YG Tech Blog

이 글에서는 쿠버네티스 Secret을 활용하여 MinIO의 민감한 자격 증명 정보를 안전하게 관리하는 방법에 대해 알아보겠습니다. 보안 모범 사례와 함께 실제 구현 방법을 상세히 설명합니다.📌 쿠버네티스 Secret 개념 이해하기✅ Secret이란 무엇인가?Secret은 비밀번호, API 키, 인증서와 같은 민감한 정보를 저장하기 위한 쿠버네티스 리소스입니다. ConfigMap과 유사하지만 보안에 중점을 둔 리소스입니다.▶️ Secret의 주요 특징:민감 데이터를 저장하도록 설계됨Base64 인코딩으로 저장 (암호화는 아님)etcd에 저장될 때 암호화 가능 (추가 구성 필요)메모리에만 마운트 가능 (tmpfs)Pod 간 공유 제한 가능apiVersion: v1 # 핵심 ..

이 글에서는 Cilium을 사용하여 MinIO에 기본 네트워크 정책을 적용하는 방법을 실습 형태로 살펴보겠습니다. 네트워크 정책을 통해 MinIO 서버에 대한 접근을 효과적으로 제한하고 보안을 강화하는 방법을 단계별로 설명합니다.📌 네트워크 정책 개요✅ 네트워크 정책이란?네트워크 정책은 쿠버네티스에서 Pod 간 통신을 제어하는 규칙 집합입니다. Cilium은 쿠버네티스 표준 NetworkPolicy를 지원할 뿐만 아니라, 확장된 기능을 제공하는 CiliumNetworkPolicy도 지원합니다.▶️ 네트워크 정책의 주요 특징:Pod 간 통신을 명시적으로 허용/거부기본적으로 화이트리스트 모델(명시적으로 허용한 트래픽만 허용)인그레스(수신) 및 이그레스(송신) 트래픽 제어라벨 선택자를 통한 세밀한 타겟팅✅ ..

이 글에서는 MinIO 환경에서 접근 키를 관리하는 방법과 보안 자격 증명에 대한 베스트 프랙티스를 알아보겠습니다. 쿠버네티스 환경에서 MinIO의 접근 키를 안전하게 생성, 관리, 교체하는 방법부터 보안을 강화하는 기법까지 자세히 살펴보겠습니다.📌 MinIO 접근 키의 이해✅ MinIO 접근 자격 증명 소개MinIO는 S3 호환 스토리지로 다음과 같은 접근 자격 증명 시스템을 사용합니다:액세스 키(Access Key): 사용자 ID 역할, 공개적으로 노출되어도 괜찮음시크릿 키(Secret Key): 비밀번호 역할, 절대 노출되어서는 안 됨정책(Policy): 사용자에게 부여되는 권한 규칙 집합이러한 자격 증명 시스템은 AWS S3의 IAM 시스템과 유사하게 작동합니다.✅ MinIO 사용자 유형MinI..

✅ 목표: 민감한 자격 증명을 환경 변수로 직접 전달하지 않고,Kubernetes의 Secret을 활용해 MinIO AccessKey/SecretKey를 안전하게 파드에 주입하는 방법을 실습합니다.🔎 이번 글에서 수행할 작업 요약AccessKey/SecretKey를 Kubernetes Secret으로 생성파드에 Secret을 환경 변수 또는 volume으로 마운트환경 변수 기반 Spark 실행 테스트보안 측면에서의 이점 확인🔐 1단계: MinIO 자격 증명용 Secret 생성이 단계의 목적: AccessKey와 SecretKey를 kubectl 명령으로base64 인코딩 없이 Kubernetes Opaque Secret으로 생성합니다.kubectl create secret generic minio-c..

1️⃣ 개요 Job은 일회성 또는 반복되지 않는 특정 작업을 실행하는 데 활용됩니다.이러한 작업은 보통 환경 변수, 설정 파일, 인증 정보 등을 필요로 하며,이를 하드코딩하지 않고 외부 리소스(ConfigMap, Secret) 로 분리하는 것이 좋습니다. 이번 글에서는 Job이 ConfigMap, Secret과 연동하여 실행 환경을 외부화하는 구성 전략을 소개합니다. 2️⃣ 환경 외부화가 필요한 이유항목이유설정 관리 일관성Job 외부에서 설정 값을 변경 가능보안 강화민감 정보는 Secret으로 관리재사용성 향상동일한 Job 템플릿을 다른 설정으로 재사용운영 안정성설정 누락이나 오타 방지✅ 설정을 외부화하면 Job이 더 유연하고 재사용 가능한 리소스가 됩니다. 3️⃣ ConfigMap을 환경 변수로 주입하..

