Kubernetes Best Practices

[bbb-86-ko]

Kubernetes Best Practices

• https://www.yes24.com/Product/Goods/95560470

1 주차

• chapter 1 기본 서비스 설치
• chapter 2 개발자 워크플로
• chapter 3 모니터링과 로깅

2 주차

• chapter 4 설정, 시크릿, RBAC
• chapter 5 지속적 통합, 테스트, 배포
• chapter 6 버전, 릴리스, 롤아웃

3 주차

• chapter 7 글로벌 애플리케이션 분산과 스테이지
• chapter 8 리소스 관리
• chapter 9 네트워킹, 네트워크 보안, 서비스 메시

4 주차

• chapter 10 파드와 컨테이너 보안
• chapter 11 클러스터 정책과 거버넌스
• chapter 12 다중 클러스터 관리

5 주차

• chapter 13 외부 서비스와 쿠버네티스 통합
• chapter 14 쿠버네티스에서 머신러닝 실행하기
• chapter 15 고수준 애플리케이션 패턴 구축

6 주차

• chapter 16 상태와 스테이트풀 애플리케이션 관리
• chapter 17 어드미션 컨트롤과 권한
• chapter 18 결론

[bob-bbb]

chapter 1 기본 서비스 설치

패스

[bob-bbb]

chapter 2 개발자 워크플로

개발 환경 설정 모범사례

• 개발 클러스터를 구성할때 단일 클러스터와 개발자별 클러스터 중 하나를 선택할 수 있다.
  • 일반적으로 단일 클러스터가 좋다.
  • 단일 개발 클러스터
    • 장점 : 효율적이다. 모니터링, 로깅처럼 개발자에게 필요한 공용 클러스터 서비스를 설치하는 것이 수월하다.
    • 단점 : 사용자 관리 프로세스와 잠재적인 개발자 간의 간섭이 생긴다. 온보딩 프로세스, 리소스 관리, 가비지 컬렉션에 투자가 필요하다. RBAC으로 개발자 사이 충돌을 줄일 수 있다.
  • 개발자별 클러스터
    • 장점 : 독립적으로 서로에게 피해주지 않는다.
    • 단점 : 클러스터 수가 많아져 비용이 높고 효율성이 낮다.
• 클러스터 사용자 추가시 특정 네임스페이스에만 접근 가능하도록 제한한다.
• 네임스페이스 관리 할때 오랫동안 사용하지 않은 리소스를 어떻게 회수할지 고민한다.
  • 정리 자동화 필요.

[bob-bbb]

chapter 3 모니터링과 로깅

모니터링 기술

Blackbox Monitoring

• 관심사 : Application 외부
• CPU, Memory, Storage등 System Component를 모니터링한다.
• 인프라 수준의 모니터링에 유용하다.

Whitebox Monitoring

• 관심사 : Application 상태
• HTTP Request, 5xx Error Count, Latency등을 모니터링한다.
• Application 수준의 모니터링에 유용하다.

분산 시스템 모니터링 패턴

USE Pattern

• 인프라(시스템) 모니터링
• 리소스 제약과 오류를 빠르게 확인한다.
• Metric
  • Utilization: 사용률 : 리소스 사용 비율
  • Saturation: 포화도 : 리소스가 처리할 수 없는 작업의 정도(대기중인 작업)
  • Error: 오류율 : 오류수

RED Pattern

• Application 모니터링
• 사용자의 서비스 경험에 초점을 두고 있다.
• Metric
  • Request: 요청 : 시간당 서비스 요청 수
  • Error: 오류율 : 오류수
  • Duration: 소요 시간 : 요청을 처리하는데 걸리는 시간

Four golden signals

• Latency: 요청을 처리하는 데 걸리는 시간
• Traffic: 시스템에 존재하는 요청의 양
• Error: 요청 실패율
• Saturation: 서비스의 사용률

