쿠알못이 Amazon EKS로 안정적인 서비스 운영하기 - 최용호

1. SEOUL 쿠알못이 Amazon EKS로 안정적인 서비스 운영하기 최용호 / 넥슨 코리아

2. SEOUL 쿠버네티스를 알긴 아는데 잘 알지 못하는 사람이 Amazon EKS로 안정적인 서비스 운영하기 최용호 / 넥슨 코리아

3. 발표자 • 최용호 • 넥슨 코리아 - 데브옵스개발팀 • 자바카페 운영진 • AWSKRUG 판교 소모임 운영진

4. 목차 ▪ 왜 Amazon EKS 인가? ▪ 인증 및 권한 ▪ 네트워크 ▪ 볼륨 ▪ 모니터링

5. 왜 Amazon EKS인가?

6. kubectl run nginx --image=nginx

7. nginx Pod Container

8. nginx Po d Containe r ReplicaSet

9. nginx Po d Containe r ReplicaSet Deployment

10. nginx Po d Containe r ReplicaSet Deployment Pod가 생성되는 순서는

11. nginx Po d Containe r ReplicaSet Deployment 먼저 Deployment가 만들어지고

12. nginx Po d Containe r ReplicaSet Deployment Deployment로 인해 ReplicaSet 이 만들어지며

13. nginx Po d Containe r ReplicaSet Deployment ReplicaSet에 의해 최종적으로 Pod가 만들어집니다.

14. kubectl get events

19. Kubernetes 클러스터 내부에서는 어떤 일 이 일어날까요?

20. 먼저 Kubernetes 클러스터 구조를 살펴보 겠습니다.

21. Master Node

22. Master Node Worker Node

23. API 서버 Controller Manager Scheduler etcd Master Node Worker Node

24. API 서버 Controller Manager Scheduler Kubelet Kube proxy etcd Master Node Worker Node

25. kubectl API 서버 Controller Manager Scheduler Kubelet Kube proxy etcd Master Node Worker Node

26. kubectl API 서버 Controller Manager Scheduler Kubelet Kube proxy etcd Master Node Worker Node Pod Pod Pod

27. kubectl API 서버 Controller Manager Scheduler Kubelet Kube proxy etcd Master Node Worker Node Pod Pod Pod

28. 각 컴포넌트들은 Watch 매커니즘을 가지 고 있습니다.

29. Components API 서버 etcd

30. Components API 서버 etcd watch

31. Components API 서버 etcd watch watch

32. Components API 서버 etcd watch 변경사항 발생 watch

33. Components API 서버 etcd watch update watch

34. Components API 서버 etcd watch watch 변경사항 발생

35. Components API 서버 etcd watch watch notify

36. Components API 서버 etcd watch watch notifyresponse

37. kubectl API 서버 Controller Manager Scheduler Kubelet Kube proxy Pod Pod Pod etcd Master Node Worker Node

40. kubectl run nginx --image=nginx

42. kubectl API 서버 Controller Manager Kublet Pod Pod Pod Master Node Worker Node Deployment Controller Replication Controller Scheduler Deployment resources ReplicaSet resources Pod resources

43. kubectl API 서버 Controller Manager Kublet Pod Pod Pod Master Node Worker Node Deployment Controller Replication Controller Scheduler Deployment resources ReplicaSet resources Pod resources API 서버에 Watch 하고 있는 컴포넌트들 API 서버에 Watch 하고 있는 컴포넌트

44. kubectl API 서버 Controller Manager Kublet Pod Pod Pod Master Node Worker Node Deployment Controller Replication Controller Scheduler Deployment resources ReplicaSet resources Pod resources 실제로는 API 서버 를 통해 etcd에 저 장되는 리소스 정 보들

45. kubectl API 서버 Controller Manager Kublet Pod Pod Pod Master Node Worker Node Deployment Controller Replication Controller Scheduler Deployment resources ReplicaSet resources Pod resources 1. run 명령

46. kubectl API 서버 Controller Manager Kublet Pod Pod Pod Master Node Worker Node Deployment Controller Replication Controller Scheduler Deployment resources ReplicaSet resources Pod resources 1. run 명령 변경사항 발생

