Kubernetes Forum 서울

지난 2년 동안, 쿠버네티스 GitOps는 많은 기관에서 수동 명령을 없애고 버전을 일관적으로 유지하는 방법으로 소프트웨어 CI/CD를 향상하는데 도움이 주는 것이 더 일반화되었습니다. 하지만 보안과 컴플라이언스 기술에 관해서는 여전히 약간의 차이가 있습니다.

GitOps에 가장 많이 사용하는 오픈 소스 도구, 컨테이너 이미지 스캐닝, 암호화, 서명 도구 및 전체적인 작동 방식에 대해 알아보겠습니다. 그 중에는 Flux, Scaffold, Ignite, Aqua scanner, in-toto, Grafeas 등이 있습니다. 또한, DevSecOps 파이프라인에 컴플라이언스를 통합하는 것에 대해 이야기 나누고, CNAB와 같은 애플리케이션 명세의 중요성에 대해 살펴봅니다.

강연이 끝날 때에는 완전 자동화, 암호화된 안전한 방식으로 프로덕션 환경에서 쿠버네티스와 내장된 컴플라이언스를 통해 컨테이너 소프트웨어 파이프라인을 생성하는 방법을 이해하실 수 있습니다.

프로메테우스는 컨테이너 클러스터에 사용되는 최상위 모니터링 기술이며, 기업은 그들의 레거시 IT 인프라를 쿠버네티스와 같은 클라우드 네이티브 환경으로 옮기고 있습니다. 프로메테우스는 OS 및 프로그래밍 언어에 관계없이 노출 형식으로 메트릭스 데이터를 내보내는 방식으로 컨테이너 클러스터 모니터링을 가능하게 만드는 노출 형식으로 사전 설정된 메트릭스를 수집하고 저장합니다.

오픈메트릭스 프로젝트는 노출되는 메트릭스 데이터의 표준을 결정하여 프로메테우스의 노출 형식을 더욱 확장하기 위한 노력의 일환으로 진행 중이며, 상호 운용성을 향상시키기 위한 수단으로 이기종 모니터링 시스템이 데이터를 손쉽게 공유할 수 있게 하는 것을 목표로 합니다. 이 강연에서 임찬식 발표자는 오픈메트릭스 기반 표준 메트릭스 프로토콜을 활용하여 프로메테우스 기반 모니터링 시스템을 개선하는 방법론을 다룹니다.

쿠버네티스 오퍼레이터는 복잡한 컨테이너화된 애플리케이션을 자동화하는데 중요합니다. 이 오퍼레이터는 배포 후 구성 정보를 쿠버네티스 기본 요소로 인코딩을 가능하게 합니다. 이는 설치 및 구성(1일), 업데이트, 재구성 및 장애 조치(2일)와 같은 운영 작업이 쿠버네티스 API에 통합되어 쿠버네티스 내의 소프트웨어로 존재할 수 있음을 의미합니다. 이러한 통합으로 애플리케이션은 쿠버네티스-네이티브가 됩니다. 본 강연에서는 쿠버네티스 오퍼레이터의 기원과 진화에 대해 논의합니다. 또한 오늘날 쿠버네티스가 오캐스트레이트하는 몇 가지 일반적인 복잡한 애플리케이션에서 이들의 사용에 대해서도 논의합니다. 마지막으로, 오퍼레이터를 구축하는 과정 및 그 프로세스 경로가 어떻게 보이는지를 다룹니다. 쿠버네티스 오퍼레이터는 복잡한 애플리케이션의 거친 부분을 제거하여 원활한 자동화를 가능하게 합니다. like installation and configuration (day 1), update, reconfiguration and failover (day 2), can exist as software inside Kubernetes, with integration into the Kubernetes API. This integration makes these applications Kubernetes-native. In this talk we will discuss the genesis and evolution of Kubernetes Operators. In addition, we will discuss their use in some common complex applications being orchestrated by Kubernetes today. Finally, we will touch on the process of building an Operator and how that process pathway looks. Kubernetes Operators take the rough edges off a complex application, enabling smooth automation!

etcd는 쿠버네티스 클러스터의 심장입니다.
하지만, 대부분의 쿠버네티스 사용자는 문제가 발생할 때까지 크게 신경 쓰지 않습니다.
클러스터가 확장됨에 따라, etcd는 구성 변경을 위해 작은 신호를 보냅니다.
미리 신호를 감지하고 클러스터 상태에 대한 etcd를 구성하려면 etcd를 이해하는 것이 필수입니다.
본 세션에서는 etcd가 작동하고 모니터하는 방법과 클러스터 상태의 전환점, 그리고 안정적인 작동을 위해 사용자가 무엇을 해야 하는지에 대해 설명합니다.

