0,
"ResourceID": "http-echo",
"ResourceType": "Deployment",
"RuleID": "DEPLOYMENT_IMAGE_REPOSITORY",
"RuleMessage": "Deployment must use a valid image repository",
"Status": "FAILURE"
}
]
ํ์ธ์ ์คํจํ์ต๋๋ค. ์ด์ ์ฌ๋ฐ๋ฅธ ์ด๋ฏธ์ง ์ ์ฅ์๊ฐ ํฌํจ๋ ๋ค์ ๋งค๋ํ์คํธ๋ฅผ ํ์ธํด ๋ณด๊ฒ ์ต๋๋ค.
apiVersion: apps/v1
kind: Deployment
metadata:
name: http-echo
spec:
replicas: 2
selector:
matchLabels:
app: http-echo
template:
metadata:
labels:
app: http-echo
spec:
containers:
- name: http-echo
image: my-company.com/http-echo:1.0 # !!!
args: ["-text", "hello-world"]
ports:
- containerPort: 5678
(image-valid-mycompany.yaml
)
์์ ๋งค๋ํ์คํธ๋ฅผ ์ฌ์ฉํ์ฌ ๋์ผํ ํ ์คํธ๋ฅผ ์คํํฉ๋๋ค. ๋ฐ๊ฒฌ๋ ๋ฌธ์ ์์:
$ config-lint -rules check_image_repo.yaml image-valid-mycompany.yaml
[]
Config-lint๋ YAML DSL์ ์ฌ์ฉํ์ฌ Kubernetes YAML ๋งค๋ํ์คํธ๋ฅผ ๊ฒ์ฆํ๊ธฐ ์ํ ์์ฒด ํ ์คํธ๋ฅผ ์์ฑํ ์ ์๋ ์ ๋งํ ํ๋ ์์ํฌ์ ๋๋ค.
ํ์ง๋ง ๋ ๋ณต์กํ ๋ก์ง๊ณผ ํ ์คํธ๊ฐ ํ์ํ๋ค๋ฉด ์ด๋ป๊ฒ ๋ ๊น์? YAML์ ์ด์ ๋นํด ๋๋ฌด ์ ํ์ ์ด์ง ์๋์? ์์ ํ ํ๋ก๊ทธ๋๋ฐ ์ธ์ด๋ก ํ ์คํธ๋ฅผ ๋ง๋ค ์ ์๋ค๋ฉด ์ด๋จ๊น์?
4. ๊ตฌ๋ฆฌ
๊ทธ๋ฌ๋ ํ ์คํธ๋ฅผ ์ค๋ช ํ๊ธฐ ์ํด YAML์ ์ฌ์ฉํ์ง ์๋๋ค๋ ์ ์์ ํ์์ ๋ค๋ฆ ๋๋ค. ๋์ JavaScript๋ก ํ ์คํธ๋ฅผ ์์ฑํ ์ ์์ต๋๋ค. Copper๋ ๋ช ๊ฐ์ง ๊ธฐ๋ณธ ๋๊ตฌ๊ฐ ํฌํจ๋ ๋ผ์ด๋ธ๋ฌ๋ฆฌ๋ฅผ ์ ๊ณตํฉ๋๋ค., Kubernetes ๊ฐ์ฒด์ ๋ํ ์ ๋ณด๋ฅผ ์ฝ๊ณ ์ค๋ฅ๋ฅผ ๋ณด๊ณ ํ๋ ๋ฐ ๋์์ด ๋ฉ๋๋ค.
Copper ์ค์น ๋จ๊ณ๋ ๋ค์์์ ํ์ธํ ์ ์์ต๋๋ค.
2.0.1์ ์๋ณธ ๊ธฐ์ฌ๋ฅผ ์์ฑํ ๋น์ ์ด ์ ํธ๋ฆฌํฐ์ ์ต์ ๋ฆด๋ฆฌ์ค์ ๋๋ค.
config-lint์ ๋ง์ฐฌ๊ฐ์ง๋ก Copper์๋ ๋ด์ฅ ํ
์คํธ๊ฐ ์์ต๋๋ค. ํ๋ ์จ๋ณด์. ๋ฐฐํฌ ์ ๋ค์๊ณผ ๊ฐ์ ์ ๋ขฐํ ์ ์๋ ์ ์ฅ์์ ์ปจํ
์ด๋ ์ด๋ฏธ์ง๋ง ์ฌ์ฉํ๋์ง ํ์ธํ์ธ์. my-company.com
.
ํ์ผ ๋ง๋ค๊ธฐ check_image_repo.js
๋ค์ ๋ด์ฉ์ผ๋ก:
$$.forEach(function($){
if ($.kind === 'Deployment') {
$.spec.template.spec.containers.forEach(function(container) {
var image = new DockerImage(container.image);
if (image.registry.lastIndexOf('my-company.com/') != 0) {
errors.add_error('no_company_repo',"Image " + $.metadata.name + " is not from my-company.com repo", 1)
}
});
}
});
์ด์ ๋งค๋ํ์คํธ๋ฅผ ํ
์คํธํด ๋ณด๊ฒ ์ต๋๋ค. base-valid.yaml
, ๋ช
๋ น์ ์ฌ์ฉ copper validate
:
$ copper validate --in=base-valid.yaml --validator=check_image_tag.js
Check no_company_repo failed with severity 1 due to Image http-echo is not from my-company.com repo
Validation failed
Copper์ ๋์์ผ๋ก Ingress ๋งค๋ํ์คํธ์์ ๋๋ฉ์ธ ์ด๋ฆ์ ํ์ธํ๊ฑฐ๋ ๊ถํ ์๋ ๋ชจ๋์์ ์คํ๋๋ ํฌ๋๋ฅผ ๊ฑฐ๋ถํ๋ ๋ฑ ๋ ๋ณต์กํ ํ ์คํธ๋ฅผ ์ํํ ์ ์๋ค๋ ๊ฒ์ ๋ถ๋ช ํฉ๋๋ค.