47. kubectl API 서버 Controller Manager Kublet Pod Pod Pod Master Node Worker Node Deployment Controller Replication Controller Scheduler Deployment resources ReplicaSet resources Pod resources 1. run 명령 2. watch에 대한 응답

48. kubectl API 서버 Controller Manager Kublet Pod Pod Pod Master Node Worker Node Deployment Controller Replication Controller Scheduler Deployment resources ReplicaSet resources Pod resources 1. run 명령 2. watch에 대한 응답 3. ReplicaSet 생성

49. kubectl API 서버 Controller Manager Kublet Pod Pod Pod Master Node Worker Node Deployment Controller Replication Controller Scheduler Deployment resources ReplicaSet resources Pod resources 1. run 명령 2. watch에 대한 응답 3. ReplicaSet 생성 변경사항 발생

50. kubectl API 서버 Controller Manager Kublet Pod Pod Pod Master Node Worker Node Deployment Controller Replication Controller Scheduler Deployment resources ReplicaSet resources Pod resources 1. run 명령 2. watch에 대한 응답 3. ReplicaSet 생성 4. watch에 대한 응답

51. kubectl API 서버 Controller Manager Kublet Pod Pod Pod Master Node Worker Node Deployment Controller Replication Controller Scheduler Deployment resources ReplicaSet resources Pod resources 1. run 명령 2. watch에 대한 응답 3. ReplicaSet 생성 4. watch에 대한 응답 5. Pod 생성

52. kubectl API 서버 Controller Manager Kublet Pod Pod Pod Master Node Worker Node Deployment Controller Replication Controller Scheduler Deployment resources ReplicaSet resources Pod resources 1. run 명령 2. watch에 대한 응답 3. ReplicaSet 생성 4. watch에 대한 응답 5. Pod 생성 변경사항 발생

53. kubectl API 서버 Controller Manager Kublet Pod Pod Pod Master Node Worker Node Deployment Controller Replication Controller Scheduler Deployment resources ReplicaSet resources Pod resources 1. run 명령 2. watch에 대한 응답 3. ReplicaSet 생성 4. watch에 대한 응답 5. Pod 생성 6. watch에 대한 응답

54. kubectl API 서버 Controller Manager Kublet Pod Pod Pod Master Node Worker Node Deployment Controller Replication Controller Scheduler Deployment resources ReplicaSet resources Pod resources 1. run 명령 2. watch에 대한 응답 3. ReplicaSet 생성 4. watch에 대한 응답 5. Pod 생성 6. watch에 대한 응답 7. Worker Node에 Pod 할당

55. kubectl API 서버 Controller Manager Kublet Pod Pod Pod Master Node Worker Node Deployment Controller Replication Controller Scheduler Deployment resources ReplicaSet resources Pod resources 1. run 명령 2. watch에 대한 응답 3. ReplicaSet 생성 4. watch에 대한 응답 5. Pod 생성 6. watch에 대한 응답 7. Worker Node에 Pod 할당 Scheduler는 어떻게 노드를 결 정 할까요?

56. API 서버 Scheduler Kubelet Master Node Worker Node Kubelet Worker Node Kubelet Worker Node

57. API 서버 Scheduler Kubelet Master Node Worker Node cAdvisor Kubelet Worker Node cAdvisor Kubelet Worker Node cAdvisor

58. API 서버 Scheduler Kubelet Master Node Worker Node cAdvisor Kubelet Worker Node cAdvisor Kubelet Worker Node cAdvisor Node/Container 지표 수집 (CPU, Memory 등)

59. API 서버 Scheduler Kubelet Master Node Worker Node cAdvisor Kubelet Worker Node cAdvisor Kubelet Worker Node cAdvisor affinity taint etc Node/Container 지표 수집 (CPU, Memory 등)

60. kubectl API 서버 Controller Manager Kublet Pod Pod Pod Master Node Worker Node Deployment Controller Replication Controller Scheduler Deployment resources ReplicaSet resources Pod resources 1. run 명령 2. watch에 대한 응답 3. ReplicaSet 생성 4. watch에 대한 응답 5. Pod 생성 6. watch에 대한 응답 7. Worker Node에 Pod 할당

