시작하기
본 섹션에는 쿠버네티스를 설정하고 실행하는 다양한 방법이 나열되어 있다.
쿠버네티스를 설치할 때는 유지보수의 용이성, 보안, 제어, 사용 가능한 리소스, 그리고
클러스터를 운영하고 관리하기 위해 필요한 전문성을 기반으로 설치 유형을 선택한다.
쿠버네티스를 다운로드하여
로컬 머신에, 클라우드에, 데이터센터에 쿠버네티스 클러스터를 구축할 수 있다.
쿠버네티스 클러스터를 직접 관리하고 싶지 않다면, 인증된 플랫폼과
같은 매니지드 서비스를 선택할 수도 있다.
광범위한 클라우드 또는 베어 메탈 환경에 걸쳐 사용할 수 있는
표준화된/맞춤형 솔루션도 있다.
학습 환경
쿠버네티스를 배우고 있다면, 쿠버네티스 커뮤니티에서 지원하는 도구나,
로컬 머신에서 쿠버네티스를 설치하기 위한 생태계 내의 도구를 사용한다.
도구 설치를 살펴본다.
프로덕션 환경
프로덕션 환경을 위한
솔루션을 평가할 때에는, 쿠버네티스 클러스터(또는 추상화된 객체)
운영에 대한 어떤 측면을 스스로 관리하기를 원하는지,
또는 제공자에게 넘기기를 원하는지 고려한다.
클러스터를 직접 관리하는 경우, 공식적으로 지원되는 쿠버네티스 구축 도구는
kubeadm이다.
다음 내용
쿠버네티스의 컨트롤 플레인은
리눅스에서 실행되도록 설계되었다. 클러스터 내에서는 리눅스 또는
다른 운영 체제(예: 윈도우)에서 애플리케이션을 실행할 수 있다.
1 - 학습 환경
2 - 프로덕션 환경
프로덕션 수준의 쿠버네티스 클러스터 생성
프로덕션 수준의 쿠버네티스 클러스터에는 계획과 준비가 필요하다.
쿠버네티스 클러스터에 중요한 워크로드를 실행하려면 클러스터를 탄력적이도록 구성해야 한다.
이 페이지에서는 프로덕션용 클러스터를 설정하거나 기존 클러스터를 프로덕션용으로 업그레이드하기 위해
수행할 수 있는 단계를 설명한다.
이미 프로덕션 구성 내용에 익숙하여 단지 링크를 찾고 있다면,
다음 내용을 참고한다.
프로덕션 고려 사항
일반적으로 프로덕션 쿠버네티스 클러스터 환경에는
개인 학습용, 개발용 또는 테스트 환경용 클러스터보다 더 많은 요구 사항이 있다.
프로덕션 환경에는 많은 사용자의 보안 액세스, 일관된 가용성 및
변화하는 요구를 충족하기 위한 리소스가 필요할 수 있다.
프로덕션 쿠버네티스 환경이 상주할 위치(온 프레미스 또는 클라우드)와
직접 처리하거나 다른 사람에게 맡길 관리의 양을 결정할 때,
쿠버네티스 클러스터에 대한 요구 사항이
다음 이슈에 의해 어떻게 영향을 받는지 고려해야 한다.
-
가용성: 단일 머신 쿠버네티스 학습 환경은 SPOF(Single Point of Failure, 단일 장애 지점) 이슈를 갖고 있다.
고가용성 클러스터를 만드는 것에는 다음과 같은 고려 사항이 있다.
- 컨트롤 플레인과 워크 노드를 분리
- 컨트롤 플레인 구성요소를 여러 노드에 복제
- 클러스터의 API 서버로 가는 트래픽을 로드밸런싱
- 워커 노드를 충분히 운영하거나, 워크로드 변경에 따라 빠르게 제공할 수 있도록 보장
-
스케일링: 프로덕션 쿠버네티스 환경에 들어오는 요청의 양의
일정할 것으로 예상된다면, 필요한 만큼의 용량(capacity)을 증설하고
마무리할 수도 있다. 하지만, 요청의 양이 시간에 따라 점점 증가하거나
계절, 이벤트 등에 의해 극적으로 변동할 것으로 예상된다면,
컨트롤 플레인과 워커 노드로의 요청 증가로 인한 압박을 해소하기 위해 스케일 업 하거나
잉여 자원을 줄이기 위해 스케일 다운 하는 것에 대해 고려해야 한다.
-
보안 및 접근 관리: 학습을 위한 쿠버네티스 클러스터에는
완전한 관리 권한을 가질 수 있다. 하지만 중요한 워크로드를 실행하며
두 명 이상의 사용자가 있는 공유 클러스터에는 누가, 그리고 무엇이 클러스터 자원에
접근할 수 있는지에 대해서 보다 정교한 접근 방식이 필요하다.
역할 기반 접근 제어(RBAC) 및
기타 보안 메커니즘을 사용하여, 사용자와 워크로드가 필요한 자원에
액세스할 수 있게 하면서도 워크로드와 클러스터를 안전하게 유지할 수 있다.
정책과
컨테이너 리소스를
관리하여, 사용자 및 워크로드가 접근할 수 있는 자원에 대한 제한을 설정할 수 있다.
쿠버네티스 프로덕션 환경을 직접 구축하기 전에, 이 작업의 일부 또는 전체를
턴키 클라우드 솔루션
제공 업체 또는 기타 쿠버네티스 파트너에게
넘기는 것을 고려할 수 있다.
다음과 같은 옵션이 있다.
- 서버리스: 클러스터를 전혀 관리하지 않고
타사 장비에서 워크로드를 실행하기만 하면 된다.
CPU 사용량, 메모리 및 디스크 요청과 같은 항목에 대한 요금이 부과된다.
- 관리형 컨트롤 플레인: 쿠버네티스 서비스 공급자가
클러스터 컨트롤 플레인의 확장 및 가용성을 관리하고 패치 및 업그레이드를 처리하도록 한다.
- 관리형 워커 노드: 필요에 맞는 노드 풀을 정의하면,
쿠버네티스 서비스 공급자는 해당 노드의 가용성 및
필요 시 업그레이드 제공을 보장한다.
- 통합: 쿠버네티스를 스토리지, 컨테이너 레지스트리,
인증 방법 및 개발 도구와 같이
사용자가 필요로 하는 여러 서비스를 통합 제공하는 업체도 있다.
프로덕션 쿠버네티스 클러스터를 직접 구축하든 파트너와 협력하든,
요구 사항이 컨트롤 플레인, 워커 노드,
사용자 접근, 워크로드 자원과 관련되기 때문에,
다음 섹션들을 검토하는 것이 바람직하다.
프로덕션 클러스터 구성
프로덕션 수준 쿠버네티스 클러스터에서,
컨트롤 플레인은 다양한 방식으로 여러 컴퓨터에 분산될 수 있는 서비스들을 통해
클러스터를 관리한다.
반면, 각 워커 노드는 쿠버네티스 파드를 실행하도록 구성된 단일 엔티티를 나타낸다.
프로덕션 컨트롤 플레인
가장 간단한 쿠버네티스 클러스터는 모든 컨트롤 플레인 및 워커 노드 서비스가
하나의 머신에 실행되는 클러스터이다.
쿠버네티스 컴포넌트
그림에 명시된 대로, 워커 노드를 추가하여 해당 환경을 확장할 수 있다.
클러스터를 단기간만 사용하거나,
심각한 문제가 발생한 경우 폐기하는 것이 가능하다면, 이 방식을 선택할 수 있다.
그러나 더 영구적이고 가용성이 높은 클러스터가 필요한 경우
컨트롤 플레인 확장을 고려해야 한다.
설계 상, 단일 시스템에서 실행되는 단일 시스템 컨트롤 플레인 서비스는
가용성이 높지 않다.
클러스터를 계속 유지하면서 문제가 발생한 경우 복구할 수 있는지 여부가 중요한 경우,
다음 사항들을 고려한다.
- 배포 도구 선택: kubeadm, kops, kubespray와 같은 도구를 이용해
컨트롤 플레인을 배포할 수 있다.
배포 도구로 쿠버네티스 설치하기에서
여러 배포 도구를 이용한 프로덕션 수준 배포에 대한 팁을 확인한다.
배포 시, 다양한
컨테이너 런타임을 사용할 수 있다.
- 인증서 관리: 컨트롤 플레인 서비스 간의 보안 통신은 인증서를 사용하여 구현된다.
인증서는 배포 중에 자동으로 생성되거나, 또는 자체 인증 기관을 사용하여 생성할 수 있다.
PKI 인증서 및 요구 조건에서
상세 사항을 확인한다.
- apiserver를 위한 로드밸런서 구성: 여러 노드에서 실행되는 apiserver 서비스 인스턴스에
외부 API 호출을 분산할 수 있도록 로드밸런서를 구성한다.
외부 로드밸런서 생성하기에서
상세 사항을 확인한다.
- etcd 서비스 분리 및 백업: etcd 서비스는
다른 컨트롤 플레인 서비스와 동일한 시스템에서 실행되거나,
또는 추가 보안 및 가용성을 위해 별도의 시스템에서 실행될 수 있다.
etcd는 클러스터 구성 데이터를 저장하므로
필요한 경우 해당 데이터베이스를 복구할 수 있도록 etcd 데이터베이스를 정기적으로 백업해야 한다.
etcd FAQ에서 etcd 구성 및 사용 상세를 확인한다.
쿠버네티스를 위한 etcd 클러스터 운영하기와
kubeadm을 이용하여 고가용성 etcd 생성하기에서
상세 사항을 확인한다.
- 다중 컨트롤 플레인 시스템 구성: 고가용성을 위해,
컨트롤 플레인은 단일 머신으로 제한되지 않아야 한다.
컨트롤 플레인 서비스가 init 서비스(예: systemd)에 의해 실행되는 경우,
각 서비스는 최소 3대의 머신에서 실행되어야 한다.
그러나, 컨트롤 플레인 서비스를 쿠버네티스 상의 파드 형태로 실행하면
각 서비스 복제본 요청이 보장된다.
스케줄러는 내결함성이 있어야 하고, 고가용성은 필요하지 않다.
일부 배포 도구는 쿠버네티스 서비스의 리더 선출을 수행하기 위해
Raft 합의 알고리즘을 설정한다.
리더를 맡은 서비스가 사라지면 다른 서비스가 스스로 리더가 되어 인계를 받는다.
- 다중 영역(zone)으로 확장: 클러스터를 항상 사용 가능한 상태로 유지하는 것이 중요하다면
여러 데이터 센터(클라우드 환경에서는 '영역'이라고 함)에서 실행되는
클러스터를 만드는 것이 좋다.
영역의 그룹을 지역(region)이라고 한다.
동일한 지역의 여러 영역에 클러스터를 분산하면
하나의 영역을 사용할 수 없게 된 경우에도 클러스터가 계속 작동할 가능성을 높일 수 있다.
여러 영역에서 실행에서 상세 사항을 확인한다.
- 구동 중인 기능 관리: 클러스터를 계속 유지하려면,
상태 및 보안을 유지하기 위해 수행해야 하는 작업이 있다.
예를 들어 kubeadm으로 클러스터를 생성한 경우,
인증서 관리와
kubeadm 클러스터 업그레이드하기에 대해 도움이 되는 가이드가 있다.
클러스터 운영하기에서
더 많은 쿠버네티스 관리 작업을 볼 수 있다.
컨트롤 플레인 서비스를 실행할 때 사용 가능한 옵션에 대해 보려면,
kube-apiserver,
kube-controller-manager,
kube-scheduler를 참조한다.
고가용성 컨트롤 플레인 예제는
고가용성 토폴로지를 위한 옵션,
kubeadm을 이용하여 고가용성 클러스터 생성하기,
쿠버네티스를 위한 etcd 클러스터 운영하기를 참조한다.
etcd 백업 계획을 세우려면
etcd 클러스터 백업하기를 참고한다.
프로덕션 워커 노드
프로덕션 수준 워크로드는 복원력이 있어야 하고,
이들이 의존하는 모든 것들(예: CoreDNS)도 복원력이 있어야 한다.
컨트롤 플레인을 자체적으로 관리하든
클라우드 공급자가 대신 수행하도록 하든 상관없이,
워커 노드(간단히 노드라고도 함)를 어떤 방법으로 관리할지 고려해야 한다.
- 노드 구성하기: 노드는 물리적 또는 가상 머신일 수 있다.
직접 노드를 만들고 관리하려면 지원되는 운영 체제를 설치한 다음
적절한 노드 서비스를 추가하고 실행한다.
다음을 고려해야 한다.
- 워크로드의 요구 사항 (노드가 적절한 메모리, CPU, 디스크 속도, 저장 용량을 갖도록 구성)
- 일반적인 컴퓨터 시스템이면 되는지, 아니면 GPU, 윈도우 노드, 또는 VM 격리를 필요로 하는 워크로드가 있는지
- 노드 검증하기: 노드 구성 검증하기에서
노드가 쿠버네티스 클러스터에 조인(join)에 필요한 요구 사항을
만족하는지 확인하는 방법을 알아본다.
- 클러스터에 노드 추가하기: 클러스터를 자체적으로 관리하는 경우,
머신을 준비하고, 클러스터의 apiserver에 이를 수동으로 추가하거나
또는 머신이 스스로 등록하도록 하여 노드를 추가할 수 있다.
이러한 방식으로 노드를 추가하는 방법을 보려면 노드 섹션을 확인한다.
- 클러스터에 윈도우 노드 추가하기: 윈도우 컨테이너로 구현된 워크로드를
실행할 수 있도록, 쿠버네티스는 윈도우 워커 노드를 지원한다.
쿠버네티스에서의 윈도우에서 상세 사항을 확인한다.
- 노드 스케일링: 클러스터가 최종적으로 필요로 하게 될 용량만큼
확장하는 것에 대한 계획이 있어야 한다.
실행해야 하는 파드 및 컨테이너 수에 따라 필요한 노드 수를 판별하려면
대형 클러스터에 대한 고려 사항을 확인한다.
만약 노드를 직접 관리한다면, 직접 물리적 장비를 구입하고 설치해야 할 수도 있음을 의미한다.
- 노드 자동 스케일링: 대부분의 클라우드 공급자는
비정상 노드를 교체하거나 수요에 따라 노드 수를 늘리거나 줄일 수 있도록
클러스터 오토스케일러를 지원한다.
자주 묻는 질문에서
오토스케일러가 어떻게 동작하는지,
배치 섹션에서
각 클라우드 공급자별로 어떻게 구현했는지를 확인한다.
온프레미스의 경우, 필요에 따라 새 노드를 가동하도록
스크립트를 구성할 수 있는 가상화 플랫폼이 있다.
- 노드 헬스 체크 구성: 중요한 워크로드의 경우,
해당 노드에서 실행 중인 노드와 파드의 상태가 정상인지 확인하고 싶을 것이다.
Node Problem Detector
데몬을 사용하면 노드가 정상인지 확인할 수 있다.
프로덕션 사용자 관리
프로덕션에서는, 클러스터를 한 명 또는 여러 명이 사용하던 모델에서
수십에서 수백 명이 사용하는 모델로 바꿔야 하는 경우가 발생할 수 있다.
학습 환경 또는 플랫폼 프로토타입에서는 모든 작업에 대한 단일 관리 계정으로도
충분할 수 있다. 프로덕션에서는 여러 네임스페이스에 대한, 액세스 수준이
각각 다른 더 많은 계정이 필요하다.
프로덕션 수준의 클러스터를 사용한다는 것은
다른 사용자의 액세스를 선택적으로 허용할 방법을 결정하는 것을 의미한다.
특히 클러스터에 액세스를 시도하는 사용자의 신원을 확인(인증, authentication)하고
요청한 작업을 수행할 권한이 있는지 결정(인가, authorization)하기 위한
다음과 같은 전략을 선택해야 한다.
- 인증: apiserver는 클라이언트 인증서, 전달자 토큰, 인증 프록시 또는
HTTP 기본 인증을 사용하여 사용자를 인증할 수 있다.
사용자는 인증 방법을 선택하여 사용할 수 있다.
apiserver는 또한 플러그인을 사용하여
LDAP 또는 Kerberos와 같은 조직의 기존 인증 방법을 활용할 수 있다.
쿠버네티스 사용자를 인증하는 다양한 방법에 대한 설명은
인증을 참조한다.
- 인가: 일반 사용자 인가를 위해, RBAC 와 ABAC 중 하나를 선택하여 사용할 수 있다. 인가 개요에서 사용자 계정과 서비스 어카운트 인가를 위한 여러 가지 모드를 확인할 수 있다.
- 역할 기반 접근 제어 (RBAC): 인증된 사용자에게 특정 권한 집합을 허용하여 클러스터에 대한 액세스를 할당할 수 있다. 특정 네임스페이스(Role) 또는 전체 클러스터(ClusterRole)에 권한을 할당할 수 있다. 그 뒤에 RoleBindings 및 ClusterRoleBindings를 사용하여 해당 권한을 특정 사용자에게 연결할 수 있다.
- 속성 기반 접근 제어 (ABAC): 클러스터의 리소스 속성을 기반으로 정책을 생성하고 이러한 속성을 기반으로 액세스를 허용하거나 거부할 수 있다. 정책 파일의 각 줄은 버전 관리 속성(apiVersion 및 종류), 그리고 '대상(사용자 또는 그룹)', '리소스 속성', '비 리소스 속성(
/version
또는 /apis
)' 및 '읽기 전용'과 일치하는 사양 속성 맵을 식별한다. 자세한 내용은 예시를 참조한다.
프로덕션 쿠버네티스 클러스터에 인증과 인가를 설정할 때, 다음의 사항을 고려해야 한다.
- 인가 모드 설정: 쿠버네티스 API 서버(kube-apiserver)를 실행할 때,
--authorization-mode
플래그를 사용하여 인증 모드를 설정해야 한다.
예를 들어, (*/etc/kubernetes/manifests
*에 있는)
kube-adminserver.yaml
파일 안의 플래그를 Node,RBAC
으로 설정할 수 있다.
이렇게 하여 인증된 요청이 Node 인가와 RBAC 인가를 사용할 수 있게 된다.
- 사용자 인증서와 롤 바인딩 생성(RBAC을 사용하는 경우): RBAC 인증을 사용하는 경우,
사용자는 클러스터 CA가 서명한 CSR(CertificateSigningRequest)을 만들 수 있다.
그 뒤에 각 사용자에게 역할 및 ClusterRoles를 바인딩할 수 있다.
자세한 내용은
인증서 서명 요청을 참조한다.
- 속성을 포함하는 정책 생성(ABAC을 사용하는 경우): ABAC 인증을 사용하는 경우,
속성의 집합으로 정책을 생성하여, 인증된 사용자 또는 그룹이
특정 리소스(예: 파드), 네임스페이스, 또는 apiGroup에 접근할 수 있도록 한다.
예시에서
더 많은 정보를 확인한다.
- 어드미션 컨트롤러 도입 고려:
웹훅 토큰 인증은
API 서버를 통해 들어오는 요청의 인가에 사용할 수 있는 추가적인 방법이다.
웹훅 및 다른 인가 형식을 사용하려면 API 서버에
어드미션 컨트롤러를
추가해야 한다.
워크로드에 자원 제한 걸기
프로덕션 워크로드의 요구 사항이
쿠버네티스 컨트롤 플레인 안팎의 압박을 초래할 수 있다.
워크로드의 요구 사항을 충족하도록 클러스터를 구성할 때 다음 항목을 고려한다.
- 네임스페이스 제한 설정: 메모리, CPU와 같은 자원의 네임스페이스 별 쿼터를 설정한다.
메모리, CPU 와 API 리소스 관리에서
상세 사항을 확인한다.
계층적 네임스페이스를 설정하여
제한을 상속할 수도 있다.
- DNS 요청에 대한 대비: 워크로드가 대규모로 확장될 것으로 예상된다면,
DNS 서비스도 확장할 준비가 되어 있어야 한다.
클러스터의 DNS 서비스 오토스케일링을 확인한다.
- 추가적인 서비스 어카운트 생성: 사용자 계정은 클러스터에서 사용자가 무엇을 할 수 있는지 결정하는 반면에,
서비스 어카운트는 특정 네임스페이스 내의 파드 접근 권한을 결정한다.
기본적으로, 파드는 자신의 네임스페이스의 기본 서비스 어카운트을 이용한다.
서비스 어카운트 관리하기에서
새로운 서비스 어카운트을 생성하는 방법을 확인한다. 예를 들어, 다음의 작업을 할 수 있다.
다음 내용
2.1 - 컨테이너 런타임
파드가 노드에서 실행될 수 있도록 클러스터의 각 노드에
컨테이너 런타임을
설치해야 한다. 이 페이지에서는 관련된 항목을 설명하고
노드 설정 관련 작업을 설명한다.
이 페이지에는 리눅스 환경의 쿠버네티스에서 여러 공통 컨테이너 런타임을 사용하는 방법에 대한
세부 정보가 있다.
참고: 다른 운영 체제의 경우, 해당 플랫폼과 관련된 문서를 찾아보자.
cgroup 드라이버
Control group은 프로세스에 할당된 리소스를 제한하는데 사용된다.
리눅스 배포판의 init 시스템이 systemd인
경우, init 프로세스는 root control group(cgroup
)을
생성 및 사용하는 cgroup 관리자로 작동한다.
Systemd는 cgroup과의 긴밀한 통합을 통해 프로세스당 cgroup을 할당한다.
컨테이너 런타임과 kubelet이 cgroupfs
를 사용하도록 설정할 수 있다. systemd와 함께
cgroupfs
를 사용하면 두 개의 서로 다른 cgroup 관리자가 존재하게 된다는 뜻이다.
단일 cgroup 관리자는 할당되는 리소스가 무엇인지를 단순화하고,
기본적으로 사용할 수 있는 리소스와 사용 중인 리소스를 일관성있게 볼 수 있다.
시스템에 두 개의 cgroup 관리자가 있으면, 이런 리소스도 두 개의 관점에서 보게 된다.
현장에서 사람들은 kubelet과 도커에 cgroupfs
를 사용하고,
나머지 프로세스는 systemd
를 사용하도록 노드가 설정된 경우, 리소스가 부족할 때
불안정해지는 사례를 보고했다.
컨테이너 런타임과 kubelet이 systemd
를 cgroup 드라이버로 사용하도록 설정을 변경하면
시스템이 안정화된다. 도커에 대해 구성하려면, native.cgroupdriver=systemd
를 설정한다.
주의: 클러스터에 결합되어 있는 노드의 cgroup 관리자를 변경하는 것은 신중하게 수행해야 한다.
하나의 cgroup 드라이버의 의미를 사용하여 kubelet이 파드를 생성해왔다면,
컨테이너 런타임을 다른 cgroup 드라이버로 변경하는 것은 존재하는 기존 파드에 대해 파드 샌드박스 재생성을 시도할 때, 에러가 발생할 수 있다.
kubelet을 재시작하는 것은 에러를 해결할 수 없을 것이다.
자동화가 가능하다면, 업데이트된 구성을 사용하여 노드를 다른 노드로
교체하거나, 자동화를 사용하여 다시 설치한다.
cgroup v2
cgroup v2는 cgroup Linux API의 다음 버전이다.
cgroup v1과는 다르게 각 컨트롤러마다 다른 계층 대신 단일 계층이 있다.