Copper์๋ ๋ค์ํ ์ ํธ๋ฆฌํฐ ๊ธฐ๋ฅ์ด ๋ด์ฅ๋์ด ์์ต๋๋ค.
DockerImage
์ง์ ๋ ์ ๋ ฅ ํ์ผ์ ์ฝ๊ณ ๋ค์ ์์ฑ์ ๊ฐ์ง ๊ฐ์ฒด๋ฅผ ์์ฑํฉ๋๋ค.name
- ์ด๋ฏธ์ง ์ด๋ฆ,tag
- ์ด๋ฏธ์ง ํ๊ทธ,registry
- ์ด๋ฏธ์ง ๋ ์ง์คํธ๋ฆฌ,registry_url
- ๊ท์ฝ (https://
) ๋ฐ ์ด๋ฏธ์ง ๋ ์ง์คํธ๋ฆฌ,fqin
โ ์ด๋ฏธ์ง์ ์ ์ฒด ์์น.
- ๊ธฐ๋ฅ
findByName
ํน์ ์ ํ์ผ๋ก ๋ฆฌ์์ค๋ฅผ ์ฐพ๋ ๋ฐ ๋์์ด ๋ฉ๋๋ค(kind
) ๋ฐ ์ด๋ฆ(name
) ์ ๋ ฅ ํ์ผ์์. - ๊ธฐ๋ฅ
findByLabels
์ง์ ๋ ์ ํ์ผ๋ก ๋ฆฌ์์ค๋ฅผ ์ฐพ๋ ๋ฐ ๋์์ด ๋ฉ๋๋ค(kind
) ๋ฐ ๋ผ๋ฒจ(labels
).
์ฌ์ฉ ๊ฐ๋ฅํ ๋ชจ๋ ์๋น์ค ๊ธฐ๋ฅ์ ๋ณผ ์ ์์ต๋๋ค.
๊ธฐ๋ณธ์ ์ผ๋ก ์ ์ฒด ์
๋ ฅ YAML ํ์ผ์ ๋ณ์๋ก ๋ก๋ํฉ๋๋ค. $$
์คํฌ๋ฆฝํ
(jQuery ๊ฒฝํ์ด ์๋ ์ฌ๋๋ค์๊ฒ ์น์ํ ๊ธฐ์ )์ ์ฌ์ฉํ ์ ์์ต๋๋ค.
Copper์ ์ฃผ์ ์ฅ์ ์ ๋ถ๋ช ํฉ๋๋ค. ์ ๋ฌธ ์ธ์ด๋ฅผ ๋ง์คํฐํ ํ์๊ฐ ์์ผ๋ฉฐ ๋ค์ํ JavaScript ๊ธฐ๋ฅ์ ์ฌ์ฉํ์ฌ ๋ฌธ์์ด ๋ณด๊ฐ, ํจ์ ๋ฑ๊ณผ ๊ฐ์ ์์ ๋ง์ ํ ์คํธ๋ฅผ ๋ง๋ค ์ ์๋ค๋ ๊ฒ์ ๋๋ค.
๋ํ ํ์ฌ ๋ฒ์ ์ Copper๋ ES5์ด ์๋ ES6 ๋ฒ์ ์ JavaScript ์์ง์์ ์๋ํ๋ค๋ ์ ์ ์ ์ํด์ผ ํฉ๋๋ค.
์์ธํ ๋ด์ฉ์ ๋ค์์์ ํ์ธํ ์ ์์ต๋๋ค.
๊ทธ๋ฌ๋ JavaScript๋ฅผ ๋ณ๋ก ์ข์ํ์ง ์๊ณ ์ฟผ๋ฆฌ ์์ฑ ๋ฐ ์ ์ฑ ์ค๋ช ์ ์ํด ํน๋ณํ ์ค๊ณ๋ ์ธ์ด๋ฅผ ์ ํธํ๋ค๋ฉด conftest์ ์ฃผ์๋ฅผ ๊ธฐ์ธ์ฌ์ผ ํฉ๋๋ค.
5.๋ํ
Conftest๋ ๊ตฌ์ฑ ๋ฐ์ดํฐ๋ฅผ ํ
์คํธํ๊ธฐ ์ํ ํ๋ ์์ํฌ์
๋๋ค. Kubernetes ๋งค๋ํ์คํธ๋ฅผ ํ
์คํธ/๊ฒ์ฆํ๋ ๋ฐ์๋ ์ ํฉํฉ๋๋ค. ํ
์คํธ๋ ํน์ ์ฟผ๋ฆฌ ์ธ์ด๋ฅผ ์ฌ์ฉํ์ฌ ์ค๋ช
๋ฉ๋๋ค.
๋ค์์ ์ฌ์ฉํ์ฌ conftest๋ฅผ ์ค์นํ ์ ์์ต๋๋ค.