Kubernetes Metric

Metic 수집

• https://kubernetes.io/docs/tasks/debug/debug-cluster/resource-metrics-pipeline/
• Container Advisor(cAdvisor)
  • Container의 Resource, Metric을 수집한다.
  • kubelet에 내장되어 클러스터의 모든 노드에서 실행한다.
  • /metrics/cadvisor
• metric server
  • 각 kubelet에서 가져온 리소스 메트릭을 수집하고 집계한다.
  • 메트릭 API를 제공하여 HPA, VPA등을 수행하며, 메트릭 서버는 메트릭 API의 레퍼런스 구현이다.
• kube-state-metric
  • 오브젝트의 상태에 중점을 두고 있다.
    • 클러스터에 몇 개의 파드가 배포되었나요? (Pod)
    • 의도한 상태에서 수행 중인 파드는 몇 개인가요? (Deployment)
  • https://github.com/kubernetes/kube-state-metrics
• https://kubernetes.io/docs/concepts/cluster-administration/system-metrics/

Kubernetes Log

Metic을 수집해야할 Component Log

• Node Log
• Kubernetes Control plane Log
  • API Server
  • Controller Manager
  • Scheduler
• Kubernetes Audit Log
• Application Container Log
• https://kubernetes.io/docs/concepts/cluster-administration/logging/#using-a-node-logging-agent

모범사례

모니터링 모범 사례

• 노드와 Kubernetes의 모든 Component에 대한 Utilization, Saturation, Error 을 모니터링 한다.
• 시스템의 예측하기 힘든 상태와 징후를 보이면 Blackbox Monitoring을 한다.
• 시스템과 내부를 조사할 때는 Whitebox Monitoring을 한다.
• 정확도가 높은 Metric을 얻으려면 시계열 기반 Metric을 구현한다.

로깅 모범 사례

• Metric Monitoring과 함께 Logging 한다.
• Sidecar Pattern 구성은 제한적으로 사용하고 많은 리소스를 사용한다면 DeamonSet을 이용한다.

알림 모범 사례

[bob-bbb]

chapter 4 설정, 시크릿, RBAC

Configmap, Secret API 모범사례

• 새로운 Version의 Pod를 다시 배포하지 않고 Application에 동적으로 변경하는 경우
  • Configmap, Secret을 VolumeMount한다.
  • Application을 파일 감시자로 설정한다.
• Pod가 배포되기전 Pod의 Namespace 안에 Configmap, Secret이 존재해야한다.
  • 없는 경우 Pod가 시작되지 않도록 할 수 있다.
• Admission Controller를 사용하면 특정 설정 데이터를 확인하고 값이 없는 경우 배포를 하지 않을 수 있다.
  • https://kubernetes.io/docs/reference/access-authn-authz/admission-controllers/
• 시스템 환경변수를 사용하여 Pod에 Configmap 데이터 주입이 가능하다.
  • envForm, configMapRef, secretRef
• 환경 변수 형태로 전달하는 경우 Pod의 데이터는 변경되지 않는다.
  • Pod 삭제 → 새로운 Pod 생성
  • Pod 재시작
• Configmap, Secret의 모든 변경 사항은 Deployment의 업데이트가 필요로 한다고 가정하는 것이 좋다.

Secret 모범사례

• 암호화 및 감사 기능을 제공하는 외부 스토리지 시스템을 이용할 수 있다.
  • AWS Secret Manager, GCP Secret Manager, Vault 등.

RBAC 모범사례

RBAC

• Target
• Rule
• Role
• RoleBinding

모범사례

• Service End Point에 따라 설정을 변경하기 위해 Kubernetes API에 직접 접근하거나 특정 Namespace의 모든 Pod를 나열하고자할때
  • 새로운 Service Account 생성 후 Pod에 명시하는 것이 좋다.
  • 최소한의 Role만 할당한다.
• OIDC(Open Id Connect Service)를 이용하여 신원을 관리한다.
• CI/CD 도구를 위한 별도 Service Account를 사용한다.
• Secret API의 watch와 list를 필요로 하는 Application을 제한해야한다.
  • 위 권한으로 Application 배포한 사용자에게 Secret이 노출된다.