이 글에서는 Airflow의 핵심 구성 파일인 airflow.cfg를 심층적으로 분석합니다. 각 섹션별 중요 설정 옵션들을 살펴보고, 실무에서 자주 수정하게 되는 설정들과 성능 최적화를 위한 팁을 알아봅니다. 초보자도 이해할 수 있는 설명과 함께 실제 운영 환경에서 활용할 수 있는 구체적인 예시를 제공합니다.📌 airflow.cfg 개요✅ airflow.cfg 파일이란?airflow.cfg는 Airflow의 모든 구성 요소와 동작 방식을 정의하는 중앙 설정 파일입니다. Airflow를 처음 초기화할 때 자동으로 생성되며, 기본적으로 $AIRFLOW_HOME 디렉토리 아래에 위치합니다.# airflow.cfg 파일 위치 확인ls -la $AIRFLOW_HOME/airflow.cfg# 또는 다음 명령으로 ..

이번에는 모니터링 시스템의 보안과 성능 최적화에 대해 알아보겠습니다. 모니터링 시스템은 클러스터 전반의 중요한 정보에 접근할 수 있기 때문에 보안이 매우 중요하며, 대규모 환경에서는 모니터링 시스템 자체의 성능이 병목이 되지 않도록 최적화가 필요합니다. 이 글에서는 Prometheus와 Grafana를 중심으로 보안을 강화하면서도 최적의 성능을 유지하는 방법에 대해 살펴보겠습니다.📌 모니터링 시스템의 보안 위협 및 취약점쿠버네티스 환경에서 모니터링 시스템이 직면하는 보안 위협과 잠재적 취약점에 대해 알아보겠습니다.✅ 주요 보안 위협 모델 모니터링 시스템이 직면할 수 있는 다양한 보안 위협을 이해하는 것이 중요합니다.무단 접근 위험인증되지 않은 사용자의 메트릭 접근민감한 비즈니스 데이터 노출내부 시스템 ..

이 글에서는 Cilium의 강력한 네트워크 가시성 도구인 Hubble의 고급 사용법에 대해 알아봅니다. 기본적인 명령어부터 시작해 실제 현업에서 활용할 수 있는 복잡한 필터링, 실시간 모니터링, 그리고 네트워크 이슈 디버깅까지 다양한 시나리오를 다룰 예정입니다. 특히 Hubble CLI와 Hubble UI를 통해 쿠버네티스 네트워크 트래픽을 실시간으로 분석하고 시각화하는 방법을 실습 중심으로 살펴보겠습니다.📌 Hubble 개요 및 기본 구성 확인Hubble은 Cilium의 네트워크 관찰성(Observability) 계층으로, eBPF를 기반으로 한 강력한 네트워크 모니터링 및 보안 가시성 도구입니다. 이를 통해 우리는 쿠버네티스 클러스터 내의 네트워크 트래픽을 세밀하게 관찰하고 분석할 수 있습니다.✅ ..

이 글에서는 Cilium의 ID 기반 정책과 보안 강화 방법에 대해 알아보겠습니다. Cilium은 단순한 IP와 포트 기반의 네트워크 정책이 아닌, 워크로드의 정체성(Identity)에 기반한 강력한 접근 제어를 제공합니다. 쿠버네티스 Pod의 라벨을 기반으로 생성되는 Identity의 작동 원리와 Pod 간 ID 맵핑 구조를 이해하고, 실무에서 활용할 수 있는 ID 기반 보안 정책 구성 방법을 살펴보겠습니다. Identity 기반 접근 제어를 통해 동적으로 변화하는 클라우드 네이티브 환경에서도 일관된 보안 정책을 유지하는 방법을 배워봅시다.📌 Cilium Identity의 개념✅ 기존 네트워크 정책의 한계전통적인 네트워크 정책은 주로 다음과 같은 요소를 기반으로 합니다:IP 주소 및 CIDR 범위포트..

이 글에서는 CiliumClusterwideNetworkPolicy를 사용하여 네임스페이스에 상관없이 클러스터 전체 범위의 네트워크 정책을 적용하는 방법에 대해 알아보겠습니다. 지금까지 살펴본 Cilium 네트워크 정책들이 주로 특정 네임스페이스 내에서 적용되었다면, 이번에는 클러스터 전체에 적용되는 글로벌 정책을 통해 여러 네임스페이스에 걸친 일관된 보안 규칙을 구현하는 방법을 실습합니다. matchLabels를 활용한 타겟 선택 방법과 함께 실무에서 유용하게 활용할 수 있는 다양한 클러스터 전체 정책 패턴을 살펴보겠습니다.📌 CiliumClusterwideNetworkPolicy의 필요성✅ 기존 네트워크 정책의 한계지금까지 살펴본 CiliumNetworkPolicy는 해당 리소스가 생성된 네임스페이..