쿠버네티스 엔터프라이즈 가이드 2/e

1장. 도커 및 컨테이너 기초
__기술 요구 사항
__컨테이너화의 필요성 이해
____쿠버네티스에서 도커를 지원 중단하는 이유
____도커 소개
__도커 이해하기
____컨테이너는 일시적이다
____도커 이미지
____이미지 레이어
____영구 데이터
____컨테이너에서 실행 중인 서비스에 액세스
__도커 설치
____도커 설치 준비
____Ubuntu에 도커 설치
____도커 권한 부여
__도커 CLI 사용
____docker help
____docker run
____docker ps
____docker start and stop
____docker attach
____docker exec
____docker logs
____docker rm
__요약
__문제

2장. KinD를 이용한 쿠버네티스 배포
__기술 요구 사항
__쿠버네티스 컴포넌트 및 오브젝트 소개
____클러스터와 상호 작용
__개발 클러스터 사용
____기본 KinD 쿠버네티스 클러스터로 작업하기
____노드 이미지 이해
____KinD 및 도커 네트워킹
____중첩 인형 추적
__KinD 설치
____KinD 설치 - 사전 조건
______kubectl 설치
____KinD 바이너리 설치
__KinD 클러스터 만들기
____단순 클러스터 생성
____클러스터 삭제
____클러스터 설정 파일 생성
____다중 노드 클러스터 설정
____컨트롤 플레인 및 Kubelet 옵션 커스터마이징
____사용자 지정 KinD 클러스터 만들기
____Calico 설치
____인그레스 컨트롤러 설치
__KinD 클러스터 검토
____KinD 스토리지 오브젝트
____스토리지 드라이버
____KinD 스토리지 클래스
____KinD의 스토리지 프로비저너 사용
__인그레스용 커스텀 로드밸런서 추가
____설치 사전 요구 사항
____KinD 클러스터 설정 생성하기
____사용자 지정 HAProxy 컨테이너 배포
____HAProxy 트래픽 흐름 이해
____kubelet 장애 시뮬레이션
__요약
__문제

3장. 쿠버네티스 부트캠프
__기술 요구 사항
__쿠버네티스 컴포넌트 개요
____컨트롤 플레인 살펴보기
____쿠버네티스 API 서버
____Etcd 데이터베이스
____kube-scheduler
____kube-controller-manager
____cloud-controller-manager
__작업자 노드 컴포넌트 이해
____kubelet
____kube-proxy
____컨테이너 런타임
__API 서버와 상호 작용
____쿠버네티스 kubectl 유틸리티 사용
____Verbose 옵션 이해
____일반 kubectl 명령어
__쿠버네티스 리소스 소개
____쿠버네티스 매니페스트
____쿠버네티스의 리소스는 무엇인가?
____쿠버네티스 리소스 검토
______컨피그맵
______엔드포인트
______이벤트
______네임스페이스
______노드
______퍼시스턴트 볼륨 클레임
______퍼시스턴트 볼륨
______파드
______레플리케이션 컨트롤러
______리소스쿼터
______시크릿
______서비스어카운트
______서비스
______커스텀리소스데피니션
______데몬셋
______디플로이먼트
______레플리카셋
______스테이트풀셋
______HorizontalPodAutoscalers
______크론잡
______잡
______인그레스
______네트워크폴리시
______파드 시큐리티 폴리시
______클러스터롤바인딩
______클러스터롤
______롤바인딩
______롤
______CSI 드라이버
______CSI 노드
______스토리지 클래스
__요약
__문제

4장. 서비스, 로드밸런서, ExternalDNS 그리고 글로벌 밸런싱
__기술 요구 사항
__요청에 대한 워크로드 노출
____서비스 작동 방식 이해
______서비스 생성
______DNS를 사용해 서비스 해결
____다양한 서비스 유형 이해
______ClusterIP 서비스
______NodePort 서비스
______로드밸런서 서비스
______ExternalName 서비스
__로드밸런서 소개
____OSI 모델에 대해서
__레이어 7 로드밸런서
____이름 해석 및 레이어 7 로드밸런서
____이름 해석에 nip.io 사용
____인그레스 규칙 생성
__레이어 4 로드밸런서
____레이어 4 로드밸런서 옵션
____레이어 4 로드밸런서로 MetalLB 사용
______MetalLB 설치
______MetalLB 설정 파일 이해
______MetalLB 컴포넌트
________스피커
________컨트롤러
______로드밸런서 서비스 생성
____MetalLB에 여러 IP 풀 추가
______다중 프로토콜 사용
____여러 가지 프로토콜 문제
____MetalLB와 함께 여러 프로토콜 사용
____공유 IP 사용
__엔터프라이즈를 위한 로드밸런서 강화
__서비스 이름을 외부에서 사용할 수 있도록 설정
____external-dns 설정
____external-dns와 CoreDNS 연동
______CoreDNS에 ETCD 존 추가
________ExternalDNS 연동으로 로드밸런서 서비스 생성
________CoreDNS와 엔터프라이즈 DNS의 연동
____프라이머리 DNS 서버 설정
____CoreDNS로의 DNS 전달 테스트
__멀티 클러스터 간의 로드밸런싱
____쿠버네티스 글로벌 밸런서 소개
____K8GB의 요건
____클러스터에 K8GB 배포
______K8GB 로드밸런싱 옵션 이해
______헬름 차트 값 사용자 정의
______헬름을 사용한 K8GB 설치
____K8GB를 사용한 고가용성 애플리케이션 배포
______커스텀 리소스르 사용해 K8GB에 애플리케이션 추가
______인그레스 어노테이션을 사용해 K8GB에 애플리케이션 추가
______K8GB의 글로벌 로드밸런싱 기능 이해
______K8GB CoreDNS 서버의 동기화 유지
__요약
__문제