์๋ณธ ๊ธฐ์ฌ๋ฅผ ์์ฑํ ๋น์ ์ฌ์ฉ ๊ฐ๋ฅํ ์ต์ ๋ฒ์ ์ 0.18.2์์ต๋๋ค.
config-lint ๋ฐ Copper์ ์ ์ฌํ๊ฒ conftest๋ ๋ด์ฅ ํ ์คํธ ์์ด ์ ๊ณต๋ฉ๋๋ค. ์ด๋ฅผ ์ํํด๋ณด๊ณ ์์ฒด ์ ์ฑ ์ ์์ฑํด ๋ณด๊ฒ ์ต๋๋ค. ์ด์ ์์์ ๋ง์ฐฌ๊ฐ์ง๋ก ์ปจํ ์ด๋ ์ด๋ฏธ์ง๊ฐ ์ ๋ขฐํ ์ ์๋ ์์ค์์ ๊ฐ์ ธ์จ ๊ฒ์ธ์ง ํ์ธํ๊ฒ ์ต๋๋ค.
๋๋ ํฐ๋ฆฌ ์์ฑ conftest-checks
, ๊ทธ ์์๋ ๋ค์๊ณผ ๊ฐ์ ํ์ผ์ด ์์ต๋๋ค. check_image_registry.rego
๋ค์ ๋ด์ฉ์ผ๋ก:
package main
deny[msg] {
input.kind == "Deployment"
image := input.spec.template.spec.containers[_].image
not startswith(image, "my-company.com/")
msg := sprintf("image '%v' doesn't come from my-company.com repository", [image])
}
์ด์ ํ
์คํธํด๋ณด์ base-valid.yaml
๋ฅผ ํตํด conftest
:
$ conftest test --policy ./conftest-checks base-valid.yaml
FAIL - base-valid.yaml - image 'hashicorp/http-echo' doesn't come from my-company.com repository
1 tests, 1 passed, 0 warnings, 1 failure
์ด๋ฏธ์ง๊ฐ ์ ๋ขฐํ ์ ์๋ ์์ค์์ ์๊ธฐ ๋๋ฌธ์ ์์๋๋ก ํ ์คํธ๊ฐ ์คํจํ์ต๋๋ค.
Rego ํ์ผ์์ ๋ธ๋ก์ ์ ์ํฉ๋๋ค. deny
. ๊ทธ ์ง์ค์ ์๋ฐ์ผ๋ก ๊ฐ์ฃผ๋ฉ๋๋ค. ์ฐจ๋จํ๋ฉด deny
์ฌ๋ฌ ๊ฐ์ ์ปจํ
์คํธ๋ ์๋ก ๋
๋ฆฝ์ ์ผ๋ก ์ด๋ฅผ ํ์ธํ๋ฉฐ, ๋ธ๋ก ์ค ํ๋๋ผ๋ ์ง์ค์ด๋ฉด ์๋ฐ์ผ๋ก ๊ฐ์ฃผ๋ฉ๋๋ค.
๊ธฐ๋ณธ ์ถ๋ ฅ ์ธ์๋ conftest๋ JSON, TAP ๋ฐ ํ
์ด๋ธ ํ์์ ์ง์ํฉ๋๋ค. ์ด๋ ๊ธฐ์กด CI ํ์ดํ๋ผ์ธ์ ๋ณด๊ณ ์๋ฅผ ํฌํจํด์ผ ํ๋ ๊ฒฝ์ฐ ๋งค์ฐ ์ ์ฉํ ๊ธฐ๋ฅ์
๋๋ค. ํ๋๊ทธ๋ฅผ ์ฌ์ฉํ์ฌ ์ํ๋ ํ์์ ์ค์ ํ ์ ์์ต๋๋ค --output
.
์ ์ฑ
๋๋ฒ๊น
์ ๋ ์ฝ๊ฒ ํ๊ธฐ ์ํด conftest์๋ ํ๋๊ทธ๊ฐ ์์ต๋๋ค. --trace
. conftest๊ฐ ์ง์ ๋ ์ ์ฑ
ํ์ผ์ ๊ตฌ๋ฌธ ๋ถ์ํ๋ ๋ฐฉ๋ฒ์ ๋ํ ์ถ์ ์ ์ถ๋ ฅํฉ๋๋ค.
์ฝํ ์คํธ ์ ์ฑ ์ OCI(Open Container Initiative) ๋ ์ง์คํธ๋ฆฌ์ ์ํฐํฉํธ๋ก ๊ฒ์ ๋ฐ ๊ณต์ ๋ ์ ์์ต๋๋ค.
ํ push
ะธ pull
์ํฐํฉํธ๋ฅผ ๊ฒ์ํ๊ฑฐ๋ ์๊ฒฉ ๋ ์ง์คํธ๋ฆฌ์์ ๊ธฐ์กด ์ํฐํฉํธ๋ฅผ ๊ฒ์ํ ์ ์์ต๋๋ค. ๋ค์์ ์ฌ์ฉํ์ฌ ๋ก์ปฌ Docker ๋ ์ง์คํธ๋ฆฌ์ ์์ฑํ ์ ์ฑ
์ ๊ฒ์ํด ๋ณด๊ฒ ์ต๋๋ค. conftest push
.
๋ก์ปฌ Docker ๋ ์ง์คํธ๋ฆฌ๋ฅผ ์์ํฉ๋๋ค.
$ docker run -it --rm -p 5000:5000 registry
๋ค๋ฅธ ํฐ๋ฏธ๋์์ ์ด์ ์ ์์ฑํ ๋๋ ํฐ๋ฆฌ๋ก ์ด๋ํฉ๋๋ค. conftest-checks
๋ค์ ๋ช
๋ น์ ์คํํ์ญ์์ค.