61. kubectl API 서버 Controller Manager Kublet Pod Pod Pod Master Node Worker Node Deployment Controller Replication Controller Scheduler Deployment resources ReplicaSet resources Pod resources 1. run 명령 2. watch에 대한 응답 3. ReplicaSet 생성 4. watch에 대한 응답 5. Pod 생성 6. watch에 대한 응답 7. Worker Node에 Pod 할당 변경사항 발생

62. kubectl API 서버 Controller Manager Kublet Pod Pod Pod Master Node Worker Node Deployment Controller Replication Controller Scheduler Deployment resources ReplicaSet resources Pod resources 1. run 명령 2. watch에 대한 응답 3. ReplicaSet 생성 4. watch에 대한 응답 5. Pod 생성 6. watch에 대한 응답 7. Worker Node에 Pod 할당 8. watch에 대한 응답

63. kubectl API 서버 Controller Manager Kublet Pod Pod Pod Master Node Worker Node Deployment Controller Replication Controller Scheduler Deployment resources ReplicaSet resources Pod resources 1. run 명령 2. watch에 대한 응답 3. ReplicaSet 생성 4. watch에 대한 응답 5. Pod 생성 6. watch에 대한 응답 7. Worker Node에 Pod 할당 8. watch에 대한 응답 9. Pod 생성

66. kubectl API 서버 Controller Manager Scheduler Kubelet Kube proxy Pod Pod Pod etcd Master Node Worker Node 만약 API 서버에 장애가 발생한 다면?

67. VPC AZ AZ AZ API 서버 Master Node API 서버 Master Node

69. kubectl API 서버 Controller Manager Scheduler Kubelet Kube proxy Pod Pod Pod etcd Master Node Worker Node 만약 etcd에 장애가 발생한다면?

70. VPC AZ AZ API 서버 Master Node API 서버 Master Node etcd etcd AZ Master Node etcd

72. kubectl API 서버 Controller Manager Scheduler Kubelet Kube proxy Pod Pod Pod etcd Master Node Worker Node Amazon EKS

73. kubectl API 서버 Controller Manager Scheduler Kubelet Kube proxy Pod Pod Pod etcd Master Node Worker Node Amazon EKS Amazon EKS Node groups

74. Amazon EKS 설치

75. 설치 방법 AWS Console AWS CLI eksctl Terraform

76. 설치 방법 AWS Console AWS CLI eksctl Terraform

77. 설치 방법 AWS Console AWS CLI eksctl Terraform 가장 간단하게 EKS 클러스터 생성

78. 설치 방법 AWS Console AWS CLI eksctl Terraform 가장 간단하게 EKS 클러스터 생성

79. 설치 방법 AWS Console AWS CLI eksctl Terraform 인프라 코드화 가능 (IaC)

80. 인증 및 권한

81. AW S AWS IAM User Amazon EKS 생성

82. AW S Amazon EKS 생성 EKS 클러스터를 생성한 AWS IAM User가 Master 권한 획득 AWS IAM User

83. Kubernetes Admin Kubernetes Master Node AWS IAM

84. 1. kubectl 명령 (API 호출) Kubernetes Admin Kubernetes Master Node AWS IAM

85. 1. kubectl 명령 (API 호출) Kubernetes Admin Kubernetes Master Node AWS IAM Kubeconfig 파일에 인증 정보 포함 ➢ Kubernetes API 서버 인증 토큰 ➢ IAM 인증 토큰

86. 1. kubectl 명령 (API 호출) 2. AWS IAM 인증 Kubernetes Admin Kubernetes Master Node AWS IAM

87. 1. kubectl 명령 (API 호출) 2. AWS IAM 인증 Kubernetes Admin Kubernetes Master Node AWS IAM 요 청 한 사 용 자 가 AWS IAM User가 맞는지만 검증

88. Role Based Access Control (RBAC) 1. kubectl 명령 (API 호출) 2. AWS IAM 인증 3. Kubernetes RBAC 인증 Kubernetes Admin Kubernetes Master Node AWS IAM