5장. 클러스터 인증 연동
__기술 요구 사항
__쿠버네티스가 당신을 어떻게 아는지 이해하기
____외부 사용자
____쿠버네티스의 그룹
____서비스어카운트
__OpenID Connect 이해
____OpenID Connect 프로토콜
____OIDC와 API의 상호 작용을 추적
______id_token
____기타 인증 옵션
______인증서
______서비스어카운트
______TokenRequest API
______커스텀 인증 웹훅
______키스톤
__OpenID Connect에 대한 KinD 설정
____요구 사항에 대한 대응
____쿠버네티스에서의 LDAP 및 액티브 디렉터리 사용
____액티브 디렉터리 그룹을 RBAC 롤바인딩에 매핑
____쿠버네티스 대시보드 액세스
____쿠버네티스 CLI 액세스
____엔터프라이즈 규정 준수 요구 사항
____모든 것을 한데 모으기
____OpenUnison 배포
____OIDC를 사용하기 위한 쿠버네티스 API 설정
____OIDC 연동 확인
____kubectl과 함께 토큰 사용
__클라우드 관리형 클러스터와 인증을 연동하기 위한 가장 도입
____가장이란?
____보안에 관한 고려 사항
__가장을 위한 클러스터 구성
____가장 테스트
__OpenUnison을 사용하지 않는 가장 설정
____가장 RBAC 정책
____기본 그룹
__클러스터에 대한 파이프라인에서 인증
____토큰 사용
____인증서 사용
____안티 패턴 회피
__요약
__문제

6장. 롤 기반 액세스 제어 정책 및 감사
__기술 요구 사항
__RBAC 소개
__롤이란
____롤 식별
____롤 대 클러스터롤
____네거티브 롤
____집계된 클러스터롤
____롤바인딩 및 클러스터 롤바인딩
______클러스터롤 및 롤바인딩 결합
__리소스에 대한 액세스 권한을 부여하기 위해 엔터프라이즈 ID를 쿠버네티스에 매핑
__네임스페이스 멀티테넌시 구현
__쿠버네티스 감사
____감사 정책 만들기
____클러스터에서 감사 활성화
__audit2rbac를 사용한 정책 디버깅
__요약
__문제

7장. 안전한 쿠버네티스 대시보드 배포
__기술 요구 사항
__대시보드에서의 사용자
____대시보드 아키텍처
____인증 방법
__대시보드 보안 위험 이해
____안전하지 않은 대시보드 배포
____토큰을 사용해 로그인
__리버스 프록시로 대시보드 배포
____로컬 대시보드
____기타 클러스터 레벨 애플리케이션
__오픈유니슨과 대시보드 통합
__요약
__문제

8장. 개방형 정책 에이전트를 사용한 보안 확장
__기술 요구 사항
__동적 승인 컨트롤러 소개
__OPA의 정의 및 동작
____OPA 아키텍처
____OPA 정책 언어, Rego
____게이트키퍼
______게이트키퍼 배포
____자동화된 테스트 프레임워크
__Rego를 사용한 정책 작성
____OPA 정책 개발
____OPA 정책 테스트
____게이트키퍼에 정책 배포
____동적 정책 구축
____Rego 디버깅하기
____기존 정책 사용
__메모리 제약 적용
____게이트키퍼 캐시 활성화
____테스트 데이터 모킹
____정책 구축 및 배포
__오브젝트 및 기본값 변형
__요약
__문제

9장. 게이트키퍼로 노드 보안 구현
__기술 요구 사항
__노드 보안
____컨테이너와 VM 간의 차이점 이해
____컨테이너 브레이크아웃
____적절한 컨테이너 설계
__게이트키퍼로 노드 보안 적용
____파드 보안 정책
____PSP와 게이트키퍼의 차이점
____노드 보안 정책 승인
____노드 보안 정책 배포 및 디버깅
______보안 컨텍스트 기본값 생성
______클러스터 정책 적용
______제약 조건 위반 디버깅
______멀티테넌트 클러스터의 스케일링 정책 배포
__요약
__문제

