[Kubernetes] 쿠버네티스 / 앱 현대화 테크 세미나 후기 (1)

 

제 2회 쿠버네티스 및 앱 현대화 테크 세미나 시리즈 후기

간만에 평일 연차를 사용해서 SKT T타워에서 열린 쿠버네티스와 앱 현대화 특강을 들었습니다. 쿠버네티스는 늘 관리도 복잡하고 다가가기 어렵게만 느껴진 제게 작은 희망을 준 강의라 하겠습니다.

 

대표이미지

 

안승규라는 분의 진행으로 시작합니다. 행사 전반 진행을 도와주시고, 커뮤니티 리더로도 활동하시는 듯 했습니다.

 

오프닝: “당신의 쿠버네티스는 안전하십니까?”

 

오프닝

 

 

이 제목을 보면, 본 세미나의 목적이 보안에 좀 집중했다는 걸 알 수 있습니다. 쿠버네티스는 분명 훌륭한 도구입니다. 컨테이너 관리 도구, 정확하게는 컨테이너 오케스트레이션 도구로 활용되는데요, 이렇게 많은 컨테이너를 다룬다면 결국 보안이 참 중요해집니다. 이를 위한 다양한 도구를 소개해주실 예정입니다.

 

 

모두가 공감할 4가지 문제 정의

1. 쿠버네티스를 설치하기: 지난번에는 판교에서 토론 진행
2. 쿠버네티스를 안전하게 사용하기: 쿠버네티스 보안
   
   1. 쿠버네티스가 성숙해지면서, SW는 보안에 대해 이야기한다.
   2. 어떻게 쿠버네티스에 활용되고, 제대로 쓸 것인가의 내용이다. 딱딱한 보안보다는 현장에서 어떻게 적용해서 쓰는지 확인합니다.
3. 세번째, 네번째는 의견을 받아서 진행한다.
4. 1회, 2회는 기본/필수 쿠버 지식들이다.

 

쿠버네티스의 보안을 이야기하겠습니다. 근데 보안은 항상 들어도 어렵긴 합니다. 그걸 재밌게 현업에서 적용하는 방향으로 소개하신다는게 궁금하네요!

 

 

Welcome + Opening Remarks

SKT 텔레콤 양승현 CTO님의 오프닝

 

쿠버네티스 경험과 공유 시리즈입니다. 2회째 진행 중이다.

쿠버네티스 적극 활용하는 기업이 많이 왔다. 금융분야에서 쓰기 시작한다. 보안과 정책 주제로, 유익한 시간 기대. 더불어 쿠버네티스 10주년이다.

• 멀티 클라우드, 하이브리드 클라우드 다양한 운영 환경
  • 클라우드 어플리케이션의 배포 관련 문의. 기대가 된다.

 

Kubernetes Workload Era

• Stateless → Stateful → Miscroservice Serverless → AI Infrastructure / AI Inference
• AI 부터 복잡해짐.
  • MLOps
  • 배포 관리 체계가 지속적으로 중요해지고 있다. 중요하다.
• SKT: CNCF 실버 멤버로 오픈소스 협력 강화
  • 열심히 인증받고자 노력한다.
  • 쿠버네티스 앱 현대화 솔루션(TKS)같은 걸 시장에 공급한다.
  • 뜻깊은 테크 세미나를 진행하게 되어 기쁘다.
• 세미나에서 인사이트 많이 얻어가세요.

 

 

커뮤니티 소개: 오픈 인프라 & 쿠버네티스 코리아

총 두개 커뮤니티를 소개하겠습니다. 오픈 인프라 한국 유저 그룹과 쿠버네티스 코리아 그룹이라는 커뮤니티입니다.

1. 오픈 인프라 커뮤니티

오픈인프라 커뮤니티

 

OpenInfra Korea Group - We Are OpenInfra

 

• 오픈인프라 커뮤니티: 조성수(OpenStack)
  • 2011/2월 설립.
  • 2010년도 오픈스택 나와서 제작함.
    • 주로 페이스북에서 정보 교류합니다.
    • 가입해서 이야기해요. 디스코드 채널 개설. 와주세요.
  • 정기 자료 영상은 유튜브 채널로 공개중. 구독하면 영상을 보실 수 있다.
  • 2011 - 2022: 오픈스택 한국 유저 그룹
  • 2023부터 오픈 인프라로 변경함.
  • 주요활동
    • 정기 밋업 (온오프라인)
    • 오픈 인프라 기술 스터디
    • 스카이라인이 무엇인지 비교.
  • 희망 목표
    • 오픈스택 엔지니어 양성 희망하는 기업과 학교 협업/파트너십
    • 유료 교육
    • 컨트리뷰션 아카데미 - 오픈스택팀: 오픈스택에 기여하는 방법 배우고, 멘토와 함께 직접 기여 프로그램(6/23) 지원
    • 2024 오픈 인프라 서밋

 

2. 쿠버네티스 코리아

쿠버네티스 코리아 커뮤니티

 

 

https://www.facebook.com/groups/k8skr/?locale=ko_KR

 

• 디코 그룹
• CNCF: 쿠버네티스가 첫번째 graduate 프로젝트입니다.
  • 아르고
  • OPA(Open-Policy Agent) 언급 예정.
  • 모니터링: 쿠버 모니터링 핫한건 프로메테우스
  • CFP 신청하면 좋겠다.