[bob-bbb]

chapter 5 지속적 통합, 테스트, 배포

Ingress 배포

Canary

• Deployment 구성을 활용하여 Canary 배포를 구성할 수 있다.

• Example

  name: frontend
  replicas: 3
  ...
  labels:
     app: guestbook
     tier: frontend
     track: stable
  ...
  image: gb-frontend:v3

  name: frontend-canary
  replicas: 1
  ...
  labels:
     app: guestbook
     tier: frontend
     track: canary
  ...
  image: gb-frontend:v4

• https://kubernetes.io/docs/concepts/workloads/controllers/deployment/#canary-deployment

• https://kubernetes.io/docs/concepts/cluster-administration/manage-deployment/#canary-deployments

Rolling Update

• Example

  ‘kind: Deployment
  apiVersion: v1
  metadata:
    name: frontend
  spec:
    replicas: 3
  template:
      spec:
        containers:
        - name: frontend
          image: brendanburns/frontend:v1
    strategy:
      type: RollingUpdate
      rollingUpdate:
        maxSurge: 1 # Maximum amount of replicas to update at one time
        maxUnavailable: 1 # Maximum amount of replicas unavailable during rollout’

• https://kubernetes.io/docs/concepts/workloads/controllers/deployment/#rolling-update-deployment

Blue Green

• Example

  apiVersion: apps/v1
  kind: Deployment
  metadata:
    name: my-app
    labels:
      app: my-app # Label
  spec:
    replicas: 2
  ... 생략 ...
  ---
  apiVersion: v1
  kind: Service
  metadata:
    name: my-app-service
  spec:
    selector:
      app: my-app # Deployment labels.app
    ports:
      - protocol: TCP
        port: 80
        targetPort: 8080

Configuration Drift (설정 편차(?))

• 환경과 Component Version 차이로 발생하는 문제.수 있다.
  • ex) Stage에서 잘 동작하던 Deployment가 Production에서 배포 실패하는 경우
• Kubernetes는 Deployment 객체의 Version과 배포 일관성을 위해 선언적인 방법을 제공한다.

CI/CD 모범사례

• CI를 이용한 자동화와 빠른 빌드가 중요하다.
• Pipeline에서 안정적으로 Test를 하는 것이 중요하다.
• 이미지 최적화가 되어있는지 확인한다.
• latest 이미지 태그를 사용하지 않는다.
• CD가 익숙하지 않으면 Kubernetes Rolling Upgrade를 사용한다.
  • 이후 Blue/Green, Canary 배포전략도 고려한다.
• 운영 테스트는 Application 안정성에 도움을 준다.
  • ex) Chaos Engineering

[bob-bbb]

chapter 6 버전, 릴리스, 롤아웃

버전

• https://semver.org/lang/ko/

릴리스

• Kubernetes 릴리스 컨트롤러가 없다. → 릴리스와 관련된 기본 개념이 없다.
• Deployment metadata.labels나 pod.spec.template.metadata.label에 릴리스 정보를 넣습니다.
• CD 사용해 변경 사항을 Deployment에 업데이트한다.

