K3s 인증서 유효 기간은 1년이다. K3s 서비스를 재시작하면 만료 혹은 90일 이내로 남은 인증서가 업데이트된다. kubectl 사용시 다음과 같은 에러가 발생했는데 인증서 이슈였다. kubeconfig의 cert가 유효하지 않아 나는 에러이다. $ kubectl get po error: You must be logged in to the server (Unauthorized) 자세한 로그는 k3s 서비스 로그를 확인하자. # master node $ sudo systemctl status k3s K3s 인증서 업데이트 1. 인증서 만료일 확인 openssl s_client -connect localhost:6443 -showcerts &1 | openssl x509 -noo..
본 포스팅은 CKA 자격증 준비를 위해 해당 강의를 보고 정리한 자료입니다. 일부 생략되었으니 꼭 강의를 수강하시고 내용 정리 용도로만 참고하시길 바랍니다. Pod Networking pod들이 어떻게 주소가 할당되고 어떻게 서로 통신할까? 클러스터 내부, 외부에서 pod에서 돌고있는 서비스에 어떻게 접근할까? 우선 쿠버네티스는 이것에 대해 자체적으로 solution을 제공하지는 않는다. 쿠버네티스는 모든 pod들이 unique한 ip 주소를 가지고, 해당 ip를 통해 같은 node의 모든 pod들이 서로 통신할 수 있도록 한다. 1. 노드에 container가 생성되면, 네트워크 namespace를 생성한다. 쿠버네티스는 통신을 위해 namespace를 network에 붙인다. 여기서 말하는 네트워크는..
본 포스팅은 CKA 자격증 준비를 위해 해당 강의를 보고 정리한 자료입니다. 일부 생략되었으니 꼭 강의를 수강하시고 내용 정리 용도로만 참고하시길 바랍니다. Kubernetes Security Primitives kube api server는 쿠버네티스 모든 동작의 중심으로, api에 직접 접근하거나 kubectl 을 통해 상호작용하게된다. 첫 번째 방어선인 api 서버에 대한 접근을 어떻게 제어할 수 있을까? Authentication - Who can access Files - Username and Passwords Files - Username and Tokens Certificates External Authentication providers - LDAP Service Accounts Auth..
본 포스팅은 CKA 자격증 준비를 위해 해당 강의를 보고 정리한 자료입니다. 일부 생략되었으니 꼭 강의를 수강하시고 내용 정리 용도로만 참고하시길 바랍니다. OS Upgrades software 업그레이드 또는 security patch 등 node를 내려야할 일이 있을 때, 어떻게 안정적으로 클러스터를 유지할까? 노드가 5분(--pod-eviction-timeout) 안에 정상화되지 않을 경우 pod은 종료됨 replicaset 의 pod이었을 경우, 다른 노드에 재생성됨 그냥 pod일 경우 사라지게됨 안전하게 노드를 작업하기 위해, drain을 통해 모든 workload를 다른 노드로 옮길 수 있음 $ kubectl drain node-1 기존 노드에서 pod들이 종료되고, 다른 노드에서 재생성됨 또..
본 포스팅은 CKA 자격증 준비를 위해 해당 강의를 보고 정리한 자료입니다. 일부 생략되었으니 꼭 강의를 수강하시고 내용 정리 용도로만 참고하시길 바랍니다. Manual Scheduling 원하는 NODE 지정하여 스케쥴링 https://kubernetes.io/docs/concepts/scheduling-eviction/assign-pod-node/#nodename apiVersion: v1 kind: Pod metadata: name: nginx spec: containers: - name: nginx image: nginx nodeName: kube-01 nodeName 속성 추가 생성 후 assign 은 불가 ⇒ 필요시 Binding object를 생성해(kind: Binding) api post..
본 포스팅은 CKA 자격증 준비를 위해 해당 강의를 보고 정리한 자료입니다. 일부 생략되었으니 꼭 강의를 수강하시고 내용 정리 용도로만 참고하시길 바랍니다. Cluster Architecture 쿠버네티스의 구조에 대한 내용으로, 구성 요소에 대한 간략한 설명을 포함. -> 강의 자료 또는 쿠버네티스 문서 참고 ETCD 정보를 key-value 형태로 저장하는 데이터베이스로, 컨테이너가 어떤 ship에 있는지,언제 load되었는지 등 각기 다른 ship들에 대한 정보를 저장 ETCD in K8S nodes, pods, configs, secrets, accounts, roles, bindings .. 등 cluster에 관한 정보 저장 kubectl 의 모든 정보들은 ETCD 서버에서 오는 것 모든 변화..