89. Role Based Access Control (RBAC) 1. kubectl 명령 (API 호출) 2. AWS IAM 인증 3. Kubernetes RBAC 인증 4. 실행 결과 반환 Kubernetes Admin Kubernetes Master Node AWS IAM

91. kubectl edit configmap aws-auth -n kube-system

92. EKS Master Node에 Join한 Worker Node들에 대한 권한 설정

93. Kubernetes RBAC에 해당

95. Cluster RoleRole

96. Cluster RoleRole 특정 Namespace 내 리소스 사용 권한 설정

97. Cluster RoleRole Kubernetes Cluster 전 역 의 리소스 사용 권한 설정

98. Role 생성

99. Role 생성 Kubernetes 리소스에 대한 사 용 권한 설정

100. Role 생성 Role Binding 생성

101. Role 생성 Role Binding 생성 대상 Role의 권한을 할당할 사용자 또는 그룹 설정

102. kubectl edit clusterrole cluster-admin

104. Cluster-admin은 모든 리소스 에 대한 사용 권한이 할당됨

105. kubectl edit clusterrolebinding cluster-admin

106. 대상 Role 설정

107. Role을 할당할 대상 사용자 또는 그룹 설정

108. EKS 클러스터를 관리할 관리자가 추가되 었다면?

109. mapUsers 항목에 IAM User 추가 및 권한 부여

110. 모든 사용자들에게 master 권한을 줄 수 는 없겠죠?

111. kubectl edit configmap aws-auth -n kube-system

113. IAM Role 을 대 상 으 로 mapRoles에 추가하거나

114. IAM User 를 대 상 으 로 mapUsers에 추가합니다.

115. 사용자를 추가하고 권한을 할당하는 전반 적인 Flow를 살펴보겠습니다.

116. IAM Role 생성 Aws-auth Configmap 의 mapRole에 추가 ClusterRole 또는 Role 생성 ClusterRoleBinding 또 는 RoleBinding 생성 Aws-auth Configmap 의 mapRole에 group 설정 대상 사용자의 kubeconfig 파일에 인 증 정보 설정

133. 네트워크

134. Amazon EKS는 조금 다른 네트워크 구조 를 가지고 있습니다.

135. 먼저 일반적인 네트워크 구조를 알아보겠 습니다.

136. 컨테이너 호스트 eth0 10.100.0.2 docker0 172.17.0.1 veth0 172.17.0.2

137. 컨테이너 호스트 eth0 10.100.0.2 docker0 172.17.0.1 veth0 172.17.0.2 물리 네트워크 인터페이스

138. 컨테이너 호스트 eth0 10.100.0.2 docker0 172.17.0.1 veth0 172.17.0.2 브릿지 네트워크

139. 컨테이너 호스트 eth0 10.100.0.2 docker0 172.17.0.1 veth0 172.17.0.2 컨테이너에 할당되는 가상 네 트워크 인터페이스

140. 컨테이너1 호스트 eth0 10.100.0.2 docker0 172.17.0.1 veth0 172.17.0.2 컨테이너2 veth0 172.17.0.3

141. 컨테이너1 호스트 eth0 10.100.0.2 docker0 172.17.0.1 veth0 172.17.0.2 컨테이너2 veth0 172.17.0.3 --net=container:컨테이너1

142. 컨테이너1 호스트 eth0 10.100.0.2 docker0 172.17.0.1 컨테이너2 veth0 172.17.0.2

143. 컨테이너1 호스트 eth0 10.100.0.2 docker0 172.17.0.1 컨테이너2Pause veth0 172.17.0.2

144. 컨테이너1 호스트 eth0 10.100.0.2 docker0 172.17.0.1 컨테이너2Pause veth0 172.17.0.2 Pod

145. 컨테이너1 호스트 eth0 10.100.0.2 docker0 172.17.0.1 veth0 172.17.0.2 컨테이너2 veth0 172.17.0.3

146. 컨테이너1 호스트1 eth0 10.100.0.2 docker0 172.17.0.1 veth0 172.17.0.2 컨테이너2 veth0 172.17.0.3 컨테이너1 호스트2 eth0 10.100.0.3 docker0 172.17.0.1 veth0 172.17.0.2 컨테이너2 veth0 172.17.0.3