새 버전은 cgroup v1에 비해 몇 가지 향상된 기능을 제공하며, 개선 사항 중 일부는 다음과 같다.
- API를 더 쉽고 깔끔하게 사용할 수 있음
- 컨테이너로의 안전한 하위 트리 위임
- 압력 중지 정보와 같은 새로운 기능
일부 컨트롤러는 cgroup v1에 의해 관리되고 다른 컨트롤러는 cgroup v2에 의해 관리되는 하이브리드 구성을 지원하더라도,
쿠버네티스는 모든 컨트롤러를 관리하기 위해
동일한 cgroup 버전만 지원한다.
systemd가 기본적으로 cgroup v2를 사용하지 않는 경우, 커널 명령줄에 systemd.unified_cgroup_hierarchy=1
을
추가하여 cgroup v2를 사용하도록 시스템을 구성할 수 있다.
# dnf install -y grubby && \
sudo grubby \
--update-kernel=ALL \
--args="systemd.unified_cgroup_hierarchy=1"
구성을 적용하려면 노드를 재부팅해야 한다.
cgroup v2로 전환할 때 사용자가 노드 또는 컨테이너 내에서
cgroup 파일 시스템에 직접 접근하지 않는 한 사용자 경험에 현저한 차이가 없어야 한다.
cgroup v2를 사용하려면 CRI 런타임에서도 cgroup v2를 지원해야 한다.
kubeadm으로 생성한 클러스터의 드라이버를 systemd
로 변경하기
kubeadm으로 생성한 클러스터의 cgroup 드라이버를 systemd
로 변경하려면
변경 가이드를 참고한다.
컨테이너 런타임
참고:
이 섹션은 쿠버네티스에 필요한 기능을 제공하는 써드파티 프로젝트와 관련이 있다. 쿠버네티스 프로젝트 작성자는 써드파티 프로젝트에 책임이 없다. 이 페이지는
CNCF 웹사이트 가이드라인에 따라 프로젝트를 알파벳 순으로 나열한다. 이 목록에 프로젝트를 추가하려면 변경사항을 제출하기 전에
콘텐츠 가이드를 읽어본다.
containerd
이 섹션에는 containerd 를 CRI 런타임으로 사용하는 데 필요한 단계가 포함되어 있다.
필수 구성 요소를 설치 및 구성한다.
cat <<EOF | sudo tee /etc/modules-load.d/containerd.conf
overlay
br_netfilter
EOF
sudo modprobe overlay
sudo modprobe br_netfilter
# 필요한 sysctl 파라미터를 설정하면 재부팅 후에도 유지된다.
cat <<EOF | sudo tee /etc/sysctl.d/99-kubernetes-cri.conf
net.bridge.bridge-nf-call-iptables = 1
net.ipv4.ip_forward = 1
net.bridge.bridge-nf-call-ip6tables = 1
EOF
# 재부팅하지 않고 sysctl 파라미터 적용
sudo sysctl --system
containerd를 설치한다.
-
공식 도커 리포지터리에서 containerd.io
패키지를 설치한다.
각 리눅스 배포판에 대한 도커 리포지터리를 설정하고
containerd.io
패키지를 설치하는 방법은
도커 엔진 설치에서 찾을 수 있다.
-
containerd 설정
sudo mkdir -p /etc/containerd
containerd config default | sudo tee /etc/containerd/config.toml
-
containerd 재시작
sudo systemctl restart containerd
PowerShell 세션을 시작하고 $Version
을 원하는 버전으로
설정(예: $Version:1.4.3
)한 후 다음 명령을 실행한다.
-
containerd 다운로드
curl.exe -L https://github.com/containerd/containerd/releases/download/v$Version/containerd-$Version-windows-amd64.tar.gz -o containerd-windows-amd64.tar.
gz
tar.exe xvf .\containerd-windows-amd64.tar.gz
2. 추출과 설정
```powershell
Copy-Item -Path ".\bin\" -Destination "$Env:ProgramFiles\containerd" -Recurse -Force
cd $Env:ProgramFiles\containerd\
.\containerd.exe config default | Out-File config.toml -Encoding ascii
# 설정을 검토한다. 설정에 따라 다음을 조정할 수 있다.
# - sandbox_image (쿠버네티스 일시중지 이미지)
# - cni bin 폴더와 conf 폴더 위치
Get-Content config.toml
# (선택사항 - 그러나 적극 권장함) Windows 디펜더 검사에서 containerd 제외
Add-MpPreference -ExclusionProcess "$Env:ProgramFiles\containerd\containerd.exe"
-
containerd 실행
.\containerd.exe --register-service
Start-Service containerd
systemd
cgroup 드라이버의 사용
/etc/containerd/config.toml
의 systemd
cgroup 드라이버를 runc
에서 사용하려면, 다음과 같이 설정한다.
[plugins."io.containerd.grpc.v1.cri".containerd.runtimes.runc]
...
[plugins."io.containerd.grpc.v1.cri".containerd.runtimes.runc.options]
SystemdCgroup = true
이 변경 사항을 적용하는 경우 containerd를 재시작한다.
sudo systemctl restart containerd
kubeadm을 사용하는 경우,
kubelet용 cgroup 드라이버를 수동으로 구성한다.
CRI-O
이 섹션은 CRI-O를 컨테이너 런타임으로 설치하는 필수적인 단계를 담고 있다.
시스템에 CRI-O를 설치하기 위해서 다음의 커맨드를 사용한다.
참고: CRI-O 메이저와 마이너 버전은 쿠버네티스 메이저와 마이너 버전이 일치해야 한다.
더 자세한 정보는
CRI-O 호환 매트릭스를 본다.
필수 구성 요소를 설치하고 구성한다.
# .conf 파일을 만들어 부팅 시 모듈을 로드한다
cat <<EOF | sudo tee /etc/modules-load.d/crio.conf
overlay
br_netfilter
EOF
sudo modprobe overlay
sudo modprobe br_netfilter
# 요구되는 sysctl 파라미터 설정, 이 설정은 재부팅 간에도 유지된다.
cat <<EOF | sudo tee /etc/sysctl.d/99-kubernetes-cri.conf
net.bridge.bridge-nf-call-iptables = 1
net.ipv4.ip_forward = 1
net.bridge.bridge-nf-call-ip6tables = 1
EOF
sudo sysctl --system
다음의 운영 체제에서 CRI-O를 설치하려면, 환경 변수 OS
를
아래의 표에서 적절한 필드로 설정한다.
운영 체제 |
$OS |
Debian Unstable |
Debian_Unstable |
Debian Testing |
Debian_Testing |
그런 다음, $VERSION
을 사용자의 쿠버네티스 버전과 일치하는 CRI-O 버전으로 설정한다.
예를 들어, CRI-O 1.20을 설치하려면, VERSION=1.20
로 설정한다.
사용자의 설치를 특정 릴리스에 고정할 수 있다.
버전 1.20.0을 설치하려면, VERSION=1.20:1.20.0
을 설정한다.
그런 다음, 아래를 실행한다.
cat <<EOF | sudo tee /etc/apt/sources.list.d/devel:kubic:libcontainers:stable.list
deb https://download.opensuse.org/repositories/devel:/kubic:/libcontainers:/stable/$OS/ /
EOF
cat <<EOF | sudo tee /etc/apt/sources.list.d/devel:kubic:libcontainers:stable:cri-o:$VERSION.list
deb http://download.opensuse.org/repositories/devel:/kubic:/libcontainers:/stable:/cri-o:/$VERSION/$OS/ /
EOF
curl -L https://download.opensuse.org/repositories/devel:kubic:libcontainers:stable:cri-o:$VERSION/$OS/Release.key | sudo apt-key --keyring /etc/apt/trusted.gpg.d/libcontainers.gpg add -
curl -L https://download.opensuse.org/repositories/devel:/kubic:/libcontainers:/stable/$OS/Release.key | sudo apt-key --keyring /etc/apt/trusted.gpg.d/libcontainers.gpg add -
sudo apt-get update
sudo apt-get install cri-o cri-o-runc
다음의 운영 체제에서 CRI-O를 설치하려면, 환경 변수 OS
를
아래의 표에서 적절한 필드로 설정한다.
운영 체제 |
$OS |
Ubuntu 20.04 |
xUbuntu_20.04 |
Ubuntu 19.10 |
xUbuntu_19.10 |
Ubuntu 19.04 |
xUbuntu_19.04 |
Ubuntu 18.04 |
xUbuntu_18.04 |
그런 다음, $VERSION
을 사용자의 쿠버네티스 버전과 일치하는 CRI-O 버전으로 설정한다.
예를 들어, CRI-O 1.20을 설치하려면, VERSION=1.20
로 설정한다.
사용자의 설치를 특정 릴리스에 고정할 수 있다.
버전 1.20.0을 설치하려면, VERSION=1.20:1.20.0
을 설정한다.
그런 다음, 아래를 실행한다.
cat <<EOF | sudo tee /etc/apt/sources.list.d/devel:kubic:libcontainers:stable.list
deb https://download.opensuse.org/repositories/devel:/kubic:/libcontainers:/stable/$OS/ /
EOF
cat <<EOF | sudo tee /etc/apt/sources.list.d/devel:kubic:libcontainers:stable:cri-o:$VERSION.list
deb http://download.opensuse.org/repositories/devel:/kubic:/libcontainers:/stable:/cri-o:/$VERSION/$OS/ /
EOF
curl -L https://download.opensuse.org/repositories/devel:/kubic:/libcontainers:/stable/$OS/Release.key | sudo apt-key --keyring /etc/apt/trusted.gpg.d/libcontainers.gpg add -
curl -L https://download.opensuse.org/repositories/devel:kubic:libcontainers:stable:cri-o:$VERSION/$OS/Release.key | sudo apt-key --keyring /etc/apt/trusted.gpg.d/libcontainers-cri-o.gpg add -
apt-get update
apt-get install cri-o cri-o-runc
다음의 운영 체제에서 CRI-O를 설치하려면, 환경 변수 OS
를
아래의 표에서 적절한 필드로 설정한다.
운영 체제 |
$OS |
Centos 8 |
CentOS_8 |
Centos 8 Stream |
CentOS_8_Stream |
Centos 7 |
CentOS_7 |
그런 다음, $VERSION
을 사용자의 쿠버네티스 버전과 일치하는 CRI-O 버전으로 설정한다.
예를 들어, CRI-O 1.20을 설치하려면, VERSION=1.20
로 설정한다.
사용자의 설치를 특정 릴리스에 고정할 수 있다.
버전 1.20.0을 설치하려면, VERSION=1.20:1.20.0
을 설정한다.
그런 다음, 아래를 실행한다.
sudo curl -L -o /etc/yum.repos.d/devel:kubic:libcontainers:stable.repo https://download.opensuse.org/repositories/devel:/kubic:/libcontainers:/stable/$OS/devel:kubic:libcontainers:stable.repo
sudo curl -L -o /etc/yum.repos.d/devel:kubic:libcontainers:stable:cri-o:$VERSION.repo https://download.opensuse.org/repositories/devel:kubic:libcontainers:stable:cri-o:$VERSION/$OS/devel:kubic:libcontainers:stable:cri-o:$VERSION.repo
sudo yum install cri-o
sudo zypper install cri-o
$VERSION
을 사용자의 쿠버네티스 버전과 일치하는 CRI-O 버전으로 설정한다.
예를 들어, CRI-O 1.20을 설치하려면, VERSION=1.20
로 설정한다.
사용할 수 있는 버전을 찾으려면 다음을 실행한다.
sudo dnf module list cri-o
CRI-O는 Fedora에서 특정 릴리스를 고정하여 설치하는 방법은 지원하지 않는다.
그런 다음, 아래를 실행한다.
sudo dnf module enable cri-o:$VERSION
sudo dnf install cri-o
CRI-O를 시작한다.
sudo systemctl daemon-reload
sudo systemctl enable crio --now
자세한 사항은 CRI-O 설치 가이드를
참고한다.
cgroup 드라이버
CRI-O는 기본적으로 systemd cgroup 드라이버를 사용한다. cgroupfs
cgroup 드라이버로
전환하려면, /etc/crio/crio.conf
를 수정하거나 /etc/crio/crio.conf.d/02-cgroup-manager.conf
에
드롭-인(drop-in) 구성을 배치한다. 예를 들면, 다음과 같다.
[crio.runtime]
conmon_cgroup = "pod"
cgroup_manager = "cgroupfs"
또한 cgroupfs
와 함께 CRI-O를 사용할 때 pod
값으로 설정해야 하는
변경된 conmon_cgroup
에 유의한다. 일반적으로 kubelet(일반적으로 kubeadm을 통해 수행됨)과
CRI-O의 cgroup 드라이버 구성을 동기화 상태로
유지해야 한다.
도커
-
각 노드에서 도커 엔진 설치에 따라
리눅스 배포판용 도커를 설치한다.
이 의존성 파일에서
검증된 최신 버전의 도커를 찾을 수 있다.
-
특히 컨테이너의 cgroup 관리에 systemd를 사용하도록 도커 데몬을 구성한다.
sudo mkdir /etc/docker
cat <<EOF | sudo tee /etc/docker/daemon.json
{
"exec-opts": ["native.cgroupdriver=systemd"],
"log-driver": "json-file",
"log-opts": {
"max-size": "100m"
},
"storage-driver": "overlay2"
}
EOF
참고: overlay2
는 리눅스 커널 4.0 이상 또는 3.10.0-514 버전 이상을 사용하는 RHEL
또는 CentOS를 구동하는 시스템에서 선호하는 스토리지 드라이버이다.
-
도커 재시작과 부팅시 실행되게 설정
sudo systemctl enable docker
sudo systemctl daemon-reload
sudo systemctl restart docker
2.2 - 배포 도구로 쿠버네티스 설치하기
2.2.1 - kubeadm으로 클러스터 구성하기
2.2.1.1 - kubeadm 설치하기
이 페이지에서는 kubeadm
툴박스 설치 방법을 보여준다.
이 설치 프로세스를 수행한 후 kubeadm으로 클러스터를 만드는 방법에 대한 자세한 내용은 kubeadm을 사용하여 클러스터 생성하기 페이지를 참고한다.
시작하기 전에
- 호환되는 리눅스 머신. 쿠버네티스 프로젝트는 데비안 기반 배포판, 레드햇 기반 배포판, 그리고 패키지 매니저를 사용하지 않는 경우에 대한 일반적인 가이드를 제공한다.
- 2 GB 이상의 램을 장착한 머신. (이 보다 작으면 사용자의 앱을 위한 공간이 거의 남지 않음)
- 2 이상의 CPU.
- 클러스터의 모든 머신에 걸친 전체 네트워크 연결. (공용 또는 사설 네트워크면 괜찮음)
- 모든 노드에 대해 고유한 호스트 이름, MAC 주소 및 product_uuid. 자세한 내용은 여기를 참고한다.
- 컴퓨터의 특정 포트들 개방. 자세한 내용은 여기를 참고한다.
- 스왑의 비활성화. kubelet이 제대로 작동하게 하려면 반드시 스왑을 사용하지 않도록 설정한다.
MAC 주소 및 product_uuid가 모든 노드에 대해 고유한지 확인
- 사용자는
ip link
또는 ifconfig -a
명령을 사용하여 네트워크 인터페이스의 MAC 주소를 확인할 수 있다.
- product_uuid는
sudo cat /sys/class/dmi/id/product_uuid
명령을 사용하여 확인할 수 있다.
일부 가상 머신은 동일한 값을 가질 수 있지만 하드웨어 장치는 고유한 주소를 가질
가능성이 높다. 쿠버네티스는 이러한 값을 사용하여 클러스터의 노드를 고유하게 식별한다.
이러한 값이 각 노드에 고유하지 않으면 설치 프로세스가
실패할 수 있다.
네트워크 어댑터 확인
네트워크 어댑터가 두 개 이상이고, 쿠버네티스 컴포넌트가 디폴트 라우트(default route)에서 도달할 수 없는
경우, 쿠버네티스 클러스터 주소가 적절한 어댑터를 통해 이동하도록 IP 경로를 추가하는 것이 좋다.
iptables가 브리지된 트래픽을 보게 하기
br_netfilter
모듈이 로드되었는지 확인한다. lsmod | grep br_netfilter
를 실행하면 된다. 명시적으로 로드하려면 sudo modprobe br_netfilter
를 실행한다.
리눅스 노드의 iptables가 브리지된 트래픽을 올바르게 보기 위한 요구 사항으로, sysctl
구성에서 net.bridge.bridge-nf-call-iptables
가 1로 설정되어 있는지 확인해야 한다. 다음은 예시이다.
cat <<EOF | sudo tee /etc/modules-load.d/k8s.conf
br_netfilter
EOF
cat <<EOF | sudo tee /etc/sysctl.d/k8s.conf
net.bridge.bridge-nf-call-ip6tables = 1
net.bridge.bridge-nf-call-iptables = 1
EOF
sudo sysctl --system
자세한 내용은 네트워크 플러그인 요구 사항 페이지를 참고한다.
필수 포트 확인
필수 포트들은
쿠버네티스 컴포넌트들이 서로 통신하기 위해서 열려 있어야
한다. 다음과 같이 telnet 명령을 이용하여 포트가 열려 있는지 확인해 볼 수 있다.
사용자가 사용하는 파드 네트워크 플러그인(아래 참조)은 특정 포트를 열어야 할 수도
있다. 이것은 각 파드 네트워크 플러그인마다 다르므로, 필요한 포트에 대한
플러그인 문서를 참고한다.
런타임 설치
파드에서 컨테이너를 실행하기 위해, 쿠버네티스는
컨테이너 런타임을 사용한다.
기본적으로, 쿠버네티스는
컨테이너 런타임 인터페이스(CRI)를
사용하여 사용자가 선택한 컨테이너 런타임과 인터페이스한다.
런타임을 지정하지 않으면, kubeadm은 잘 알려진 유닉스 도메인 소켓 목록을 검색하여
설치된 컨테이너 런타임을 자동으로 감지하려고 한다.
다음 표에는 컨테이너 런타임 및 관련 소켓 경로가 나열되어 있다.
컨테이너 런타임과 소켓 경로
런타임 |
유닉스 도메인 소켓 경로 |
도커 |
/var/run/dockershim.sock |
containerd |
/run/containerd/containerd.sock |
CRI-O |
/var/run/crio/crio.sock |
도커와 containerd가 모두 감지되면 도커가 우선시된다. 이것이 필요한 이유는 도커 18.09에서
도커만 설치한 경우에도 containerd와 함께 제공되므로 둘 다 감지될 수 있기
때문이다.
다른 두 개 이상의 런타임이 감지되면, kubeadm은 오류와 함께 종료된다.
kubelet은 빌트인 dockershim
CRI 구현을 통해 도커와 통합된다.
자세한 내용은 컨테이너 런타임을
참고한다.
기본적으로, kubeadm은 컨테이너 런타임으로 도커(Docker)를 사용한다.
kubelet은 빌트인 dockershim
CRI 구현을 통해 도커와 통합된다.
자세한 내용은 컨테이너 런타임을
참고한다.
kubeadm, kubelet 및 kubectl 설치
모든 머신에 다음 패키지들을 설치한다.
-
kubeadm
: 클러스터를 부트스트랩하는 명령이다.
-
kubelet
: 클러스터의 모든 머신에서 실행되는 파드와 컨테이너 시작과
같은 작업을 수행하는 컴포넌트이다.
-
kubectl
: 클러스터와 통신하기 위한 커맨드 라인 유틸리티이다.
kubeadm은 kubelet
또는 kubectl
을 설치하거나 관리하지 않으므로, kubeadm이
설치하려는 쿠버네티스 컨트롤 플레인의 버전과 일치하는지
확인해야 한다. 그렇지 않으면, 예상치 못한 버그 동작으로 이어질 수 있는
버전 차이(skew)가 발생할 위험이 있다. 그러나, kubelet과 컨트롤 플레인 사이에 하나의
마이너 버전 차이가 지원되지만, kubelet 버전은 API 서버 버전 보다
높을 수 없다. 예를 들어, 1.7.0 버전의 kubelet은 1.8.0 API 서버와 완전히 호환되어야 하지만,
그 반대의 경우는 아니다.
kubectl
설치에 대한 정보는 kubectl 설치 및 설정을 참고한다.
경고: 이 지침은 모든 시스템 업그레이드에서 모든 쿠버네티스 패키지를 제외한다.
이는 kubeadm 및 쿠버네티스를
업그레이드 하는 데 특별한 주의가 필요하기 때문이다.
버전 차이에 대한 자세한 내용은 다음을 참고한다.
-
apt
패키지 색인을 업데이트하고, 쿠버네티스 apt
리포지터리를 사용하는 데 필요한 패키지를 설치한다.
sudo apt-get update
sudo apt-get install -y apt-transport-https ca-certificates curl
-
구글 클라우드의 공개 사이닝 키를 다운로드 한다.
sudo curl -fsSLo /usr/share/keyrings/kubernetes-archive-keyring.gpg https://packages.cloud.google.com/apt/doc/apt-key.gpg
-
쿠버네티스 apt
리포지터리를 추가한다.
echo "deb [signed-by=/usr/share/keyrings/kubernetes-archive-keyring.gpg] https://apt.kubernetes.io/ kubernetes-xenial main" | sudo tee /etc/apt/sources.list.d/kubernetes.list
-
apt
패키지 색인을 업데이트하고, kubelet, kubeadm, kubectl을 설치하고 해당 버전을 고정한다.
sudo apt-get update
sudo apt-get install -y kubelet kubeadm kubectl
sudo apt-mark hold kubelet kubeadm kubectl
cat <<EOF | sudo tee /etc/yum.repos.d/kubernetes.repo
[kubernetes]
name=Kubernetes
baseurl=https://packages.cloud.google.com/yum/repos/kubernetes-el7-\$basearch
enabled=1
gpgcheck=1
repo_gpgcheck=1
gpgkey=https://packages.cloud.google.com/yum/doc/yum-key.gpg https://packages.cloud.google.com/yum/doc/rpm-package-key.gpg
exclude=kubelet kubeadm kubectl
EOF
# permissive 모드로 SELinux 설정(효과적으로 비활성화)
sudo setenforce 0
sudo sed -i 's/^SELINUX=enforcing$/SELINUX=permissive/' /etc/selinux/config
sudo yum install -y kubelet kubeadm kubectl --disableexcludes=kubernetes
sudo systemctl enable --now kubelet
참고:
-
setenforce 0
및 sed ...
를 실행하여 permissive 모드로 SELinux를 설정하면 효과적으로 비활성화된다.
컨테이너가 호스트 파일시스템(예를 들어, 파드 네트워크에 필요한)에 접근하도록 허용하는 데 필요하다.
kubelet에서 SELinux 지원이 개선될 때까지 이 작업을 수행해야 한다.
-
구성 방법을 알고 있는 경우 SELinux를 활성화된 상태로 둘 수 있지만 kubeadm에서 지원하지 않는 설정이 필요할 수 있다.
CNI 플러그인 설치(대부분의 파드 네트워크에 필요)
CNI_VERSION="v0.8.2"
ARCH="amd64"
sudo mkdir -p /opt/cni/bin
curl -L "https://github.com/containernetworking/plugins/releases/download/${CNI_VERSION}/cni-plugins-linux-${ARCH}-${CNI_VERSION}.tgz" | sudo tar -C /opt/cni/bin -xz
명령어 파일을 다운로드할 디렉터리 정의
참고: DOWNLOAD_DIR
변수는 쓰기 가능한 디렉터리로 설정되어야 한다.
