hellouz's Devlog

[Cilium] Prometheus, Grafana을 활용한 Cilium 모니터링

Cloudnet Cilium 2주차 스터디를 진행하며 정리한 글입니다. 이번 포스팅에서는 prometheus와 grafana을 이용하여 cilium에 대해 관측해보겠습니다. 실습 환경 세팅 - Prometheus, Grafana 설치실습에 필요한 샘플 어플리케이션과, prometheus, grafana을 설치합니다.Cilium, Hubble, 그리고 Cilium Operator는 기본적으로 메트릭을 노출하지 않는다. 메트릭을 활성화하면 클러스터의 각 노드에서 9962 (Cilium), 9965 (Hubble), 9963 (Cilium Operator) 포트가 열리게 됩니다. 이들 서비스의 메트릭은 Helm 값으로 각각 독립적으로 설정할 수 있습니다.prometheus.enabled=true : ciliu..

[Cilium] Cilium Observability - Hubble 설치 및 CiliumNetworkPolicy 적용

Cloudnet Cilium 2주차 스터디를 진행하며 정리한 글입니다.이번 포스팅에서는 Cilium Hubble에 대해 이해하는 포스팅을 작성하겠습니다.Hubblehttps://docs.cilium.io/en/stable/overview/intro/#intro Cilium에서 Hubble은 네트워크 및 보안 가시성을 제공하는 분산 추적/관찰 도구입니다.Cilium은 eBPF를 사용해 클러스터 내부 네트워크 흐름을 커널 수준에서 추적하고, Hubble은 이 정보를 수집, 분석, 시각화하는 역할을 합니다. Hubble 특징1. 서비스 간 통신 및 의존성 시각화어떤 서비스가 어떤 서비스와 통신하는지 확인서비스 간 통신 빈도 파악서비스 간 의존성 그래프 확인어떤 HTTP 요청이 오가는지 파악어떤 Kafka 토픽..

Cloudnet Cilium 1주차 스터디를 진행하며 정리한 글입니다. 이번 포스팅에서는 Cilium CNI를 설치해보고, 통신 확인하는 포스팅을 해보겠습니다. Cilium CNI 설치Cilium을 설치하기 위한 시스템 요구사항을 확인 합니다.root@k8s-ctr:~# archaarch64root@k8s-ctr:~# uname -r6.8.0-53-generic Cilium이 사용하는 eBPF 기능들과 네트워크 기능들이 커널에 실제로 활성화되어 있는지 확인하기 위해 커널 구성 옵션을 활성화합니다.# [커널 구성 옵션] 기본 요구 사항 grep -E 'CONFIG_BPF|CONFIG_BPF_SYSCALL|CONFIG_NET_CLS_BPF|CONFIG_BPF_JIT|CONFIG_NET_CLS_ACT|CON..

Cloudnet Cilium 1주차 스터디를 진행하며 정리한 글입니다.이번 포스팅에서는 Cilium CNI와 eBPF 대해 소개하는 포스팅해보겠습니다. Cilium CNICilium은 eBPF (Berkeley Packet Filter)를 기반으로 Pod Network 환경 + 보안 을 제공하는 CNI Plugin 입니다.원래는 패킷 필터링용으로 만들어졌지만, 현재는 네트워크, 보안, 성능 측정, 관찰 가능성(Observability) 등 다양한 영역에서 사용됩니다.eBPF는 커널 모듈을 직접 수정하거나 재컴파일하지 않고도 커널 레벨에서 동작할 수 있습니다. eBPFcilium의 기본이 되는 eBPF에 대해 이해하고 넘어가도록 하겠습니다. 리눅스에서 네트워크 패킷이 들어오면 기본적으로 커널을 거쳐 ..

Cloudnet Cilium 1주차 스터디를 진행하며 정리한 글입니다. 이번 포스팅은 사전 실습 환경 설정 및 Flannel CNI 설치에 대해 포스팅 해보겠습니다. 실습 환경 소개현재 사전 준비 과정으로 vagrant를 통해, 기본 배포 가상 머신 (k8s-ctr, k8s-w1, k8s-w2)을 설치하였습니다.eth0 : 10.0.2.15 모든 노드가 동일eth1 : 192.168.10.100, 101, 102초기 프로비저닝으로 kubeadm init 과 join 실행되었고, CNI 미설치 상태로 배포 완료되었습니다. 이 때, 가상 머신의 eth0는 10.0.2.15로 모두 동일하며, 외부 인터넷 연결 역할을 합니다. vagrant ssh 접속 시 호스트에 127.0.0.1(2222)를 목적지로 접속하..

