book

Kubernetes 모범 사례, 제 2판

by Brendan Burns, Eddie Villalba, Dave Strebel, Lachlan Evenson

May 2025

Beginner to intermediate

324 pages

4h 38m

Korean

O'Reilly Media, Inc.

Book available

Read now

Unlock full access

이 책을 읽어야 하는 대상이 책을 쓴 이유이 책 탐색하기이 버전에 새로 추가된 기능이 책에서 사용된 규칙코드 예제 사용오라일리 온라인 학습문의 방법감사
애플리케이션 개요구성 파일 관리배포를 사용하여 복제된 서비스 만들기이미지 관리 모범 사례복제된 애플리케이션 만들기HTTP 트래픽에 대한 외부 인그레스 설정하기컨피그맵으로 애플리케이션 구성하기비밀 번호로 인증 관리하기간단한 스테이트풀 데이터베이스 배포서비스를 사용하여 TCP 부하 분산 장치 만들기인그레스를 사용하여 정적 파일 서버로 트래픽 라우팅하기헬름을 사용하여 애플리케이션 매개변수화하기서비스 모범 사례 배포요약
목표개발 클러스터 구축여러 개발자를 위한 공유 클러스터 설정하기사용자 온보딩네임스페이스 생성 및 보호네임스페이스 관리클러스터 수준 서비스개발자 워크플로 활성화초기 설정적극적인 개발 지원테스트 및 디버깅 활성화개발 환경 설정 모범 사례요약
메트릭과 로그 비교모니터링 기법모니터링 패턴Kubernetes 메트릭 개요cAdvisor메트릭 서버큐브-상태-메트릭스어떤 메트릭을 모니터링하나요?모니터링 도구Prometheus를 사용하여 Kubernetes 모니터링하기로깅 개요로깅용 도구로키 스택을 사용한 로깅알림모니터링, 로깅 및 알림을 위한 모범 사례모니터링로깅알림요약
컨피그맵 및 시크릿을 통한 구성컨피그맵비밀컨피그맵 및 시크릿 API에 대한 일반적인 모범 사례시크릿 관련 모범 사례RBACRBAC 프라이머RBAC 모범 사례요약
버전 관리지속적 통합테스트컨테이너 빌드컨테이너 이미지 태그 지정지속적인 배포배포 전략프로덕션 환경에서의 테스트파이프라인 설정 및 카오스 실험 수행하기CI 설정CD 설정롤링 업그레이드 수행간단한 카오스 실험CI/CD 모범 사례요약
버전 관리릴리스롤아웃모든 것을 종합하기버전 관리, 릴리스 및 롤아웃을 위한 모범 사례요약
이미지 배포배포 매개변수화전 세계 트래픽 부하 분산전 세계에 안정적으로 배포하는 소프트웨어롤아웃 전 검증카나리아 지역지역 유형 식별글로벌 롤아웃 구축무언가 잘못되었을 때전 세계 롤아웃 모범 사례요약
Kubernetes 스케줄러술어우선순위고급 스케줄링 기법파드 선호도 및 안티 선호도노드 선택기오염 및 허용 오차파드 리소스 관리리소스 요청리소스 제한 및 파드 서비스 품질파드 중단 예산네임스페이스를 사용하여 리소스 관리리소스 쿼터제한 범위클러스터 확장애플리케이션 확장HPA로 확장사용자 지정 메트릭을 사용한 HPA수직형 포드 오토스케일러리소스 관리 모범 사례요약
Kubernetes 네트워크 원칙네트워크 플러그인KubenetKubenet 모범 사례CNI 플러그인CNI 모범 사례Kubernetes의 서비스서비스 유형 클러스터IP서비스 유형 노드포트서비스 유형 외부 이름서비스 유형 로드밸런서인그레스 및 인그레스 컨트롤러게이트웨이 API서비스 및 인그레스 컨트롤러 모범 사례네트워크 보안 정책네트워크 정책 모범 사례서비스 메시서비스 메시 모범 사례요약

