book

Kubernetes: Up and Running, 제3판

by Brendan Burns, Joe Beda, Kelsey Hightower, Lachlan Evenson

May 2025

Beginner to intermediate

328 pages

5h 3m

Korean

O'Reilly Media, Inc.

Book available

Read now

Unlock full access

이 책을 읽어야 하는 대상이 책을 쓴 이유이 책을 업데이트한 이유오늘날 Cloud 네이티브 애플리케이션에 대한 한마디이 책 탐색하기온라인 리소스이 책에서 사용된 규칙코드 예제 사용오라일리 온라인 학습문의 방법감사
속도불변성의 가치선언적 구성자가 치유 시스템서비스 및 팀 확장디커플링애플리케이션 및 클러스터를 위한 간편한 확장마이크로서비스로 개발 팀 확장하기일관성 및 확장을 위한 우려 사항의 분리인프라 추상화효율성Cloud 네이티브 에코시스템요약
컨테이너 이미지Docker로 애플리케이션 이미지 빌드하기도커파일이미지 크기 최적화이미지 보안다단계 이미지 빌드원격 레지스트리에 이미지 저장컨테이너 런타임 인터페이스Docker로 컨테이너 실행하기kuard 애플리케이션 살펴보기리소스 사용량 제한정리요약
퍼블릭 클라우드 공급자에 Kubernetes 설치하기Google Kubernetes 엔진으로 Kubernetes 설치하기Azure Kubernetes Service로 Kubernetes 설치하기Amazon Web Services에 Kubernetes 설치하기미니큐브를 사용하여 로컬로 Kubernetes 설치하기Docker에서 Kubernetes 실행하기Kubernetes 클라이언트클러스터 상태 확인Kubernetes 노드 나열하기클러스터 구성 요소Kubernetes 프록시Kubernetes DNSKubernetes UI요약
네임스페이스컨텍스트Kubernetes API 오브젝트 보기Kubernetes 오브젝트 생성, 업데이트 및 삭제하기개체 레이블 지정 및 주석 달기디버깅 명령클러스터 관리명령 자동 완성클러스터를 보는 다른 방법요약
Kubernetes의 파드파드로 생각하기파드 매니페스트파드 생성하기파드 매니페스트 생성실행 중인 포드리스팅 파드포드 세부 정보파드 삭제하기포드에 액세스하기로그로 추가 정보 얻기실행을 사용하여 컨테이너에서 명령 실행컨테이너에 파일 복사하기건강 상태 확인생동감 프로브준비 상태 프로브시작 프로브고급 프로브 구성다른 유형의 건강 검진리소스 관리리소스 요청: 최소 필요 리소스제한을 통한 리소스 사용량 제한볼륨으로 데이터 지속파드와 함께 볼륨 사용파드와 함께 볼륨을 사용하는 다양한 방법모든 것을 종합하기요약
레이블레이블 적용레이블 수정하기라벨 선택기API 개체의 레이블 선택기Kubernetes 아키텍처의 레이블주석정리요약
서비스 검색이란 무엇인가요?서비스 개체서비스 DNS준비 상태 확인클러스터 너머를 바라보기로드 밸런서 통합고급 세부 정보엔드포인트수동 서비스 검색kube-proxy 및 클러스터 IP클러스터 IP 환경 변수다른 환경과 연결하기클러스터 외부의 리소스에 연결하기클러스터 내부 서비스에 외부 리소스 연결하기정리요약
인그레스 사양과 인그레스 컨트롤러 비교컨투어 설치DNS 구성로컬 호스트 파일 구성Ingress 사용가장 간단한 사용법호스트 이름 사용경로 사용정리고급 인그레스 주제 및 문제여러 인그레스 컨트롤러 실행다중 인그레스 개체인그레스 및 네임스페이스경로 재작성TLS 제공대체 인그레스 구현인그레스의 미래요약
조정 루프관련 파드 및 레플리카셋기존 컨테이너 채택컨테이너 격리레플리카세트를 사용한 디자인복제 세트 사양파드 템플릿레이블레플리카 세트 생성레플리카 세트 검사파드에서 레플리카셋 찾기레플리카셋에 대한 파드 세트 찾기복제본 세트 확장kubectl 스케일을 사용한 임퍼미널 스케일링선언적으로 스케일링하는 kubectl 적용하기레플리카 세트 자동 확장복제본 세트 삭제요약

