nur mir!

OS 계정별 Role 분리역할(Role) 구성Bastion Role기본 EC2 Role.Assume Role 정책 추가:k8sread-rolewasadm-roleAdmin RoleEKS 전체 권한.Assume Role 설정:Bastion Role로부터 신뢰 관계 구성.Read Only RoleEKS 조회 전용 권한.Bastion Role로부터 신뢰 관계 구성.정책 및 역할 세부 설정IAM Role 정책Admin Role 정책:eks:*, ecr:*, sts:* 등 전체 관리 권한 포함.Read Only Role 정책:eks:DescribeCluster, eks:ListClusters 등 읽기 전용 권한만 포함.EKS RBAC 설정Admin Role: Kubernetes 내 모든 권한 부여 (system:..

사례로 보는 PV, PVC 구성: AWS EFS 기반 PersistentVolumeEFS CSI Driver란?EFS CSI Driver는 Kubernetes에서 Amazon EFS (Elastic File System) 를 스토리지 백엔드로 사용하기 위해 제공되는 Container Storage Interface (CSI) 드라이버이다.CSI (Container Storage Interface): Kubernetes와 다양한 스토리지 시스템을 연결할 수 있도록 하는 표준 인터페이스. AWS, GCP, Azure 등 주요 클라우드 벤더에서 제공하는 CSI 드라이버를 통해 블록/파일 스토리지를 컨테이너에 마운트할 수 있다.efs.csi.aws.com: 이 드라이버는 AWS에서 공식 제공하며, Amazon ..

본 포스팅에서는 Kubernetes에서 상태를 가지는 Pod를 위한 PV와 PVC 정리해보려 한다. Kubernetes 환경에서 상태를 가지는 Pod는 데이터를 지속적으로 저장하고 복구할 수 있어야 한다. 이를 위해 사용하는 것이 Persistent Volume(PV)과 Persistent Volume Claim(PVC)이다.1. 로컬 볼륨: hostPath, emptyDir1.1 hostPath - 워커 노드 로컬 디렉터리를 공유hostPath는 워커 노드의 로컬 디렉터리를 직접 볼륨으로 마운트하여 사용하는 방식이다. Pod가 스케줄된 노드의 파일 시스템 일부를 직접 사용하는 구조로, 다음과 같은 특징이 있다.노드의 로컬 디렉터리를 그대로 사용.Pod가 다른 노드로 이동하면 이전에 저장된 데이터는 접근..

k8s를 사용하다 보면 기존에 만들어진 Pod나 Deployment를 수정해야 할 때가 있습니다. 하지만 몇 가지 주의할 점이 있는데요,이 글에서는 Pod 수정이 제한되는 이유와 Deployment 수정 방법을 간단히 정리해보겠습니다. Pod 수정은 제한적 Pod는 기본적으로 생성된 이후에 대부분의 항목을 수정할 수 없습니다.특히 다음 항목들은 수정이 금지되어 있습니다. 환경 변수 (Environment Variables)서비스 어카운트 (Service Accounts)리소스 요청 및 제한 (Resource Limits)볼륨 설정 등하지만 아래 항목은 수정 가능해요. spec.containers[*].image : 컨테이너 이미지 변경spec.initContainers[*].image : 초기 컨테이너..

이번 포스트에서는 Kubernetes에서 외부 요청을 관리하는 핵심 오브젝트인 Ingress 에 대해 정리합니다.왜 필요한지, 구조는 어떤지, 그리고 실제로 어떻게 설정하고 사용하는지까지 다룹니다. ✅ Ingress의 기본 기능 3가지외부 요청 라우팅예시: /apple, /apple/red 처럼 특정 경로 요청을 적절한 서비스로 전달가상 호스트(Virtual Host) 기반 요청 처리같은 IP를 쓰더라도 도메인명에 따라 요청을 다르게 라우팅SSL/TLS 보안 연결 처리인증서를 쉽게 적용해 HTTPS 통신 처리 가능🔥 Ingress를 사용하는 이유단일 진입점Deployment마다 Service 생성 대신, Ingress 하나로 외부 노출 통합 관리 가능클라이언트는 Ingress URL만 알면 됨라우팅 ..