롤아웃

• Deployment Controller에는 특정 전략을 이용하여 업데이트를 자동화하는 기능이 있다.
  • RollingUpdate (default)
    • RollingUpdate 방식으로 업데이트한다.
    • Deployment Controller가 업데이트 이력을 보관하고 있으며 이전 버전으로 롤백할 수 있다는 장점이 있다.
    • maxUnavailble(default: 25%) : 업데이트 중에 사용할 수 없는 최대 Pod의 수.
      • 업데이트 진행시 maxUnavailble 만큼 Pod 삭제 진행.
    • maxSurge(default: 25%) : 업데이트 중 생성할 수 있는 최대 Pod의 수.
      • 업데이트 진행시 maxSurge 만큼 Pod Scheduling 진행.
  • Recreate
    • replicaSet은 모든 Pod를 중단할 수 있는 특정 워크로드에 적합하다.
    • 새로운 Pod가 온라인으로 전환되기 전에 이전 레플리카셋을 삭제한다.
    • ex) Queue System
  • [https://kubernetes.io/ko/docs/concepts/workloads/controllers/deployment/#전략](https://kubernetes.io/ko/docs/concepts/workloads/controllers/deployment/#%EC%A0%84%EB%9E%B5)

6.5 버전, 릴리스, 롤아웃 모범사례

• 컨테이너 버전과 배포 버전은 다르게 구성한다.
  • ex) 컨테이너 v1.5.5, Pod 명세 1.5.8(metadata.labels)
    • 파드 명세의 Configmap, Secret, Replica 등이 변경됨
• metadata.labels 내 릴리스 Version을 구성하고 CI/CD에서 릴리스를 추적한다.

[bob-bbb]

chapter 7 글로벌 애플리케이션 분산과 스테이지

이미지 분산

• Region 단위로 분산하고 Application을 사용할 위치에 가까이 한다.
• 이미지 복제 기능 필요하다.
  • 복제 기능이 없는 경우
    • 단일 레지스트리 사용
    • 이미지 복제 방법 고안

배포 파라미터화

• Region에 맞춰 Application Config가 달라야한다. → Application과 Config or 환경변수 분리
  • Parameter화 하여 Region별 데이터를 설정한다.
  • ex) Region Traffic → Pod 수, Resource(CPU, Memory) , Application Config 설정

글로벌 트래픽 로드벨런서

• DNS를 사용시 DNS 질의에 응답하는 IP 정보는 요청 사용자의 위치와 가용한 서비스 위치에 따라 달라야한다.
  • ex) AWS GA, GCP Multi-region LoadBalancer

사전 롤아웃 검증

• 완전한 통합테스트 (+ 부하 테스트)
  • 운영환경에서 이루어지는 것이 좋다.
  • 부하 테스트 진행시 Production에 영향을 주지 말아야한다.

Canary Region

• 모든 사람이 실패 확률이 높다는 것을 이해하는 공간 → 문제 발견이 쉽다.
• 장애전파를 최소화한다.
• 잘못을 조기에 발견할 수 있다.

Region 타입 식별

• Region별 특성을 이해하고 테스트를 진행한다.
• ex)
  • 개발 도상국은 모바일 웹 브라우저 트래픽 발생이 높다. → 모바일 웹 테스트 강화
  • 비영어권 Region에서는 더 많은 Unicode 문자가 전송된다. → Unicode 문자 중심 테스트 강화

글로벌 롤아웃 구축

• 통합 테스트 → Canary Region or 사용자 트래픽이 적은 Region 테스트 → 대기 시간(장애가 발생 할 수 있는 시간)
• 장애가 발생할 수 있는 충분한 시간을 갖고 배포를 진행한다.

글로벌 롤아웃 모범 사례

• Image를 Region 단위로 분산한다.
  • 사용할 위치에 가깝게 위치한다.
• 최대한 통합 및 재현 테스트를 수행한다.
  • 믿음이 있는 릴리스만 롤아웃을 수행한다.
• Canary Region에서 릴리스를 시작한다.
• 롤아웃 하려는 Region의 특성을 파악한다.
  • 위험도가 낮은 Region부터 롤아웃을 시도한다.
• 발생할 수 있는 문제의 대응과 절차에 대해 문서화 하고 연습한다.

[bob-bbb]

chapter 8 리소스 관리

Kubernetes Scheduler

• Scheduler는 Pod를 어떻게 배치할지 결정한다.