첫 번째 배포배포 만들기배포 관리배포 업데이트배포 확장하기컨테이너 이미지 업데이트출시 내역배포 전략전략 다시 만들기롤링 업데이트 전략서비스 상태를 보장하기 위한 느린 롤아웃배포 삭제하기배포 모니터링요약
데몬셋 스케줄러데몬 세트 생성데몬셋을 특정 노드로 제한하기노드에 레이블 추가노드 선택기데몬 세트 업데이트데몬 세트 삭제하기요약
작업 개체작업 패턴원샷병렬 처리작업 대기열크론잡스요약
컨피그맵컨피그맵 만들기컨피그맵 사용비밀비밀 만들기소비하는 비밀비공개 컨테이너 레지스트리명명 제약 조건컨피그맵 및 시크릿 관리목록만들기업데이트요약
역할 기반 액세스 제어Kubernetes의 정체성역할 및 역할 바인딩 이해하기Kubernetes의 역할 및 역할 바인딩RBAC 관리 기술can-i로 인증 테스트소스 제어에서 RBAC 관리고급 주제클러스터 역할 집계바인딩에 그룹 사용요약
상호 TLS를 사용한 암호화 및 인증트래픽 셰이핑자기 성찰서비스 메시가 정말 필요한가요?서비스 메시 구현 살펴보기서비스 메시 랜드스케이프요약
외부 서비스 가져오기선택기가 없는 서비스외부 서비스의 제한 사항: 상태 확인안정적인 싱글톤 실행MySQL 싱글톤 실행하기동적 볼륨 프로비저닝스테이트풀셋을 사용한 Kubernetes 네이티브 스토리지스테이트풀셋의 속성스테이트풀셋으로 수동으로 복제된 몽고DBMongoDB 클러스터 생성 자동화퍼시스턴트 볼륨 및 스테이트풀셋마지막으로 한 가지: 준비 상태 프로브요약
Kubernetes 확장이 의미하는 것확장성 포인트사용자 지정 리소스 패턴Just Data컴파일러연산자시작하기요약
Kubernetes API: 클라이언트의 관점OpenAPI 및 생성된 클라이언트 라이브러리하지만 kubectl x는 어떨까?Kubernetes API 프로그래밍하기클라이언트 라이브러리 설치하기Kubernetes API에 인증하기Kubernetes API에 액세스하기모든 것 종합하기: Python, Java 및 .NET에서 파드 리스팅 및 생성하기오브젝트 생성 및 패치Kubernetes API 변경 사항 보기파드와 상호작용하기요약
보안 컨텍스트 이해보안컨텍스트 과제파드 보안파드 보안이란 무엇인가요?파드 보안 표준 적용서비스 계정 관리역할 기반 액세스 제어런타임 클래스네트워크 정책서비스 메시보안 벤치마크 도구이미지 보안요약
정책과 거버넌스가 중요한 이유입장 흐름게이트키퍼를 통한 정책 및 거버넌스오픈 정책 에이전트란 무엇인가요?게이트키퍼 설치정책 구성제약 조건 템플릿 이해제약 조건 생성감사돌연변이데이터 복제메트릭정책 라이브러리요약
시작하기 전에로드 밸런싱 접근 방식으로 최상위에서 시작하기여러 클러스터를 위한 애플리케이션 구축복제된 사일로: 가장 간단한 지역 간 모델샤딩: 지역 데이터유연성 향상: 마이크로서비스 라우팅요약
우리를 안내하는 원칙진실의 원천으로서의 파일 시스템코드 리뷰의 역할기능 게이트소스 제어에서 애플리케이션 관리하기파일 시스템 레이아웃정기 버전 관리개발, 테스트 및 배포를 위한 애플리케이션 구조화하기목표릴리스 진행템플릿으로 애플리케이션 매개변수화헬름과 템플릿으로 매개변수화하기매개변수화를 위한 파일 시스템 레이아웃전 세계에 애플리케이션 배포전 세계 배포를 위한 아키텍처전 세계 배포 구현전 세계 배포를 위한 대시보드 및 모니터링요약
부품 목록깜박이는 이미지첫 부팅네트워킹 설정하기컨테이너 런타임 설치Kubernetes 설치하기클러스터 설정클러스터 네트워킹 설정하기요약