147. 컨테이너1 호스트1 eth0 10.100.0.2 docker0 172.17.0.1 veth0 172.17.0.2 컨테이너2 veth0 172.17.0.3 컨테이너1 호스트2 eth0 10.100.0.3 docker0 172.17.0.1 veth0 172.17.0.2 컨테이너2 veth0 172.17.0.3 Router/gateway

148. 컨테이너1 호스트1 eth0 10.100.0.2 docker0 172.17.0.1 veth0 172.17.0.2 컨테이너2 veth0 172.17.0.3 컨테이너1 호스트2 eth0 10.100.0.3 docker0 172.17.0.1 veth0 172.17.0.2 컨테이너2 veth0 172.17.0.3 Router/gateway 172.17.0.2에 패킷을 전달해주세 요

149. 컨테이너1 호스트1 eth0 10.100.0.2 docker0 172.17.0.1 veth0 172.17.0.2 컨테이너2 컨테이너1 호스트2 eth0 10.100.0.3 docker0 172.17.0.1 veth0 172.17.0.2 컨테이너2 Router/gateway veth0 172.17.0.3 veth0 172.17.0.3

150. 컨테이너1 호스트1 eth0 10.100.0.2 docker0 172.17.0.1 veth0 172.17.0.2 컨테이너2 컨테이너1 호스트2 eth0 10.100.0.3 docker0 172.17.0.1 veth0 172.17.0.2 컨테이너2 Router/gateway veth0 172.17.0.3 veth0 172.17.0.3

151. 컨테이너1 호스트1 eth0 10.100.0.2 docker0 172.17.0.1 veth0 172.17.0.2 컨테이너2 컨테이너1 호스트2 eth0 10.100.0.3 docker0 172.17.0.1 veth0 172.17.0.2 컨테이너2 Router/gateway veth0 172.17.0.3 veth0 172.17.0.3 호스트가 여러개가 되어도 각 컨테이너를 찾아갈 수 있게 모든 호스트의 브 릿지 네트워크에 각기 다른 IP를 할당하자.

152. 컨테이너1 호스트1 eth0 10.100.0.2 cni0 10.0.1.1 veth0 10.0.1.2 컨테이너2 veth0 10.0.1.3 컨테이너1 호스트2 eth0 10.100.0.3 cni0 10.0.2.1 veth0 10.0.2.2 컨테이너2 veth0 10.0.2.3 Router/gateway

153. 컨테이너1 호스트1 eth0 10.100.0.2 cni0 10.0.1.1 veth0 10.0.1.2 컨테이너2 veth1 10.0.1.3 컨테이너1 호스트2 eth0 10.100.0.3 cni0 10.0.2.1 veth0 10.0.2.2 컨테이너2 veth1 10.0.2.3 Router/gateway Overay Network

154. 컨테이너1 호스트1 eth0 10.100.0.2 cni0 10.0.1.1 veth0 10.0.1.2 컨테이너2 veth1 10.0.1.3 컨테이너1 호스트2 eth0 10.100.0.3 cni0 10.0.2.1 veth0 10.0.2.2 컨테이너2 veth1 10.0.2.3 Router/gateway Overay Network weave net AWS CNI

155. 컨테이너1 호스트1 eth0 10.100.0.2 cni0 10.0.1.1 veth0 10.0.1.2 컨테이너2 veth1 10.0.1.3 컨테이너1 호스트2 eth0 10.100.0.3 cni0 10.0.2.1 veth0 10.0.2.2 컨테이너2 veth1 10.0.2.3 Router/gateway Overay Network weave net AWS CNI

156. 컨테이너1 호스트1 eth0 10.100.0.2 cni0 10.0.1.1 veth0 10.0.1.2 컨테이너2 veth0 10.0.1.3 컨테이너1 호스트2 eth0 10.100.0.3 cni0 10.0.2.1 veth0 10.0.2.2 컨테이너2 veth0 10.0.2.3 Router/gateway 호스트1

157. 컨테이너1 호스트1 eth0 10.100.0.2 cni0 10.0.1.1 veth0 10.0.1.2 컨테이너2 veth0 10.0.1.3 컨테이너1 호스트2 eth0 10.100.0.3 cni0 10.0.2.1 veth0 10.0.2.2 컨테이너2 veth0 10.0.2.3 Router/gateway 호스트1 VPC의 IP Range 내 IP를 할당

158. 하나의 클러스터 내에 Pod 수가 굉장히 많다면 VPC IP Range에 대한 검토가 필 요합니다.

