IT/Public Cloud
AWS Summit Korea 2022 발표중 EKS 관련 내용 살펴보기 (Summit Seoul)
엘티엘
2022. 5. 11. 20:29
2022 5/10~11 이틀간 AWS Summit Korea 2022 (AWS 서밋 코리아 2022) 가 진행되었다. AWS Korea에서 진행하는 이벤트중 가장 큰 이벤트로 매년 이맘때쯤 진행된다. 전체 발표가 64개이고 각 발표가 약 30~40분정도 되니 모두 보기는 사실상 힘들고, 요즘 관심을 가지고 살펴보고 있는 EKS 발표만 키워드 중심으로 요약해봤다. 전체 발표내용은 링크에서 확인할수 있으며, 총 64개의 발표중 4개가 EKS관련 주제였다.
강연간에 중복되거나 기본적인 내용도 있었지만, AWS Korea의 가장 큰 이벤트의 발표인만큼 전체적으로 잘 정리되고 유익한 내용이였다.
[보안] EKS 환경을 더 효율적으로 더 안전하게
- 안전한 Worker Node
- EKS Optimized AMI 권장 (Customed AMI 사용시 Inspector으로 점검)
- EC2 인스턴스의 접근제한
- Runtime Security
- SELinux(Security-Enhanced Linux) 으로 파일/프로세스/자원 접근권한
- SECCOMP (SECure COMPuting mode)으로 System Call 접근 제한
- AppArmor(Application Armor) 컨테이너와 호스트간의 격리 정책
- Container Image Security
- Signed Image 사용
- VPC Endpoint
- Registry 설정: Enhanced Scanning, 팀별 접근제한 및 repo 분리
- CI/CD 각 단계별 위험 탐지 및 식별 (Security Hub 등)
- 권한관리
- IRSA(IAM Role for Service Account)사용. 인스턴스 프로필은 지양
- 네트워크
- Network Firewall, NACL, SG
- Network Policy, Security Group for Pod(Nitro Type만 지원)
- 데이터 암호화
- Secret 사용 (KMS를 활용한 암호화)
- 위협탐지
- GuardDuty (2022년 1월 EKS 지원)
[SaaS] Amazon EKS 기반 멀티테넌트 SaaS 길라잡이
- 멀티 테넌트 간 분리
- 테넌트 분리 이유
- 보안 및 규정 준수
- 리소스의 고른 분배
- 티어링 전략
- 네임스페이스를 활용한 테넌트 분리 정책
- 네트워크 정책, 서비스 어카운트, 리소스 쿼터
- Network Policy 적용
- Tigera, Calico 등 플러그인 및 서비스 메쉬 적용
- 통신 허용범위 최소화
- 파드의 권한 제어
- IRSA. Application 에서 최소 권한원칙 준수
- 리소스의 고른 분배
- CPU/MEM/스토리지ResourceQuota
- 스케쥴링
- 파드 우선순위와 축출 (priorityClassName)
- NodeAffinity + burst 인스턴스
- Taint 및 Toleration
- FARGATE 사용 (인스턴스 분리)
- 네트워크 정책, 서비스 어카운트, 리소스 쿼터
- 클러스터 정책과 거버넌스
- OPA: 정책 준수여부 검사, 감사 기능, 동적으로 유연한 정책
- 테넌트 분리 이유
- 테넌트별 소비패턴 파악방법
- 테넌트 소비량, 메트릭 수집 (Cloud Watch, X-Ray FireLens)
- 사용량 정규화, AWS 관리비용과 연계 (Application Cost Profiler)
[데브옵스 및 모던 애플리케이션] AWS CDK를 사용하여 모범 사례 기반 Amazon EKS 클러스터 구축하기
- AWS CDK란?
- IaC 툴
- CDK 모범 사례
- CDK 프로젝트 디렉토리 리펙토링을 통한 파일 역할 구분
- 리소스 특징에 기반한 스택 정의
- 환경 변수를 통한 재사용성 극대화
- 자주 사용하는 기능은 라이브러리 및 프레임워크로 작성
- EKS 모범사례
- Application
- MSA, Scaling, Multi-Pod, Health check
- Control Plane
- 로그 활성화: API, Audit, Auth, Controller Manager, Scheduler
- API 서버 엔드포인트: Public, Private, Public&Private
- Data Plane
- HPA, VPA
- CAS, Karpenter
- 네임스페이스 Resource Quota
- Network
- 확장을 고려하여 IP 수량 모니터링
- Application
[마이그레이션] Amazon EKS 마이그레이션 요점정리
- 3단계 방법론
- 평가 및 진단: 현행 클러스터 환경 조사, 애플리케이션 구성 파악, 클라우드 배포 방안 리뷰, 복제 관련 도구들 리뷰
- 전환 계획 수립: 클라우드 환경 구성 - 랜딩존 구축, EKS 아키텍처 정의, 인프라 구성 (IaC)
- 전환 수행 및 최적화: 컨테이너 이미지 마이크레이션, 데이터 복제, 애플리케이션 배포, 테스트 및 전환, 최적화
- 영역별 핵심 고려사항
- 컨트롤 플레인
- AWS Managed VPC, 3개 이상의 가용영역
- API/ETCD 클러스터 AutoScaler, LB 등
- 데이터 플레인
- 책임 공유모델
- Node Group
- Self Managed, Managed, Fargate
- ASG 적용 (HPA, CAS)
- 보안
- RBAC (User-Cluster Role, SA-Role)
- IRSA
- 네트워크
- VPC CNI (파드도 VPC 와 동일주소 사용, VPC 관련 기능 활용)
- 인스턴스별 할당 가능한 IP 개수의 제한이 있음
- LoadBalancer: ingress(ALB), service(NLB)
- 스토리지와 비용 효율화 방안
- EBS, EFS, FSX for Luster
- Spot 인스턴스, RI, Saving Plan
- 컨트롤 플레인
반응형