Cloudnet Istio Hands on Study 9주차 스터디를 진행하며 Istio In Action을 정리한 글입니다. 이번 포스팅에서는 Istio Ambient Mesh에 대해 알아보겠습니다. Istio Ambient MeshIstio Ambient Mode는 기존의 사이드카 기반 메시 구조의 복잡성과 침입성을 해결하기 위해 고안된 사이드카 없는 서비스 메시 아키텍처입니다. Istio의 Ambient mesh는 사용자에게 사이드카 프록시 대신 인프라에 통합된 데이터 플레인을 사용할 수 있는 옵션을 제공하며, 동시에 Istio의 핵심 기능인 제로 트러스트 보안, 원격 측정, 트래픽 관리는 그대로 유지합니다.즉, sidecar 방식은 파드 마다 sidecar proxy를 배치하여 통신하는 구조이나,..

Cloudnet Istio Hands on Study 8주차 스터디를 진행하며 Istio In Action을 정리한 글입니다.가상머신까지 메시 확인 이번 실습에서 사용할 환경 구성입니다.webapp 과 catalog 서비스는 쿠버네티스 클러스터에 배포, forum 서비스는 가상머신에 배포합니다. 현재 사용하고 있는 Istio 버전에서 가상머신 통합 기능은 베타 단계이며 기본적으로 활성화돼 있지 않기 때문에 IstioOperator 정의를 사용해 이스티오 설치를 업데이트하겠습니다.이 때, IstioOperator 정의는 워크로드 자동 등록, 헬스 체크, DNS 쿼리를 캡처해 DNS 프록시로 리다이렉트하는 기능을 활성화합니다.업데이트된 컨트롤 플레인은 DNS 해석을 위해 서비스 프록시가 DNS 쿼리를 포착..

Cloudnet Istio Hands on Study 7주차 스터디를 진행하며 Istio In Action을 정리한 글입니다.Istio에서 Envoy 확장Istio는 기본적으로 많은 네트워크 기능(트래픽 분산, 보안, 가시성)을 제공하지만, 현실의 복잡한 요구사항은 기본 기능만으로 충족되지 않는 경우가 많습니다.예를 들어, 속도 제한, 외부 인증, 헤더 수정, HMAC 검증, 특정 토큰 처리 등 이럴 때는 Envoy 자체를 확장하거나 직접 설정해야 합니다. Istio는 Envoy 프록시를 기반으로 돌아가며, EnvoyFilter 리소스를 통해 필터 체인에 기능을 끼워 넣을 수 있습니다.필터는 요청/응답 흐름에 개입하여 요청을 수정하거나 외부 호출을 할 수도 있고, Lua나 Wasm으로 직접 스크립트를 ..

Cloudnet Istio Hands on Study 7주차 스터디를 진행하며 Istio In Action을 정리한 글입니다. 이번 포스팅에서는 다중 클러스터 서비스 메시에 대해 알아보겠습니다.다중 클러스터 서비스 메시의 이점격리성 강화 한 팀의 사고가 다른 팀에 영향을 미치지 않음장애 경계클러스터 전체에 영향을 미칠 수 있는 설정이나 운영에 경계선을 설정해 클러스터가 다운될 때 아키텍처의 다른 부분에 미치는 영향을 줄임규정 준수 아키텍처의 다른 부분에서 민감 데이터로 접근하는 서비스를 제한가용성 및 성능 향상가용성을 늘리기 위해 여러 리전에서 클러스터를 운영하고, 가장 가까운 클러스터로 트래픽을 라우팅해 지연 시간을 줄임다중 및 하이브리드 클라우드 서로 다른 클라우드 프로바이더 또는 하이브리드 클라우드..

Cloudnet Istio Hands on Study 4주차 스터디를 진행하며 Istio In Action을 정리한 글입니다. 이번 포스팅에서는 Istio 마이크로 서비스 내부 네트워크 환경을 가시화하는 방법에 대해 소개하겠습니다. Grafana로 Istio 서비스 와 컨트롤 플레인 메트릭 시각화하기이전 포스팅에서 Grafana 설치가 완료되었으니, 설치에 대해 확인이 필요하신 분들은 이전 포스팅 참고 부탁드립니다.https://hellouz818.tistory.com/70 이 후 필요한 대시보드를 설정하도록 하겠습니다.> kubectl -n prometheus create cm istio-dashboards \--from-file=pilot-dashboard.json=dashboards/\pilot-d..