Flatcar Container Linux를 실행 중인 경우, DOWNLOAD_DIR=/opt/bin
을 설정한다.
DOWNLOAD_DIR=/usr/local/bin
sudo mkdir -p $DOWNLOAD_DIR
crictl 설치(kubeadm / Kubelet 컨테이너 런타임 인터페이스(CRI)에 필요)
CRICTL_VERSION="v1.22.0"
ARCH="amd64"
curl -L "https://github.com/kubernetes-sigs/cri-tools/releases/download/${CRICTL_VERSION}/crictl-${CRICTL_VERSION}-linux-${ARCH}.tar.gz" | sudo tar -C $DOWNLOAD_DIR -xz
kubeadm
, kubelet
, kubectl
설치 및 kubelet
systemd 서비스 추가
RELEASE="$(curl -sSL https://dl.k8s.io/release/stable.txt)"
ARCH="amd64"
cd $DOWNLOAD_DIR
sudo curl -L --remote-name-all https://storage.googleapis.com/kubernetes-release/release/${RELEASE}/bin/linux/${ARCH}/{kubeadm,kubelet,kubectl}
sudo chmod +x {kubeadm,kubelet,kubectl}
RELEASE_VERSION="v0.4.0"
curl -sSL "https://raw.githubusercontent.com/kubernetes/release/${RELEASE_VERSION}/cmd/kubepkg/templates/latest/deb/kubelet/lib/systemd/system/kubelet.service" | sed "s:/usr/bin:${DOWNLOAD_DIR}:g" | sudo tee /etc/systemd/system/kubelet.service
sudo mkdir -p /etc/systemd/system/kubelet.service.d
curl -sSL "https://raw.githubusercontent.com/kubernetes/release/${RELEASE_VERSION}/cmd/kubepkg/templates/latest/deb/kubeadm/10-kubeadm.conf" | sed "s:/usr/bin:${DOWNLOAD_DIR}:g" | sudo tee /etc/systemd/system/kubelet.service.d/10-kubeadm.conf
kubelet
활성화 및 시작
systemctl enable --now kubelet
참고: Flatcar Container Linux 배포판은
/usr
디렉터리를 읽기 전용 파일시스템으로 마운트한다.
클러스터를 부트스트랩하기 전에, 쓰기 가능한 디렉터리를 구성하기 위한 추가 단계를 수행해야 한다.
쓰기 가능한 디렉터리를 설정하는 방법을 알아 보려면
Kubeadm 문제 해결 가이드를 참고한다.
kubelet은 이제 kubeadm이 수행할 작업을 알려 줄 때까지 크래시루프(crashloop) 상태로
기다려야 하므로 몇 초마다 다시 시작된다.
cgroup 드라이버 구성
컨테이너 런타임과 kubelet은
"cgroup 드라이버"라는 속성을 갖고 있으며,
cgroup 드라이버는 리눅스 머신의 cgroup 관리 측면에 있어서 중요하다.
경고: 컨테이너 런타임과 kubelet의 cgroup 드라이버를 일치시켜야 하며, 그렇지 않으면 kubelet 프로세스에 오류가 발생한다.
더 자세한 사항은 cgroup 드라이버 설정하기를 참고한다.
문제 해결
kubeadm에 문제가 있는 경우, 문제 해결 문서를 참고한다.
다음 내용
2.2.1.2 - kubeadm API로 컴포넌트 사용자 정의하기
이 페이지는 kubeadm이 배포하는 컴포넌트(component)들을 사용자 정의하는 방법을 다룬다. 컨트롤 플레인 컴포넌트에
대해서는 Cluster Configuration
구조에서 플래그를 사용하거나 노드당 패치를 사용할 수 있다. kubelet과
kube-proxy의 경우, KubeletConfiguration
과 KubeProxyConfiguration
을 각각 사용할 수 있다.
이 모든 옵션이 kubeadm 구성 API를 통해 가용하다.
구성의 각 필드 상세 사항은
API 참조 페이지에서 찾아볼 수 있다.
참고: kubeadm의 CoreDNS 디플로이먼트 사용자 정의는 현재 제공되지 않는다.
kube-system/coredns
컨피그맵을 수동으로
패치하고, 그 이후에 CoreDNS
파드를 다시 생성해야 한다. 또는,
기본 CoreDNS 디플로이먼트를 생략하고 자체 변형(variant)을 배포할 수 있다.
더 자세한 사항은
kubeadm에서 초기화 단계 사용하기을 참고한다.
FEATURE STATE: Kubernetes v1.12 [stable]
ClusterConfiguration
의 플래그로 컨트롤 플레인 사용자 정의하기
kubeadm의 ClusterConfiguration
오브젝트는 API 서버, 컨트롤러매니저, 스케줄러, Etcd와 같은 컨트롤 플레인 컴포넌트에 전달되는
기본 플래그를 사용자가 덮어쓸 수 있도록 노출한다.
이 컴포넌트는 다음 구조체를 사용하여 정의된다.
apiServer
controllerManager
scheduler
etcd
이 구조체들은 공통 필드인 extraArgs
를 포함하며, 이 필드는 키: 값
쌍으로 구성된다.
컨트롤 플레인 컴포넌트를 위한 플래그를 덮어쓰려면 다음을 수행한다.
- 사용자 구성에 적절한
extraArgs
필드를 추가한다.
extraArgs
필드에 플래그를 추가한다.
kubeadm init
에 --config <CONFIG YAML 파일>
파라미터를 추가해서 실행한다.
참고: kubeadm config print init-defaults
를 실행하고 원하는 파일에 출력을
저장하여 기본값들로 구성된 ClusterConfiguration
오브젝트를 생성할 수 있다.
참고: ClusterConfiguration
오브젝트는 현재 kubeadm 클러스터에서 전역(global)으로 사용된다. 즉, 사용자가 추가하는 모든 플래그는
다른 노드에 있는 동일한 컴포넌트에도 모두 적용될 것이다. 다른 노드에서
컴포넌트별로 개별 구성을 적용하려면
패치를 사용하면 된다.
참고: 플래그(키)를 복제하거나 동일한 플래그
--foo
를 여러 번 전달하는 것은 현재 지원하지 않는다.
이 문제를 해결하려면
패치를 사용해야 한다.
APIServer 플래그
자세한 내용은 kube-apiserver 레퍼런스 문서를 확인한다.
사용 예시:
apiVersion: kubeadm.k8s.io/v1beta3
kind: ClusterConfiguration
kubernetesVersion: v1.16.0
apiServer:
extraArgs:
anonymous-auth: "false"
enable-admission-plugins: AlwaysPullImages,DefaultStorageClass
audit-log-path: /home/johndoe/audit.log
컨트롤러매니저 플래그
자세한 내용은 kube-controller-manager 레퍼런스 문서를 확인한다.
사용 예시:
apiVersion: kubeadm.k8s.io/v1beta3
kind: ClusterConfiguration
kubernetesVersion: v1.16.0
controllerManager:
extraArgs:
cluster-signing-key-file: /home/johndoe/keys/ca.key
deployment-controller-sync-period: "50"
스케줄러 플래그
자세한 내용은 kube-scheduler 레퍼런스 문서를 확인한다.
사용 예시:
apiVersion: kubeadm.k8s.io/v1beta3
kind: ClusterConfiguration
kubernetesVersion: v1.16.0
scheduler:
extraArgs:
config: /etc/kubernetes/scheduler-config.yaml
extraVolumes:
- name: schedulerconfig
hostPath: /home/johndoe/schedconfig.yaml
mountPath: /etc/kubernetes/scheduler-config.yaml
readOnly: true
pathType: "File"
Etcd 플래그
자세한 사항은 etcd 서버 문서를 확인한다.
사용 예시:
apiVersion: kubeadm.k8s.io/v1beta3
kind: ClusterConfiguration
etcd:
local:
extraArgs:
election-timeout: 1000
패치를 통해 컨트롤 플레인 사용자 정의하기
FEATURE STATE: Kubernetes v1.22 [beta]
Kubeadm을 사용하면 패치 파일이 있는 디렉토리를 개별 노드에 대한 InitConfiguration
과 JoinConfiguration
에
전달할 수 있다. 이 패치는 컨트롤 플레인 컴포넌트 메니패스트가 디스크에 기록되기 전에
최종 사용자 정의 단계로 사용될 수 있다.
--config <YOUR CONFIG YAML>
을 사용하여 이 파일을 kubeadm init
에 전달할 수 있다.
apiVersion: kubeadm.k8s.io/v1beta3
kind: InitConfiguration
nodeRegistration:
patches:
directory: /home/user/somedir
참고: kubeadm init
의 경우, ---
로 구분된 ClusterConfiguration
과 InitConfiguration
을 모두
포함하는 파일을 전달할 수 있다.
--config <YOUR CONFIG YAML>
을 사용하여 이 파일을 kubeadm join
에 전달할 수 있다.
apiVersion: kubeadm.k8s.io/v1beta3
kind: JoinConfiguration
nodeRegistration:
patches:
directory: /home/user/somedir
디렉토리는 target[suffix][+patchtype].extension
형태의 파일을 포함해야 한다.
예를 들면, kube-apiserver0+merge.yaml
또는 단순히 etcd.json
의 형태이다.
target
은 kube-apiserver
, kube-controller-manager
, kube-scheduler
그리고 etcd
중 하나가 될 수 있다.
patchtype
은 strategic
, merge
그리고 json
중 하나가 될 수 있으며
kubectl에서 지원하는 패치 형식을 준수해야 한다.
patchtype
의 기본값은 strategic
이다.
extension
은 json
또는 yaml
중 하나여야 한다.
suffix
는 어떤 패치가 먼저 적용되는지를 결정하는 데 사용할 수 있는 영숫자 형태의
선택적 문자열이다.
참고: kubeadm upgrade
를 사용하여 kubeadm 노드를 업그레이드하는 경우, 업그레이드 이후에도
사용자 정의를 유지하려면 동일한 패치를 다시 제공해야 한다. 이는 동일한 디렉토리로 지정된 --patches
플래그를 사용하여 처리할 수 있다. kubeadm upgrade
는 동일 목적으로 재사용할 수 있는 구성
API 구조를 현재는 지원하지 않는다.
kubelet 사용자 정의하기
kubelet을 사용자 정의하려면, KubeletConfiguration
을 동일한 구성 파일 내에서 ---
로 구분된 ClusterConfiguration
이나 InitConfiguration
다음에 추가하면
된다. 그런 다음 kubeadm init
에 해당 파일을 전달한다.
참고: kubeadm은 클러스터의 모든 노드에 동일한
KubeletConfiguration
을 적용한다. 노드별 설정을
적용하려면 kubelet 플래그를 덮어쓰기(overrides)로 사용하여,
InitConfiguration
및
JoinConfiguration
모두에서 지원되는
nodeRegistration.kubeletExtraArgs
에 전달할 수 있다.
일부 kubelet 플래그는 더 이상 사용되지 않는다(deprecated). 따라서 사용하기 전에
kubelet 참조 문서를 통해
상태를 확인해야 한다.
자세한 사항은 kubeadm을 통해 클러스터의 각 kubelet 구성하기에서 살펴본다.
kube-proxy 사용자 정의하기
kube-proxy를 사용자 정의하려면, KubeProxyConfiguration
을 ---
로 구분된 ClusterConfiguration
이나 InitConfiguration
다음에 두고 kubeadm init
에 전달하면 된다.
자세한 사항은 API 참조 페이지에서 살펴볼 수 있다.
참고: kubeadm은 kube-proxy를
데몬셋으로 배포한다. 이것은
KubeProxyConfiguration
이 클러스터의 모든 kube-proxy 인스턴스에 적용된다는 것을 의미한다.
2.2.1.3 - 고가용성 토폴로지 선택
이 페이지는 고가용성(HA) 쿠버네티스 클러스터의 토플로지를 구성하는 두 가지 선택 사항을 설명한다.
다음과 같이 HA 클러스터를 구성할 수 있다.
- etcd 노드와 컨트롤 플레인 노드를 함께 위치시키는 중첩된(stacked) 컨트롤 플레인 노드 방식
- etcd와 컨트롤 플레인이 분리된 노드에서 운영되는 외부 etcd 노드 방식
HA 클러스터를 구성하기 전에 각 토플로지의 장단점을 주의 깊게 고려해야 한다.
참고: kubeadm은 etcd 클러스터를 정적으로 부트스트랩한다. 자세한 내용은 etcd
클러스터 구성 가이드
를 읽는다.
중첩된 etcd 토플로지
중첩된 HA 클러스터는 etcd에서 제공하는 분산 데이터 저장소 클러스터를,
컨트롤 플레인 구성 요소를 실행하는 kubeadm으로 관리되는 노드에 의해서 형성된 클러스터 상단에
중첩하는 토플로지이다.
각 컨트롤 플레인 노드는 kube-apiserver
, kube-scheduler
, kube-controller-manager
인스턴스를 운영한다.
kube-apiserver
는 로드 밸런서를 이용하여 워커 노드에 노출되어 있다.
각 컨트롤 플레인 노드는 지역 etcd 맴버를 생성하고
이 etcd 맴버는 오직 해당 노드의 kube-apiserver
와 통신한다.
비슷한 방식이 지역의 kube-controller-manager
와 kube-scheduler
에도 적용된다.
이 토플로지는 컨트롤 플레인과 etcd 맴버가 같은 노드에 묶여 있다.
이는 외부 etcd 노드의 클러스터를 구성하는 것보다는 단순하며 복제 관리도 간단하다.
그러나 중첩된 클러스터는 커플링에 실패할 위험이 있다. 한 노드가 다운되면 etcd 맴버와 컨트롤 플레인을 모두 잃어버리고,
중복성도 손상된다. 더 많은 컨트롤 플레인 노드를 추가하여 이 위험을 완화할 수 있다.
그러므로 HA 클러스터를 위해 최소 3개인 중첩된 컨트롤 플레인 노드를 운영해야 한다.
이는 kubeadm의 기본 토플로지이다. 지역 etcd 맴버는
kubeadm init
와 kubeadm join --control-plane
을 이용할 때에 컨트롤 플레인 노드에 자동으로 생성된다.
외부 etcd 토플로지
외부 etcd를 이용하는 HA 클러스터는 etcd로 제공한 분산된 데이터 스토리지 클러스터가 컨트롤 플레인 구성 요소를 운영하는 노드로 형성하는 클러스터의 외부에 있는 토플로지이다.
중첩된 etcd 토플로지와 유사하게, 외부 etcd 토플로지에 각 컨트롤 플레인 노드는 kube-apiserver
, kube-scheduler
, kube-controller-manager
의 인스턴스를 운영한다. 그리고 kube-apiserver
는 로드 밸런서를 이용하여 워커노드에 노출한다. 그러나 etcd 맴버는 분리된 호스트에서 운영되고, 각 etcd 호스트는 각 컨트롤 플레인 노드의 kube-apiserver
와 통신한다.
이 토플로지는 컨트롤 플레인과 etcd 맴버를 분리한다. 이는 그러므로
컨트롤 플레인 인스턴스나 etcd 맴버를 잃는 충격이 덜하고,
클러스터 중복성에 있어 중첩된 HA 토플로지만큼 영향을 미치지 않는다.
그러나, 이 토플로지는 중첩된 토플로지에 비해 호스트 개수가 두배나 필요하다.
이 토플로지로 HA 클러스터를 구성하기 위해서는 최소한 3개의 컨트롤 플레인과 3개의 etcd 노드가 필요하다.
다음 내용
2.2.2 - Kops로 쿠버네티스 설치하기
이곳 빠른 시작에서는 사용자가 얼마나 쉽게 AWS에 쿠버네티스 클러스터를 설치할 수 있는지 보여준다.
kops
라는 이름의 툴을 이용할 것이다.
kops는 자동화된 프로비저닝 시스템인데,
- 완전 자동화된 설치
- DNS를 통해 클러스터들의 신원 확인
- 자체 복구: 모든 자원이 Auto-Scaling Groups에서 실행
- 다양한 OS 지원(Debian, Ubuntu 16.04 supported, CentOS & RHEL, Amazon Linux and CoreOS) - images.md 보기
- 고가용성 지원 - high_availability.md 보기
- 직접 프로비저닝 하거나 또는 할 수 있도록 terraform 매니페스트를 생성 - terraform.md 보기
시작하기 전에
클러스터 구축
(1/5) kops 설치
설치
releases page에서 kops를 다운로드한다(소스 코드로부터 빌드하는 것도 역시 편리하다).
최신 버전의 릴리스를 다운받는 명령어:
curl -LO https://github.com/kubernetes/kops/releases/download/$(curl -s https://api.github.com/repos/kubernetes/kops/releases/latest
| grep tag_name | cut -d '"' -f 4)/kops-darwin-amd64
특정 버전을 다운로드 받는다면 명령의 다음 부분을 특정 kops 버전으로 변경한다.
$(curl -s https://api.github.com/repos/kubernetes/kops/releases/latest | grep tag_name | cut -d '"' -f 4)
예를 들어 kops 버전을 v1.20.0을 다운로드 하려면 다음을 입력한다.
curl -LO https://github.com/kubernetes/kops/releases/download/v1.20.0/kops-darwin-amd64
kops 바이너리를 실행 가능하게 만든다.
chmod +x kops-darwin-amd64
kops 바이너리를 사용자의 PATH로 이동한다.
sudo mv kops-darwin-amd64 /usr/local/bin/kops
사용자는 Homebrew를 이용해서 kops를 설치할 수 있다.
brew update && brew install kops
최신 릴리스를 다운로드 받는 명령어:
curl -LO https://github.com/kubernetes/kops/releases/download/$(curl -s https://api.github.com/repos/kubernetes/kops/releases/latest | grep tag_name | cut -d '"' -f 4)/kops-linux-amd64
특정 버전의 kops를 다운로드하려면 명령의 다음 부분을 특정 kops 버전으로 변경한다.
$(curl -s https://api.github.com/repos/kubernetes/kops/releases/latest | grep tag_name | cut -d '"' -f 4)
예를 들어 kops 버전을 v1.20.0을 다운로드 하려면 다음을 입력한다.
curl -LO https://github.com/kubernetes/kops/releases/download/v1.20.0/kops-linux-amd64
kops 바이너리를 실행 가능하게 만든다.
chmod +x kops-linux-amd64
kops 바이너리를 사용자의 PATH로 이동한다.
sudo mv kops-linux-amd64 /usr/local/bin/kops
사용자는 Homebrew를 이용해서 kops를 설치할 수 있다.
brew update && brew install kops
(2/5) 클러스터에 사용할 route53 domain 생성
kops는 클러스터 내부와 외부 모두에서 검색을 위해 DNS을 사용하기에 클라이언트에서 쿠버네티스 API 서버에 연결할
수 있다.
이런 클러스터 이름에 kops는 명확한 견해을 가지는데: 반드시 유효한 DNS 이름이어야 한다. 이렇게 함으로써
사용자는 클러스터를 헷갈리지 않을것이고, 동료들과 혼선없이 공유할 수 있으며,
IP를 기억할 필요없이 접근할 수 있다.
그렇게 하고 있겠지만, 클러스터를 구분하기 위해 서브도메인을 활용할 수 있다. 예를 들어
useast1.dev.example.com
을 이용한다면, API 서버 엔드포인트는 api.useast1.dev.example.com
가 될 것이다.
Route53 hosted zone은 서브도메인도 지원한다. 여러분의 hosted zone은 useast1.dev.example.com
,
dev.example.com
그리고 example.com
같은 것도 될 수 있다. kops는 이것들 모두와 잘 동작하며,
사용자는 보통 조직적인 부분을 고려해 결정한다(예를 들어, 사용자가 dev.example.com
하위에 레코드를 생성하는것은 허용되지만,
example.com
하위에는 그렇지 않을 수 있다).
dev.example.com
을 hosted zone으로 사용하고 있다고 가정해보자.
보통 사용자는 일반적인 방법 에 따라 생성하거나
aws route53 create-hosted-zone --name dev.example.com --caller-reference 1
와 같은 커맨드를 이용한다.
그 후 도메인 내 레코드들을 확인할 수 있도록 상위 도메인내에 NS 레코드를 생성해야 한다. 여기서는,
dev
NS 레코드를 example.com
에 생성한다. 만약 이것이 루트 도메인 네임이라면 이 NS 레코드들은
도메인 등록기관을 통해서 생성해야 한다(예를 들어, example.com
는 example.com
를 구매한 곳에서 설정 할 수 있다).
route53 도메인 설정을 확인한다(문제를 만드는 가장 큰 이유이다!). dig 툴을 실행해서
클러스터 설정이 정확한지 한번 더 확인한다.
dig NS dev.example.com
당신의 hosted zone용으로 할당된 3~4개의 NS 레코드를 Route53에서 확인할 수 있어야 한다.
(3/5) 클러스터 상태 저장용 S3 버킷 생성
kops는 설치 이후에도 클러스터를 관리할 수 있다. 이를 위해 사용자가 생성한 클러스터의 상태나
사용하는 키 정보들을 지속적으로 추적해야 한다. 이 정보가 S3에 저장된다.
이 버킷의 접근은 S3 권한으로 제어한다.
다수의 클러스터는 동일한 S3 버킷을 이용할 수 있고, 사용자는 이 S3 버킷을 같은 클러스트를
운영하는 동료에게 공유할 수 있다. 하지만 이 S3 버킷에 접근 가능한 사람은 사용자의
모든 클러스터에 관리자 접근이 가능하게 되니, 운영팀 이외로
공유되지 않도록 해야 한다.
그래서 보통 한 운영팀 당 하나의 S3 버킷을 가지도록 하기도 한다.(그리고 종종 운영팀
이름은 위에서 언급한 hosted zone과 동일하게 짓기도 한다!)
우리 예제에서는, dev.example.com
를 hosted zone으로 했으니 clusters.dev.example.com
를
S3 버킷 이름으로 정하자.
-
AWS_PROFILE
를 선언한다. (AWS CLI 동작을 위해 다른 profile을 선택해야 할 경우)
-
aws s3 mb s3://clusters.dev.example.com
를 이용해 S3 버킷을 생성한다.
-
export KOPS_STATE_STORE=s3://clusters.dev.example.com
하면, kops는 이 위치를 기본값으로 인식할 것이다.
이 부분을 bash profile등에 넣어두는것을 권장한다.
(4/5) 클러스터 설정 구성
클러스터 설정하려면, kops create cluster
를 실행한다:
kops create cluster --zones=us-east-1c useast1.dev.example.com
kops는 클러스터에 사용될 설정을 생성할것이다. 여기서 주의할 점은 실제 클러스트 리소스가 아닌 설정
만을 생성한다는 것에 주의하자 - 이 부분은 다음 단계에서 kops update cluster
으로
구성해볼 것이다. 그 때 만들어진 설정을 점검하거나 변경할 수 있다.
더 자세한 내용을 알아보기 위한 커맨드가 출력된다.