Podaffinity, PodAntiaffinity

• Pod의 배치 규칙을 설정한다.
• Podaffinity : 동일한 Node에 Pod Scheduling 한다.
• PodAntiaffinity : 동일한 Node에 Pod Scheduling을 하지 않는다. → 한 Node에 여러 레플리카를 배치하지 않는다.
• https://v1-27.docs.kubernetes.io/ko/docs/concepts/scheduling-eviction/assign-pod-node/#affinity-and-anti-affinity

NodeSelector

• 특정 Node에 Pod를 Scheduling한다.
• Node Taint와 함께 사용가능하다.
  • Node Taint → 설정한 Node에는 Pod가 Scheduling 되지 않음.
• https://v1-27.docs.kubernetes.io/ko/docs/concepts/scheduling-eviction/assign-pod-node/#nodeselector
• https://v1-27.docs.kubernetes.io/ko/docs/concepts/scheduling-eviction/taint-and-toleration/

Node Taint, Toleration

Node Taint

Taints:gpu=true:nodSchedule

Pod 명세 1 : 스케쥴링됨

tolerations:
- key: "gpu"
   operator: "Equal"
   value: "true"
   affect: "noSchedule"

Pod 명세 2 : 스케쥴링되지 않음

tolerations:
- key: "gpu"
   operator: "Equal"
   value: "true"
   affect: "noSchedule"

• Node Taint
  • Pod가 Scheduling 되는 것을 거절한다.
  • Node에 적용.
  • Type
    • NoSchedule : Toleration이 일치하지 않는 Pod가 Sheduling되는 것을 막는 Taint
    • PreferNoSchedule : 다른 Node에 Scheduling 될 수 없는 Pod만 Scheduling
    • NoExecute : 이미 실행중인 Pod 축출
    • NodeCondition : 특정 조건을 만족시키는 Node를 Traint
• Toleration
  • 스케줄러는 그와 일치하는 Taint가 있는 Pod를 Schedul할 수 있다.
  • Pod에 적용.

Pod Resource 관리

Pod Quality of Service Classes(QoS)

• Guaranteed
  • request = limit
• Burstable
  • request < limit
• BestEffort
  • request와 limit 설정이 없다.
• https://v1-27.docs.kubernetes.io/docs/concepts/workloads/pods/pod-qos/

PodDisruptionBudget

• 최소한의 Pod 수를 항상 유지해준다.
• minAvailable 가 3이면, 최소한 3개의 Pod 는 가용상태.
• minAvailable 가 10%이면, Pod의 replica 수를 기준으로 10%의 Pod 는 가용상태.
• maxUnavailable 가 1이면, 한개의 Pod가 불가용상태.
• https://kubernetes.io/ko/docs/concepts/workloads/pods/disruptions/

Namespace를 사용한 Resource 관리

• 배포된 Resource를 논리적으로 구분한다.

Resource Quarter

apiVersion: v1
kind: List
items:
- apiVersion: v1
  kind: ResourceQuota
  metadata:
    name: pods-high
  spec:
    hard:
      cpu: "1000"
      memory: 200Gi
      pods: "10"
    scopeSelector:
      matchExpressions:
      - operator : In
        scopeName: PriorityClass
        values: ["high"]

• 단일 클러스터를 공유할 때는 Namespace에 Resource Quarter를 설정해야한다.
• 단일 Namespace가 할당된 Resource 이상을 사용할 수 없도록한다.
• request.cpu, request.memory, limit.cpu, limit.memory,
• request.storage, persistentvolumeclaims, storageclass.request, storageclass.pvc
• https://kubernetes.io/ko/docs/concepts/policy/resource-quotas/

LimitRange

apiVersion: v1
kind: LimitRange
metadata:
  name: cpu-min-max-demo-lr
spec:
  limits:
  - max:
      cpu: "800m"
    min:
      cpu: "200m"
    type: Container

