728x90
반응형
Backup and Restore Method?
- GitHub와 같은 관리 소스 리포지토리에서는 걱정할 필요가 없다 . 클러스터 전체를 잃어도 응용 프로그램을 클러스터에 재배치할 수 있다.
- Resource Config를 백업하는데 더 나은 방법은 Kube API 서버를 쿼리하는 것이다.
- API 서버에 직접 액세스함으로써 클러스터에 생성된 모든 개체에 대한 리소스 구성을 복사해서 저장할 수 있다.
- ETCD는 클러스터 상태에 대한 정보를 저장하는데 클러스터 자체에 관한 정보와 노드 및 클러스터 내부에서 생성된 모든 리소스가 여기에 저장된다.
- ETCD는 master node에 호스트 되어있는데 모든 데이터가 저장될 장소를 명시한다.
- ETCD는 또한 빌트인 스냅샷 솔루션도 가지고 온다. ETCD controll utility 스냅샷을 이용해 db 스냅샷을 찍을 수 있다.
728x90
Backup and Restore Method 실습
반응형
Security Primitives?
- 해제 암호 기반 인증 해제 SSH 키 기반 인증만 사용 가능해야한다.
- kubecontrol 윹틸리티나 API server에 직접 액세스함으로써 상호작용한다. 이게 1차 방어선이다.
- 권한 부여는 역할 기반 액세스 컨트롤을 통해 구현된다.
- 클러스터 내의 응용 프로그램 간 통신은 기본 설정상 모든 pod는 클러스터 내의 다른 pod에 접근할 수 있다. -> 네트워크 정책을 이용하여 그들 사이의 엑세스 권한을 제한 할 수 있다.
Authentication?
- 관리자 같은 유저는 관리 업무를 수행하기 위해 클러스터에 엑세스하고 개발자는 앱을 테스트 또는 배포하기 위해 클러스터에 엑세스한다.
- 클러스터에 배포된 응용 프로그램에 엑세스하는 최종 사용자의 보안은 응용 프로그램 자체에 의해 내부적으로 관리된다.
- Kubernetes API를 이용해 서비스 계정을 생성하고 관리할 수 있다.
- 모든 사용자의 엑세스는 API 서버에 의해 관리된다.
- 인증 메커니즘
- 고정 암호 파일에 사용자 이름과 암호 리스트를 가질 수도 있다.
- 고정 토큰 파일에 사용자 이름과 토큰을 가질 수도 있다.
- 인증서를 이용해 인증할 수 있다.
- 타사 인증 프로토콜에 연결할 수 있다. (LDAT, Kerberos)
- 고정 파일에 사용자 이름, 암호, 토큰을 명확한 텍스트에 저장하는 이 인증 메커니즘들은 불안정하기 때문에 권장하지 않는다.
TLS Certificates?
- TLS 인증서는 사용자와 서버 사이의 통신이 암호화되도록 한다.
- 안전한 연결이 없으면 자격 증명이 일반 텍스트 형식으로 전송되고 해커가 네트워크 트래픽을 탐색하면 사용자의 정보를 해킹할 수 있다.
- 무작위 숫자와 알파벳 집합인 키를 만들고 인식할 수 없는 포맷으로 암호화한다.
- 대칭 암호화 대신 비대칭 암호화를 사용한다. 암호화하고 해독하는데 단일 키를 쓰는 대신 양방향 키를 다르게 준다.
- ssl 인증서 적용으로 이 사이트에서 발급한 인증서가 가짜가 아닌지 판별해준다.
728x90
반응형
'Kubernetes (k8s)' 카테고리의 다른 글
| CKA준비 Kubeconfig, Authoriztion, API Groups (0) | 2023.02.27 |
|---|---|
| CKA 준비 TLS in Kubernetes, OpenSSL, Certificate API (0) | 2023.02.27 |
| CKA준비 OS Upgrade, Cluster Upgrade process (0) | 2023.02.23 |
| CKA준비 Init Container, Multi Container Pods, Secret (0) | 2023.02.23 |
| CKA 준비 Commands and Arguments, ConfigMaps in App, Kubernetes Secret (0) | 2023.02.22 |