- 클러스터 조회:
kops get cluster
- 클러스트 수정:
kops edit cluster useast1.dev.example.com
- 인스턴스 그룹 수정:
kops edit ig --name=useast1.dev.example.com nodes
- 마스터 인스턴스 그룹 수정:
kops edit ig --name=useast1.dev.example.com master-us-east-1c
만약 kops사용이 처음이라면, 얼마 걸리지 않으니 이들을 시험해 본다. 인스턴스 그룹은
쿠버네티스 노드로 등록된 인스턴스의 집합을 말한다. AWS상에서는 auto-scaling-groups를
통해 만들어진다. 사용자는 여러 개의 인스턴스 그룹을 관리할 수 있는데,
예를 들어, spot과 on-demand 인스턴스 조합 또는 GPU 와 non-GPU 인스턴스의 조합으로 구성할 수 있다.
(5/5) AWS에 클러스터 생성
kops update cluster
를 실행해 AWS에 클러스터를 생성한다.
kops update cluster useast1.dev.example.com --yes
실행은 수 초 만에 되지만, 실제로 클러스터가 준비되기 전까지 수 분이 걸릴 수 있다.
언제든 kops update cluster
로 클러스터 설정을 변경할 수 있다. 사용자가
변경한 클러스터 설정을 그대로 반영해 줄 것이며, 필요다하면 AWS 나 쿠버네티스를 재설정 해 줄것이다.
예를 들면, kops edit ig nodes
뒤에 kops update cluster --yes
를 실행해 설정을 반영한다.
그리고 kops rolling-update cluster
로 설정을 즉시 원복시킬 수 있다.
--yes
를 명시하지 않으면 kops update cluster
커맨드 후 어떤 설정이 변경될지가 표시된다.
운영계 클러스터 관리할 때 사용하기 좋다!
다른 애드온 탐험
애드온 리스트 에서 쿠버네티스 클러스터용 로깅, 모니터링, 네트워크 정책, 시각화 & 제어 등을 포함한 다른 애드온을 확인해본다.
정리하기
kops delete cluster useast1.dev.example.com --yes
로 클러스터를 삭제한다.
다음 내용
- 쿠버네티스 개념 과
kubectl
에 대해 더 알아보기.
- 튜토리얼, 모범사례 및 고급 구성 옵션에 대한
kops
고급 사용법에 대해 더 자세히 알아본다.
- 슬랙(Slack)에서
kops
커뮤니티 토론을 할 수 있다: 커뮤니티 토론
- 문제를 해결하거나 이슈를 제기하여
kops
에 기여한다. 깃헙 이슈
2.2.3 - Kubespray로 쿠버네티스 설치하기
이 가이드는 Kubespray를 이용하여 GCE, Azure, OpenStack, AWS, vSphere, Packet(베어메탈), Oracle Cloud infrastructure(실험적) 또는 베어메탈 등에서 운영되는 쿠버네티스 클러스터를 설치하는 과정을 보여준다.
Kubespray는 Ansible 플레이북, 인벤토리, 프로비저닝 도구와 일반적인 운영체제, 쿠버네티스 클러스터의 설정 관리 작업에 대한 도메인 지식의 결합으로 만들어졌다. Kubespray는 아래와 같은 기능을 제공한다.
- 고가용성을 지닌 클러스터
- 구성할 수 있는 속성들
- 대부분의 인기있는 리눅스 배포판들에 대한 지원
- Ubuntu 16.04, 18.04, 20.04
- CentOS/RHEL/Oracle Linux 7, 8
- Debian Buster, Jessie, Stretch, Wheezy
- Fedora 31, 32
- Fedora CoreOS
- openSUSE Leap 15
- Flatcar Container Linux by Kinvolk
- 지속적인 통합 (CI) 테스트
클러스터를 설치해 줄 도구로 유스케이스와 가장 잘 맞는 것을 고르고 싶다면, kubespray를 kubeadm, kops와 비교한 글을 읽어보자.
클러스터 생성하기
(1/5) 아래의 요건 충족하기
언더레이(underlay) 요건을 만족하는 프로비전 한다.
- Ansible의 명령어를 실행하기 위해 Ansible v 2.9와 Python netaddr 라이브러리가 머신에 설치되어 있어야 한다
- Ansible 플레이북을 실행하기 위해 2.11 (혹은 그 이상) 버전의 Jinja가 필요하다
- 타겟 서버들은 docker 이미지를 풀(pull) 하기 위해 반드시 인터넷에 접속할 수 있어야 한다. 아니라면, 추가적인 설정을 해야 한다 (오프라인 환경 확인하기)
- 타겟 서버들의 IPv4 포워딩이 활성화되어야 한다
- SSH 키가 인벤토리의 모든 서버들에 복사되어야 한다
- 방화벽은 kubespray에 의해 관리되지 않는다. 사용자는 필요에 따라 적절한 규칙을 구현해야 한다. 디플로이먼트 과정에서의 문제를 방지하려면 방화벽을 비활성화해야 한다
- 만약 kubespray가 루트가 아닌 사용자 계정에서 실행되었다면, 타겟 서버에서 알맞은 권한 확대 방법이 설정되어야 하며,
ansible_become
플래그나 커맨드 파라미터들, --become
또는 -b
가 명시되어야 한다
Kubespray는 환경에 맞는 프로비저닝을 돕기 위해 아래와 같은 서비스를 제공한다:
(2/5) 인벤토리 파일 구성하기
서버들을 프로비저닝 한 후, Ansible의 인벤토리 파일을 만들어야 한다. 수동으로 만들 수도 있고, 동적인 인벤토리 스크립트를 통해 만들 수도 있다. 더 많이 알고싶다면 " 나만의 인벤토리 만들기" 글을 확인하자.
(3/5) 클러스터 디플로이먼트 계획하기
Kubespray에서는 디플로이먼트의 많은 속성들을 사용자가 정의(customize)할 수 있다:
- 디플로이먼트 모드의 선택: kubeadm 또는 그 외
- CNI(네트워킹) 플러그인
- DNS 설정
- 컨트롤 플레인 선택: 네이티브/바이너리 또는 컨테이너화 된 것
- 컴포넌트 버전
- Calico 라우터 리플렉터
- 컴포넌트 런타임 옵션
- 인증서 생성 방법
Kubespray의 변수 파일들을 사용자가 정의할 수 있다. 만약 Kubespray를 처음 접하는 경우, kubespray의 기본 설정값을 이용해 클러스터를 배포하고 Kubernetes를 탐색하는 것이 좋다.
(4/5) 클러스터 배포하기
다음으로, 클러스터를 배포한다.
Ansible-플레이북을 이용한 클러스터 디플로이먼트
ansible-playbook -i your/inventory/inventory.ini cluster.yml -b -v \
--private-key=~/.ssh/private_key
규모가 큰 디플로이먼트는 (100개 이상의 노드) 최적의 결과를 얻기 위해 특정한 조정을 필요로 할 수도 있다.
(5/5) 디플로이먼트 검증하기
Kubespray는 Netchecker를 사용하여 파드 사이의 연결성과 DNS 해석을 검증할 방법을 제공한다. Netchecker는 netchecker-agents 파드들이 DNS 요청을 해석하고 기본(default) 네임스페이스 내부에서 서로에게 ping을 보낼 수 있도록 보장한다. 그 파드들은 나머지 워크로드의 유사한 동작을 모방하고 클러스터의 상태 표시기 역할을 한다.
클러스터 동작
Kubespray는 클러스터를 관리하기 위한 추가적인 플레이북, scale 과 upgrade 를 제공한다.
클러스터 스케일링하기
scale 플레이북을 실행해 클러스터에 워커 노드를 추가할 수 있다. 더 자세히 알고 싶다면, "노드 추가하기" 문서를 확인하자. remove-node 플레이북을 실행하면 클러스터로부터 워커 노드를 제거할 수 있다. 더 알고 싶다면 "노드 제거하기" 문서를 확인하자.
클러스터 업그레이드 하기
upgrade-cluster 플레이북을 실행해 클러스터를 업그레이드 할 수 있다. 더 자세히 알고 싶다면 "업그레이드" 문서를 확인하자.
클린업
reset 플레이북을 이용하여 노드들을 리셋하고 Kubespray로 설치된 모든 구성요소를 삭제할 수 있다.
주의: reset 플레이북을 실행할 때, 실수로 프로덕션 클러스터를 타겟으로 삼지 않도록 해야 한다!
피드백
다음 내용
Kubespray의 로드맵에서 계획중인 작업을 확인해보자.
2.3 - 턴키 클라우드 솔루션
이 페이지는 인증된 쿠버네티스 솔루션 제공자 목록을 제공한다. 각 제공자
페이지를 통해서, 프로덕션에 준비된 클러스터를 설치 및 설정하는 방법을
학습할 수 있다.
2.4 - 쿠버네티스에서 윈도우
2.4.1 - 쿠버네티스에서 윈도우 컨테이너
윈도우 애플리케이션은 많은 조직에서 실행되는 서비스 및
애플리케이션의 상당 부분을 구성한다.
윈도우 컨테이너는 프로세스와 패키지 종속성을
캡슐화하는 현대적인 방법을 제공하여, 데브옵스(DevOps)
사례를 더욱 쉽게 사용하고 윈도우 애플리케이션의 클라우드 네이티브 패턴을 따르도록 한다.
쿠버네티스는 사실상의 표준 컨테이너 오케스트레이터가 되었으며,
쿠버네티스 1.14 릴리스에는 쿠버네티스 클러스터의 윈도우 노드에서 윈도우
컨테이너 스케줄링을 위한 프로덕션 지원이 포함되어 있어, 광범위한 윈도우 애플리케이션 생태계가
쿠버네티스의 강력한 기능을 활용할 수 있다. 윈도우 기반 애플리케이션과
리눅스 기반 애플리케이션에 투자한 조직은 워크로드를 관리하기 위해
별도의 오케스트레이터를 찾을 필요가 없으므로,
운영 체제와 관계없이 배포 전반에 걸쳐
운영 효율성이 향상된다.
쿠버네티스의 윈도우 컨테이너
쿠버네티스에서 윈도우 컨테이너 오케스트레이션을 활성화하려면, 기존
리눅스 클러스터에 윈도우 노드를 포함한다. 쿠버네티스의
파드에서 윈도우 컨테이너를 스케줄링하는 것은
리눅스 기반 컨테이너를 스케줄링하는 것과 유사하다.
윈도우 컨테이너를 실행하려면, 쿠버네티스 클러스터에 리눅스를
실행하는 컨트롤 플레인 노드와 사용자의 워크로드 요구에 따라 윈도우 또는 리눅스를
실행하는 워커가 있는 여러 운영 체제가 포함되어 있어야 한다. 윈도우
서버 2019는 윈도우에서
쿠버네티스 노드를
활성화하는 유일한 윈도우 운영 체제이다(kubelet,
컨테이너 런타임
및 kube-proxy 포함). 윈도우 배포 채널에 대한 자세한 설명은
Microsoft 문서를 참고한다.
마스터 컴포넌트를 포함한
쿠버네티스 컨트롤 플레인은
리눅스에서 계속 실행된다.
윈도우 전용 쿠버네티스 클러스터는 계획이 없다.
이 문서에서 윈도우 컨테이너에 대해 이야기할 때
프로세스 격리된 윈도우 컨테이너를 의미한다.
Hyper-V 격리가
있는 윈도우 컨테이너는 향후 릴리스로 계획되어 있다.
지원되는 기능 및 제한
지원되는 기능
윈도우 OS 버전 지원
쿠버네티스의 윈도우 운영 체제 지원은 다음 표를
참조한다. 단일 이기종 쿠버네티스 클러스터에는 윈도우 및
리눅스 워커 노드가 모두 있을 수 있다. 윈도우 컨테이너는 윈도우 노드에서,
리눅스 컨테이너는 리눅스 노드에서 스케줄되어야 한다.
쿠버네티스 버전 |
윈도우 서버 LTSC 릴리스 |
윈도우 서버 SAC 릴리스 |
|
Kubernetes v1.20 |
Windows Server 2019 |
Windows Server ver 1909, Windows Server ver 2004 |
|
Kubernetes v1.21 |
Windows Server 2019 |
Windows Server ver 2004, Windows Server ver 20H2 |
|
Kubernetes v1.22 |
Windows Server 2019 |
Windows Server ver 2004, Windows Server ver 20H2 |
|
지원 모델을 포함한 다양한 윈도우 서버
서비스 채널에 대한 정보는
윈도우 서버 서비스 채널에서 확인할 수 있다.
모든 윈도우 고객이 앱의 운영 체제를 자주 업데이트하는 것은
아니다. 애플리케이션 업그레이드를 위해서는 클러스터에 새 노드를
업그레이드하거나 도입하는 것이 필요하다. 이 문서에서
쿠버네티스에서 실행되는 컨테이너의 운영 체제를 업그레이드하기로 선택한
고객을 위해 새 운영 체제 버전에 대한 지원을 추가할 때의 가이드와
단계별 지침을 제공한다. 이 가이드에는 클러스터 노드와 함께 사용자 애플리케이션을
업그레이드하기 위한 권장 업그레이드 절차가 포함된다.
윈도우 노드는 현재 리눅스 노드와 동일한 방식으로 쿠버네티스
버전-차이(skew) 정책(노드 대 컨트롤 플레인
버전 관리)을 준수한다.
윈도우 서버 호스트 운영 체제에는
윈도우 서버
라이선스가 적용된다. 윈도우 컨테이너 이미지에는
윈도우 컨테이너에 대한 추가 사용 조건이 적용된다.
프로세스 격리가 포함된 윈도우 컨테이너에는 엄격한 호환성 규칙이 있으며,
여기서 호스트 OS 버전은 컨테이너 베이스 이미지 OS 버전과 일치해야 한다.
일단 쿠버네티스에서 Hyper-V 격리가 포함된 윈도우 컨테이너를 지원하면,
제한 및 호환성 규칙이 변경될 것이다.
퍼즈(Pause) 이미지
쿠버네티스는 윈도우 지원을 포함하는 다중 아키텍처 이미지를 유지보수한다.
쿠버네티스 v1.22의 경우 권장 퍼즈 이미지는 k8s.gcr.io/pause:3.5
이다.
소스 코드는
GitHub에서 찾을 수 있다.
Microsoft는 리눅스, 윈도우 amd64를 지원하는 다중 아키텍처 이미지를 mcr.microsoft.com/oss/kubernetes/pause:3.5
에서 유지보수하고 있다.
이 이미지는 쿠버네티스가 유지 관리하는 이미지와 동일한 소스코드에서 생성되었지만, 모든 윈도우 바이너리는 Microsoft에 의해 서명된 인증 코드이다.
프로덕션 환경에서 서명된 바이너리가 필요한 경우, Microsoft가 유지 관리하는 이미지를 사용하는 것을 권장한다.
컴퓨트
API 및 kubectl의 관점에서, 윈도우 컨테이너는
리눅스 기반 컨테이너와 거의 같은 방식으로 작동한다. 그러나
제한 섹션에 요약된 주요 기능에는
몇 가지 눈에 띄는 차이점이 있다.
윈도우에서 주요 쿠버네티스 요소는 리눅스와 동일한 방식으로 작동한다. 이
섹션에서는, 주요 워크로드 인에이블러(enabler) 일부와 이들이 윈도우에 매핑되는 방법에
대해 설명한다.
-
파드
파드는 쿠버네티스의 기본 빌딩 블록이다 - 쿠버네티스 오브젝트 모델에서
생성하고 배포하는 가장 작고 간단한 단위. 동일한 파드에
윈도우 및 리눅스 컨테이너를 배포할 수 없다. 파드의 모든 컨테이너는
단일 노드로 스케줄되며 각 노드는 특정 플랫폼 및
아키텍처를 나타낸다. 다음과 같은 파드 기능, 속성 및
이벤트가 윈도우 컨테이너에서 지원된다.
- 프로세스 분리 및 볼륨 공유 기능을 갖춘 파드 당 하나 또는 여러 개의 컨테이너
- 파드 상태 필드
- 준비성(readiness) 및 활성 프로브(liveness probe)
- postStart 및 preStop 컨테이너 라이프사이클 이벤트
- 컨피그맵(ConfigMap), 시크릿(Secrets): 환경 변수 또는 볼륨으로
- EmptyDir
- 명명된 파이프 호스트 마운트
- 리소스 제한
-
컨트롤러
쿠버네티스 컨트롤러는 파드의 의도한 상태(desired state)를 처리한다. 윈도우
컨테이너에서 지원되는 워크로드 컨트롤러는 다음과 같다.
- 레플리카셋(ReplicaSet)
- 레플리케이션컨트롤러(ReplicationController)
- 디플로이먼트(Deployment)
- 스테이트풀셋(StatefulSet)
- 데몬셋(DaemonSet)
- 잡(Job)
- 크론잡(CronJob)
-
서비스
쿠버네티스 서비스는 논리적인 파드 집합과 그것에(마이크로 서비스라고도 함)
접근하는 정책을 정의하는 추상화 개념이다. 상호-운영 체제
연결을 위해 서비스를 사용할 수 있다. 윈도우에서 서비스는
다음의 유형, 속성 및 기능을 활용할 수 있다.
- 서비스 환경 변수
- 노드포트(NodePort)
- 클러스터IP(ClusterIP)
- 로드밸런서(LoadBalancer)
- ExternalName
- 헤드리스 서비스(Headless services)
파드, 컨트롤러 및 서비스는 쿠버네티스에서 윈도우 워크로드를
관리하는데 중요한 요소이다. 그러나 그 자체로는 동적 클라우드 네이티브 환경에서
윈도우 워크로드의 적절한 수명 주기 관리를 수행하기에
충분하지 않다. 다음 기능에 대한 지원이 추가되었다.
- 파드와 컨테이너 메트릭
- Horizontal Pod Autoscaler 지원
- kubectl Exec
- 리소스쿼터(Resource Quotas)
- 스케쥴러 선점(preemption)
컨테이너 런타임
Docker EE
FEATURE STATE: Kubernetes v1.14 [stable]
Docker EE-basic 19.03 이상은 모든 윈도우 서버 버전에 대해 권장되는
컨테이너 런타임이다. 이것은 kubelet에 포함된 dockershim 코드와 함께 작동한다.
CRI-ContainerD
FEATURE STATE: Kubernetes v1.20 [stable]
ContainerD 1.4.0+는
윈도우 쿠버네티스 노드의 컨테이너 런타임으로도 사용할 수 있다.
윈도우에 ContainerD 설치
방법을 확인한다.
퍼시스턴트 스토리지(Persistent Storage)
쿠버네티스 볼륨을 사용하면
데이터 지속성(persistence) 및 파드 볼륨 공유 요구 사항이 있는 복잡한 애플리케이션을
쿠버네티스에 배포할 수 있다. 특정 스토리지 백엔드 또는
프로토콜과 관련된 퍼시스턴트 볼륨 관리에는
볼륨 프로비저닝/디-프로비저닝/크기 조정, 쿠버네티스 노드에 볼륨
연결/분리, 데이터를 유지해야 하는 파드의 개별 컨테이너에 볼륨
마운트/분리와 같은 작업이 포함된다. 특정 스토리지 백엔드 또는
프로토콜에 대해 이러한 볼륨 관리 작업을
구현하는 코드는 쿠버네티스 볼륨
플러그인의 형태로 제공된다. 다음과 같은
광범위한 쿠버네티스 볼륨 플러그인 클래스가 윈도우에서 지원된다.
인-트리(In-tree) 볼륨 플러그인
인-트리 볼륨 플러그인과 관련된 코드는 핵심 쿠버네티스
코드 베이스의 일부로 제공된다. 인-트리 볼륨 플러그인 배포는
추가 스크립트를 설치하거나 별도의 컨테이너화된 플러그인 컴포넌트를
배포할 필요가 없다. 이러한 플러그인들은
볼륨 프로비저닝/디-프로비저닝, 스토리지 백엔드 볼륨 크기 조정, 쿠버네티스 노드에
볼륨 연결/분리, 파드의 개별 컨테이너에 볼륨 마운트/분리를
처리할 수 있다. 다음의 인-트리 플러그인은 윈도우 노드를 지원한다.
FlexVolume 플러그인
FlexVolume
플러그인과 관련된 코드는 아웃-오브-트리(out-of-tree) 스크립트 또는 호스트에 직접 배포해야 하는
바이너리로 제공된다. FlexVolume 플러그인은 쿠버네티스 노드에 볼륨
연결/분리 및 파드의 개별 컨테이너에 볼륨 마운트/분리를
처리한다. FlexVolume 플러그인과 관련된 퍼시스턴트 볼륨의
프로비저닝/디-프로비저닝은 일반적으로 FlexVolume 플러그인과는 별도의 외부
프로비저너를 통해 처리될 수 있다. 호스트에서
powershell 스크립트로 배포된 다음의 FlexVolume
플러그인은
윈도우 노드를 지원한다.
CSI 플러그인
FEATURE STATE: Kubernetes v1.22 [stable]
CSI 플러그인과
관련된 코드는 일반적으로 컨테이너 이미지로 배포되고 데몬셋(DaemonSets)
및 스테이트풀셋(StatefulSets)과 같은
표준 쿠버네티스 구성을 사용하여 배포되는 아웃-오브-트리 스크립트 및
바이너리로 제공된다. CSI 플러그인은 쿠버네티스에서 볼륨 프로비저닝/디-프로비저닝, 볼륨
크기 조정, 쿠버네티스 노드에 볼륨 연결/분리, 파드의 개별 컨테이너에 볼륨
마운트/분리, 스냅샷 및 복제를 사용하여 퍼시스턴트 데이터 백업/복원과 같은
다양한 볼륨 관리 작업을 처리한다.
CSI 노드 플러그인(특히 블록 디바이스 또는 공유 파일시스템으로 노출된
퍼시스턴트 볼륨과 관련된 플러그인)은 디스크 장치 스캔, 파일 시스템 마운트 등과 같은
다양한 특권이 필요한(privileged) 작업을 수행해야
한다. 이러한 작업은 호스트 운영 체제마다 다르다. 리눅스 워커
노드의 경우 컨테이너화된 CSI 노드 플러그인은 일반적으로 특권을 가진
컨테이너로 배포된다. 윈도우 워커 노드의 경우 컨테이너화된
CSI 노드 플러그인에 대한 특권이 필요한 작업은 커뮤니티에서 관리되고,
각 윈도우 노드에 사전 설치되어야 하는 독립형(stand-alone) 바이너리인
csi-proxy를 사용하여 지원된다. 자세한
내용은 배포하려는 CSI 플러그인의 배포 가이드를
참조한다.
윈도우 노드에서 CSI 노드 플러그인은 일반적으로 로컬 스토리지 작업을 처리하는
커뮤니티에서 관리하는 csi-proxy에 의해 노출된 API를 호출한다.
설치에 대한 자세한 내용은 윈도우 CSI 플러그인을
배포할 환경의 배포 가이드를 참고한다.
또한 다음 설치 단계를 참고할 수도 있다.
네트워킹
윈도우 컨테이너용 네트워킹은
CNI 플러그인을 통해 노출된다.
윈도우 컨테이너는 네트워킹과 관련하여 가상 머신과 유사하게
작동한다. 각 컨테이너에는 Hyper-V 가상 스위치(vSwitch)에 연결된
가상 네트워크 어댑터(vNIC)가 있다. 호스트 네트워킹 서비스(HNS)와
호스트 컴퓨팅 서비스(HCS)는 함께 작동하여 컨테이너를 만들고
컨테이너 vNIC을 네트워크에 연결한다. HCS는 컨테이너 관리를
담당하는 반면 HNS는 다음과 같은 네트워킹 리소스 관리를
담당한다.