파드 보안 어드미션 컨트롤러파드 보안 어드미션 활성화파드 보안 수준네임스페이스 레이블을 사용하여 파드 보안 활성화하기워크로드 격리 및 런타임 클래스런타임 클래스 사용런타임 구현워크로드 격리 및 런타임 클래스 모범 사례기타 파드 및 컨테이너 보안 고려 사항입학 컨트롤러침입 및 이상 징후 탐지 툴링요약
정책과 거버넌스가 중요한 이유이 정책은 어떻게 다른가요?Cloud 네이티브 정책 엔진게이트키퍼 소개정책 예시게이트키퍼 용어제약 조건 템플릿 정의제약 조건 정의데이터 복제UX강제 조치 및 감사 사용돌연변이테스트 정책게이트키퍼와 친숙해지기정책 및 거버넌스 모범 사례요약
왜 다중 클러스터인가?멀티클러스터 설계 문제여러 클러스터 배포 관리배포 및 관리 패턴클러스터 관리를 위한 GitOps 접근 방식멀티클러스터 관리 도구Kubernetes 연맹여러 클러스터 관리 모범 사례요약
Kubernetes로 서비스 가져오기안정적인 IP 주소를 위한 셀렉터리스 서비스안정적인 DNS 이름을 위한 CNAME 기반 서비스액티브 컨트롤러 기반 접근 방식Kubernetes에서 서비스 내보내기내부 로드밸런서를 사용하여 서비스 내보내기노드포트에서 서비스 내보내기외부 머신과 Kubernetes 통합하기Kubernetes 간 서비스 공유타사 도구클러스터와 외부 서비스 연결 모범 사례요약
머신 러닝에 Kubernetes가 좋은 이유는 무엇인가요?머신 러닝 워크플로Kubernetes 클러스터 관리자를 위한 머신 러닝Kubernetes의 모델 학습Kubernetes에 대한 분산 교육리소스 제약특수 하드웨어라이브러리, 드라이버 및 커널 모듈스토리지네트워킹전문 프로토콜데이터 과학자의 우려 사항머신 러닝을 활용한 Kubernetes 모범 사례요약
더 높은 수준의 추상화를 개발하기 위한 접근 방식Kubernetes 확장하기Kubernetes 클러스터 확장하기Kubernetes 사용자 경험 확장하기컨테이너화된 개발을 더 쉽게 만들기"푸시 투 디플로이" 경험 개발하기플랫폼 구축 시 설계 고려 사항컨테이너 이미지로 내보내기 지원서비스 및 서비스 검색을 위한 기존 메커니즘 지원애플리케이션 플랫폼 모범 사례 구축요약
볼륨 및 볼륨 마운트볼륨 모범 사례Kubernetes 스토리지퍼시스턴트 볼륨퍼시스턴트 볼륨 클레임스토리지 클래스Kubernetes 스토리지 모범 사례스테이트풀 애플리케이션스테이트풀셋연산자스테이트풀셋 및 운영자 모범 사례요약
입장 관리그것들은 무엇인가요?왜 중요한가요?입장 컨트롤러 유형입학 웹훅 구성하기입장 관리 모범 사례권한 부여권한 부여 모듈인증 모범 사례요약
GitOps란 무엇인가요?왜 GitOps인가?GitOps 리포지토리 구조비밀 관리플럭스 설정GitOps 툴링GitOps 모범 사례요약
클러스터 보안etcd 액세스인증권한 부여TLSKubelet 및 Cloud 메타데이터 액세스비밀로깅 및 감사클러스터 보안 태세 툴링클러스터 보안 모범 사례워크로드 컨테이너 보안파드 보안 어드미션Seccomp, AppArmor 및 SELinux입학 컨트롤러연산자네트워크 정책런타임 보안워크로드 컨테이너 보안 모범 사례코드 보안비루트 및 분산형 컨테이너컨테이너 취약점 스캔코드 리포지토리 보안코드 보안 모범 사례요약
카오스 테스트카오스 테스트의 목표카오스 테스트의 전제 조건애플리케이션의 통신을 테스트하는 카오스카오스 애플리케이션 작동 테스트애플리케이션의 보안 및 복원력을 위한 퍼즈 테스트요약부하 테스트부하 테스트 목표부하 테스트를 위한 전제 조건현실적인 트래픽 생성애플리케이션 부하 테스트부하 테스트를 사용하여 애플리케이션 조정하기요약실험실험 목표실험을 위한 전제 조건실험 설정요약카오스 테스트, 부하 테스트 및 실험 요약
운영자 주요 구성 요소사용자 지정 리소스 정의API 만들기컨트롤러 조정리소스 유효성 검사컨트롤러 구현운영자 수명 주기버전 업그레이드운영자 모범 사례요약

