전체 글55 [Cilium Study] Cilium Security 실습 데모 애플리케이션 배포Empire의 mediabot pod가 Empire의 git 저장소 관리를 위해 GitHub에 접근해야 하는 간단한 시나리오를 사용.pod는 다른 외부 서비스에 접근할 수 없어야 한다.# hubble ui 에 pod name 표기를 위해 app labels 추가 >> 빼고 배포해보고 차이점을 확인해보자.cat dns-sw-app.yamlapiVersion: v1kind: Podmetadata: name: mediabot labels: org: empire class: mediabot app: mediabotspec: containers: - name: mediabot image: quay.io/cilium/json-mock:v1.3.8@sha256:5a.. 2025. 9. 7. [Cilium Study] Cilium Security Cilium 공식 문서에서 제공하는 Cilium 보안에 대한 내용이다.Cilium 에서는 3 종류의 보안기능을 제공한다.Identity-Based (Layer 3)Port level (Layer 4)Application protocol level (Layer 7) 보안 정책은 세션 기반 프로토콜에 대해 상태 저장 정책이 적용되어, 응답 패킷은 자동으로 허용된다.보안 정책은 수신 or 송신 시 적용된다.기본 보안 정책정책이 로드 되지 않은 경우, 정책 적용이 명시적으로 활성화되지 않는 한 모든 통신을 허용하는 것이 기본동작이다.첫 번째 정책 규칙이 로드되는 즉시 정책 적용이 자동으로 활성화되며, 모든 통신은 허용 목록에 추가되어야 하며, 그렇지 않으면 관련 패킷이 삭제된다.마찬가지로, 엔드포인트에 L4 .. 2025. 9. 7. [Cilium Study] Cilium Performance 실습 환경 구성kind k8s + cilium CNI# Prometheus Target connection refused bind-address 설정 : kube-controller-manager , kube-scheduler , etcd , kube-proxykind create cluster --name myk8s --image kindest/node:v1.33.2 --config - 원인 파악을 위해 kubectl -n kube-system describe pod cilium-rmrc8명령어를 입력했더니, 아래와 같은 상태이다. connection refused kubectl -n kube-system logs -p cilium-rmrc8 -c cilium-agent | grep -i "level.. 2025. 8. 31. [Cilium Study] kube-burner kuber-burner 란?Kubernetes 클러스터의 성능/부하 테스트와 벤치마크를 위해 만들어진 도구이다.Red Hat에서 개발했으며, 주로 Openshift 및 Kubernetes 환경의 규모 확장성(Scalability) 검증에 사용된다. 주요 기능워크로드 생성 (Workload Generation)사전에 정의된 YAML 매니페스트(예- Deployment, DaemonSet, ConfigMap 등)를 원하는 개수만큼 대량으로 생성하여 클러스터에 부하를 준다.메트릭 수집 (Metric Collection)Prometheus, Openshift Monitoring 스택에서 메트릭을 수집 가능노드/파드 리소스 사용량, API 응답 속도, 스케줄링 지연, Pod 생성/삭제 지연 등을 측정프로파일링 및.. 2025. 8. 30. [Cilium Study] Mutual Authentication SPIFFE란?Secure Production Identity Framework For Everyone 의 약자.클라우드 네이티브 환경에서 워크로드(컨테이너, VM 등)에 표준화된 ID(신원) 를 부여하고 이를 통해 인증·인가를 수행할 수 있도록 해주는 오픈소스 표준 프레임워크이다. 핵심 개념SPIFFE ID워크로드마다 부여되는 표준화된 URI 형태의 IDX.509 / JWT SVID (SPIFFE Verifiable Identity Document)SPIFFE ID를 담고 있는 인증서/토큰워크로드가 서로를 신뢰할 수 있게 해줌 (mTLS 인증 등에 사용)SPIRESPIFFE Runtimie EnvironmentSPIFFE 표준을 실제로 구현한 레퍼런스 소프트웨어워크로드에 SPIFFE ID를 발급하고, .. 2025. 8. 23. [Cilium Study] Cilium Service Mesh 3 Gateway API Support개선된 리소스 모델API는 GatewayClass, Gateway 및 Route(HTTPRoute, TCPRoute 등)와 같은 새로운 사용자 정의 리소스를 도입하여 라우팅 규칙을 정의하는 보다 세부적이고 표현력 있는 방법을 제공한다.프로토콜 독립적주로 HTTP용으로 설계된 Ingress와 달리 Gateway API는 TCP, UDP, TLS를 포함한 여러 프로토콜을 지원한다.강화된 보안TLS 구성 및 보다 세부적인 액세스 제어에 대한 기본 제공 지원교차 네임스페이스 지원서로 다른 네임스페이스의 서비스로 트래픽을 라우팅하여 보다 유연한 아키텍처 구축 기능을 제공한다.확장성API는 사용자 정의 및 정책으로 쉽게 확장할 수 있도록 설계되었다.역할 지향클러스터 운영자, 애플리.. 2025. 8. 20. 이전 1 2 3 4 ··· 10 다음