- 가상 네트워크(vSwitch 생성 포함)
- 엔드포인트 / vNIC
- 네임스페이스
- 정책(패킷 캡슐화, 로드 밸런싱 규칙, ACL, NAT 규칙 등)
다음의 서비스 사양 유형이 지원된다.
- NodePort
- ClusterIP
- LoadBalancer
- ExternalName
네트워크 모드
윈도우는 L2bridge, L2tunnel, Overlay, Transparent 및
NAT의 다섯 가지 네트워킹 드라이버/모드를 지원한다. 윈도우와 리눅스 워커 노드가
있는 이기종 클러스터에서는 윈도우와 리눅스 모두에서 호환되는 네트워킹
솔루션을 선택해야 한다. 윈도우에서 다음과 같은 out-of-tree 플러그인이 지원되며
각 CNI 사용 시 권장 사항이 있다.
네트워크 드라이버 |
설명 |
컨테이너 패킷 수정 |
네트워크 플러그인 |
네트워크 플러그인 특성 |
L2bridge |
컨테이너는 외부 vSwitch에 연결된다. 컨테이너는
언더레이 네트워크에 연결된다. 하지만 인그레스/이그레스시에 재작성되기
때문에 물리적 네트워크가 컨테이너 MAC을 학습할 필요가 없다.
|
MAC은 호스트 MAC에 다시 쓰여지고, IP는 HNS OutboundNAT 정책을 사용하여
호스트 IP에 다시 쓰여질 수 있다.
|
win-bridge,
Azure-CNI,
Flannel 호스트 게이트웨이는 win-bridge를 사용한다.
|
win-bridge는 L2bridge 네트워크 모드를 사용하고,
컨테이너를 호스트의 언더레이에 연결하여 최상의 성능을 제공한다.
노드 간 연결을 위해 사용자 정의 경로(user-defined routes, UDR)가 필요하다.
|
L2Tunnel |
이것은 l2bridge의 특별한 케이스이지만 Azure에서만 사용된다. 모든 패킷은
SDN 정책이 적용되는 가상화 호스트로 전송된다.
|
MAC 재작성되고, 언더레이 네트워크 상에서 IP가 보인다.
|
Azure-CNI
|
Azure-CNI를 사용하면 컨테이너를 Azure vNET과 통합할 수 있으며,
Azure Virtual Network에서
제공하는 기능 집합을 활용할 수 있다.
예를 들어, Azure 서비스에 안전하게 연결하거나 Azure NSG를 사용한다.
azure-cni
예제를 참고한다.
|
오버레이(쿠버네티스에서 윈도우용 오버레이 네트워킹은 알파 단계에 있음) |
컨테이너에는 외부 vSwitch에 연결된 vNIC이 제공된다. 각 오버레이
네트워크는 사용자 지정 IP 접두사로 정의된 자체 IP 서브넷을 가져온다. 오버레이
네트워크 드라이버는 VXLAN 캡슐화를 사용한다.
|
외부 헤더로 캡슐화된다.
|
Win-overlay,
Flannel VXLAN (win-overlay 사용)
|
win-overlay는 가상 컨테이너 네트워크를 호스트의
언더레이에서 격리하려는 경우(예: 보안 상의 이유로) 사용해야 한다. 데이터 센터의 IP에
제한이 있는 경우, (다른 VNID 태그가 있는) 다른 오버레이
네트워크에 IP를 재사용할 수 있다. 이 옵션을 사용하려면
윈도우 서버 2019에서 KB4489899가
필요하다.
|
Transparent(ovn-kubernetes의 특수한 유스케이스)
|
외부 vSwitch가 필요하다. 컨테이너는 논리적 네트워크(논리적 스위치 및 라우터)를
통해 파드 내 통신을 가능하게 하는 외부 vSwitch에
연결된다.
|
패킷은
GENEVE,
STT 터널링을 통해
캡슐화되는데, 동일한 호스트에 있지 않은 파드에 도달하기 위한 터널링을 한다. 패킷은 ovn 네트워크
컨트롤러에서 제공하는 터널 메타데이터 정보를 통해 전달되거나 삭제된다.
NAT는 north-south 통신(데이터 센터와 클라이언트, 네트워크 상의 데이터 센터 외부와의 통신)을 위해 수행된다.
|
ovn-kubernetes
|
Ansible을 통해 배포한다.
분산 ACL은 쿠버네티스 정책을 통해 적용할 수 있다. IPAM을 지원한다.
kube-proxy 없이 로드 밸런싱을 수행할 수 있다. NAT를 수행할 때
iptables/netsh를 사용하지 않고 수행된다.
|
NAT (쿠버네티스에서 사용되지 않음) |
컨테이너에는 내부 vSwitch에 연결된 vNIC이 제공된다. DNS/DHCP는
WinNAT라는
내부 컴포넌트를 사용하여 제공된다.
|
MAC 및 IP는 호스트 MAC/IP에 다시 작성된다.
|
nat
|
완전성을 위해 여기에 포함되었다.
|
위에서 설명한대로 플란넬(Flannel) CNI
메타 플러그인은
VXLAN 네트워크 백엔드
(alpha 지원, win-overlay에 위임) 및
host-gateway network backend
(안정적인 지원, win-bridge에 위임)를 통해
윈도우에서도
지원된다. 이 플러그인은 자동 노드 서브넷
임대 할당과 HNS 네트워크 생성을 위해 윈도우 (Flanneld)에서
Flannel 데몬과 함께 작동하도록 참조 CNI 플러그인 (win-overlay, win-bridge)
중 하나에 대한 위임을 지원한다. 이 플러그인은 자체
구성 파일 (cni.conf)을 읽고, 이를 FlannelD 생성하는 subnet.env 파일의 환경 변수와
함께 집계한다. 이후 네트워크 연결을 위한
참조 CNI 플러그인 중 하나에 위임하고 노드 할당 서브넷을 포함하는 올바른
구성을 IPAM 플러그인 (예: 호스트-로컬)으로
보낸다.
노드, 파드, 서비스 오브젝트의 경우 TCP/UDP 트래픽에 대해 다음
네트워크 흐름이 지원된다.
- 파드 -> 파드(IP)
- 파드 -> 파드(Name)
- 파드 -> 서비스(Cluster IP)
- 파드 -> 서비스(PQDN, 단 "."이 없는 경우에만)
- 파드 -> 서비스(FQDN)
- 파드 -> External(IP)
- 파드 -> External(DNS)
- 노드 -> 파드
- 파드 -> 노드
IP 주소 관리(IPAM)
윈도우에서는 다음 IPAM 옵션이 지원된다.
로드 밸런싱과 서비스
윈도우에서는 다음 설정을 사용하여 서비스 및 로드 밸런싱 동작을
구성할 수 있다.
윈도우 서비스 구성
기능 |
설명 |
지원되는 쿠버네티스 버전 |
지원되는 윈도우 OS 빌드 |
활성화하는 방법 |
세션 어피니티 |
특정 클라이언트의 연결이 매번 동일한 파드로
전달되도록 한다.
|
v1.20 이상 |
윈도우 서버 vNext Insider Preview Build 19551 (또는 그 이상)
|
service.spec.sessionAffinity 를 "ClientIP"로 설정
|
직접 서버 반환 (DSR) |
IP 주소 수정 및 LBNAT가 컨테이너 vSwitch 포트에서 직접
발생하는 로드 밸런싱 모드. 서비스 트래픽은 소스 IP가 원래 파드 IP로
설정된 상태로 도착한다.
|
v1.20 이상 |
윈도우 서버 2019
|
kube-proxy에서 다음 플래그를 설정한다.
--feature-gates="WinDSR=true" --enable-dsr=true
|
대상 보존(Preserve-Destination) |
서비스 트래픽의 DNAT를 스킵하여, 백엔드 파드에 도달하는 패킷에서 대상
서비스의 가상 IP를 보존한다. 또한 노드-노드 전달을 비활성화한다.
|
v1.20 이상 |
윈도우 서버, 버전 1903 (또는 그 이상) |
서비스 어노테이션에서 "preserve-destination": "true" 를 설정하고
kube-proxy에서 DSR을 활성화한다.
|
IPv4/IPv6 이중 스택 네트워킹 |
클러스터 내/외부 기본 IPv4-to-IPv4 통신과 함께
IPv6-to-IPv6 통신
|
v1.19 이상 |
윈도우 서버, 버전 2004 (또는 그 이상) |
IPv4/IPv6 이중 스택을 참고한다.
|
클라이언트 IP 보존 |
인그레스 트래픽의 소스 IP가 유지되도록 한다. 또한
노드-노드 전달을 비활성화한다.
|
v1.20 이상 |
윈도우 서버, 버전 2019 (또는 그 이상) |
service.spec.externalTrafficPolicy 를 "Local"로 설정하고
kube-proxy에서 DSR을 활성화한다.
|
IPv4/IPv6 이중 스택
IPv6DualStack
기능 게이트를
사용하여 l2bridge
네트워크에 IPv4/IPv6 이중 스택 네트워킹을 활성화할 수 있다. 자세한 내용은
IPv4/IPv6 이중 스택 활성화를
참조한다.
윈도우에서 쿠버네티스와 함께 IPv6를 사용하려면 윈도우 서버 버전 2004
(커널 버전 10.0.19041.610) 이상이 필요하다.
윈도우의 오버레이(VXLAN) 네트워크는 현재 이중 스택 네트워킹을 지원하지 않는다.
제한
윈도우는 쿠버네티스 아키텍처 및 컴포넌트 매트릭스에서 워커
노드로만 지원된다. 즉, 쿠버네티스 클러스터에는 항상 리눅스 마스터 노드가 반드시
포함되어야 하고, 0개 이상의 리눅스 워커 노드 및 0개 이상의 윈도우
워커 노드가 포함된다.
자원 관리
리눅스 cgroup은 리눅스에서 리소스 제어를 위한 파드 경계로 사용된다.
컨테이너는 네트워크, 프로세스 및 파일시스템 격리를 위해 해당
경계 내에 생성된다. cgroups API는 cpu/io/memory 통계를 수집하는 데 사용할 수 있다.
반대로 윈도우는 시스템 네임스페이스 필터가 있는 컨테이너별로 잡(Job)
오브젝트를 사용하여 컨테이너의 모든 프로세스를 포함하고 호스트와의
논리적 격리를 제공한다. 네임스페이스 필터링 없이 윈도우 컨테이너를
실행할 수 있는 방법은 없다. 즉, 시스템 권한은 호스트 컨텍스트에서 삽입될(assert) 수 없으므로
권한이 있는(privileged) 컨테이너는 윈도우에서 사용할 수 없다. 보안 계정
매니져(Security Account Manager, SAM)가 분리되어 있으므로
컨테이너는 호스트의 ID를 가정할 수 없다.
자원 예약
메모리 예약
윈도우에는 리눅스에는 있는 메모리 부족 프로세스 킬러가 없다. 윈도우는
모든 사용자-모드 메모리 할당을 항상 가상 메모리처럼 처리하며, 페이지파일이
필수이다. 결과적으로 윈도우에서는 리눅스에서 발생할 수 있는
메모리 부족 상태에 도달하지 않으며, 프로세스는 메모리 부족(out of memory, OOM) 종료를
겪는 대신 디스크로 페이징한다. 메모리가 오버프로비저닝되고
모든 물리 메모리가 고갈되면 페이징으로 인해 성능이 저하될 수 있다.
kubelet 파라미터 --kubelet-reserve
를 사용하여 메모리 사용량을
합리적인 범위 내로 유지할 수 있으며, --system-reserve
를 사용하여
노드(컨테이너 외부)의 메모리 사용량을 예약할 수 있다. 이들을 사용하면 그만큼
노드 할당(NodeAllocatable)은 줄어든다.
워크로드를 배포할 때, 컨테이너에 리소스 제한을
걸어라(제한만 설정하거나, 제한이 요청과 같아야 함). 이 또한 NodeAllocatable에서 차감되며,
메모리가 꽉 찬 노드에 스케줄러가 파드를 할당하지 않도록 제한한다.
오버프로비저닝을 방지하는 가장 좋은 방법은 윈도우, 도커, 그리고
쿠버네티스 프로세스를 위해 최소 2GB 이상의 시스템 예약 메모리로
kubelet을 설정하는 것이다.
CPU 예약
윈도우, 도커, 그리고 다른 쿠버네티스 호스트 프로세스가 이벤트에
잘 응답할 수 있도록, CPU의 일정 비율을 예약하는 것이
좋다. 이 값은 윈도우 노드에 있는 CPU 코어 수에
따라 조정해야 한다. 이 비율을 결정하려면, 각 노드의
최대 파드 밀도(density)를 관찰하고, 시스템 서비스의 CPU
사용량을 모니터링하여 워크로드 요구사항을 충족하는 값을 선택해야 한다.
kubelet 파라미터 --kubelet-reserve
를 사용하여 CPU 사용량을
합리적인 범위 내로 유지할 수 있으며, --system-reserve
를 사용하여
노드 (컨테이너 외부) 의 CPU 사용량을 예약할 수 있다. 이들을 사용하면 그만큼
노드 할당(NodeAllocatable)은 줄어든다.
기능 제한
- TerminationGracePeriod: 구현되지 않음
- 단일 파일 매핑: CRI-ContainerD로 구현 예정
- 종료 메시지: CRI-ContainerD로 구현 예정
- 특권을 가진(Privileged) 컨테이너: 현재 윈도우 컨테이너에서 지원되지 않음
- HugePages: 현재 윈도우 컨테이너에서 지원되지 않음
- 기존 노드 문제 감지기는 리눅스 전용이며 특권을 가진
컨테이너가 필요하다. 윈도우에서 특권을 가진 컨테이너를 지원하지 않기 때문에
일반적으로 윈도우에서 이 기능이 사용될 것으로 예상하지 않는다.
- 공유 네임스페이스의 모든 기능이 지원되는 것은 아니다. (자세한 내용은
API 섹션 참조).
각 플래그의 리눅스와의 차이점
윈도우 노드에서의 kubelet 플래그의 동작은 아래에 설명된 대로 다르게 동작한다.
-
--kubelet-reserve
, --system-reserve
, --eviction-hard
플래그는
Node Allocatable 업데이트
-
--enforce-node-allocable
을 사용한 축출(Eviction)은 구현되지 않았다.
-
--eviction-hard
와 --eviction-soft
를 사용한 축출은 구현되지 않았다.
-
MemoryPressure 조건은 구현되지 않았다.
-
kubelet이 취한 OOM 축출 조치가 없다.
-
윈도우 노드에서 실행되는 Kubelet에는 메모리 제한이 없다.
--kubelet-reserve
와 --system-reserve
는 호스트에서 실행되는 kubelet 또는
프로세스에 제한을 설정하지 않는다. 이는 호스트의 kubelet 또는 프로세스가
node-allocatable 및 스케줄러 외부에서 메모리 리소스 부족을 유발할 수 있음을
의미한다.
-
kubelet 프로세스의 우선 순위를 설정하는 추가 플래그는
--windows-priorityclass
라는 윈도우 노드에서 사용할 수 있다. 이 플래그를 사용하면
kubelet 프로세스가 윈도우 호스트에서 실행중인 다른 프로세스와 비교할 때 더 많은 CPU 시간
슬라이스을 얻을 수 있다. 허용되는 값과 그 의미에 대한 자세한 내용은
윈도우 우선순위 클래스에서
확인할 수 있다.
kubelet이 항상 충분한 CPU주기를 갖도록 하려면
이 플래그를 ABOVE_NORMAL_PRIORITY_CLASS
이상으로 설정하는 것이 좋다.
스토리지
윈도우에는 컨테이너 계층을 마운트하고 NTFS를 기반으로 하는 복제 파일시스템을
만드는 레이어드(layered) 파일시스템 드라이버가 있다. 컨테이너의 모든 파일 경로는
해당 컨테이너의 컨텍스트 내에서만 확인된다.
-
도커 볼륨 마운트는 개별 파일이 아닌 컨테이너의
디렉터리만 대상으로 할 수 있다. 이 제한은 CRI-containerD에는 존재하지 않는다.
-
볼륨 마운트는 파일이나 디렉터리를 호스트 파일시스템으로 다시
투영할 수 없다.
-
읽기 전용 파일시스템은 윈도우 레지스트리 및 SAM 데이터베이스에 항상
쓰기 접근이 필요하기 때문에 지원되지 않는다. 그러나 읽기 전용
볼륨은 지원된다.
-
볼륨 사용자 마스크(user-masks) 및 권한은 사용할 수 없다. SAM은
호스트와 컨테이너 간에 공유되지 않기 때문에 이들 간에 매핑이 없다. 모든
권한은 컨테이너 컨텍스트 내에서 해결된다.
결과적으로, 다음 스토리지 기능은 윈도우 노드에서 지원되지 않는다.
- 볼륨 하위 경로(subpath) 마운트. 전체 볼륨만 윈도우 컨테이너에 마운트할 수 있다.
- 시크릿에 대한 하위 경로 볼륨 마운트
- 호스트 마운트 프로젝션
- DefaultMode(UID/GID 종속성에 기인함)
- 읽기 전용 루트 파일시스템. 매핑된 볼륨은 여전히 읽기 전용을 지원한다.
- 블록 디바이스 매핑
- 저장 매체로서의 메모리
- uui/guid, 사용자별 리눅스 파일시스템 권한과 같은 파일시스템 기능
- NFS 기반 스토리지/볼륨 지원
- 마운트된 볼륨 확장(resizefs)
네트워킹
윈도우 컨테이너 네트워킹은 리눅스 네트워킹과 몇 가지 중요한 면에서
다르다. 윈도우 컨테이너 네트워킹에 대한 Microsoft 문서에는
추가 세부 정보와 배경이 포함되어 있다.
윈도우 호스트 네트워킹 서비스와 가상 스위치는 네임스페이스를
구현하고 파드 또는 컨테이너에 필요한 가상 NIC을 만들 수 있다. 그러나
DNS, 라우트, 메트릭과 같은 많은 구성은 리눅스에서와 같이 /etc/... 파일이
아닌 윈도우 레지스트리 데이터베이스에 저장된다. 컨테이너의
윈도우 레지스트리는 호스트 레지스트리와 별개이므로 호스트에서
컨테이너로 /etc/resolv.conf를 매핑하는 것과 같은 개념은 리눅스에서와
동일한 효과를 갖지 않는다. 해당 컨테이너의 컨텍스트에서 실행되는 윈도우 API를
사용하여 구성해야 한다. 따라서 CNI 구현에서는 파일 매핑에 의존하는
대신 HNS를 호출하여 네트워크 세부 정보를 파드 또는 컨테이너로
전달해야 한다.
다음 네트워킹 기능은 윈도우 노드에서 지원되지 않는다.
-
윈도우 파드에서는 호스트 네트워킹 모드를 사용할 수 없다.
-
노드 자체에서 로컬 NodePort 접근은 실패한다. (다른 노드 또는
외부 클라이언트에서는 가능)
-
노드에서 서비스 VIP에 접근하는 것은 향후 윈도우 서버 릴리스에서
사용할 수 있다.
-
한 서비스는 최대 64개의 백엔드 파드 또는 고유한 목적지 IP를 지원할 수 있다.
-
kube-proxy의 오버레이 네트워킹 지원은 베타 기능이다. 또한
윈도우 서버 2019에 KB4482887을
설치해야 한다.
-
비-DSR 모드의 로컬 트래픽 정책
-
오버레이 네트워크에 연결된 윈도우 컨테이너는
IPv6 스택을 통한 통신을 지원하지 않는다. 이 네트워크 드라이버가 IPv6 주소를
사용하고 kubelet, kube-proxy 및 CNI 플러그인에서 후속 쿠버네티스 작업을
사용할 수 있도록 하는데 필요한 뛰어난 윈도우 플랫폼 작업이 있다.
-
win-overlay, win-bridge, Azure-CNI 플러그인을 통해
ICMP 프로토콜을 사용하는 아웃바운드 통신. 특히, 윈도우 데이터 플레인
(VFP)은
ICMP 패킷 치환을 지원하지 않는다. 이것은 다음을 의미한다.
-
동일한 네트워크(예: ping을 통한 파드 간 통신) 내의 목적지로 전달되는
ICMP 패킷은 예상대로 제한 없이 작동한다.
-
TCP/UDP 패킷은 예상대로 제한 없이 작동한다.
-
원격 네트워크를 통과하도록 지정된 ICMP 패킷(예: ping을 통한
파드에서 외부 인터넷으로의 통신)은 치환될 수 없으므로
소스로 다시 라우팅되지 않는다.
-
TCP/UDP 패킷은 여전히 치환될 수 있기 때문에
ping <destination>
을 curl <destination>
으로 대체하여
외부와의 연결을 디버깅할 수 있다.
해당 기능은 쿠버네티스 v1.15에 추가되었다.
CNI 플러그인
DNS
-
ClusterFirstWithHostNet은 DNS에서 지원되지 않는다. 윈도우는
'.'이 있는 모든 이름을 FQDN으로 처리하고 PQDN 확인을 건너뛴다.
-
리눅스에서는 PQDN을 확인하려고 할 때 사용되는 DNS 접미사 목록이
있다. 윈도우에서는 해당 파드의 네임스페이스(예: mydns.svc.cluster.local)와
연결된 DNS 접미사인 DNS 접미사 1개만 있다.
윈도우는 FQDN과 서비스 또는 해당 접미사만으로 확인할 수 있는 이름을 확인할 수
있다. 예를 들어, 디폴트 네임스페이스에서 생성된 파드에는 DNS
접미사 default.svc.cluster.local
이 있다. 윈도우 파드에서는
kubernetes.default.svc.cluster.local
및 kubernetes
를 모두 확인할 수
있지만 kubernetes.default
또는 kubernetes.default.svc
와 같은 중간 항목은 확인할 수 없다.
-
윈도우에서는 사용할 수 있는 여러 가지의 DNS 리졸버(resolver)가 있다. 이들은
약간 다른 동작을 제공하므로, 이름 쿼리 확인을 위해 Resolve-DNSName
유틸리티를
사용하는 것이 좋다.
IPv6
윈도우의 쿠버네티스는 단일 스택 "IPv6 전용" 네트워킹을 지원하지 않는다.
그러나 단일 제품군 서비스를 사용하는 파드와 노드에 대한 이중 스택 IPv4/IPv6 네트워킹이
지원된다.
자세한 내용은 IPv4/IPv6 이중 스택 네트워킹을 참고한다.
세션 어피니티(affinity)
service.spec.sessionAffinityConfig.clientIP.timeoutSeconds
를 사용하는
윈도우 서비스의 최대 세션 고정(sticky) 시간 설정은 지원되지 않는다.
보안
시크릿(Secret)은 노드의 볼륨(리눅스의 tmpfs/in-memory와
비교)에 일반 텍스트로 작성된다. 이는 고객이 두 가지 작업을 수행해야 함을 의미한다.
- 파일 ACL을 사용하여 시크릿 파일 위치를 보호한다.
- BitLocker를
사용한 볼륨-레벨 암호화를 사용한다.
RunAsUsername은
컨테이너 프로세스를 노드 기본 사용자로 실행하기 위해 윈도우 파드 또는
컨테이너에 지정할 수 있다. 이것은
RunAsUser와 거의 동일하다.