 

K8S Security: 그카나마알아

그카나마알아?

SKT 한규호님의 발표로 시작합니다. X세대, 사이클리스트(자전거 사랑)

• 커뮤니티 이야기
  • 로드바이크: 먼거리를 효율적으로 타려고 만든 로드 바이크
  • 제일 빨리 완주 1등에게 하나 준다.
  • 언덕을 올라가는데 혼자 가긴 힘들다. 함께 가야한다.
  • 커뮤니티와 함께 성장하기 때문이다. 그 가치를 느낀다. 오픈하면서 피드백도 주고 가자.
• 그카나마
  • 이온화경향 표?같은 것입니다.
  • 쿠버네티스 보안: 개발, 도입하는 사람 정신이 없음.
    • 쿠버네티스는 이해, 보안 적용하기 좋게 되어있다.
    • 내 이야기로 거의 다 커버한다.
• K8S Security == REST API Security
  • 쿠버네티스는 REST API 서버 입니다.
    • API는 동작을 시킨다.
    • REST: 내가 원하는 바를 데이터 모델링해서 저장하는 것이다. (저장, 읽기, 업데이트, 지우는 친구가 있다.) → 그 업데이트
  • 쿠버네티스: 하나의 서버 + 다수 구성요소
  • 허브앤스포크 구조
    • 오히려 훨씬 간단해집니다,
  • 쿠버네티스는 Account

Authentication 인증

• 대상이 스스로 주장하는 신원. 나는 누구입니다. ex)신분증
  • 쿠버네티스는 전반적으로 두루 쓰는 인증방법 쓴다.
  • 인증서 X.509 (가장 많이 쓴다.)
  • Public Key Digital Signature: 인증서 배포/공개키배포는 알아서 잘 해야 함.
    • Issuer: MI6 (MI6 비밀키로 암호화), M16의 공개키(공개키가 진위 여부는 따지지 않음)
    • 공개키 분배 방식이 정해져있지 않아요.
• ID Token
  • MI6?가 발행하는 거니까 그게 위임해서 한다.
  • 검증을 스스로 하지 않고 위임한다.
  • 인증서를 안전하게 배포하는 과정이 필요 없다.
• 인증 대상이 고정된 경우: X.509 (kube-scheduler) (시스템)
• 인증 대상이 다이나믹한 경우: ID Token (유저, pod) 아이디 토큰 많이 씀.(사용자 소프트 웨어)

Authorization: RBAC

• 인가: 신원별 자원에 대한 권한 부여
  • 신원
  • 권한
  • ROLE = API 권한
  • Role Biniding롤바인딩: 대상(User, Group, Service Account)
    • 서비스 어카운트는 쿠버가 관리.
    • 유저, 그룹은 별도 관리하는 시스템 필요.
  • 쿠버네티스 자체 롤, 롤 바인딩
  • 명확함.
  • Authentication은 분산되어 써있음.

 

Admission: 자원의 내용까지

• 웹훅으로 거쳐 나오면 되지 않음?
  • 어떤 의미?
  • 보안은 지켜야할 규칙도 많고 돈도 들고 힘들어? 맞는지도 몰라.

 

공사장에 이런 개념이 있다. 이사람이 저기 가도 위험, 반대로 가도 위험. 이사람은 줄만 묶어두면, 어디를 가도 위험에 빠지지 않게 된다. ADMISSION, 팔라싯? 용어를 씀. 신경 안써도 된다. 근데, 잘못된 행동을 하면 쓰지 못하게 하거나 에러를 넣거나 로그를 남는다. 자기는 일만하면 되고 잘못될 일 거의 없음. 다만, “잘 정책 짜주면”, 무리하지 않고, 어렵지 않게 진행할 수 있다.

 

Admission: Policy enforcement for governance

• pod 200개 막하면,
• 보안도 막고
• 퀄리티도 해야함. 어떤 수준의 SW쓰게 한다.
• 헬스체크, 리드미 등 안하면, 어플리케이션에서 확인할 방도가 없다.
• 이런것들 하나씩 요구하기 보다는,
• “ADMISSION”기능으로 강제해버리면, 개발자가 그거 보고 처리하면 된다.
• “관리자, 개발, 책임자” 모두가 쿠버네티스 잘 사용할 수 있겠다고 생각한다.

DevOcean

시스템 보안: 인증서 관리

사용자 관리: 여럿이 같이해야하나, 쿠버밖에 없음. 어떻게 관리하는가?

컨테이너는 VM 위에서 보안이 위험해? 다른 분들은 잘 쓰는데?

DevSecOps: 거버넌스처럼, MSA는 종속되지 않고 유연하게 빠르게 만들고 협력한다. 서로 말이 많으면 안된다. 기계적으로 빠르게 돌아가야한다.

 

 

길어지면 재미가 없죠.

 

두개의 편으로 나누어 보겠습니다.