$ conftest push 127.0.0.1:5000/amitsaha/opa-bundle-example:latest
๋ช ๋ น์ด ์ฑ๊ณตํ๋ฉด ๋ค์๊ณผ ๊ฐ์ ๋ฉ์์ง๊ฐ ํ์๋ฉ๋๋ค.
2020/06/10 14:25:43 pushed bundle with digest: sha256:e9765f201364c1a8a182ca637bc88201db3417bacc091e7ef8211f6c2fd2609c
์ด์ ์์ ๋๋ ํ ๋ฆฌ๋ฅผ ๋ง๋ค๊ณ ๊ทธ ์์์ ๋ช
๋ น์ ์คํํ์ญ์์ค. conftest pull
. ์ด์ ๋ช
๋ น์ผ๋ก ์์ฑ๋ ํจํค์ง๋ฅผ ๋ค์ด๋ก๋ํฉ๋๋ค.
$ cd $(mktemp -d)
$ conftest pull 127.0.0.1:5000/amitsaha/opa-bundle-example:latest
์์ ๋๋ ํฐ๋ฆฌ์ ํ์ ๋๋ ํฐ๋ฆฌ๊ฐ ๋ํ๋ฉ๋๋ค. policy
์ ์ฑ
ํ์ผ์ด ํฌํจ๋์ด ์์ต๋๋ค:
$ tree
.
โโโ policy
โโโ check_image_registry.rego
ํ ์คํธ๋ ์ ์ฅ์์์ ์ง์ ์คํํ ์ ์์ต๋๋ค.
$ conftest test --update 127.0.0.1:5000/amitsaha/opa-bundle-example:latest base-valid.yaml
..
FAIL - base-valid.yaml - image 'hashicorp/http-echo' doesn't come from my-company.com repository
2 tests, 1 passed, 0 warnings, 1 failure
์ํ๊น๊ฒ๋ DockerHub๋ ์์ง ์ง์๋์ง ์์ต๋๋ค. ๋ฐ๋ผ์ ์ฌ์ฉํ๋ฉด ์ด์ด ์ข๋ค๊ณ ์๊ฐํ์ญ์์ค.
์ํฐํฉํธ ํ์์ ๋ค์๊ณผ ๊ฐ์ต๋๋ค.
์ ์ฑ
๊ณต์ ๋ฐ ๊ธฐํ ์ปจํ
์คํธ ๊ธฐ๋ฅ์ ๋ํด ์์ธํ ์์๋ณผ ์ ์์ต๋๋ค.
6. ํด๋ผ๋ฆฌ์ค
์ด ๊ธฐ์ฌ์์ ๋
ผ์ํ ๋ง์ง๋ง ๋๊ตฌ๋ ๋ค์๊ณผ ๊ฐ์ต๋๋ค.
Polaris๋ ํด๋ฌ์คํฐ์ ์ค์นํ๊ฑฐ๋ ๋ช ๋ น์ค ๋ชจ๋์์ ์ฌ์ฉํ ์ ์์ต๋๋ค. ์ง์ํ์ จ๊ฒ ์ง๋ง ์ด๋ฅผ ํตํด Kubernetes ๋งค๋ํ์คํธ๋ฅผ ์ ์ ์ผ๋ก ๋ถ์ํ ์ ์์ต๋๋ค.
๋ช ๋ น์ค ๋ชจ๋์์ ์คํํ ๋ ๋ณด์ ๋ฐ ๋ชจ๋ฒ ์ฌ๋ก์ ๊ฐ์ ์์ญ์ ๋ค๋ฃจ๋ ๋ด์ฅ ํ ์คํธ๋ฅผ ์ฌ์ฉํ ์ ์์ต๋๋ค(kube-score์ ์ ์ฌ). ๋ํ config-lint, Copper ๋ฐ conftest์์์ ๊ฐ์ด ๊ณ ์ ํ ํ ์คํธ๋ฅผ ๋ง๋ค ์ ์์ต๋๋ค.
์ฆ, Polaris๋ ๋ด์ฅ ํ ์คํธ์ ์ฌ์ฉ์ ์ ์ ํ ์คํธ๋ผ๋ ๋ ๋๊ตฌ ๋ฒ์ฃผ์ ์ด์ ์ ๊ฒฐํฉํฉ๋๋ค.
Polaris๋ฅผ ๋ช
๋ น์ค ๋ชจ๋๋ก ์ค์นํ๋ ค๋ฉด ๋ค์์ ์ฌ์ฉํ์ธ์.
์๋ณธ ๊ธฐ์ฌ๋ฅผ ์์ฑํ๋ ์์ ์๋ ๋ฒ์ 1.0.3์ ์ฌ์ฉํ ์ ์์ต๋๋ค.
์ค์น๊ฐ ์๋ฃ๋๋ฉด ๋งค๋ํ์คํธ์์ Polaris๋ฅผ ์คํํ ์ ์์ต๋๋ค. base-valid.yaml
๋ค์ ๋ช
๋ น์ ์ฌ์ฉํ์ญ์์ค.
$ polaris audit --audit-path base-valid.yaml
์ํ๋ ํ ์คํธ ๋ฐ ๊ฒฐ๊ณผ์ ๋ํ ์์ธํ ์ค๋ช ๊ณผ ํจ๊ป JSON ํ์์ ๋ฌธ์์ด์ ์ถ๋ ฅํฉ๋๋ค. ์ถ๋ ฅ์ ๊ตฌ์กฐ๋ ๋ค์๊ณผ ๊ฐ์ต๋๋ค.
