AWS Summit Korea 2022 발표중 EKS 관련 내용 살펴보기 (Summit Seoul)

2022 5/10~11 이틀간 AWS Summit Korea 2022 (AWS 서밋 코리아 2022) 가 진행되었다. AWS Korea에서 진행하는 이벤트중 가장 큰 이벤트로 매년 이맘때쯤 진행된다. 전체 발표가 64개이고 각 발표가 약 30~40분정도 되니 모두 보기는 사실상 힘들고, 요즘 관심을 가지고 살펴보고 있는 EKS 발표만 키워드 중심으로 요약해봤다. 전체 발표내용은 링크에서 확인할수 있으며, 총 64개의 발표중 4개가 EKS관련 주제였다.

강연간에 중복되거나 기본적인 내용도 있었지만, AWS Korea의 가장 큰 이벤트의 발표인만큼 전체적으로 잘 정리되고 유익한 내용이였다.

[보안] EKS 환경을 더 효율적으로 더 안전하게

• 안전한 Worker Node
  • EKS Optimized AMI 권장 (Customed AMI 사용시 Inspector으로 점검)
  • EC2 인스턴스의 접근제한
• Runtime Security 
  • SELinux(Security-Enhanced Linux) 으로 파일/프로세스/자원 접근권한
  • SECCOMP (SECure COMPuting mode)으로 System Call 접근 제한
  • AppArmor(Application Armor) 컨테이너와 호스트간의 격리 정책
• Container Image Security
  
  • Signed Image 사용
  • VPC Endpoint
  • Registry 설정: Enhanced Scanning, 팀별 접근제한 및 repo 분리
  • CI/CD 각 단계별 위험 탐지 및 식별 (Security Hub 등)
• 권한관리
  • IRSA(IAM Role for Service Account)사용. 인스턴스 프로필은 지양
• 네트워크
  • Network Firewall, NACL, SG
  • Network Policy, Security Group for Pod(Nitro Type만 지원)
• 데이터 암호화
  • Secret 사용 (KMS를 활용한 암호화)
• 위협탐지
  • GuardDuty (2022년 1월 EKS 지원)

[SaaS] Amazon EKS 기반 멀티테넌트 SaaS 길라잡이

• 멀티 테넌트 간 분리
  • 테넌트 분리 이유
    • 보안 및 규정 준수
    • 리소스의 고른 분배
    • 티어링 전략
  •  네임스페이스를 활용한 테넌트 분리 정책
    • 네트워크 정책, 서비스 어카운트, 리소스 쿼터
      • Network Policy 적용
      • Tigera, Calico 등 플러그인 및 서비스 메쉬 적용 
      • 통신 허용범위 최소화
    • 파드의 권한 제어
      • IRSA. Application 에서 최소 권한원칙 준수
      •  리소스의 고른 분배
        • CPU/MEM/스토리지ResourceQuota
    •  스케쥴링
      • 파드 우선순위와 축출 (priorityClassName)
      • NodeAffinity + burst 인스턴스
      • Taint 및 Toleration
      • FARGATE 사용 (인스턴스 분리)
  • 클러스터 정책과 거버넌스
    • OPA: 정책 준수여부 검사, 감사 기능, 동적으로 유연한 정책 
• 테넌트별 소비패턴 파악방법
  • 테넌트 소비량, 메트릭 수집 (Cloud Watch, X-Ray FireLens)
  • 사용량 정규화, AWS 관리비용과 연계 (Application Cost Profiler)

[데브옵스 및 모던 애플리케이션] AWS CDK를 사용하여 모범 사례 기반 Amazon EKS 클러스터 구축하기

• AWS CDK란?
  • IaC 툴
• CDK 모범 사례
  
  • CDK 프로젝트 디렉토리 리펙토링을 통한 파일 역할 구분
  • 리소스 특징에 기반한 스택 정의
  • 환경 변수를 통한 재사용성 극대화
  • 자주 사용하는 기능은 라이브러리 및 프레임워크로 작성
• EKS 모범사례
  • Application
    • MSA, Scaling, Multi-Pod, Health check
  • Control Plane
    • 로그 활성화: API, Audit, Auth, Controller Manager, Scheduler
    • API 서버 엔드포인트: Public, Private, Public&Private
  • Data Plane
    • HPA, VPA
    • CAS, Karpenter
    • 네임스페이스 Resource Quota
  • Network
    • 확장을 고려하여 IP 수량 모니터링

[마이그레이션] Amazon EKS 마이그레이션 요점정리

• 3단계 방법론
  • 평가 및 진단: 현행 클러스터 환경 조사, 애플리케이션 구성 파악, 클라우드 배포 방안 리뷰, 복제 관련 도구들 리뷰
  • 전환 계획 수립: 클라우드 환경 구성 - 랜딩존 구축, EKS 아키텍처 정의, 인프라 구성 (IaC)
  • 전환 수행 및 최적화: 컨테이너 이미지 마이크레이션, 데이터 복제, 애플리케이션 배포, 테스트 및 전환, 최적화
• 영역별 핵심 고려사항
  • 컨트롤 플레인
    • AWS Managed VPC, 3개 이상의 가용영역
    • API/ETCD 클러스터 AutoScaler, LB 등
  • 데이터 플레인
    • 책임 공유모델 
    • Node Group
      • Self Managed, Managed, Fargate
      • ASG 적용 (HPA, CAS)
  • 보안
    • RBAC (User-Cluster Role, SA-Role)
    • IRSA
  • 네트워크
    • VPC CNI (파드도 VPC 와 동일주소 사용, VPC 관련 기능 활용)
    • 인스턴스별 할당 가능한 IP 개수의 제한이 있음
    • LoadBalancer: ingress(ALB), service(NLB)
  • 스토리지와 비용 효율화 방안
    • EBS, EFS, FSX for Luster
    • Spot 인스턴스, RI, Saving Plan