YG Tech Blog

✅ 목표: Cilium의 L7 네트워크 정책을 활용하여,HTTP DELETE 요청을 차단하거나 특정 파드에서만 허용하는 보안 정책을 구성하고 실습합니다.🔎 이번 글에서 수행할 작업 요약MinIO 객체 삭제 요청의 위험성과 차단 필요성 이해Cilium L7 HTTP 정책을 활용한 DELETE 차단 구성허용된 파드와 차단된 파드 비교 테스트Hubble을 통해 정책 효과 시각화⚠️ 1단계: MinIO 객체 삭제 요청의 위험성이 단계의 목적: API 요청 중 DELETE 메서드가 미치는 영향과실무 환경에서 어떻게 잘못 사용될 수 있는지를 이해합니다.DELETE 요청은 버킷 또는 객체를 영구 삭제함버전 관리가 비활성화된 버킷은 복구 불가능잘못된 설정 시 누구나 curl로 DELETE 가능☑️ 이 때문에 네트워크..

✅ 목표: Cilium을 활용한 DNS 요청의 안정성 확보와 CoreDNS의 성능 최적화를 통해,MinIO와 같은 서비스의 DNS 응답 시간 단축 및 안정성 향상을 실습합니다.🔎 이번 글에서 수행할 작업 요약Cilium DNS-aware 기능 활성화 및 설정CoreDNS의 성능 최적화를 위한 설정 변경DNS 안정성 테스트 및 성능 비교Cilium을 활용한 네트워크 요청 흐름 제어🧠 1단계: Cilium DNS-aware 기능 활성화이 단계의 목적: Cilium의 DNS-aware 기능을 활성화하여,DNS 요청을 패킷 수준에서 처리할 수 있도록 설정합니다.# Cilium DNS-aware 기능을 활성화하는 설정 확인kubectl -n kube-system get configmap cilium-confi..

✅ 목표: Cilium의 네트워크 관측 도구인 Hubble CLI와 Hubble UI를 설치하고,MinIO와 클라이언트 간의 네트워크 흐름을 실시간으로 시각화/분석하는 실습을 진행합니다.🔎 이번 글에서 수행할 작업 요약Cilium 설치 상태에서 Hubble CLI & UI 활성화Hubble UI를 LoadBalancer로 노출실제 네트워크 흐름 확인 및 필터링 테스트MinIO 접근 흐름 추적 및 분석⚙️ 1단계: Hubble 기능 활성화이 단계의 목적: 이미 설치된 Cilium에서 Hubble 기능을 활성화하고,흐름 수집과 시각화를 위한 Agent 및 Relay 구성 상태를 점검합니다.# Cilium CLI를 사용해 Hubble 기능 활성화cilium hubble enable# ✅ Hubble Agen..

✅ 목표: Cilium의 네트워크 정책에서 ServiceAccount 정보를 활용하여특정 서비스 계정에만 MinIO 접근을 허용하는 제어 방식을 실습합니다.파드의 라벨만이 아니라 역할(Role) 기반 접근 통제가 가능함을 확인합니다.🔎 이번 글에서 수행할 작업 요약테스트용 ServiceAccount 및 파드 생성Cilium 정책에서 ServiceAccount 기반 접근 허용 구성접근이 허용되는 파드와 차단되는 파드를 비교 테스트흐름 추적 및 정책 검증🧱 1단계: ServiceAccount 기반 파드 구성이 단계의 목적: 특정 ServiceAccount를 사용하는 테스트 파드를 만들고,이후 네트워크 정책에서 해당 계정을 기준으로 접근을 허용하도록 설정합니다.# etl-client-sa.yamlapiVe..

✅ 목표: Cilium의 L7(애플리케이션 레벨) 네트워크 정책을 사용해특정 파드가 MinIO에 보낼 수 있는 HTTP 요청 메서드(GET, PUT 등) 를 제한하는 방법을 실습합니다.🔎 이번 글에서 수행할 작업 요약L7 레벨에서 HTTP 메서드 제한이 필요한 상황 이해Cilium L7 HTTP 정책 구성 및 적용접근 허용/차단 결과를 테스트 파드를 통해 확인로그 기반 검증을 통해 정책 효과 확인📘 1단계: L7 HTTP 메서드 제한 필요성 이해이 단계의 목적: 단순한 IP/포트 제어가 아닌, HTTP 요청의 종류(GET, PUT, DELETE 등)를제어해야 하는 이유와 L7 정책이 필요한 상황을 이해합니다.예시 상황:분석 파드는 GET으로만 조회해야 함업로드 권한이 있는 파드는 PUT을 허용해야 함..