{
"PolarisOutputVersion": "1.0",
"AuditTime": "0001-01-01T00:00:00Z",
"SourceType": "Path",
"SourceName": "test-data/base-valid.yaml",
"DisplayName": "test-data/base-valid.yaml",
"ClusterInfo": {
"Version": "unknown",
"Nodes": 0,
"Pods": 2,
"Namespaces": 0,
"Controllers": 2
},
"Results": [
/* ะดะปะธะฝะฝัะน ัะฟะธัะพะบ */
]
}
์ ์ฒด ์ถ๋ ฅ ๊ฐ๋ฅ
kube-score์ ๋ง์ฐฌ๊ฐ์ง๋ก Polaris๋ ๋งค๋ํ์คํธ๊ฐ ๋ชจ๋ฒ ์ฌ๋ก๋ฅผ ์ถฉ์กฑํ์ง ์๋ ์์ญ์ ๋ฌธ์ ๋ฅผ ์๋ณํฉ๋๋ค.
- ํฌ๋์ ๋ํ ์ํ ํ์ธ์ ์์ต๋๋ค.
- ์ปจํ ์ด๋ ์ด๋ฏธ์ง์ ํ๊ทธ๊ฐ ์ง์ ๋์ง ์์์ต๋๋ค.
- ์ปจํ ์ด๋๋ ๋ฃจํธ๋ก ์คํ๋ฉ๋๋ค.
- ๋ฉ๋ชจ๋ฆฌ ๋ฐ CPU์ ๋ํ ์์ฒญ ๋ฐ ์ ํ์ ์ง์ ๋์ง ์์ต๋๋ค.
๊ฐ ํ
์คํธ๋ ๊ฒฐ๊ณผ์ ๋ฐ๋ผ ์ค์๋๊ฐ ์ง์ ๋ฉ๋๋ค. ๊ฒฝ๊ณ ๋๋ ์ํ. ์ฌ์ฉ ๊ฐ๋ฅํ ๋ด์ฅ ํ
์คํธ์ ๋ํด ์์ธํ ์์๋ณด๋ ค๋ฉด ๋ค์์ ์ฐธ์กฐํ์ธ์.
์ธ๋ถ ์ฌํญ์ด ํ์ํ์ง ์์ ๊ฒฝ์ฐ ํ๋๊ทธ๋ฅผ ์ง์ ํ ์ ์์ต๋๋ค --format score
. ์ด ๊ฒฝ์ฐ Polaris๋ 1๋ถํฐ 100๊น์ง์ ์ซ์๋ฅผ ์ถ๋ ฅํฉ๋๋ค. ์ ์ (์: ํ๊ฐ):
$ polaris audit --audit-path test-data/base-valid.yaml --format score
68
์ ์๊ฐ 100์ ๊ฐ๊น์ธ์๋ก ๋์ ์ ๋๊ฐ ๋์ ๊ฒ์
๋๋ค. ๋ช
๋ น์ ์ข
๋ฃ ์ฝ๋๋ฅผ ํ์ธํ๋ฉด polaris audit
, 0๊ณผ ๊ฐ๋ค๋ ๊ฒ์ด ๋ฐํ์ก์ต๋๋ค.
ํ์ธ polaris audit
๋ ๊ฐ์ ํ๋๊ทธ๋ฅผ ์ฌ์ฉํ์ฌ XNUMX์ด ์๋ ์ฝ๋๋ก ์์
์ ์ข
๋ฃํ ์ ์์ต๋๋ค.
- ๊น๋ฐ
--set-exit-code-below-score
1-100 ๋ฒ์์ ์๊ณ๊ฐ์ ์ธ์๋ก ์ฌ์ฉํฉ๋๋ค. ์ด ๊ฒฝ์ฐ ์ ์๊ฐ ์๊ณ๊ฐ ๋ฏธ๋ง์ด๋ฉด ๋ช ๋ น์ ์ข ๋ฃ ์ฝ๋ 4๋ก ์ข ๋ฃ๋ฉ๋๋ค. ์ด๋ ํน์ ์๊ณ๊ฐ(์: 75)์ด ์๊ณ ์ ์๊ฐ ๊ทธ ๋ฏธ๋ง์ผ๋ก ๋จ์ด์ง๋ฉด ๊ฒฝ๊ณ ๋ฅผ ๋ฐ์์ผ ํ ๋ ๋งค์ฐ ์ ์ฉํฉ๋๋ค. - ๊น๋ฐ
--set-exit-code-on-danger
์ํ ํ ์คํธ ์ค ํ๋๊ฐ ์คํจํ๋ฉด ์ฝ๋ 3์ผ๋ก ๋ช ๋ น์ด ์คํจํ๊ฒ ๋ฉ๋๋ค.
์ด์ ์ด๋ฏธ์ง๋ฅผ ์ ๋ขฐํ ์ ์๋ ์ ์ฅ์์์ ๊ฐ์ ธ์๋์ง ํ์ธํ๋ ์ฌ์ฉ์ ์ง์ ํ ์คํธ๋ฅผ ๋ง๋ค์ด ๋ณด๊ฒ ์ต๋๋ค. ์ฌ์ฉ์ ์ ์ ํ ์คํธ๋ YAML ํ์์ผ๋ก ์ง์ ๋๋ฉฐ ํ ์คํธ ์์ฒด๋ JSON ์คํค๋ง๋ฅผ ์ฌ์ฉํ์ฌ ์ค๋ช ๋ฉ๋๋ค.