Ingress가 트래픽 경로를 정의하면, ExternalDNS가 이를 감지해 Route53에 DNS 레코드를 자동 등록한다.EKS 환경에서 도메인을 효율적으로 관리하고 싶다면 반드시 알아야 할 구성이라고 본다. 동작 원리 요약1. Ingress 리소스 생성 (예: host: app.example.com) 2. Ingress Controller (예: ALB) 가 실제 로드밸런서 생성 3. ExternalDNS 가 Ingress 리소스를 감지 4. Route53 Hosted Zone에 DNS 레코드 등록 - A 레코드: app.example.com → ALB DNS 이름 - TXT 레코드: 소유권 확인용 메타 정보 저장 1. Ingress 리소스 생성 (host: app.example.com) ..

“Zonal shift delegated to DNS”이 메시지는 해당 타겟 리소스의 영역 전환(Zonal shift) 기능이 DNS 레벨에서 위임되어 처리되고 있다는 의미이다.여기서 말하는 Zonal shift란, AWS에서 특정 가용 영역(AZ)에 장애가 발생했을 때, 트래픽을 다른 정상적인 가용 영역으로 우회시키는 기능을 말한다.특히, 이 메시지의 주요 포인트는 다음과 같습니다:Zonal shift 상태는 DescribeTargetHealth 같은 일반적인 API에서는 확인할 수 없다.대신, Amazon ARC(AWS Application Recovery Controller) API나 콘솔을 통해서만 확인할 수 있다. Zonal shift란 무엇인가?Zonal shift는 AWS Applicatio..

최근 실무에서 aws s3 sync 명령어를 사용해 데이터를 업로드할 때 AccessDenied 에러가 자주 발생한 시기가 있었다. 단순히 권한 부족이라고 보기에는 의심스러운 상황이었고, 정책을 하나씩 검토하면서 해결했다.이번 포스트에서는 해당 문제를 어떻게 접근했고, 어떤 항목들을 확인해서 해결했는지 실무 기준으로 정리해봤다. 🧭 개념 정의먼저 개념부터 명확히 정리하자.S3 명령어 사용자aws s3 sync 명령어를 실행한 IAM 사용자S3 버킷데이터를 저장하려는 대상 버킷KMS 키버킷에 설정된 암호화 키 (예: aws/s3 또는 customer-managed key alias/mkr-xxx) ✅ 확인해야 할 핵심 포인트 3가지문제가 생겼을 때, 아래 3가지만 집중적으로 점검하면 된다.1. ✅ S3 ..

AWS 환경에서 Lambda 로그, S3 이벤트 등을 Datadog으로 수집하기 위해 사용되는 Datadog Lambda Forwarder를기존 v3.66.0 → v3.73.0으로 업그레이드하는 작업을 진행했다.단순한 버전 교체가 아니라, CloudFormation 템플릿 갱신, 환경 변수 백업, 이름 고정, 롤백 전략까지 실무적으로 고려할 포인트가 많았다.이번 포스트에서는 전체 업그레이드 흐름과 주의사항, 그리고 실전 트러블슈팅 포인트를 정리한다. ✅ 1. 업그레이드 배경기존 Lambda Forwarder는 v3.66.0최신 버전(v3.73.0)은 다음 개선사항 포함:CloudWatch 로그 처리 개선Lambda + S3 연동 안정화Datadog 태그 처리 개선Datadog 측에서도 v3.66.0 이하..

AWS에서 Private Subnet 환경을 구성하다 보면 인터넷 없이 S3, SSM, CloudWatch 같은 서비스에 접근해야 하는 경우가 자주 발생한다.이럴 때 사용하는 것이 바로 VPC 엔드포인트(VPC Endpoint)이다.오늘은 실무에서 자주 쓰는 VPC 엔드포인트의 종류와 사용 이유, 구성 방식을 정리해본다. ✅ VPC 엔드포인트란?VPC Endpoint는 VPC 내부에서 인터넷 게이트웨이(NAT, IGW) 없이도 AWS 서비스에 접근할 수 있도록 해주는 구성 요소다.종류는 두 가지다:🔹 1. Interface Endpoint (인터페이스 엔드포인트)VPC의 서브넷 안에 ENI(Elastic Network Interface) 형태로 생성됨Private IP를 가진 네트워크 인터페이스가 생기..