Content preview from Kubernetes: Up and Running, 제3판

14장. Kubernetes를 위한 역할 기반 접근 제어

이 작품은 AI를 사용하여 번역되었습니다. 여러분의 피드백과 의견을 환영합니다: translation-feedback@oreilly.com

이 시점에서 거의 모든 Kubernetes 클러스터에는 역할 기반 액세스 제어(RBAC)가 활성화되어 있습니다. 따라서 이전에 RBAC를 접해 보셨을 것입니다. 아마도 처음에는 마법 같은 명령을 사용하여 사용자를 역할에 매핑하는 역할 바인딩을 추가하기 전까지는 클러스터에 액세스할 수 없었을 것입니다. RBAC를 어느 정도 접한 적이 있더라도, 그 용도와 사용 방법 등 Kubernetes에서 RBAC를 이해한 경험이 많지 않았을 수도 있습니다.

역할 기반 액세스 제어는 권한이 있는 사용자만 액세스하도록 하기 위해 Kubernetes API에 대한 액세스 및 작업을 모두 제한하는 메커니즘을 제공합니다. RBAC는 애플리케이션을 배포하는 Kubernetes 클러스터에 대한 액세스를 강화하고 (더 중요한 것은) 잘못된 네임스페이스에 있는 한 사람이 테스트 클러스터를 파괴한다고 생각하여 프로덕션을 실수로 다운시키는 예기치 않은 사고를 방지하는 데 중요한 구성 요소입니다.

참고

RBAC는 Kubernetes API에 대한 액세스를 제한하는 데 매우 유용할 수 있지만, Kubernetes 클러스터 내에서 임의의 코드를 실행할 수 있는 사람은 누구나 전체 클러스터에 대한 루트 권한을 효과적으로 얻을 수 있다는 점을 기억하는 것이 중요합니다. 이러한 공격을 더 어렵고 더 비싸게 만들기 위해 취할 수 있는 접근 방식이 있으며, 올바른 RBAC 설정은 이러한 방어의 일부입니다. 그러나 적대적인 멀티테넌트 보안에 초점을 맞추고 있다면, RBAC만으로도 충분히 보호할 수 있다. 효과적인 멀티테넌트 보안을 제공하려면 클러스터에서 실행 중인 파드를 격리해야 한다. 일반적으로 이는 하이퍼바이저 격리 컨테이너 또는 컨테이너 샌드박스를 사용하여 수행됩니다.

Kubernetes의 RBAC에 대해 자세히 알아보기 전에, 인증 및 권한 부여에 대한 일반적인 이해뿐만 아니라 개념으로서의 RBAC에 대해 높은 수준의 이해를 갖는 것이 중요합니다.

Kubernetes에 대한 모든 요청은 먼저 인증됩니다. 인증은 요청을 발행하는 호출자의 신원을 제공합니다. 인증은 요청이 인증되지 않았다고 말하는 것처럼 간단할 수도 있고, 플러그 가능한 인증 공급자(예: Azure Active Directory)와 긴밀하게 통합되어 해당 타사 시스템 내에서 신원을 설정할 수도 있습니다. 흥미롭게도 Kubernetes에는 기본 제공 ID 저장소가 없으며, 대신 자체 내에서 다른 ID 소스를 통합하는 데 중점을 둡니다.

사용자가 인증되면 권한 부여 단계에서 요청을 수행할 권한이 있는지 여부를 결정합니다. 권한 부여는 사용자의 신원, 리소스(사실상 HTTP 경로), 사용자가 수행하려는 동사 또는 작업의 조합입니다. 특정 사용자가 해당 리소스에 대해 해당 작업을 수행할 권한이 있는 경우 요청이 진행되도록 허용됩니다. ...