๋ค์ YAML ์ฝ๋ ์กฐ๊ฐ์ checkImageRepo
:
checkImageRepo:
successMessage: Image registry is valid
failureMessage: Image registry is not valid
category: Images
target: Container
schema:
'$schema': http://json-schema.org/draft-07/schema
type: object
properties:
image:
type: string
pattern: ^my-company.com/.+$
์์ธํ ์ดํด๋ณด๊ฒ ์ต๋๋ค.
successMessage
โ ํ ์คํธ๊ฐ ์ฑ๊ณต์ ์ผ๋ก ์๋ฃ๋๋ฉด ์ด ์ค์ด ์ธ์๋ฉ๋๋ค.failureMessage
โ ์คํจํ ๊ฒฝ์ฐ ์ด ๋ฉ์์ง๊ฐ ํ์๋ฉ๋๋ค.category
โ ๋ค์ ๋ฒ์ฃผ ์ค ํ๋๋ฅผ ๋ํ๋ ๋๋ค.Images
,Health Checks
,Security
,Networking
ะธResources
;target
--- ๊ฐ์ฒด ์ ํ์ ๊ฒฐ์ ํฉ๋๋ค(spec
) ํ ์คํธ๊ฐ ์ ์ฉ๋ฉ๋๋ค. ๊ฐ๋ฅํ ๊ฐ:Container
,Pod
๋๋Controller
;- ํ
์คํธ ์์ฒด๋ ๊ฐ์ฒด์ ์ง์ ๋ฉ๋๋ค.
schema
JSON ์คํค๋ง๋ฅผ ์ฌ์ฉํฉ๋๋ค. ์ด๋ฒ ํ ์คํธ์ ํต์ฌ ๋จ์ด๋pattern
์ด๋ฏธ์ง ์์ค๋ฅผ ํ์ํ ์์ค์ ๋น๊ตํ๋ ๋ฐ ์ฌ์ฉ๋ฉ๋๋ค.
์ ํ ์คํธ๋ฅผ ์คํํ๋ ค๋ฉด ๋ค์ Polaris ๊ตฌ์ฑ์ ์์ฑํด์ผ ํฉ๋๋ค.
checks:
checkImageRepo: danger
customChecks:
checkImageRepo:
successMessage: Image registry is valid
failureMessage: Image registry is not valid
category: Images
target: Container
schema:
'$schema': http://json-schema.org/draft-07/schema
type: object
properties:
image:
type: string
pattern: ^my-company.com/.+$
(polaris-conf.yaml
)
ํ์ผ์ ๊ตฌ๋ฌธ ๋ถ์ํด ๋ณด๊ฒ ์ต๋๋ค.
- ํ์ฅ์์
checks
ํ ์คํธ์ ๊ทธ ์ค์๋ ์์ค์ด ๊ท์ ๋ฉ๋๋ค. ์ ๋ขฐํ ์ ์๋ ์ถ์ฒ์์ ์ด๋ฏธ์ง๋ฅผ ๊ฐ์ ธ์์ ๋ ๊ฒฝ๊ณ ๋ฅผ ๋ฐ๋ ๊ฒ์ด ๋ฐ๋์งํ๋ฏ๋ก ์ฌ๊ธฐ์๋ ์์ค์ ์ค์ ํฉ๋๋ค.danger
. - ํ
์คํธ ์์ฒด
checkImageRepo
๊ทธ๋ฐ ๋ค์ ๊ฐ์ฒด์ ๋ฑ๋กcustomChecks
.
ํ์ผ์ ๋ค๋ฅธ ์ด๋ฆ์ผ๋ก ์ ์ฅ custom_check.yaml
. ์ด์ ์คํํ ์ ์์ต๋๋ค polaris audit
ํ์ธ์ด ํ์ํ YAML ๋งค๋ํ์คํธ๋ฅผ ์ฌ์ฉํฉ๋๋ค.
์ ์ธ๋ฌธ์ ํ
์คํธํด๋ณด์ base-valid.yaml
:
$ polaris audit --config custom_check.yaml --audit-path base-valid.yaml
ํ polaris audit
์์ ์ง์ ๋ ์ฌ์ฉ์ ํ
์คํธ๋ง ์คํํ๋๋ฐ ์คํจํ์ต๋๋ค.
์ด๋ฏธ์ง๋ฅผ ์์ ํ๋ฉด my-company.com/http-echo:1.0
, Polaris๊ฐ ์ฑ๊ณต์ ์ผ๋ก ์๋ฃ๋ฉ๋๋ค. ๋ณ๊ฒฝ์ฌํญ์ด ํฌํจ๋ ๋งค๋ํ์คํ ๊ฐ ์ด๋ฏธ ์์ต๋๋ค. image-valid-mycompany.yaml
.
์ด์ ์ง๋ฌธ์ด ์๊น๋๋ค. ๋ด์ฅ ํ ์คํธ๋ฅผ ์ฌ์ฉ์ ์ ์ ํ ์คํธ์ ํจ๊ป ์คํํ๋ ๋ฐฉ๋ฒ์ ๋ฌด์์ ๋๊น? ์ฉ์ดํ๊ฒ! ๊ตฌ์ฑ ํ์ผ์ ๋ด์ฅ๋ ํ ์คํธ ์๋ณ์๋ฅผ ์ถ๊ฐํ๊ธฐ๋ง ํ๋ฉด ๋ฉ๋๋ค. ๊ฒฐ๊ณผ์ ์ผ๋ก ๋ค์๊ณผ ๊ฐ์ ํํ๋ฅผ ์ทจํ๊ฒ ๋ฉ๋๋ค.
checks:
cpuRequestsMissing: warning
cpuLimitsMissing: warning
# Other inbuilt checks..
# ..
# custom checks
checkImageRepo: danger # !!!
customChecks:
checkImageRepo: # !!!
successMessage: Image registry is valid
failureMessage: Image registry is not valid
category: Images
target: Container
schema:
'$schema': http://json-schema.org/draft-07/schema
type: object
properties:
image:
type: string
pattern: ^my-company.com/.+$
(config_with_custom_check.yaml
)
์ ์ฒด ๊ตฌ์ฑ ํ์ผ์ ์๋ฅผ ์ฌ์ฉํ ์ ์์ต๋๋ค.
