반응형 분류 전체보기73 Vault Secrets Operator(VSO)를 활용한 Kubernetes secrets 관리 (정적 시크릿) Vault Secrets Operator(VSO)란?Vault Secrets Operator(이하 "VSO"라 한다)를 사용하면 Pod가 Kubernetes Secrets으로 Vault Secrets을 사용할 수 있다. Vault Secrets Operator는 지원되는 CRD(Custom Resource Definitions)의 변경 사항을 감시하여 작동한다.Vault Secrets Operator는 Vault에서 가져온 Secret 정보를 Kubernetes의 Secret로 생성하며, Vault에서 발생하는 모든 변경사항이 Kubernetes의 Secret에도 실시간으로 반영되도록 한다. 이러한 방식으로 애플리케이션은 Secret 정보를 사용하기 위해 Kubernetes의 Secret에만 접근하면 되.. 2024. 2. 26. Keycloak + Terraform Cloud SAML SSO 로그인 연동 본 글에서는 Keycloak과 Terraform Cloud SAML을 연동하여 단일 인증(Single Sign-On)을 구현하는 실습을 다룬다. 전제 조건[Keycloak 설치 실습]Terraform Cloud 계정 실습 절차 1. keycloak Realm 생성 2. Terraform Cloud SSO Setup 3. Keycloak Clients 생성 & 설정 4. Keycloak User 생성 5. Terraform Cloud + Keycloak SSO 연동 설정 6. Keycloak 유저로 Terraform Cloud 로그인 " data-ke-type="html">HTML 삽입미리보기할 수 없는 소스 " data-ke-type=".. 2024. 2. 19. Consul 가용 영역 우선순위 라우팅(locality-aware routing) 일반적으로 Consul은 서비스 간 통신할 때 아래와 같이 동작한다.위 방식은 사용 가능한 모든 서비스에 트래픽을 분산시킬 수 있기 때문에 대부분의 환경에서는 문제가 되지 않는다.그러나 어떤 상황에서는 서비스 간 호출 대기 시간을 줄이거나, 가용 영역 간 데이터 전송 비용을 줄이기 위해 트래픽이 동일한 가용 영역 내에 유지되도록 하고 싶을 수 있다. 이 문제를 해결하기 위해 Consul 1.17 버전에서는 locality-aware routing에 대한 기능을 도입했다. locality-aware routing 기능을 적용하면 아래와 같이 동작하게 된다.서비스 호출 시 트래픽을 같은 영역 내에 유지함으로써 서비스 간 대시 시간을 줄여 서비스 성능을 향상하고, 트래픽 비용을 절감할 수 있다. 같은 영.. 2024. 2. 7. Consul Peering 환경에서 데이터 센터 간 Failover 구성 본 글은 이전에 작성된 [Consul Cluster Peering을 통한 데이터 센터 간 통신] 글에서 구성한 환경 기반으로 작성하는 글로 본 글의 실습을 진행하려면 이전 글의 환경 구성을 완료해야 한다. Failover란?Failover는 주요 서비스의 장애 발생 시, 자동으로 대체 서비스로 전환하는 과정을 의미한다. 이는 예기치 못한 데이터 센터 장애에 서비스의 중단 시간을 최소화하고, 서비스의 지속 가능성을 보장하기 위해 중요한 기능이다. 본 글에서 진행할 Failover 실습 시나리오는 아래와 같다. 위 시나리오를 구성하기 위한 Failover 방법으로는 두 가지가 있는데, ServiceResolver와 SamenessGroup방식이 있다. ServiceResolver: 서비스에서 upstream.. 2024. 2. 7. Consul Cluster Peering을 통한 데이터 센터 간 통신 Cluster Peering이란?Consul에서 Cluster Peering은 독립적인 Consul 서버들을 서로 연결하여, 다양한 파티션과 데이터 센터에 배포된 서비스들이 통신할 수 있게 해주는 기능이다. 아래 그림은 HashiCorp Consul 문서에서 제공하는 Peering 아키텍처이다.그림 참조: https://developer.hashicorp.com/consul/docs/connect/cluster-peering위 그림에서는 Consul DC1과 Consul DC2가 Peering 연결 되어있고, 각 DC에 존재하는 Mesh Gateway를 통해 "Service A"에서 "Service D"로 통신할 수 있다는 걸 보여준다. Cluster Peering의 동작을 보면 Consul의 또 다른 .. 2024. 2. 7. Terraform Cloud를 활용한 Kubernetes Provider 동적 자격 증명 구성(Dynamic Provider Credentials) Terraform Cloud를 통해 동적 자격 증명에 대한 간략한 내용 및 AWS Provider 동적 자격 증명 구성 실습을 이 전 글에서 다루었다.[Terraform Cloud를 활용한 AWS Provider 동적 자격 증명 구성(Dynamic Provider Credentials] 이번 글에서는 Kubernetes 동적 자격 증명 구성을 통해 Kubernetes RBAC권한을 이용하여 테라폼에서 Kubernetes Provider를 사용하여 Kubernetes 리소스를 배포하는 실습을 다룰 것이다. Kubernetes Dynamic Provider Credentials의 인증 워크플로우는 아래와 같다. 사용자가 Terraform Cloud를 통해 Plan & Apply를 실행한다.Terrafor.. 2024. 1. 9. Terraform Cloud를 활용한 AWS Provider 동적 자격 증명 구성(Dynamic Provider Credentials) Terraform Cloud 환경에서 Terraform을 사용할 때 AWS Provider 사용에 필요한 "access_key", "secret_key" 값을 설정해야 하는데 일반적으로 워크스페이스 변수 또는 변수 세트를 사용하여 정적으로 자격 증명을 저장하여 사용한다. 그러나 이 방식은 장기간 자격 증명이 저장되어 있고, 모든 작업에 동일한 권한이 부여되어야 함을 의미하며 이는 보안 문제를 야기할 수 있다. 또한, 정적 자격 증명을 저장하여 사용할 때 자격 증명을 교체해야 하는 상황이 발생하는데, 매번 수동으로 교체하는 작업은 운영 부담이 증가하게 되고 이 과정 중 보안 위험에 노출될 수 있다. 이러한 문제를 해결하기 위해 Terraform은 AWS 환경에서 사용할 수 있는 Dynamic Provid.. 2024. 1. 9. 이전 1 2 3 4 5 6 ··· 11 다음 728x90 반응형