• 네임스페이스의 각 적용 가능한 오브젝트 종류(ex) Pod, PersistentVolumeClaims)에 대해 지정할 수 있는 리소스 할당(제한 및 요청)을 제한하는 정책.
  • ex) 네임스페이스에서 파드 또는 컨테이너별 최소 및 최대 컴퓨팅 리소스 사용량을 지정한다.
• 해당 파드의 어떤 컨테이너도 자체 CPU 요청량(request)과 상한(limit)을 명시하지 않으면, 컨트롤 플레인이 해당 컨테이너에 CPU 요청량과 상한의 기본값(default)을 지정한다.
• 해당 파드의 모든 컨테이너가 200 millicpu 이상의 CPU 요청량을 지정하는지 확인한다.
• 해당 파드의 모든 컨테이너가 800 millicpu 이하의 CPU 상한을 지정하는지 확인한다.
• https://kubernetes.io/ko/docs/concepts/policy/limit-range/
• https://kubernetes.io/ko/docs/tasks/administer-cluster/manage-resources/cpu-constraint-namespace/

Cluster Autoscaling

• Cluster Autoscaling 수행 전 PodDisruptionBudget을 적용한다.
  • Cluster Autoscaling 수행 시 Node Drain과 Pod Scheduling이 발생.
  • Application에 영향을 최소화하기 위함.

Application Autoscaling

HPA

• Deployment를 감시하여 Kubernetes metrics-server로 부터 Deployment를 확장한다.
• 최대, 최소 수 설정이 중요하다.

VPA

• 아키텍처로 인해 확장할 수 없는 Workload의 경우 용이하다.
• ex) MySQL의 Node
• https://github.com/kubernetes/autoscaler/tree/master/vertical-pod-autoscaler

Resource 관리 모범 사례

• Podantiaffinity를 Workload를 여러 가용 영역으로 분산하여 Application의 고가용성을 보장합니다.
• GPU가 활성화된 Node와 같은 특수한 하드웨어를 사용하는 경우 Traint를 사용해 GPU가 필요한 Workload만 해당 Node에 Scheduling되로록 합니다.
• NodeCondition Traint를 사용하여 Node 실패나 성능 저하를 사전에 방지합니다.
• Pod 명세에 NodeSelector를 적용하여 특수한 하드웨어를 가진 Node에 Pod를 Scheduling합니다.
• 운영으로 이동하기 전에 다양한 Node크기를 실험하여 비용과 성능의 적절한 조합을 찾습니다.
• 다양한 성능 특성을 지닌 Workload가 혼재되어 있다면 단일 Cluster에 Node 유형이 섞여 있는 Node Pool을 사용합니다.
• Cluster에 배포된 모든 Pod에 대해 Memory와 CPU 제한을 설정합니다.
• 여러 팀 또는 여러 Application이 공정한 Resource를 할당받을 수 있도록 ResourceQuata를 사용합니다.
• 제한과 요청이 설정되지 않은 Pod 명세에 기본 제한과 요청을 설정하기 위해 LimitRange를 구현합니다.
• Kubernetes의 Workload 프로필을 파악하기 전까지는 수동 Cluster 확장부터 시작합니다.
• 자동 확장을 사용할 수도 있지만 Node 기동 시간과 Cluster 축소에 대한 추가적인 고민이 필요합니다.
• 변동성이 있거나 예상치 못한 정점이 있는 Workload의 경우에는 HPA를 사용합니다.

GKE에서 비용에 최적화된 Kubernetes 애플리케이션을 실행하기 위한 권장사항

https://cloud.google.com/architecture/best-practices-for-running-cost-effective-kubernetes-applications-on-gke?hl=ko#cluster_autoscaler

[bob-bbb]

chapter 9 네트워킹, 네트워크 보안, 서비스 메시

동일 Pod Container ↔ Container

• 동일 Pod 내 Container는 동일한 네트워크를 공유 → [localhost](http://localhost/) 통신이 가능하다, Container 간 다른 Port를 사용해야한다.