๋งค๋ํ์คํธ ํ์ธ base-valid.yaml
๋ด์ฅ ๋ฐ ์ฌ์ฉ์ ์ ์ ํ
์คํธ๋ฅผ ์ฌ์ฉํ๋ฉด ๋ค์ ๋ช
๋ น์ ์ฌ์ฉํ ์ ์์ต๋๋ค.
$ polaris audit --config config_with_custom_check.yaml --audit-path base-valid.yaml
Polaris๋ ๋ด์ฅ๋ ํ ์คํธ๋ฅผ ๋ง์ถคํ ํ ์คํธ๋ก ๋ณด์ํ์ฌ ๋ ์ธ๊ณ์ ์ฅ์ ์ ๊ฒฐํฉํฉ๋๋ค.
๋ฐ๋ฉด์ Rego๋ JavaScript์ ๊ฐ์ ๋ ๊ฐ๋ ฅํ ์ธ์ด๋ฅผ ์ฌ์ฉํ ์ ์๋ค๋ ์ ์ ๋ ์ ๊ตํ ํ ์คํธ๋ฅผ ๋ง๋๋ ๊ฒ์ ๋ฐฉํดํ๋ ์ ํ ์์๊ฐ ๋ ์ ์์ต๋๋ค.
Polaris์ ๋ํ ์์ธํ ๋ด์ฉ์ ๋ค์์์ ํ์ธํ ์ ์์ต๋๋ค.
๊ฐ์
Kubernetes YAML ํ์ผ์ ๊ฒ์ฌํ๊ณ ํ๊ฐํ๋ ๋ฐ ์ฌ์ฉํ ์ ์๋ ๋๊ตฌ๊ฐ ๋ง์ง๋ง, ํ ์คํธ๊ฐ ์ด๋ป๊ฒ ์ค๊ณ๋๊ณ ์คํ๋๋์ง ๋ช ํํ๊ฒ ์ดํดํ๋ ๊ฒ์ด ์ค์ํฉ๋๋ค..
์๋ฅผ ๋ค์ด, ํ์ดํ๋ผ์ธ์ ํต๊ณผํ๋ Kubernetes ๋งค๋ํ์คํธ๋ฅผ ์ทจํ๋ค๋ฉด kubeval์ ๊ทธ๋ฌํ ํ์ดํ๋ผ์ธ์ ์ฒซ ๋ฒ์งธ ๋จ๊ณ๊ฐ ๋ ์ ์์ต๋๋ค.. ๊ฐ์ฒด ์ ์๊ฐ Kubernetes API ์คํค๋ง๋ฅผ ์ค์ํ๋์ง ์ฌ๋ถ๋ฅผ ๋ชจ๋ํฐ๋งํฉ๋๋ค.
์ด๋ฌํ ๊ฒํ ๊ฐ ์๋ฃ๋๋ฉด ํ์ค ๋ชจ๋ฒ ์ฌ๋ก ๋ฐ ํน์ ์ ์ฑ ์ค์์ ๊ฐ์ ๋ณด๋ค ์ ๊ตํ ํ ์คํธ๋ก ๋์ด๊ฐ ์ ์์ต๋๋ค. ์ด๊ฒ์ด ๋ฐ๋ก kube-score์ Polaris๊ฐ ์ ์ฉํ๊ฒ ์ฌ์ฉ๋ ์ ์๋ ๋ถ๋ถ์ ๋๋ค.
์๊ตฌ์ฌํญ์ด ๋ณต์กํ๊ณ ํ ์คํธ๋ฅผ ์ธ๋ถ์ ์ผ๋ก ๋ง์ถคํํด์ผ ํ๋ ๊ฒฝ์ฐ์๋ Copper, config-lint ๋ฐ conftest๊ฐ ์ ํฉํ ๊ฒ์ ๋๋ค..
Conftest์ config-lint๋ YAML์ ์ฌ์ฉํ์ฌ ์ฌ์ฉ์ ์ ์ ํ ์คํธ๋ฅผ ์ ์ํ๊ณ Copper๋ ์ ์ฒด ํ๋ก๊ทธ๋๋ฐ ์ธ์ด์ ๋ํ ์ก์ธ์ค๋ฅผ ์ ๊ณตํ๋ฏ๋ก ๋งค์ฐ ๋งค๋ ฅ์ ์ธ ์ ํ์ ๋๋ค.
๋ฐ๋ฉด์ ์ด๋ฌํ ๋๊ตฌ ์ค ํ๋๋ฅผ ์ฌ์ฉํ์ฌ ๋ชจ๋ ํ ์คํธ๋ฅผ ์๋์ผ๋ก ์์ฑํ๋ ๊ฒ์ด ๊ฐ์น๊ฐ ์์ต๋๊น, ์๋๋ฉด Polaris๋ฅผ ์ ํธํ๊ณ ํ์ํ ๊ฒ๋ง ์ถ๊ฐํ๋ ๊ฒ์ด ๊ฐ์น๊ฐ ์์ต๋๊น? ์ด ์ง๋ฌธ์ ๋ํ ๋ช ํํ ๋๋ต์ ์์ต๋๋ค..