손준호 발표자는 NCSOFT에서 쿠버네티스를 연구했으며 웹 서비스를 위한 대규모 클러스터를 구축하여 운영하였습니다.
현재는 라인 플러스에서 Nucleo라 불리는 쿠버네티스 클러스터의 클라우드 네이티브 앱 배포 서비스를 개발하고 운영하고 있습니다. 또한, 대규모의 쿠버네티스 클러스터를 실행하는데 필요한 지식을 연구하고 있습니다.

OPA(CNCF 프로젝트)는 정책 결정을 쿠버네티스 클러스터에서 외부 서비스로 분담하는 모든 기능을 갖춘 정책 엔진입니다.

정책은 법적 요구 사항을 준수하고 방법이나 실수를 반복하지 않는 방법 등에 관한 중요한 지식을 암호화하기 때문에 조직의 장기적 성공을 위해 필수적입니다.

예를 들어, 사용자 지정 정책은 개발자가 자신의 개인 레지스트리에서 배포한 컨테이너 이미지만을 참고하도록 허용할 수 있습니다. 다른 정책도 가능합니다. 개발자는 비용을 청구할 사업 단위를 식별하는 모든 배포 정의에 특정 레이블이 있어야 합니다.

OPA를 사용하여 사용자 지정 정책을 구성하고 배포하는 과정을 안내합니다. 기업에서 사용되는 몇 가지 일반적인 정책을 다루고 Rego를 사용하여 OPA에서 정책을 구현하는 방법을 알려드립니다. Rego는 OPA의 기본 쿼리 언어입니다.

쿠버네티스 문서화 및 현지화는 쿠버네티스 커뮤니티의 중요한 부분입니다. 고품질의 문서화는 사람들이 쿠버네티스의 사용을 시작하고 이를 적절하게 지속적으로 사용하도록 도와주며, 현지화는 영어가 익숙하지 않은 사람들에게 쿠버네티스를 전파하기 위해 필수적인 활동입니다. 쿠버네티스 SIG Docs(Docs Special Interest Group)는 다양한 언어로 현지화를 지원하며 한국어 현지화 팀은 SIG Docs 내에서 가장 활발한 현지화 팀 중 하나입니다.
본 발표에서 손석호 발표자와 최이안 발표자는 쿠버네티스 SIG Docs을 소개하고 커뮤니티에서 문서화 및 현지화의 중요성을 언급합니다. 또한, 한국어 현지화 팀의 현재 상태와 진행 상황을 소개하고, 기여 절차 및 참여 방법을 안내합니다. 누구든지 콘텐츠에 관한 문제를 제기하고 요청하실 수 있습니다. 여러분이 회원, 리뷰어, 승인자가 될 수도 있습니다.

컨테이너는 개발자들에게 응용 프로그램을 서로 격리할 수 있도록 해주지만 이는 충분치 않습니다. 리소스 격리는 보안 격리와는 많이 다릅니다. 컨테이너에 배치된 응용 프로그램을 어떻게 더 안전하게 만들 수 있을까요? Kubernetes에서 실행되는 컨테이너를 더욱 안전하게 만들기 위해 어떤 도구를 적용할 수 있을까요? 네트워크 및 서비스에 어떤 정책을 적용해 응용 프로그램에 필요한 액세스만 제공하도록 할 수 있을까요?

이 강연에서는 Kubernetes 클러스터 공격 표면에 대해 확인하실 수 있습니다.  우리는 컨테이너의 보안을 개선하기 위한 PodSecurityPolicy, SELinux, AppArmor, seccomp 및 샌드박스 컨테이너 등과 같은 도구의 실제 용례를 살펴보게 됩니다. 그다음 좀 더 나아가 네트워크 정책을 컨테이너에 적용해 보안을 더욱 개선할 수 있는 방법을 알아보겠습니다.

클러스터 API는 선언적이며, 쿠버네티스 스타일의 API로 클러스터를 생성, 구성 및 관리하는 쿠버네티스 프로젝트입니다. 이는 코어 쿠버네티스에 선택적, 추가적 기능을 제공합니다. 클러스터 API를 통해 쿠버네티스의 배포를 더 진보된 방식으로 자동화할 수 있습니다.
이 세션에서는 CAPO(Cluster-API Provider OpenStack)를 사용하여 오픈 스택 VM에서 쿠버네티스를 구축하고, 클러스터 API가 작동하는 방법 및 구현 방법에 대해 알아봅니다.