SELinux, AppArmor, Seccomp, 기능(POSIX 기능)과 같은
리눅스 특유의 파드 시큐리티 컨텍스트 권한은 지원하지 않는다.
또한 이미 언급했듯이 특권을 가진 컨테이너는 윈도우에서 지원되지
않는다.
API
대부분의 Kubernetes API가 윈도우에서 작동하는 방식은 차이가 없다.
중요한 차이점은 OS와 컨테이너 런타임의 차이로
귀결된다. 특정 상황에서 파드 또는 컨테이너와 같은 워크로드 API의
일부 속성은 리눅스에서 구현되고 윈도우에서 실행되지 않는다는 가정 하에
설계되었다.
높은 수준에서 이러한 OS 개념은 다르다.
-
ID - 리눅스는 정수형으로 표시되는 userID(UID) 및 groupID(GID)를
사용한다. 사용자와 그룹 이름은 정식 이름이 아니다. UID+GID에 대한
/etc/groups
또는 /etc/passwd
의 별칭일 뿐이다. 윈도우는 윈도우
보안 계정 관리자(Security Account Manager, SAM) 데이터베이스에
저장된 더 큰 이진 보안 식별자(SID)를 사용한다. 이 데이터베이스는 호스트와
컨테이너 간에 또는 컨테이너들 간에 공유되지 않는다.
-
파일 퍼미션 - 윈도우는 권한 및 UUID+GID의 비트 마스크(bitmask) 대신
SID를 기반으로 하는 접근 제어 목록을 사용한다.
-
파일 경로 - 윈도우의 규칙은 /
대신 \
를 사용하는 것이다. Go IO
라이브러리는 두 가지 파일 경로 분리자를 모두 허용한다. 하지만, 컨테이너
내부에서 해석되는 경로 또는 커맨드 라인을 설정할 때 \
가 필요할 수
있다.
-
신호(Signals) - 윈도우 대화형(interactive) 앱은 종료를 다르게 처리하며, 다음 중
하나 이상을 구현할 수 있다.
-
UI 스레드는 WM_CLOSE
를 포함하여 잘 정의된(well-defined) 메시지를 처리한다.
-
콘솔 앱은 컨트롤 핸들러(Control Handler)를 사용하여 ctrl-c 또는 ctrl-break를 처리한다.
-
서비스는 SERVICE_CONTROL_STOP
제어 코드를 수용할 수 있는
Service Control Handler 함수를 등록한다.
종료 코드는 0일 때 성공, 0이 아닌 경우 실패인 동일한 규칙을 따른다.
특정 오류 코드는 윈도우와 리눅스에서 다를 수 있다. 그러나
쿠버네티스 컴포넌트(kubelet, kube-proxy)에서 전달된 종료 코드는
변경되지 않는다.
V1.Container
-
V1.Container.ResourceRequirements.limits.cpu 및
V1.Container.ResourceRequirements.limits.memory - 윈도우는 CPU 할당에 하드
리밋(hard limit)을 사용하지 않는다. 대신 공유 시스템이 사용된다. 밀리코어를
기반으로 하는 기존 필드는 윈도우 스케줄러가 뒤따르는 상대적인 공유로
스케일된다.
참고: kuberuntime/helpers_windows.go,
참고: Microsoft 문서 내 리소스 제어
-
V1.Container.ResourceRequirements.requests.cpu 및
V1.Container.ResourceRequirements.requests.memory - 노드의 사용 가능한
리소스에서 요청(requests)을 빼서, 노드에 대한 오버 프로비저닝을 방지하는데 사용할 수
있다. 그러나 오버 프로비저닝된 노드에서 리소스를 보장하는 데는
사용할 수 없다. 운영자가 오버 프로비저닝을 완전히 피하려는 경우
모범 사례로 모든 컨테이너에 적용해야 한다.
-
V1.Container.SecurityContext.allowPrivilegeEscalation - 윈도우에서는
불가능하며, 어떤 기능도 연결되지 않는다.
-
V1.Container.SecurityContext.Capabilities - POSIX 기능은 윈도우에서
구현되지 않는다.
-
V1.Container.SecurityContext.privileged - 윈도우는 특권을 가진 컨테이너를
지원하지 않는다.
-
V1.Container.SecurityContext.procMount - 윈도우에는 /proc 파일시스템이 없다.
-
V1.Container.SecurityContext.readOnlyRootFilesystem - 윈도우에서는 불가능하며,
레지스트리 및 시스템 프로세스가 컨테이너 내부에서 실행되려면 쓰기 권한이
필요하다.
-
V1.Container.SecurityContext.runAsGroup - 윈도우에서는 불가능하며, GID 지원이 없다.
-
V1.Container.SecurityContext.runAsNonRoot - 윈도우에는 root 사용자가
없다. 가장 가까운 항목은 노드에 존재하지 않는 아이덴티티(identity)인
ContainerAdministrator이다.
-
V1.Container.SecurityContext.runAsUser - 윈도우에서는 불가능하며, 정수값으로의 UID
지원이 없다.
-
V1.Container.SecurityContext.seLinuxOptions - 윈도우에서는 불가능하며, SELinux가 없다.
-
V1.Container.terminationMessagePath - 윈도우가 단일 파일 매핑을 지원하지
않는다는 점에서 몇 가지 제한이 있다. 기본값은 /dev/termination-log이며, 기본적으로 윈도우에 존재하지 않기 때문에
작동한다.
V1.Pod
-
V1.Pod.hostIPC, v1.pod.hostpid - 윈도우에서 호스트 네임스페이스 공유가 불가능하다.
-
V1.Pod.hostNetwork - 호스트 네트워크를 공유하기 위한 윈도우 OS 지원이 없다.
-
V1.Pod.dnsPolicy - ClusterFirstWithHostNet - 윈도우에서 호스트 네트워킹이 지원되지 않기 때문에
지원되지 않는다.
-
V1.Pod.podSecurityContext - 아래 V1.PodSecurityContext 내용을 참고한다.
-
V1.Pod.shareProcessNamespace - 이것은 베타 기능이며, 윈도우에서 구현되지 않은
리눅스 네임스페이스에 따라 다르다. 윈도우는 프로세스 네임스페이스 또는
컨테이너의 루트 파일시스템을 공유할 수 없다. 네트워크만 공유할 수
있다.
-
V1.Pod.terminationGracePeriodSeconds - 이것은 윈도우의 도커에서
완전히 구현되지 않았다.
참조의 내용을 참고한다. 현재 동작은
ENTRYPOINT
프로세스가 CTRL_SHUTDOWN_EVENT
로 전송된 다음, 윈도우가 기본적으로 5초를
기다린 후, 마지막으로 정상적인 윈도우 종료 동작을 사용하여 모든 프로세스를
종료하는 것이다. 5초 기본값은 실제로
컨테이너 내부
윈도우 레지스트리에 있으므로 컨테이너를 빌드할 때 재정의 할 수 있다.
-
V1.Pod.volumeDevices - 이것은 베타 기능이며, 윈도우에서 구현되지
않는다. 윈도우는 원시 블록 장치(raw block device)를 파드에 연결할 수 없다.
-
V1.Pod.volumes - EmptyDir, 시크릿, 컨피그맵, HostPath - 모두 작동하며
TestGrid에 테스트가 있다.
- V1.emptyDirVolumeSource - 노드 기본 매체는 윈도우의 디스크이다.
윈도우에는 내장 RAM 디스크가 없기 때문에 메모리는 지원되지 않는다.
-
V1.VolumeMount.mountPropagation - 마운트 전파(propagation)는 윈도우에서 지원되지 않는다.
V1.PodSecurityContext
PodSecurityContext 필드는 윈도우에서 작동하지 않는다. 참조를 위해 여기에
나열한다.
-
V1.PodSecurityContext.SELinuxOptions - SELinux는 윈도우에서 사용할 수 없다.
-
V1.PodSecurityContext.RunAsUser - 윈도우에서는 사용할 수 없는 UID를 제공한다.
-
V1.PodSecurityContext.RunAsGroup - 윈도우에서는 사용할 수 없는 GID를 제공한다.
-
V1.PodSecurityContext.RunAsNonRoot - 윈도우에는 root 사용자가 없다. 가장
가까운 항목은 노드에 존재하지 않는 아이덴티티인
ContainerAdministrator이다.
-
V1.PodSecurityContext.SupplementalGroups - 윈도우에서는 사용할 수 없는 GID를 제공한다.
-
V1.PodSecurityContext.Sysctls - 이것들은 리눅스 sysctl 인터페이스의
일부이다. 윈도우에는 이에 상응하는 것이 없다.
운영 체제 버전 제한
윈도우에는 호스트 OS 버전이 컨테이너 베이스 이미지 OS 버전과 일치해야 하는
엄격한 호환성 규칙이 있다. 윈도우 서버 2019의 컨테이너
운영 체제가 있는 윈도우 컨테이너만 지원된다. 윈도우 컨테이너 이미지 버전의 일부
이전 버전과의 호환성을 가능하게 하는 컨테이너의 Hyper-V 격리는
향후 릴리스로 계획되어 있다.
도움 받기 및 트러블슈팅
쿠버네티스 클러스터 트러블슈팅을 위한 기본
도움말은 이
섹션에서 먼저 찾아야 한다. 이
섹션에는 몇 가지 추가 윈도우 관련 트러블슈팅 도움말이 포함되어 있다.
로그는 쿠버네티스에서 트러블슈팅하는데 중요한 요소이다. 다른
기여자로부터 트러블슈팅 지원을 구할 때마다 이를 포함해야
한다. SIG-Windows
로그 수집에 대한 기여 가이드의 지침을 따른다.
-
start.ps1이 성공적으로 완료되었는지 어떻게 알 수 있는가?
kubelet, kube-proxy 및 (Flannel을 네트워킹 솔루션으로
선택한 경우) 노드에서 실행 중인 flanneld 호스트 에이전트 프로세스를
확인할 수 있어야 하는데, 별도의 PowerShell 윈도우에서 실행 중인 로그가 표시된다. 또한
윈도우 노드는 쿠버네티스 클러스터에서 "Ready"로 조회되어야
한다.
-
백그라운드에서 서비스로 실행되도록 쿠버네티스 노드 프로세스를 구성할 수 있는가?
Kubelet 및 kube-proxy는 이미 기본 윈도우 서비스로 실행되도록
구성되어 있으며, 실패(예: 프로세스 충돌) 시 서비스를
자동으로 다시 시작하여 복원력(resiliency)을
제공한다. 이러한 노드 컴포넌트를 서비스로 구성하기 위한
두 가지 옵션이 있다.
-
네이티브 윈도우 서비스
Kubelet와 kube-proxy는 sc.exe
를 사용하여 네이티브 윈도우 서비스로 실행될 수 있다.
# 두 개의 개별 명령으로 kubelet 및 kube-proxy에 대한 서비스 생성
sc.exe create <컴포넌트_명> binPath= "<바이너리_경로> --service <다른_인자>"
# 인자에 공백이 포함된 경우 이스케이프 되어야 한다.
sc.exe create kubelet binPath= "C:\kubelet.exe --service --hostname-override 'minion' <다른_인자>"
# 서비스 시작
Start-Service kubelet
Start-Service kube-proxy
# 서비스 중지
Stop-Service kubelet (-Force)
Stop-Service kube-proxy (-Force)
# 서비스 상태 질의
Get-Service kubelet
Get-Service kube-proxy
-
nssm.exe 사용
또한 언제든지 nssm.exe와 같은
대체 서비스 관리자를 사용하여 백그라운드에서 이러한 프로세스(flanneld, kubelet,
kube-proxy)를 실행할 수 있다. 이
샘플 스크립트를 사용하여
백그라운드에서 윈도우 서비스로 실행하기 위해 nssm.exe
를 활용하여 kubelet, kube-proxy,
flanneld.exe
를 등록할 수 있다.
register-svc.ps1 -NetworkMode <네트워크 모드> -ManagementIP <윈도우 노드 IP> -ClusterCIDR <클러스터 서브넷> -KubeDnsServiceIP <Kube-dns 서비스 IP> -LogDir <로그 위치 디렉터리>
파라미터 설명은 아래와 같다.
NetworkMode
: 네트워크 모드 l2bridge(flannel host-gw,
기본값이기도 함) 또는 네트워크 솔루션으로 선택한 오버레이(flannel vxlan)
ManagementIP
: 윈도우 노드에 할당된 IP 주소. ipconfig
를 사용하여
찾을 수 있다.
ClusterCIDR
: 클러스터 서브넷 범위. (기본값 10.244.0.0/16)
KubeDnsServiceIP
: 쿠버네티스 DNS 서비스 IP (기본값 10.96.0.10)
LogDir
: kubelet 및 kube-proxy 로그가 각각의 출력 파일로
리다이렉션되는 디렉터리(기본값 C:\k)
위에 언급된 스크립트가 적합하지 않은 경우, 다음 예제를 사용하여
nssm.exe
를 수동으로 구성할 수 있다.
flanneld.exe를 등록한다.
nssm install flanneld C:\flannel\flanneld.exe
nssm set flanneld AppParameters --kubeconfig-file=c:\k\config --iface=<ManagementIP> --ip-masq=1 --kube-subnet-mgr=1
nssm set flanneld AppEnvironmentExtra NODE_NAME=<hostname>
nssm set flanneld AppDirectory C:\flannel
nssm start flanneld
kubelet.exe를 등록한다.
nssm install kubelet C:\k\kubelet.exe
nssm set kubelet AppParameters --hostname-override=<hostname> --v=6 --pod-infra-container-image=k8s.gcr.io/pause:3.5 --resolv-conf="" --allow-privileged=true --enable-debugging-handlers --cluster-dns=<DNS-service-IP> --cluster-domain=cluster.local --kubeconfig=c:\k\config --hairpin-mode=promiscuous-bridge --image-pull-progress-deadline=20m --cgroups-per-qos=false --log-dir=<log directory> --logtostderr=false --enforce-node-allocatable="" --network-plugin=cni --cni-bin-dir=c:\k\cni --cni-conf-dir=c:\k\cni\config
nssm set kubelet AppDirectory C:\k
nssm start kubelet
kube-proxy.exe를 등록한다(l2bridge / host-gw).
nssm install kube-proxy C:\k\kube-proxy.exe
nssm set kube-proxy AppDirectory c:\k
nssm set kube-proxy AppParameters --v=4 --proxy-mode=kernelspace --hostname-override=<hostname>--kubeconfig=c:\k\config --enable-dsr=false --log-dir=<log directory> --logtostderr=false
nssm.exe set kube-proxy AppEnvironmentExtra KUBE_NETWORK=cbr0
nssm set kube-proxy DependOnService kubelet
nssm start kube-proxy
kube-proxy.exe를 등록한다(overlay / vxlan).
nssm install kube-proxy C:\k\kube-proxy.exe
nssm set kube-proxy AppDirectory c:\k
nssm set kube-proxy AppParameters --v=4 --proxy-mode=kernelspace --feature-gates="WinOverlay=true" --hostname-override=<hostname> --kubeconfig=c:\k\config --network-name=vxlan0 --source-vip=<source-vip> --enable-dsr=false --log-dir=<log directory> --logtostderr=false
nssm set kube-proxy DependOnService kubelet
nssm start kube-proxy
초기 트러블슈팅을 위해 nssm.exe에서
다음 플래그를 사용하여 stdout 및 stderr을 출력 파일로 리다이렉션할 수 있다.
nssm set <Service Name> AppStdout C:\k\mysvc.log
nssm set <Service Name> AppStderr C:\k\mysvc.log
자세한 내용은 공식 nssm 사용 문서를 참고한다.
-
내 윈도우 파드에 네트워크 연결이 없다.
가상 머신을 사용하는 경우, 모든 VM 네트워크 어댑터에서 MAC 스푸핑이
활성화되어 있는지 확인한다.
-
내 윈도우 파드가 외부 리소스를 ping 할 수 없다.
윈도우 파드에는 현재 ICMP 프로토콜용으로 프로그래밍된 아웃바운드
규칙이 없다. 그러나 TCP/UDP는 지원된다. 클러스터 외부 리소스에 대한 연결을
시연하려는 경우, ping <IP>
를 해당 curl <IP>
명령으로
대체한다.
여전히 문제가 발생하는 경우,
cni.conf의
네트워크 구성에 특별히 추가 확인이 필요하다. 언제든지 이 정적 파일을 편집할 수 있다. 구성
업데이트는 새로 생성된 모든 쿠버네티스 리소스에 적용된다.
쿠버네티스 네트워킹 요구 사항 중
하나(쿠버네티스 모델)는
클러스터 통신이 내부적으로 NAT 없이 발생하는 것이다. 이 요구 사항을
준수하기 위해 아웃바운드 NAT가 발생하지 않도록 하는 모든 통신에 대한
ExceptionList가
있다. 그러나
이것은 쿼리하려는 외부 IP를 ExceptionList에서
제외해야 함도 의미한다. 그래야만 윈도우 파드에서 발생하는 트래픽이 제대로 SNAT 되어
외부에서 응답을 받는다. 이와 관련하여 cni.conf
의 ExceptionList는 다음과
같아야 한다.
"ExceptionList": [
"10.244.0.0/16", # 클러스터 서브넷
"10.96.0.0/12", # 서비스 서브넷
"10.127.130.0/24" # 관리(호스트) 서브넷
]
-
내 윈도우 노드가 NodePort 서비스에 접근할 수 없다.
노드 자체에서는 로컬 NodePort 접근이 실패한다. 이것은 알려진
제약사항이다. NodePort 접근은 다른 노드 또는 외부 클라이언트에서는 가능하다.
-
컨테이너의 vNIC 및 HNS 엔드포인트가 삭제되었다.
이 문제는 hostname-override
파라미터가
kube-proxy에
전달되지 않은 경우 발생할 수 있다.
이를 해결하려면 사용자는 다음과 같이 hostname을 kube-proxy에 전달해야 한다.
C:\k\kube-proxy.exe --hostname-override=$(hostname)
-
플란넬(flannel)을 사용하면 클러스터에 다시 조인(join)한 후 노드에 이슈가 발생한다.
이전에 삭제된 노드가 클러스터에 다시 조인될 때마다,
flannelD는 새 파드 서브넷을 노드에 할당하려고 한다. 사용자는 다음 경로에서
이전 파드 서브넷 구성 파일을 제거해야 한다.
Remove-Item C:\k\SourceVip.json
Remove-Item C:\k\SourceVipRequest.json
-
start.ps1
을 시작한 후, flanneld가 "Waiting for the Network
to be created"에서 멈춘다.
이 이슈에
대한 수많은 보고가 있다. 플란넬 네트워크의
관리 IP가 설정될 때의 타이밍 이슈일 가능성이 높다. 해결
방법은 start.ps1을 다시 시작하거나 다음과 같이 수동으로 다시 시작하는 것이다.
PS C:> [Environment]::SetEnvironmentVariable("NODE_NAME", "<Windows_Worker_Hostname>")
PS C:> C:\flannel\flanneld.exe --kubeconfig-file=c:\k\config --iface=<Windows_Worker_Node_IP> --ip-masq=1 --kube-subnet-mgr=1
-
/run/flannel/subnet.env
누락으로 인해 윈도우 파드를 시작할 수 없다.
이것은 플란넬이 제대로 실행되지 않았음을 나타낸다. flanneld.exe를
다시 시작하거나 쿠버네티스 마스터의
/run/flannel/subnet.env
에서 윈도우 워커 노드의
C:\run\flannel\subnet.env
로 파일을 수동으로 복사할 수 있고,
FLANNEL_SUBNET
행을 다른 숫자로 수정한다. 예를 들어, 다음은 노드 서브넷
10.244.4.1/24가 필요한 경우이다.
FLANNEL_NETWORK=10.244.0.0/16
FLANNEL_SUBNET=10.244.4.1/24
FLANNEL_MTU=1500
FLANNEL_IPMASQ=true
-
내 윈도우 노드가 서비스 IP를 사용하여 내 서비스에 접근할 수 없다.
이는 윈도우에서 현재 네트워킹 스택의 알려진 제약 사항이다.
그러나 윈도우 파드는 서비스 IP에 접근할 수 있다.
-
kubelet을 시작할 때 네트워크 어댑터를 찾을 수 없다.
윈도우 네트워킹 스택에는 쿠버네티스 네트워킹이 작동하기 위한
가상 어댑터가 필요하다. 다음 명령이 (어드민 셸에서) 결과를 반환하지
않으면, Kubelet이 작동하는데 필요한 필수 구성 요소인 가상 네트워크 생성이
실패한 것이다.
Get-HnsNetwork | ? Name -ieq "cbr0"
Get-NetAdapter | ? Name -Like "vEthernet (Ethernet*"
호스트 네트워크 어댑터가 "Ethernet"이 아닌 경우,
종종 start.ps1 스크립트의
InterfaceName
파라미터를 수정하는 것이 좋다. 그렇지 않으면 start-kubelet.ps1
스크립트의 출력을 참조하여 가상 네트워크 생성 중에 오류가 있는지 확인한다.
-
내 파드가 "Container Creating"에서 멈췄거나 계속해서 다시 시작된다.
퍼즈 이미지가 OS 버전과 호환되는지 확인한다.
지침에서는
OS와 컨테이너가 모두 버전 1803이라고 가정한다. 이후 버전의
윈도우가 있는 경우, Insider 빌드와 같이 그에 따라 이미지를
조정해야 한다. 이미지는 Microsoft의
도커 리포지터리를 참조한다.
그럼에도 불구하고, 퍼즈 이미지 Dockerfile과 샘플 서비스는 이미지가
:latest로 태그될 것으로 예상한다.
-
DNS 확인(resolution)이 제대로 작동하지 않는다.
윈도우에 대한 DNS 제한을 확인한다.
-
kubectl port-forward
가 "unable to do port forwarding: wincat not found"로 실패한다.
이는 쿠버네티스 1.15 및 퍼즈 인프라 컨테이너
mcr.microsoft.com/oss/kubernetes/pause:1.4.1
에서 구현되었다.
해당 버전 또는 최신 버전을 사용해야 한다. 자체 퍼즈
인프라 컨테이너를 빌드하려면
wincat을 포함해야 한다.
윈도우에서 포트 포워딩을 지원하려면 퍼즈 인프라 컨테이너를 이용하기 위해서
wincat.exe가 필요하다.
윈도우 OS 버전과 호환되는 지원되는 이미지를 사용하고 있는지 확인해야 한다.
자신만의 퍼즈 인프라 컨테이너를 구축하려면
wincat을 포함해야 한다.
-
내 윈도우 서버 노드가 프록시 뒤에 있기 때문에 내 쿠버네티스
설치가 실패한다.
프록시 뒤에 있는 경우 다음 PowerShell 환경 변수를
정의해야 한다.
[Environment]::SetEnvironmentVariable("HTTP_PROXY", "http://proxy.example.com:80/", [EnvironmentVariableTarget]::Machine)
[Environment]::SetEnvironmentVariable("HTTPS_PROXY", "http://proxy.example.com:443/", [EnvironmentVariableTarget]::Machine)
-
퍼즈(pause
) 컨테이너란 무엇인가?
쿠버네티스 파드에서는 컨테이너 엔드포인트를 호스팅하기 위해
먼저 인프라 또는 "퍼즈" 컨테이너가 생성된다. 인프라 및 워커 컨테이너를 포함하여
동일한 파드에 속하는 컨테이너는 공통 네트워크 네임스페이스 및
엔드포인트(동일한 IP 및 포트 공간)를 공유한다. 네트워크 구성을 잃지 않고
워커 컨테이너가 충돌하거나 다시 시작되도록 하려면 퍼즈 컨테이너가
필요하다.