์๋ ํ์๋ ๊ฐ ๋๊ตฌ์ ๋ํ ๊ฐ๋ตํ ์ค๋ช ์ด ๋์ ์์ต๋๋ค.
์๋จ
๋ชฉ์
์ ํ
์ฌ์ฉ์ ํ
์คํธ
ํ๋ธ๋ฐ
ํน์ ๋ฒ์ ์ API ์คํค๋ง์ ๋ํด YAML ๋งค๋ํ์คํธ๋ฅผ ๊ฒ์ฆํฉ๋๋ค.
CRD๋ก ์์
ํ ์ ์์ต๋๋ค
์๋
ํ๋ธ ์ ์
๋ชจ๋ฒ ์ฌ๋ก์ ๋ํด YAML ๋งค๋ํ์คํธ๋ฅผ ๋ถ์ํฉ๋๋ค.
๋ฆฌ์์ค๋ฅผ ํ์ธํ๊ธฐ ์ํด Kubernetes API ๋ฒ์ ์ ์ ํํ ์ ์์ต๋๋ค.
์๋
๊ตฌ๋ฆฌ
YAML ๋งค๋ํ์คํธ์ ๋ํ ์ฌ์ฉ์ ์ ์ JavaScript ํ
์คํธ๋ฅผ ์์ฑํ๊ธฐ ์ํ ์ผ๋ฐ ํ๋ ์์ํฌ
๋ด์ฅ๋ ํ
์คํธ๊ฐ ์์ต๋๋ค. ์๋ชป๋ ๋ฌธ์
ะะฐ
๊ตฌ์ฑ ๋ฆฐํธ
YAML์ ํฌํจ๋ ๋๋ฉ์ธ๋ณ ์ธ์ด๋ก ํ
์คํธ๋ฅผ ์์ฑํ๊ธฐ ์ํ ์ผ๋ฐ ํ๋ ์์ํฌ์
๋๋ค. ๋ค์ํ ๊ตฌ์ฑ ํ์ ์ง์(์: Terraform)
์ค๋น๋ ํ
์คํธ๋ ์์ต๋๋ค. ๋ด์ฅ๋ ์ฃผ์ฅ๊ณผ ํจ์๋ก๋ ์ถฉ๋ถํ์ง ์์ ์ ์์ต๋๋ค
ะะฐ
์ฝํ
์คํธ
Rego(ํน์ ์ฟผ๋ฆฌ ์ธ์ด)๋ฅผ ์ฌ์ฉํ์ฌ ์์ ๋ง์ ํ
์คํธ๋ฅผ ์์ฑํ๊ธฐ ์ํ ํ๋ ์์ํฌ์
๋๋ค. OCI ๋ฒ๋ค์ ํตํด ์ ์ฑ
๊ณต์ ๊ฐ๋ฅ
๋ด์ฅ๋ ํ
์คํธ๊ฐ ์์ต๋๋ค. ๋ ๊ณ ๋ฅผ ๋ฐฐ์์ผ ํด์. ์ ์ฑ
๊ฒ์ ์ Docker Hub๋ ์ง์๋์ง ์์ต๋๋ค.
ะะฐ
ํด๋ผ๋ฆฌ์ค
ํ์ค ๋ชจ๋ฒ ์ฌ๋ก๋ฅผ ๊ธฐ์ค์ผ๋ก YAML ๋งค๋ํ์คํธ๋ฅผ ๊ฒํ ํฉ๋๋ค. JSON ์คํค๋ง๋ฅผ ์ฌ์ฉํ์ฌ ์์ฒด ํ
์คํธ๋ฅผ ๋ง๋ค ์ ์์ต๋๋ค.
JSON ์คํค๋ง ๊ธฐ๋ฐ ํ
์คํธ ๊ธฐ๋ฅ์ด ์ถฉ๋ถํ์ง ์์ ์ ์์
ะะฐ
์ด๋ฌํ ๋๊ตฌ๋ Kubernetes ํด๋ฌ์คํฐ์ ๋ํ ์ก์ธ์ค์ ์์กดํ์ง ์์ผ๋ฏ๋ก ์ค์น๊ฐ ์ฝ์ต๋๋ค. ์ด๋ฅผ ํตํด ์์ค ํ์ผ์ ํํฐ๋งํ๊ณ ํ๋ก์ ํธ์ ๋์ด์ค๊ธฐ ์์ฒญ ์์ฑ์์๊ฒ ๋น ๋ฅธ ํผ๋๋ฐฑ์ ์ ๊ณตํ ์ ์์ต๋๋ค.
๋ฒ์ญ๊ฐ์ ์ถ์
๋ธ๋ก๊ทธ์์๋ ์ฝ์ด๋ณด์ธ์.
- ยซ
Kubernetes ํด๋ฌ์คํฐ๋ฅผ ๊ฑด๊ฐํ๊ฒ ์ ์งํ๊ธฐ ์ํด Polaris ๋์ "; - ยซ
Kubernetes์ ๋ํ YAML์ ์ง์ํ๋ Vim "; - ยซ
Google์ด ์ ์ํ๋ ์ปจํ ์ด๋ ์ฌ์ฉ์ ๋ํ 7๊ฐ์ง ๋ชจ๋ฒ ์ฌ๋ก ".
์ถ์ฒ : habr.com