159. VPC IP Range가 여유있더라도 ENI에 의 해 Pod 생성이 실패할 수도 있습니다.

160. Worker Node (EC2 인스턴스)

161. Worker Node (EC2 인스턴스) ENI

162. Worker Node (EC2 인스턴스) ENI DaemonSet IPAM

163. Worker Node (EC2 인스턴스) ENI DaemonSet IPAM IPAM이 ENI로부터 IP를 받아 Pod에 할당

164. Worker Node (EC2 인스턴스) ENI DaemonSet IPAM ENI ENI가 할당할 수 있는 IP 수를 초과하면 추가로 ENI를 생성

165. Worker Node (EC2 인스턴스) ENI DaemonSet IPAM ENI

168. 최대 Pod 수 = (인스턴스 유형에 따른 ENI 수 * (ENI 별 IP 수 - 1))

169. 최대 Pod 수 = (인스턴스 유형에 따른 ENI 수 * (ENI 별 IP 수 - 1)) ENI 자신에게 할당 된 IP 제외

170. AWS CNI 1.5.4 버전에서 문제가 있었습 니다.

171. 아래 명령으로 AWS CNI 버전 업데이트 kubectl apply -f https://raw.githubusercontent.com/aws/amazon-vpc-cni-k8s/release-1.5.3/config/v1.5/aws-k8s-cni.yam

172. 볼륨

173. 안정적인 데이터 관리는 어떻게 할까요?

174. 안정적인 저장소 준비 컨테이너에 안정적인 저장소를 마운트

175. 안정적인 저장소 준비 컨테이너에 안정적인 저장소를 마운트 EFSEBS

176. EBS를 마운트 하려면?

177. Storage Class 생성 Persistent Volume Claim 생성 컨테이너에 마운트

181. Storage Class 생성 Persistent Volume Claim 생성 컨테이너에 마운트 최초로 컨테이너에 마운트 되는 시점에 EBS가 생성됩 니다.

189. 모니터링

190. Master Node의 컴포넌트들의 로그를 CloudWatch를 통해 확인할 수 있습니다.

191. AWS Console Amazon EKS로 이동 대상 클러스터 선택 로깅의 업데이트 버튼 클릭 확인하고자 하는 로그 활성화 업데이트 버튼 클릭

192. AWS Console Amazon EKS로 이동 대상 클러스터 선택 로깅의 업데이트 버튼 클릭 확인하고자 하는 로그 활성화 업데이트 버튼 클릭

196. Pod 모니터링은 Container Insights를 사 용하면 간단하게 할 수 있습니다.

197. Work Node의 IAM Role 편집 CloudWatchAgentServerPolicy 정책 추가 빠른 시작 설정 CloudWatch 페이지 이동Container Insights 선택대상 EKS 클러스터 선택

200. Work Node의 IAM Role 편집 CloudWatchAgentServerPolicy 정책 추가 간편 스크립트 실행 CloudWatch 페이지 이동Container Insights 선택대상 EKS 클러스터 선택

204. 결론

205. kubectl API 서버 Controller Manager Scheduler Kubelet Kube proxy Pod Pod Pod etcd Master Node Worker Node Amazon EKS Amazon EKS Node groups

206. 감사합니다

쿠알못이 Amazon EKS로 안정적인 서비스 운영하기 - 최용호

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to 쿠알못이 Amazon EKS로 안정적인 서비스 운영하기 - 최용호

Similar to 쿠알못이 Amazon EKS로 안정적인 서비스 운영하기 - 최용호 (20)

More from 용호 최

More from 용호 최 (20)

쿠알못이 Amazon EKS로 안정적인 서비스 운영하기 - 최용호