Pod ↔ Pod

• 모든 Pod는 NAT없이 통신 할 수 있어야한다.
  • 동일한 Node Pod ↔ Pod
  • 동일한 Cluster A Node Pod ↔ B Node Pod

Service ↔ Pod

• Service → layer 4 LB 기능을 한다.
• 각 Node의 Pod로 트래픽을 전달한다.

9.2 네트워크 플러그인

• Kubenet : 가장 기본적인 네트워크 플러그인으로 Pod가 연결될 가상 이더넷 쌍인 리눅스 브릿지 cbr0를 제공한다.
• CNI (Container Network Interface) : Container간 Network 통신을 제어할 수 있는 플러그인
• https://github.com/containernetworking/cni
• https://kubernetes.io/docs/concepts/extend-kubernetes/compute-storage-net/network-plugins/

9.2.2 Kubenet 모범 사례

• Kubenet으로 가장 단순한 네트워크 스택을 구축할 수 있으며 복잡한 네트워크에서 귀중한 IP 주소를 절약할 수 있습니다. 대표적으로 온프레미스 데이터 센터에 확장된 클라우드 네트워크가 있습니다.
• Pod CIDR 범위가 각 클러스터의 Pod의 잠재적인 최대 크기를 처리할 만큼 충분히 큰지 확인해야 합니다. kubelet에 설정된 Node당 기본 Pod는 110이지만 이는 조정될 수 있습니다.
• 적합한 Node의 Pod로 트래픽이 전송될 수 있도록 경로 규칙을 이해하고 올바른 계획을 세워야합니다.

9.2.4 CNI 플러그인 모범 사례

• 인프라의 전반적인 네트워킹 목표를 달성하는 데 필요한 기능을 평가해야한다. 일부 CNI 플러그인은 고가용성, 다중 클라우드 연결성, Kubernetes 네트워크 정책 지원 등 다양한 기능을 제공합니다.
• 공개 클라우드 공급자를 통해 클러스터를 실행 중이라면 클라우드 공급자의 소프트웨어 정의 네트워크가 CNI 플러그인을 실제로 지원하는지 확인해야한다.
• 네트워크 보안 도구, 네트워크 관찰성, 관리 도구가 CNI 플러그인과 호환되는지 확인하고, 그렇지 않다면 대체로 할 수 있는 도구를 조사해야합니다. → 모니터링
• SDN(Sorftware Defined Network) 네트워크 공간과 분리된 별도의 오버레이 네트워크를 제공하지 않는 CNI를 사용하는 경우, 노드 IP, 파드 IP, 내부 로드 밸런서와 클러스터 업그레이드, 프로세스 확장에 따른 오버헤드를 감당할 수 있는 적절한 네트워크 주소 공간이 존재하는지 확인해야 합니다.

9.3 Kubernetes Service

• Pod의 Scheduling과 상관없이 Pod를 찾을 수 있는 메커니즘 → Service
  • Pod IP에 직접 접근하는 것은 효율적이지 않다.
• Service의 Endpoint를 Pod와 Mapping한다.
• https://kubernetes.io/ko/docs/concepts/services-networking/service/#publishing-services-service-types

9.3.1 Service Type : ClusterIP

• 기본값
• Backend Pod에 IP, Port, Protocol을 이용하여 맵핑한다.

9.3.2 Service Type : Node Port

apiVersion: v1
kind: Service
metadata:
  name: my-service
spec:
  type: NodePort
  selector:
    app.kubernetes.io/name: MyApp
  ports:
      # 기본적으로 그리고 편의상 `targetPort` 는 `port` 필드와 동일한 값으로 설정된다.
    - port: 80
      targetPort: 80
      # 선택적 필드
      # 기본적으로 그리고 편의상 쿠버네티스 컨트롤 플레인은 포트 범위에서 할당한다(기본값: 30000-32767)
      nodePort: 30007

• 고정 Port로 각 Node의 IP에 서비스를 노출한다.
• 자유롭게 자체 로드 밸런싱 솔루션을 설정하거나, 쿠버네티스가 완벽하게 지원하지 않는 환경에서 사용한다.