퍼즈 이미지 추천 버전을 찾기 위해서는
퍼즈 이미지를 참고한다.
추가 조사
이러한 단계로 문제가 해결되지 않으면, 다음을 통해 쿠버네티스의 윈도우 노드에서
윈도우 컨테이너를 실행하는데 도움을 받을 수 있다.
이슈 리포팅 및 기능 요청
버그처럼 보이는 부분이 있거나 기능
요청을 하고 싶다면,
GitHub 이슈 트래킹 시스템을
활용한다.
GitHub에서 이슈를 열고
SIG-Windows에 할당할 수 있다. 먼저 이전에 보고된 이슈 목록을 검색하고
이슈에 대한 경험을 언급하고 추가 로그를
첨부해야 한다. SIG-Windows 슬랙은 티켓을 만들기 전에 초기 지원 및
트러블슈팅 아이디어를 얻을 수 있는 좋은 방법이기도 하다.
버그를 제출하는 경우, 다음과 같이 문제를 재현하는 방법에 대한 자세한 정보를
포함한다.
- 쿠버네티스 버전: kubectl version
- 환경 세부사항: 클라우드 공급자, OS 배포판, 네트워킹 선택 및
구성, 도커 버전
- 문제를 재현하기 위한 세부 단계
- 관련 로그
- SIG-Windows 회원의 주의를 끌 수 있도록
/sig windows
로 이슈에 대해 어노테이션을 달아
이슈에 sig/windows 태그를 지정한다.
다음 내용
로드맵에는 많은 기능이 있다. 요약된 높은 수준의
목록이 아래에 포함되어 있지만,
로드맵 프로젝트를 보고
기여하여
윈도우 지원을 개선하는데 도움이 주는 것이 좋다.
Hyper-V 격리(isolation)
쿠버네티스에서 윈도우 컨테이너에 대해 다음 유스케이스를 사용하려면
Hyper-V 격리가 필요하다.
Hyper-V 격리 지원은 이후 릴리스에 추가되며
CRI-Containerd가 필요하다.
kubeadm 및 클러스터 API를 사용한 배포
Kubeadm은 사용자가 쿠버네티스 클러스터를 배포하기 위한 사실상의 표준이
되고 있다. kubeadm의 윈도우 노드 지원은 현재 작업 중이지만
여기에서
가이드를 사용할 수 있다.
또한 윈도우 노드가 적절하게 프로비저닝되도록 클러스터 API에
투자하고 있다.
2.4.2 - 쿠버네티스에서 윈도우 컨테이너 스케줄링을 위한 가이드
많은 조직에서 실행하는 서비스와 애플리케이션의 상당 부분이 윈도우 애플리케이션으로 구성된다.
이 가이드는 쿠버네티스에서 윈도우 컨테이너를 구성하고 배포하는 단계를 안내한다.
목표
- 윈도우 노드에서 윈도우 컨테이너를 실행하는 예시 디플로이먼트를 구성한다.
- (선택) 그룹 매니지드 서비스 어카운트(GMSA)를 이용한 사용자 파드를 위한 액티브 디렉터리 신원(Active Directory Identity)을 구성한다.
시작하기 전에
- 컨트롤 플레인과 윈도우 서버로 운영되는 워커 노드를
포함하는 쿠버네티스 클러스터를 생성한다.
- 쿠버네티스에서 서비스와 워크로드를 생성하고 배포하는 것은 리눅스나 윈도우 컨테이너
모두 비슷한 방식이라는 것이 중요하다.
Kubectl 커맨드로 클러스터에 접속하는 것은 동일하다.
아래 단원의 예시를 통해 윈도우 컨테이너와 좀 더 빨리 친숙해질 수 있다.
시작하기: 윈도우 컨테이너 배포하기
쿠버네티스에서 윈도우 컨테이너를 배포하려면, 먼저 예시 애플리케이션을 생성해야 한다.
아래 예시 YAML 파일은 간단한 웹서버 애플리케이션을 생성한다.
아래 내용으로 채운 서비스 스펙을 win-webserver.yaml
로 생성하자.
apiVersion: v1
kind: Service
metadata:
name: win-webserver
labels:
app: win-webserver
spec:
ports:
# 이 서비스에서 제공하는 포트
- port: 80
targetPort: 80
selector:
app: win-webserver
type: NodePort
---
apiVersion: apps/v1
kind: Deployment
metadata:
labels:
app: win-webserver
name: win-webserver
spec:
replicas: 2
selector:
matchLabels:
app: win-webserver
template:
metadata:
labels:
app: win-webserver
name: win-webserver
spec:
containers:
- name: windowswebserver
image: mcr.microsoft.com/windows/servercore:ltsc2019
command:
- powershell.exe
- -command
- "<#code used from https://gist.github.com/19WAS85/5424431#> ; $$listener = New-Object System.Net.HttpListener ; $$listener.Prefixes.Add('http://*:80/') ; $$listener.Start() ; $$callerCounts = @{} ; Write-Host('Listening at http://*:80/') ; while ($$listener.IsListening) { ;$$context = $$listener.GetContext() ;$$requestUrl = $$context.Request.Url ;$$clientIP = $$context.Request.RemoteEndPoint.Address ;$$response = $$context.Response ;Write-Host '' ;Write-Host('> {0}' -f $$requestUrl) ; ;$$count = 1 ;$$k=$$callerCounts.Get_Item($$clientIP) ;if ($$k -ne $$null) { $$count += $$k } ;$$callerCounts.Set_Item($$clientIP, $$count) ;$$ip=(Get-NetAdapter | Get-NetIpAddress); $$header='<html><body><H1>Windows Container Web Server</H1>' ;$$callerCountsString='' ;$$callerCounts.Keys | % { $$callerCountsString+='<p>IP {0} callerCount {1} ' -f $$ip[1].IPAddress,$$callerCounts.Item($$_) } ;$$footer='</body></html>' ;$$content='{0}{1}{2}' -f $$header,$$callerCountsString,$$footer ;Write-Output $$content ;$$buffer = [System.Text.Encoding]::UTF8.GetBytes($$content) ;$$response.ContentLength64 = $$buffer.Length ;$$response.OutputStream.Write($$buffer, 0, $$buffer.Length) ;$$response.Close() ;$$responseStatus = $$response.StatusCode ;Write-Host('< {0}' -f $$responseStatus) } ; "
nodeSelector:
kubernetes.io/os: windows
참고: 포트 매핑도 지원하지만, 간략한 예시를 위해
컨테이너 포트 80을 직접 서비스로 노출한다.
-
모든 노드가 건강한지 확인한다.
-
서비스를 배포하고 파드 갱신을 지켜보자.
kubectl apply -f win-webserver.yaml
kubectl get pods -o wide -w
이 서비스가 정확히 배포되면 모든 파드는 Ready로 표기된다. 지켜보기를 중단하려면, Ctrl+C 를 누르자.
-
이 디플로이먼트가 성공적인지 확인한다. 다음을 검토하자.
- 윈도우 노드에 파드당 두 컨테이너가 존재하는지 확인하려면,
docker ps
를 사용한다.
- 리눅스 컨트롤 플레인 노드에서 나열된 두 파드가 존재하는지 확인하려면,
kubectl get pods
를 사용한다.
- 네트워크를 통한 노드에서 파드로의 통신이 되는지 확인하려면, 리눅스 컨트롤 플레인 노드에서
curl
을
파드 IP 주소의 80 포트로 실행하여 웹 서버 응답을 확인한다.
- 파드 간 통신이 되는지 확인하려면,
docker exec
나 kubectl exec
를 이용해 파드 간에
핑(ping)한다(윈도우 노드가 2대 이상이라면, 서로 다른 노드에 있는 파드 간 통신도 확인할 수 있다).
- 서비스에서 파드로의 통신이 되는지 확인하려면, 리눅스 컨트롤 플레인 노드와 독립 파드에서
curl
을 가상 서비스
IP 주소(kubectl get services
로 볼 수 있는)로 실행한다.
- 서비스 검색(discovery)이 되는지 확인하려면, 쿠버네티스 기본 DNS 접미사와 서비스 이름으로
curl
을 실행한다.
- 인바운드 연결이 되는지 확인하려면, 클러스터 외부 장비나 리눅스 컨트롤 플레인 노드에서 NodePort로
curl
을 실행한다.
- 아웃바운드 연결이 되는지 확인하려면,
kubectl exec
를 이용해서 파드에서 외부 IP 주소로 curl
을 실행한다.
참고: 윈도우 컨테이너 호스트는 현재 윈도우 네트워킹 스택의 플랫폼 제한으로 인해, 그 안에서 스케줄링하는 서비스의 IP 주소로 접근할 수 없다.
윈도우 파드만 서비스 IP 주소로 접근할 수 있다.
가시성
워크로드에서 로그 캡쳐하기
로그는 가시성의 중요한 요소이다. 로그는 사용자가 워크로드의 운영측면을
파악할 수 있도록 하며 문제 해결의 핵심 요소이다.
윈도우 컨테이너, 그리고 윈도우 컨테이너 내의 워크로드는 리눅스 컨테이너와는 다르게 동작하기 때문에,
사용자가 로그를 수집하기 어려웠고 이로 인해 운영 가시성이 제한되어 왔다.
예를 들어 윈도우 워크로드는 일반적으로 ETW(Event Tracing for Windows)에 로그인하거나
애플리케이션 이벤트 로그에 항목을 푸시하도록 구성한다.
Microsoft의 오픈 소스 도구인 LogMonitor는
윈도우 컨테이너 안에 구성된 로그 소스를 모니터링하는 권장하는 방법이다.
LogMonitor는 이벤트 로그, ETW 공급자 그리고 사용자 정의 애플리케이션 로그 모니터링을 지원하고
kubectl logs <pod>
에 의한 사용을 위해 STDOUT으로 파이프한다.
LogMonitor GitHub 페이지의 지침에 따라 모든 컨테이너 바이너리와 설정 파일을 복사하고,
LogMonitor가 로그를 STDOUT으로 푸시할 수 있도록 필요한 엔트리포인트를 추가한다.
설정 가능한 컨테이너 username 사용하기
쿠버네티스 v1.16 부터, 윈도우 컨테이너는 이미지 기본 값과는 다른 username으로 엔트리포인트와 프로세스를
실행하도록 설정할 수 있다.
이 방식은 리눅스 컨테이너에서 지원되는 방식과는 조금 차이가 있다.
여기에서 이에 대해 추가적으로 배울 수 있다.
그룹 매니지드 서비스 어카운트를 이용하여 워크로드 신원 관리하기
쿠버네티스 v1.14부터 윈도우 컨테이너 워크로드는 그룹 매니지드 서비스 어카운트(GMSA, Group Managed Service Account)를 이용하여 구성할 수 있다.
그룹 매니지드 서비스 어카운트는 액티브 디렉터리 어카운트의 특정한 종류로 자동 암호 관리 기능,
단순화된 서비스 주체 이름(SPN, simplified service principal name), 여러 서버의 다른 관리자에게 관리를 위임하는 기능을 제공한다.
GMSA로 구성한 컨테이너는 GMSA로 구성된 신원을 들고 있는 동안 외부 액티브 디렉터리 도메인 리소스를 접근할 수 있다.
윈도우 컨테이너를 위한 GMSA를 이용하고 구성하는 방법은 여기에서 알아보자.
테인트(Taint)와 톨러레이션(Toleration)
오늘날 사용자는 리눅스와 윈도우 워크로드를 (동일한 OS를 실행하는) 적절한 노드에 할당되도록 하기 위해 테인트와
노드셀렉터(nodeSelector)의 조합을 이용해야 한다.
이것은 윈도우 사용자에게만 부담을 줄 것으로 보인다. 아래는 권장되는 방식의 개요인데,
이것의 주요 목표 중에 하나는 이 방식이 기존 리눅스 워크로드와 호환되어야 한다는 것이다.
특정 OS 워크로드를 적절한 컨테이너 호스트에서 처리하도록 보장하기
사용자는 테인트와 톨러레이션을 이용하여 윈도우 컨테이너가 적절한 호스트에서 스케줄링되기를 보장할 수 있다.
오늘날 모든 쿠버네티스 노드는 다음 기본 레이블을 가지고 있다.
- kubernetes.io/os = [windows|linux]
- kubernetes.io/arch = [amd64|arm64|...]
파드 사양에 노드 셀렉터를 "kubernetes.io/os": windows
와 같이 지정하지 않았다면,
그 파드는 리눅스나 윈도우, 아무 호스트에나 스케줄링될 수 있다.
윈도우 컨테이너는 윈도우에서만 운영될 수 있고 리눅스 컨테이너는 리눅스에서만 운영될 수 있기 때문에 이는 문제를 일으킬 수 있다.
가장 좋은 방법은 노드 셀렉터를 사용하는 것이다.
그러나 많은 경우 사용자는 이미 존재하는 대량의 리눅스 컨테이너용 디플로이먼트를 가지고 있을 뿐만 아니라,
헬름(Helm) 차트 커뮤니티 같은 상용 구성의 에코시스템이나, 오퍼레이터(Operator) 같은 프로그래밍 방식의 파드 생성 사례가 있음을 알고 있다.
이런 상황에서는 노드 셀렉터를 추가하는 구성 변경을 망설일 수 있다.
이에 대한 대안은 테인트를 사용하는 것이다. Kubelet은 등록하는 동안 테인트를 설정할 수 있기 때문에,
윈도우에서만 운영할 때에 자동으로 테인트를 추가하기 쉽다.
예를 들면, --register-with-taints='os=windows:NoSchedule'
모든 윈도우 노드에 테인트를 추가하여 아무 것도 거기에 스케줄링하지 않게 될 것이다(존재하는 리눅스 파드를 포함하여).
윈도우 파드가 윈도우 노드에 스케줄링되도록 하려면,
윈도우 노드가 선택되도록 하기 위한 노드 셀렉터 및 적합하게 일치하는 톨러레이션이 모두 필요하다.
nodeSelector:
kubernetes.io/os: windows
node.kubernetes.io/windows-build: '10.0.17763'
tolerations:
- key: "os"
operator: "Equal"
value: "windows"
effect: "NoSchedule"
동일 클러스터에서 여러 윈도우 버전을 조작하는 방법
파드에서 사용하는 윈도우 서버 버전은 노드의 윈도우 서버 버전과 일치해야 한다. 만약 동일한 클러스터에서 여러 윈도우
서버 버전을 사용하려면, 추가로 노드 레이블과 nodeSelectors를 설정해야 한다.
쿠버네티스 1.17은 이것을 단순화하기 위해 새로운 레이블인 node.kubernetes.io/windows-build
를 자동으로 추가한다.
만약 이전 버전을 실행 중인 경우, 이 레이블을 윈도우 노드에 수동으로 추가하는 것을 권장한다.
이 레이블은 호환성을 위해 일치시켜야 하는 윈도우 메이저, 마이너 및 빌드 번호를 나타낸다.
각 윈도우 서버 버전에 대해 현재 사용하고 있는 빌드 번호는 다음과 같다.
제품 이름 |
빌드 번호 |
윈도우 서버 2019 |
10.0.17763 |
윈도우 서버 버전 1809 |
10.0.17763 |
윈도우 서버 버전 1903 |
10.0.18362 |
RuntimeClass로 단순화
런타임클래스(RuntimeClass)를 사용해서 테인트(taint)와 톨러레이션(toleration)을 사용하는 프로세스를 간소화 할 수 있다.
클러스터 관리자는 이 테인트와 톨러레이션을 캡슐화하는 데 사용되는 RuntimeClass
오브젝트를 생성할 수 있다.
- 이 파일을
runtimeClasses.yml
로 저장한다. 여기에는 윈도우 OS,
아키텍처 및 버전에 적합한 nodeSelector
가 포함되어 있다.
apiVersion: node.k8s.io/v1
kind: RuntimeClass
metadata:
name: windows-2019
handler: 'docker'
scheduling:
nodeSelector:
kubernetes.io/os: 'windows'
kubernetes.io/arch: 'amd64'
node.kubernetes.io/windows-build: '10.0.17763'
tolerations:
- effect: NoSchedule
key: os
operator: Equal
value: "windows"
- 클러스터 관리자로
kubectl create -f runtimeClasses.yml
를 실행해서 사용한다.
- 파드 사양에 적합한
runtimeClassName: windows-2019
를 추가한다.
예시:
apiVersion: apps/v1
kind: Deployment
metadata:
name: iis-2019
labels:
app: iis-2019
spec:
replicas: 1
template:
metadata:
name: iis-2019
labels:
app: iis-2019
spec:
runtimeClassName: windows-2019
containers:
- name: iis
image: mcr.microsoft.com/windows/servercore/iis:windowsservercore-ltsc2019
resources:
limits:
cpu: 1
memory: 800Mi
requests:
cpu: .1
memory: 300Mi
ports:
- containerPort: 80
selector:
matchLabels:
app: iis-2019
---
apiVersion: v1
kind: Service
metadata:
name: iis
spec:
type: LoadBalancer
ports:
- protocol: TCP
port: 80
selector:
app: iis-2019
3 - 모범 사례
3.1 - 대형 클러스터에 대한 고려 사항
클러스터는 컨트롤 플레인에서 관리하는
쿠버네티스 에이전트를 실행하는 노드(물리
또는 가상 머신)의 집합이다.
쿠버네티스 v1.22는 노드 5,000개까지의 클러스터를 지원한다. 보다 정확하게는,
쿠버네티스는 다음 기준을 모두 만족하는 설정을 수용하도록 설계되었다.
- 노드 당 파드 110 개 이하
- 노드 5,000개 이하
- 전체 파드 150,000개 이하
- 전체 컨테이너 300,000개 이하
노드를 추가하거나 제거하여 클러스터를 확장할 수 있다. 이를 수행하는 방법은
클러스터 배포 방법에 따라 다르다.
클라우드 프로바이더 리소스 쿼터
여러 노드를 가지는 클러스터를 만들 때, 클라우드 프로바이더 쿼터 이슈를 피하기 위해
고려할 점은 다음과 같다.
- 다음과 같은 클라우드 리소스에 대한 쿼터 증가를 요청한다.
- 컴퓨터 인스턴스
- CPU
- 스토리지 볼륨
- 사용 중인 IP 주소
- 패킷 필터링 규칙 세트
- 로드밸런서 개수
- 로그 스트림
- 일부 클라우드 프로바이더는 새로운 인스턴스 생성 속도에 상한이 있어, 클러스터 확장 작업 간 새로운 노드를 일괄적으로 배치하고, 배치 간에 일시 중지한다.
컨트롤 플레인 컴포넌트
대규모 클러스터의 경우, 충분한 컴퓨트 및 기타 리소스가 있는 컨트롤 플레인이
필요하다.
일반적으로 장애 영역 당 하나 또는 두 개의 컨트롤 플레인 인스턴스를
실행하고, 해당 인스턴스를 수직으로(vertically) 먼저 확장한 다음 (수직) 규모로 하락하는
지점에 도달한 후 수평으로(horizontally) 확장한다.
내결함성을 제공하려면 장애 영역 당 하나 이상의 인스턴스를 실행해야 한다. 쿠버네티스
노드는 동일한 장애 영역에 있는 컨트롤 플레인 엔드포인트로 트래픽을
자동으로 조정하지 않는다. 그러나, 클라우드 프로바이더는 이를 수행하기 위한 자체 메커니즘을 가지고 있을 수 있다.
예를 들어, 관리형 로드 밸런서를 사용하여 장애 영역 A 의
kubelet 및 파드에서 시작되는 트래픽을 전송하도록 로드 밸런서를 구성하고, 해당 트래픽을
A 영역에 있는 컨트롤 플레인 호스트로만 전달한다. 단일 컨트롤 플레인 호스트 또는
엔드포인트 장애 영역 A 이 오프라인이 되면, 영역 A 의 노드에 대한
모든 컨트롤 플레인 트래픽이 이제 영역간에 전송되고 있음을 의미한다. 각 영역에서 여러 컨트롤 플레인 호스트를
실행하면 가용성이 낮아진다.
etcd 저장소
큰 클러스터의 성능 향상을 위해, 사용자는 이벤트 오브젝트를 각각의
전용 etcd 인스턴스에 저장한다.
클러스터 생성시의 부가 스트립트이다.
클러스터 생성 시에 (사용자 도구를 사용하여) 다음을 수행할 수 있다.
쿠버네티스를 위한 etcd 클러스터 운영하기와
kubeadm을 이용하여 고가용성 etcd 생성하기에서
큰 클러스터를 위한 etcd를 설정하고 관리하는 방법에 대한 상세 사항을 확인한다.
애드온 리소스
쿠버네티스 리소스 제한은
파드와 컨테이너가 다른 컴포넌트에 영향을 줄 수 있는 메모리 누수 및 기타 방식의 영향을
최소화하는 데 도움이 된다. 이러한 리소스 제한은 애플리케이션 워크로드에 적용될 수 있는 것처럼
애드온 리소스에도 적용될 수 있다.
예를 들어, 로깅 컴포넌트에 대한 CPU 및 메모리 제한을 설정할 수 있다.
...
containers:
- name: fluentd-cloud-logging
image: fluent/fluentd-kubernetes-daemonset:v1
resources:
limits:
cpu: 100m
memory: 200Mi
애드온의 기본 제한은 일반적으로 중소형 쿠버네티스 클러스터에서
각 애드온을 실행한 경험에서 수집된 데이터를 기반으로 한다. 대규모 클러스터에서
실행할 때, 애드온은 종종 기본 제한보다 많은 리소스를 소비한다.
이러한 값을 조정하지 않고 대규모 클러스터를 배포하면, 애드온이
메모리 제한에 계속 도달하기 때문에 지속적으로 종료될 수 있다.
또는, 애드온이 실행될 수 있지만 CPU 시간 슬라이스 제한으로 인해
성능이 저하된다.
클러스터 애드온 리소스 문제가 발생하지 않도록, 노드가 많은 클러스터를
만들 때, 다음 사항을 고려한다.
- 일부 애드온은 수직으로 확장된다. 클러스터 또는 전체 장애 영역을
제공하는 애드온 레플리카가 하나 있다. 이러한 애드온의 경우, 클러스터를 확장할 때
요청과 제한을 늘린다.
- 많은 애드온은 수평으로 확장된다. 더 많은 파드를 실행하여 용량을 추가하지만,
매우 큰 클러스터에서는 CPU 또는 메모리 제한을 약간 높여야 할 수도 있다.
VerticalPodAutoscaler는 recommender 모드에서 실행되어 요청 및 제한에 대한
제안 수치를 제공할 수 있다.
- 일부 애드온은 데몬셋(DaemonSet)에 의해 제어되는 노드 당 하나의 복사본으로 실행된다(예: 노드 수준 로그 수집기). 수평
확장 애드온의 경우와 유사하게, CPU 또는 메모리 제한을 약간 높여야
할 수도 있다.
다음 내용
VerticalPodAutoscaler
는 리소스 요청 및 파드 제한을 관리하는 데 도움이 되도록
클러스터에 배포할 수 있는 사용자 정의 리소스이다.