Content preview from Kubernetes 모범 사례, 제 2판

19장. 보안

이 작품은 AI를 사용하여 번역되었습니다. 여러분의 피드백과 의견을 환영합니다: translation-feedback@oreilly.com

Kubernetes는 Cloud 네이티브 애플리케이션을 오케스트레이션하기 위한 강력한 플랫폼입니다. 그러나 우리가 잘 알고 사랑하는 API와 도구의 겉모습과 세련됨 이면에는 보안을 위해 특정 지식이 필요한 크고 복잡한 분산 시스템이 숨어 있습니다. Kubernetes 보안은 솔직히 책 한 권이 필요할 정도로 복잡한 주제이지만, 시간을 들여 보안 모범 사례를 이해하고 구현하는 것을 간과하면 많은 것이 위험에 처할 수 있으므로 여기서는 간략하게 다루겠습니다. Kubernetes 클러스터와 워크로드를 제대로 보호하지 않으면 해커, 멀웨어, 무단 액세스에 데이터와 리소스가 노출될 수 있는 위험이 있습니다. 주요 보안 영역 중 일부를 다루지 않고 그 과정에서 도움이 되는 모범 사례를 제공하지 않는다면 아쉬울 것입니다.

Kubernetes의 복잡성을 고려할 때 문제를 논리적 계층으로 나누고 각 계층에서 특정 도구에 집중할 수 있도록 하는 것이 좋습니다. 보안을 처리하는 가장 좋은 방법은 "심층 방어" 전략을 따르는 것입니다. 이를 위해서는 각 계층에서 여러 보안 조치를 사용하여 Kubernetes와 워크로드를 보호해야 합니다. 또한, 사용자와 워크로드가 기능을 수행하는 데 꼭 필요한 것만 액세스해야 한다는 최소 권한 원칙을 염두에 두어야 합니다. 이 모든 것이 이론적으로는 훌륭하게 들리지만 실제로는 어떤 모습일까요? 이 장에서는 클러스터 보안, 컨테이너 보안, 코드 보안뿐만 아니라 사용 가능한 솔루션과 도구에 집중할 수 있도록 보안 문제를 계층별로 버킷화하는 접근 방식을 설명합니다.

많은 보안 모범 사례는 4장부터 11장까지를 포함한 다른 장에서 자세히 다루었습니다. 여기서는 이러한 특정 주제를 동일한 수준으로 자세히 다루지 않고 다루지 않은 영역에 초점을 맞추므로 해당 챕터를 다시 한 번 검토하는 것이 좋습니다. 특히 이 장에서는 계층에 중점을 두고 계층에 대해 자세히 살펴보고 보안 영역을 다루며 각 계층에 대한 모범 사례를 제공합니다.

클러스터 보안

는 일련의 API를 통해 노출되므로, 클러스터 보안의 첫 번째 단계는 클러스터에 액세스할 수 있는 사용자와 수행할 수 있는 작업을 규제하고 제한하는 것입니다. 다음에서는 Kubernetes 컨트롤 플레인의 다양한 부분과 이를 보호하는 방법을 다루겠습니다.

etcd 액세스

Kubernetes의 기본 스토리지 시스템은 etcd입니다. 공유되지 않는 강력한 자격 증명을 사용하여 Kubernetes API 서버만 etcd에 액세스할 수 있도록 해야 합니다. 또한 네트워크 방화벽을 사용하여 API 서버만 etcd에 네트워크 액세스 권한을 갖도록 해야 한다. etcd에 직접 액세스하면 이후의 모든 보안 조치를 우회할 수 있으므로, 이는 매우 중요한 보안 계층입니다.