9.3.3 Service Type : ExternalName

apiVersion: v1
kind: Service
metadata:
  name: my-service
  namespace: prod
spec:
  type: ExternalName
  externalName: my.database.example.com

• 외부 DNS에 대한 서비스 맵핑이다.

9.3.4 Service Type : LoadBalancer

apiVersion: v1
kind: Service
metadata:
  name: my-service
spec:
    selector:
      app.kubernetes.io/name: MyApp
    ports:
      - protocol: TCP
         port: 80
         targetPort: 9376
      clusterIP: 10.0.171.239
      type: LoadBalancer
status:
  loadBalancer:
    ingress:
    - ip: 192.0.2.127

• 클라우드 공급자의 로드 밸런서를 사용하여 서비스를 외부에 노출시킨다.

9.3.5 인그레스와 인그레스 컨트롤러

• Ingress
  • 클러스터 외부에서 클러스터 내부 서비스로 HTTP, HTTPS 경로를 노출한다.
    • Service → Layer 3, 4
    • Ingress → Layer 7
      • Host, Path 기반 트래픽 전달한다.
• Ingress Controller
  • Ingress 동작에 필요하다.
  • TLS와 기본 백엔드 구성에 대한 세부사항을 처리한다.
  • ex) nginx
• https://kubernetes.io/ko/docs/concepts/services-networking/ingress/
• https://kubernetes.io/ko/docs/concepts/services-networking/ingress-controllers/

9.3.6 서비스와 인그레스 컨트롤러 모범사례

• 클러스터 외부에서 접근하는 서비스의 수를 제한한다.
  • ClusterIP를 기본으로 하고 외부 접근이 필요한 서비스만 노출한다.
• 노출 서비스가 주로 HTTP 기반이라면 Ingress와 Ingress Controller를 사용하는 것이 좋다.

9.4 네트워크 보안 정책

• NetworkPolicy API를 사용하여 Ingress, Egress 접근제어가 가능하다.
• https://kubernetes.io/ko/docs/concepts/services-networking/network-policies/

9.4.1 네트워크 정책 모범 사례

• 천천히 진행하면서 Pod로 Ingress되는 트래픽에 집중한다. → 규칙이 복잡하면 네트워크 추적이 어렵다.
• 네트워크 팀이 기본으로 deny 정책을 사용하면 아래와 같이 NetworkPolicy를 추가해두는 것이 좋다.
  • 다른 네트워크 정책을 실수로 삭제하더라도 외부 노출을 방지한다.

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default-deny-all
spec:
  podSelector: {}
    policyTypes:
    - Ingress

• Label을 사용해 NetworkPolicy를 명시적으로 적용한다.
  • 전체 흐름 파악에 용이하다.

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: internet-acccess
spec:
  podSelector:
        matchLabels:
            allow-internet: "true"
    policyTypes:
    - Ingress
    ingress:
    - {}

9.5 서비스 메시

서비스 메시 기능

• 세밀한 트래픽 조절 정책을 통한 트래픽 로드벨런싱.
• 트래픽 모니터링 → 분산 서비스 추적.
• 트래픽 보안.
• 서킷 브레이커, 재시도, 데드라인등의 패턴 이용 → 복원력, 상태, 장애방지.

Kubernetes에서..

• Sidecar Proxy를 이용하여 Application 변경없이 적용가능하다.
• 대표서비스 : istio

9.5.1 서비스 메시 모범 사례

• 서비스 메시가 제공하는 기능 확인 후 오버헤드가 가장 적은 서비스 메시를 선택한다.
• 서비스 메시에 익숙하지 않다면 상업적으로 지원이 되는 제품을 사용해라.