클러스터에 중요한 애드온을 포함하여 클러스터 컴포넌트를 확장하는 방법에 대한
자세한 내용은 Vertical Pod Autoscaler를
방문하여 배워본다.
클러스터 오토스케일러는
여러 클라우드 프로바이더와 통합되어 클러스터의 리소스 요구 수준에 맞는
노드 수를 실행할 수 있도록 도와준다.
addon resizer는
클러스터 스케일이 변경될 때 자동으로 애드온 크기를 조정할 수 있도록 도와준다.
3.2 - 여러 영역에서 실행
이 페이지에서는 여러 영역에서 쿠버네티스를 실행하는 방법을 설명한다.
배경
쿠버네티스는 단일 쿠버네티스 클러스터가 여러 장애 영역에서
실행될 수 있도록 설계되었다. 일반적으로 이러한 영역은 지역(region) 이라는
논리적 그룹 내에 적합하다. 주요 클라우드 제공자는 지역을 일관된 기능 집합을
제공하는 장애 영역 집합(가용성 영역 이라고도 함)으로
정의한다. 지역 내에서 각 영역은 동일한 API 및
서비스를 제공한다.
일반적인 클라우드 아키텍처는 한 영역의 장애가 다른 영역의 서비스도
손상시킬 가능성을 최소화하는 것을 목표로 한다.
컨트롤 플레인 동작
모든 컨트롤 플레인 컴포넌트는
컴포넌트별로 복제되는 교환 가능한 리소스 풀로 실행을
지원한다.
클러스터 컨트롤 플레인을 배포할 때, 여러 장애 영역에
컨트롤 플레인 컴포넌트의 복제본을 배치한다. 가용성이
중요한 문제인 경우, 3개 이상의 장애 영역을 선택하고
각 개별 컨트롤 플레인 컴포넌트(API 서버, 스케줄러, etcd,
클러스터 컨트롤러 관리자)를 3개 이상의 장애 영역에 복제한다.
클라우드 컨트롤러 관리자를 실행 중인 경우 선택한
모든 장애 영역에 걸쳐 이를 복제해야 한다.
참고: 쿠버네티스는 API 서버 엔드포인트에 대한 교차 영역 복원성을 제공하지
않는다. DNS 라운드-로빈, SRV 레코드 또는 상태 확인 기능이 있는
써드파티 로드 밸런싱 솔루션을 포함하여 다양한 기술을 사용하여
클러스터 API 서버의 가용성을 향상시킬 수 있다.
노드 동작
쿠버네티스는 클러스터의 여러 노드에 걸쳐
워크로드 리소스(예: 디플로이먼트(Deployment)
또는 스테이트풀셋(StatefulSet))에
대한 파드를 자동으로 분배한다. 이러한 분배는
실패에 대한 영향을 줄이는 데 도움이 된다.
노드가 시작되면, 각 노드의 kubelet이 쿠버네티스 API에서
특정 kubelet을 나타내는 노드 오브젝트에
레이블을 자동으로 추가한다.
이러한 레이블에는
영역 정보가 포함될 수 있다.
클러스터가 여러 영역 또는 지역에 걸쳐있는 경우,
파드 토폴로지 분배 제약 조건과
함께 노드 레이블을 사용하여
파드가 장애 도메인(지역, 영역, 특정 노드) 간 클러스터에
분산되는 방식을 제어할 수 있다.
이러한 힌트를 통해
스케줄러는
더 나은 예상 가용성을 위해 파드를 배치할 수 있으므로, 상관 관계가 있는
오류가 전체 워크로드에 영향을 미칠 위험을 줄일 수 있다.
예를 들어, 가능할 때마다 스테이트풀셋의
3개 복제본이 모두 서로 다른 영역에서 실행되도록 제약 조건을
설정할 수 있다. 각 워크로드에 사용 중인
가용 영역을 명시적으로 정의하지 않고 이를 선언적으로
정의할 수 있다.
여러 영역에 노드 분배
쿠버네티스의 코어는 사용자를 위해 노드를 생성하지 않는다. 사용자가 직접 수행하거나,
클러스터 API와 같은 도구를 사용하여
사용자 대신 노드를 관리해야 한다.
클러스터 API와 같은 도구를 사용하면 여러 장애 도메인에서
클러스터의 워커 노드로 실행할 머신 집합과 전체 영역 서비스 중단 시
클러스터를 자동으로 복구하는 규칙을 정의할 수 있다.
파드에 대한 수동 영역 할당
생성한 파드와 디플로이먼트, 스테이트풀셋, 잡(Job)과
같은 워크로드 리소스의 파드 템플릿에 노드 셀렉터 제약 조건을
적용할 수 있다.
영역에 대한 스토리지 접근
퍼시스턴트 볼륨이 생성되면, PersistentVolumeLabel
어드미션 컨트롤러는
특정 영역에 연결된 모든 퍼시스턴트볼륨(PersistentVolume)에 영역 레이블을 자동으로
추가한다. 그런 다음 스케줄러는
NoVolumeZoneConflict
프레디케이트(predicate)를 통해 주어진 퍼시스턴트볼륨을 요구하는 파드가
해당 볼륨과 동일한 영역에만 배치되도록 한다.
해당 클래스의 스토리지가 사용할 수 있는 장애 도메인(영역)을 지정하는
퍼시스턴트볼륨클레임(PersistentVolumeClaims)에 대한
스토리지클래스(StorageClass)를 지정할 수 있다.
장애 도메인 또는 영역을 인식하는 스토리지클래스 구성에 대한 자세한 내용은
허용된 토폴로지를 참고한다.
네트워킹
쿠버네티스가 스스로 영역-인지(zone-aware) 네트워킹을 포함하지는 않는다.
네트워크 플러그인을
사용하여 클러스터 네트워킹을 구성할 수 있으며, 해당 네트워크 솔루션에는 영역별 요소가
있을 수 있다. 예를 들어, 클라우드 제공자가
type=LoadBalancer
를 사용하여 서비스를 지원하는 경우, 로드 밸런서는 지정된 연결을 처리하는
로드 밸런서 요소와 동일한 영역에서 실행 중인 파드로만 트래픽을 보낼 수 있다.
자세한 내용은 클라우드 제공자의 문서를 확인한다.
사용자 정의 또는 온-프레미스 배포의 경우, 비슷한 고려 사항이 적용된다.
다른 장애 영역 처리를 포함한 서비스와
인그레스(Ingress) 동작은
클러스터가 설정된 방식에 명확히 의존한다.
장애 복구
클러스터를 설정할 때, 한 지역의 모든 장애 영역이 동시에
오프라인 상태가 되는 경우 설정에서 서비스를 복원할 수 있는지
여부와 방법을 고려해야 할 수도 있다. 예를 들어, 영역에서 파드를 실행할 수 있는
노드가 적어도 하나 이상 있어야 하는가?
클러스터에 중요한 복구 작업이 클러스터에
적어도 하나 이상의 정상 노드에 의존하지 않는지 확인한다. 예를 들어, 모든 노드가
비정상인 경우, 하나 이상의 노드를 서비스할 수 있을 만큼 복구를 완료할 수 있도록 특별한
톨러레이션(toleration)으로
복구 작업을 실행해야 할 수 있다.
쿠버네티스는 이 문제에 대한 답을 제공하지 않는다. 그러나,
고려해야 할 사항이다.
다음 내용
스케줄러가 구성된 제약 조건을 준수하면서, 클러스터에 파드를 배치하는 방법을 알아보려면,
스케줄링과 축출(eviction)을 참고한다.
3.3 - 노드 구성 검증하기
노드 적합성 테스트
노드 적합성 테스트 는 노드의 시스템 검증과 기능 테스트를 제공하기 위해 컨테이너화된 테스트 프레임워크이다.
테스트는 노드가 쿠버네티스를 위한 최소 요구조건을 만족하는지를 검증한다. 그리고 테스트를 통과한 노드는 쿠버네티스 클러스터에 참
여할 자격이 주어진다.
노드 필수 구성 요소
노드 적합성 테스트를 실행하기 위해서는, 해당 노드는 표준 쿠버네티스 노드로서 동일한 전제조건을 만족해야 한다.
노드는 최소한 아래 데몬들이 설치되어 있어야 한다.
- 컨테이너 런타임 (Docker)
- Kubelet
노드 적합성 테스트 실행
노드 적합성 테스트는 다음 순서로 진행된다.
- kubelet에 대한
--kubeconfig
옵션의 값을 계산한다. 예를 들면, 다음과 같다.
--kubeconfig = / var / lib / kubelet / config.yaml
.
테스트 프레임워크는 kubelet을 테스트하기 위해 로컬 컨트롤 플레인을 시작하기 때문에,
http://localhost:8080
을 API 서버의 URL로 사용한다.
사용할 수 있는 kubelet 커맨드 라인 파라미터가 몇 개 있다.
--pod-cidr
: kubenet
을 사용 중이라면, 임의의 CIDR을 Kubelet에 지정해주어야 한다. 예) --pod-cidr=10.180.0.0/24
.
--cloud-provider
: --cloud-provider=gce
를 사용 중이라면, 테스트 실행 시에는 제거해야 한다.
- 다음 커맨드로 노드 적합성 테스트를 실행한다.
# $CONFIG_DIR는 Kublet의 파드 매니페스트 경로이다.
# $LOG_DIR는 테스트 출력 경로이다.
sudo docker run -it --rm --privileged --net=host \
-v /:/rootfs -v $CONFIG_DIR:$CONFIG_DIR -v $LOG_DIR:/var/result \
k8s.gcr.io/node-test:0.2
다른 아키텍처에서 노드 적합성 테스트 실행
쿠버네티스는 다른 아키텍쳐용 노드 적합성 테스트 Docker 이미지도 제공한다.
Arch |
Image |
amd64 |
node-test-amd64 |
arm |
node-test-arm |
arm64 |
node-test-arm64 |
선택된 테스트 실행
특정 테스트만 실행하기 위해서는 환경 변수 FOCUS
에 테스트하고자 하는 테스트를 정규식으로 지정한다.
sudo docker run -it --rm --privileged --net=host \
-v /:/rootfs:ro -v $CONFIG_DIR:$CONFIG_DIR -v $LOG_DIR:/var/result \
-e FOCUS=MirrorPod \ # MirrorPod 테스트만 실행
k8s.gcr.io/node-test:0.2
특정 테스트를 건너뛰기 위해서는, 환경 변수 SKIP
에 건너뛰고자 하는 테스트를 정규식으로 지정한다.
sudo docker run -it --rm --privileged --net=host \
-v /:/rootfs:ro -v $CONFIG_DIR:$CONFIG_DIR -v $LOG_DIR:/var/result \
-e SKIP=MirrorPod \ # MirrorPod 테스트만 건너뛰고 모든 적합성 테스트를 실행한다
k8s.gcr.io/node-test:0.2
노드 적합성 테스트는 노드 e2e 테스트를 컨테이너화한 버전이다.
기본적으로, 모든 적합성 테스트를 실행한다.
이론적으로, 컨테이너와 필요한 볼륨을 적절히 설정했다면 어떤 노드 e2e 테스트도 수행할 수 있다.
하지만, 적합성 테스트가 아닌 테스트들은 훨씬 복잡한 설정이 필요하기 때문에 적합성 테스트만 실행하기를 강하게 추천한다.
주의 사항
- 테스트 후, 노드 적합성 테스트 이미지 및 기능 테스트에 사용된 이미지들을 포함하여 몇 개의 Docker 이미지들이 노드에 남는다.
- 테스트 후, 노드에 죽은 컨테이너가 남는다. 기능 테스트 도중에 생성된 컨테이너들이다.
3.4 - PKI 인증서 및 요구 사항
쿠버네티스는 TLS를 통한 인증을 위해서 PKI 인증서가 필요하다.
만약 kubeadm으로 쿠버네티스를 설치한다면, 클러스터에 필요한 인증서는 자동으로 생성된다.
또한 더 안전하게 자신이 소유한 인증서를 생성할 수 있다. 이를 테면, 개인키를 API 서버에 저장하지 않으므로 더 안전하게 보관할 수 있다.
이 페이지는 클러스터가 필요로 하는 인증서에 대해서 설명한다.
클러스터에서 인증서가 이용되는 방식
쿠버네티스는 다음 작업에서 PKI를 필요로 한다.
- kubelet에서 API 서버 인증서를 인증시 사용하는 클라이언트 인증서
- API 서버 엔드포인트를 위한 서버 인증서
- API 서버에 클러스터 관리자 인증을 위한 클라이언트 인증서
- API 서버에서 kubelet과 통신을 위한 클라이언트 인증서
- API 서버에서 etcd 간의 통신을 위한 클라이언트 인증서
- 컨트롤러 매니저와 API 서버 간의 통신을 위한 클라이언트 인증서/kubeconfig
- 스케줄러와 API 서버간 통신을 위한 클라이언트 인증서/kubeconfig
- front-proxy를 위한 클라이언트와 서버 인증서
참고: front-proxy
인증서는 kube-proxy에서
API 서버 확장을 지원할 때만 kube-proxy에서 필요하다.
etcd 역시 클라이언트와 피어 간에 상호 TLS 인증을 구현한다.
인증서를 저장하는 위치
만약 쿠버네티스를 kubeadm으로 설치했다면, 대부분의 인증서는 /etc/kubernetes/pki
에 저장된다. 이 문서에 언급된 모든 파일 경로는 그 디렉터리에 상대적이나, kubeadm이 /etc/kubernetes
에 저장하는 사용자 어카운트 인증서는 예외이다.
인증서 수동 설정
필요한 인증서를 kubeadm으로 생성하기 싫다면, 단일 루트 CA를 이용하거나 모든 인증서를 제공하여 생성할 수 있다. 소유한 인증기관을 이용해서 생성하는 방법에 대해서는 인증서를 살펴본다.
인증서를 관리하는 방법에 대해서는 kubeadm을 사용한 인증서 관리를 살펴본다.
단일 루트 CA
관리자에 의해 제어되는 단일 루트 CA를 만들 수 있다. 이 루트 CA는 여러 중간 CA를 생성할 수 있고, 모든 추가 생성에 관해서도 쿠버네티스 자체에 위임할 수 있다.
필요 CA:
경로 |
기본 CN |
설명 |
ca.crt,key |
kubernetes-ca |
쿠버네티스 일반 CA |
etcd/ca.crt,key |
etcd-ca |
모든 etcd 관련 기능을 위해서 |
front-proxy-ca.crt,key |
kubernetes-front-proxy-ca |
front-end proxy 위해서 |
위의 CA외에도, 서비스 계정 관리를 위한 공개/개인 키 쌍인 sa.key
와 sa.pub
을 얻는 것이 필요하다.
다음은 이전 표에 나온 CA 키와 인증서 파일을 보여준다.
/etc/kubernetes/pki/ca.crt
/etc/kubernetes/pki/ca.key
/etc/kubernetes/pki/etcd/ca.crt
/etc/kubernetes/pki/etcd/ca.key
/etc/kubernetes/pki/front-proxy-ca.crt
/etc/kubernetes/pki/front-proxy-ca.key
모든 인증서
이런 개인키를 API 서버에 복사하기 원치 않는다면, 모든 인증서를 스스로 생성할 수 있다.
필요한 인증서:
기본 CN |
부모 CA |
O (주체에서) |
종류 |
호스트 (SAN) |
kube-etcd |
etcd-ca |
|
server, client |
localhost , 127.0.0.1 |
kube-etcd-peer |
etcd-ca |
|
server, client |
<hostname> , <Host_IP> , localhost , 127.0.0.1 |
kube-etcd-healthcheck-client |
etcd-ca |
|
client |
|
kube-apiserver-etcd-client |
etcd-ca |
system:masters |
client |
|
kube-apiserver |
kubernetes-ca |
|
server |
<hostname> , <Host_IP> , <advertise_IP> , [1] |
kube-apiserver-kubelet-client |
kubernetes-ca |
system:masters |
client |
|
front-proxy-client |
kubernetes-front-proxy-ca |
|
client |
|
[1]: 클러스터에 접속한 다른 IP 또는 DNS 이름(kubeadm이 사용하는
로드 밸런서 안정 IP 또는 DNS 이름, kubernetes
, kubernetes.default
, kubernetes.default.svc
,
kubernetes.default.svc.cluster
, kubernetes.default.svc.cluster.local
)
kind
는 하나 이상의 x509 키 사용 종류를 가진다.
종류 |
키 사용 |
server |
digital signature, key encipherment, server auth |
client |
digital signature, key encipherment, client auth |
참고: 위에 나열된 호스트/SAN은 작업 중인 클러스터를 획득하는데 권장된다. 특정 설정이 필요한 경우, 모든 서버 인증서에 SAN을 추가할 수 있다.
참고: kubeadm 사용자만 해당:
- 개인 키 없이 클러스터 CA 인증서에 복사하는 시나리오는 kubeadm 문서에서 외부 CA라고 한다.
- 위 목록을 kubeadm이 생성한 PKI와 비교하는 경우,
kube-etcd
, kube-etcd-peer
와 kube-etcd-healthcheck-client
인증서는
외부 etcd 케이스에서는 생성하지 않는 것을 알고 있어야 한다.
인증서 파일 경로
인증서는 권고하는 파일 경로에 존재해야 한다(kubeadm에서 사용되는 것처럼).
경로는 위치에 관계없이 주어진 파라미터를 사용하여 지정해야 한다.
기본 CN |
권고되는 키 파일 경로 |
권고하는 인증서 파일 경로 |
명령어 |
키 파라미터 |
인증서 파라미터 |
etcd-ca |
etcd/ca.key |
etcd/ca.crt |
kube-apiserver |
|
--etcd-cafile |
kube-apiserver-etcd-client |
apiserver-etcd-client.key |
apiserver-etcd-client.crt |
kube-apiserver |
--etcd-keyfile |
--etcd-certfile |
kubernetes-ca |
ca.key |
ca.crt |
kube-apiserver |
|
--client-ca-file |
kubernetes-ca |
ca.key |
ca.crt |
kube-controller-manager |
--cluster-signing-key-file |
--client-ca-file, --root-ca-file, --cluster-signing-cert-file |
kube-apiserver |
apiserver.key |
apiserver.crt |
kube-apiserver |
--tls-private-key-file |
--tls-cert-file |
kube-apiserver-kubelet-client |
apiserver-kubelet-client.key |
apiserver-kubelet-client.crt |
kube-apiserver |
--kubelet-client-key |
--kubelet-client-certificate |
front-proxy-ca |
front-proxy-ca.key |
front-proxy-ca.crt |
kube-apiserver |
|
--requestheader-client-ca-file |
front-proxy-ca |
front-proxy-ca.key |
front-proxy-ca.crt |
kube-controller-manager |
|
--requestheader-client-ca-file |
front-proxy-client |
front-proxy-client.key |
front-proxy-client.crt |
kube-apiserver |
--proxy-client-key-file |
--proxy-client-cert-file |
etcd-ca |
etcd/ca.key |
etcd/ca.crt |
etcd |
|
--trusted-ca-file, --peer-trusted-ca-file |
kube-etcd |
etcd/server.key |
etcd/server.crt |
etcd |
--key-file |
--cert-file |
kube-etcd-peer |
etcd/peer.key |
etcd/peer.crt |
etcd |
--peer-key-file |
--peer-cert-file |
etcd-ca |
|
etcd/ca.crt |
etcdctl |
|
--cacert |
kube-etcd-healthcheck-client |
etcd/healthcheck-client.key |
etcd/healthcheck-client.crt |
etcdctl |
--key |
--cert |
서비스 계정 키 쌍에도 동일한 고려 사항이 적용된다.
개인키 경로 |
공개 키 경로 |
명령어 |
파라미터 |
sa.key |
|
kube-controller-manager |
--service-account-private-key-file |
|
sa.pub |
kube-apiserver |
--service-account-key-file |
다음은 키와 인증서를 모두 생성할 때에 제공해야 하는 이전 표에 있는 파일의 경로를 보여준다.
/etc/kubernetes/pki/etcd/ca.key
/etc/kubernetes/pki/etcd/ca.crt
/etc/kubernetes/pki/apiserver-etcd-client.key
/etc/kubernetes/pki/apiserver-etcd-client.crt
/etc/kubernetes/pki/ca.key
/etc/kubernetes/pki/ca.crt
/etc/kubernetes/pki/apiserver.key
/etc/kubernetes/pki/apiserver.crt
/etc/kubernetes/pki/apiserver-kubelet-client.key
/etc/kubernetes/pki/apiserver-kubelet-client.crt
/etc/kubernetes/pki/front-proxy-ca.key
/etc/kubernetes/pki/front-proxy-ca.crt
/etc/kubernetes/pki/front-proxy-client.key
/etc/kubernetes/pki/front-proxy-client.crt
/etc/kubernetes/pki/etcd/server.key
/etc/kubernetes/pki/etcd/server.crt
/etc/kubernetes/pki/etcd/peer.key
/etc/kubernetes/pki/etcd/peer.crt
/etc/kubernetes/pki/etcd/healthcheck-client.key
/etc/kubernetes/pki/etcd/healthcheck-client.crt
/etc/kubernetes/pki/sa.key
/etc/kubernetes/pki/sa.pub
각 사용자 계정을 위한 인증서 설정하기
반드시 이런 관리자 계정과 서비스 계정을 설정해야 한다.
파일명 |
자격증명 이름 |
기본 CN |
O (주체에서) |
admin.conf |
default-admin |
kubernetes-admin |
system:masters |
kubelet.conf |
default-auth |
system:node:<nodeName> (note를 보자) |
system:nodes |
controller-manager.conf |
default-controller-manager |
system:kube-controller-manager |
|
scheduler.conf |
default-scheduler |
system:kube-scheduler |
|
참고: kubelet.conf
을 위한
<nodeName>
값은 API 서버에 등록된 것처럼 kubelet에 제공되는 노드 이름 값과
반드시 정확히 일치해야 한다. 더 자세한 내용은
노드 인증을 살펴보자.
-
각 환경 설정에 대해 주어진 CN과 O를 이용하여 x509 인증서와 키쌍을 생성한다.
-
각 환경 설정에 대해 다음과 같이 kubectl
를 실행한다.
KUBECONFIG=<filename> kubectl config set-cluster default-cluster --server=https://<host ip>:6443 --certificate-authority <path-to-kubernetes-ca> --embed-certs
KUBECONFIG=<filename> kubectl config set-credentials <credential-name> --client-key <path-to-key>.pem --client-certificate <path-to-cert>.pem --embed-certs
KUBECONFIG=<filename> kubectl config set-context default-system --cluster default-cluster --user <credential-name>
KUBECONFIG=<filename> kubectl config use-context default-system
이 파일들은 다음과 같이 사용된다.
파일명 |
명령어 |
설명 |
admin.conf |
kubectl |
클러스터 관리자를 설정한다. |
kubelet.conf |
kubelet |
클러스터 각 노드를 위해 필요하다. |
controller-manager.conf |
kube-controller-manager |
반드시 매니페스트를 manifests/kube-controller-manager.yaml 에 추가해야 한다. |
scheduler.conf |
kube-scheduler |
반드시 매니페스트를 manifests/kube-scheduler.yaml 에 추가해야 한다. |
다음의 파일은 이전 표에 나열된 파일의 전체 경로를 보여준다.
/etc/kubernetes/admin.conf
/etc/kubernetes/kubelet.conf
/etc/kubernetes/controller-manager.conf
/etc/kubernetes/scheduler.conf