✅ 목표: Cilium의 L3/L4 NetworkPolicy를 사용하여 MinIO 서비스에 접근할 수 있는 Pod를 제한하고,네트워크 정책이 실제로 작동하는지 검증하는 실습을 진행합니다.🔎 이번 글에서 수행할 작업 요약MinIO에 자유롭게 접근할 수 있는 테스트 클라이언트 파드 생성Cilium L3/L4 네트워크 정책을 적용하여 접근 제어 구성접근 가능/불가능한 사례 비교 테스트네트워크 정책 동작 여부 검증🧱 1단계: 테스트 클라이언트 파드 생성이 단계의 목적: MinIO에 curl 등을 통해 접근할 수 있는 일반적인 테스트 파드를 생성하고,네트워크 정책 적용 전의 기본 동작을 확인합니다.# test-client.yamlapiVersion: v1kind: Podmetadata: name: test-..

✅ 목표: 로컬 환경(Docker Desktop Kubernetes)에 MinIO를 Helm으로 설치하고, 기본 버킷을 생성하여S3 호환 오브젝트 스토리지를 쿠버네티스에서 직접 운영할 수 있는 기반을 마련합니다.🔎 이번 글에서 수행할 작업 요약Helm 저장소 추가 및 MinIO 설치PVC와 서비스 등 MinIO 리소스 확인기본 버킷 생성 (mc CLI 사용)Helm uninstall 테스트로 상태 복원 확인🧱 1단계: Helm 저장소 추가 및 MinIO 설치이 단계의 목적: Helm 차트를 사용하여 MinIO를 빠르게 설치하고,Kubernetes에서 사용하는 리소스(Pod, PVC, Service 등)가 자동으로 생성되는 구조를 이해합니다.# Bitnami Helm 저장소 추가helm repo add..

이 글에서는 Cilium의 성능 최적화 방법과 실제 운영 환경에서 만날 수 있는 한계점들을 살펴봅니다. 네트워크 성능 테스트 도구를 활용한 병목 현상 탐지부터 eBPF 프로그램 튜닝, 그리고 대규모 환경에서의 리소스 관리까지 실무에 바로 적용할 수 있는 최적화 기법을 다룹니다. 또한 Cilium 사용 시 주의해야 할 잠재적 리스크와 이를 완화하기 위한 전략도 함께 살펴보겠습니다.📌 Cilium 성능 진단 및 측정Cilium의 성능을 최적화하기 전에 먼저 현재 성능을 정확히 측정하고 진단하는 것이 중요합니다. 이를 통해 어떤 부분에 최적화가 필요한지 파악할 수 있습니다.✅ 성능 테스트 도구 소개# 1. 기본적인 네트워크 연결 테스트# Pod 간 기본 연결 지연시간 측정 (간단한 ICMP 테스트)kubec..

이 글에서는 Cilium을 프로덕션 환경에서 안정적으로 운영하기 위한 전략과 베스트 프랙티스를 알아봅니다. Helm을 이용한 체계적인 관리 방법부터 롤링 업데이트 전략, 그리고 장애 발생 시 신속한 복구 절차까지 실제 현업에서 필요한 실무 지식을 다룰 예정입니다. 특히 대규모 클러스터에서 CNI 업데이트와 같은 민감한 작업을 안전하게 수행하는 방법과 장애 상황에서의 문제 해결 프로세스를 중점적으로 살펴보겠습니다.📌 Helm으로 관리하는 CiliumHelm은 쿠버네티스 애플리케이션의 패키징과 배포를 간소화하는 도구로, Cilium과 같은 복잡한 CNI 컴포넌트를 효율적으로 관리하는 데 매우 적합합니다.✅ Helm 기반 Cilium 설치 준비먼저 Helm을 통한 Cilium 설치 및 관리를 위한 기본 환경..

이 글에서는 Cilium의 강력한 네트워크 가시성 도구인 Hubble의 고급 사용법에 대해 알아봅니다. 기본적인 명령어부터 시작해 실제 현업에서 활용할 수 있는 복잡한 필터링, 실시간 모니터링, 그리고 네트워크 이슈 디버깅까지 다양한 시나리오를 다룰 예정입니다. 특히 Hubble CLI와 Hubble UI를 통해 쿠버네티스 네트워크 트래픽을 실시간으로 분석하고 시각화하는 방법을 실습 중심으로 살펴보겠습니다.📌 Hubble 개요 및 기본 구성 확인Hubble은 Cilium의 네트워크 관찰성(Observability) 계층으로, eBPF를 기반으로 한 강력한 네트워크 모니터링 및 보안 가시성 도구입니다. 이를 통해 우리는 쿠버네티스 클러스터 내의 네트워크 트래픽을 세밀하게 관찰하고 분석할 수 있습니다.✅ ..