10장. 팔코, 데브옵스 AI, ECK를 통한 감사
__기술 요구 사항
__감사 살펴보기
__팔코 소개
__팔코 설정 파일 살펴보기
____헬름 밸류 파일
____헬름 밸류 커스터마이징
____팔코 규칙 설정 파일
______규칙 이해
______조건(필드 및 값) 이해
______매크로 사용
______목록 이해하기
____사용자 지정 규칙 생성 및 추가
______기존 규칙 수정
______신규 규칙 만들기
__팔코 배포
____팔코사이드킥 소개
____팔코사이드킥 설치
____쿠브리스의 이해
____쿠브리스의 설치
____쿠브리스를 사용한 함수 배포
__데브옵스 AI
____이벤트에 대한 자동 응답 이해
______NGINX 서버 배포 및 연결 테스트
______파드에 대한 공격 시뮬레이션
____팔코 이벤트 관측
______FalcoSideKick-UI 사용
____로깅 시스템 배포
______신규 네임스페이스 생성
______ECK 오퍼레이터 배포
______일래스틱서치, 파일비트, 키바나 배포
____로그를 보기 위한 ECK 구성 요소 사용
____키바나 인덱스 생성
____이벤트 탐색
____시각화
____대시보드 생성
____팔코 이벤트 유형에 대한 시각화 생성
__요약
__문제

11장. 워크로드 백업
__기술 요구 사항
__쿠버네티스 백업에 대한 이해
__etcd 백업 수행
____필요한 인증서 백업
____etcd 데이터베이스 백업
__VMware 벨레로 소개 및 설정
____벨레로 요구 사항
____벨레로 CLI 설치
____벨레로 설치
______백업 스토리지 위치
______MinIO 배포
______MinIO 및 콘솔 노출
______S3 대상 설정 생성
__벨레로를 사용한 워크로드 백업
____일회성 클러스터 백업 실행
____클러스터 백업 스케줄링
____사용자 지정 백업 생성
__CLI를 사용한 벨레로 관리
____일반적인 벨레로 명령 사용
______벨레로 오브젝트 목록
______벨레로 오브젝트 세부 정보 검색
______오브젝트 생성 및 삭제
__백업에서 복원
____복원 작업
______백업에서 배포 복원
____네임스페이스 백업
______장애 시뮬레이션
____네임스페이스 복원
____백업을 사용한 신규 클러스터 워크로드 생성
______클러스터 백업
______신규 클러스터 구축
____신규 클러스터에 백업 복원
______신규 클러스터에 벨레로 설치
______신규 클러스터에서 백업 복원
______신규 클러스터 삭제
__요약
__문제

12장. 이스티오 소개
__기술 요구 사항
__서비스 메시에 신경을 써야 하는 이유는 무엇일까?
____워크로드 관측성
____트래픽 관리
______블루/그린 배포
______카나리 배포
____문제가 발생하기 전에 문제 찾기
____보안
__이스티오 개념 소개
__이스티오 구성 요소 이해
______istiod를 사용해 컨트롤 플레인을 단순하게 만들기
______istiod 파드 브레이킹
______Pilot - 사이드카 관리
______Galley - 구성 검증
______Citadel - 인증서 관리
______Mixer - 보안 키퍼
____이스티오-인그레스 게이트웨이에 대한 이해
____이스티오-이그레스 게이트웨이에 대한 이해
__이스티오 설치
____이스티오 다운로드
____프로필을 사용한 이스티오 설치
__이스티오 리소스 소개
____권한 부여 정책
______예 1: 모든 액세스 거부 및 허용
______예 2: 워크로드에 GET 메서드만 허용
______예 3: 특정 소스의 요청 허용
______게이트웨이
______가상 서비스
____대상 규칙
______피어 인증
______인증 요청
______서비스 항목
______사이드카
______Envoy 필터
__관측성을 제공하는 애드온 구성 요소 배포
____프로메테우스 설치
__Jaeger 설치
____Kiali 설치
__서비스 메시에 애플리케이션 배포
____첫 번째 애플리케이션을 메시에 배포하기
______Kiali를 사용한 메시 워크로드 관찰
______Kiali 개요 화면
______그래프 뷰 사용
______애플리케이션 뷰 사용
______워크로드 뷰 사용
______서비스 뷰 사용
______이스티오 구성 뷰
__요약
__문제

13장. 이스티오에서 애플리케이션 빌드 및 배포
__기술 요구 사항
__마이크로서비스와 모놀리스의 비교
____마이크로서비스와 모놀리식 아키텍처에 대한 나의 이야기
____애플리케이션 아키텍처 비교
______모놀리식 애플리케이션 설계
______마이크로서비스 설계
______모놀리스와 마이크로서비스 중에서 선택
______이스티오를 사용한 마이크로서비스 관리 지원
__모놀리스 배포하기
____모놀리스를 클러스터 외부에 노출
____고정 세션 구성
____Kiali와 오픈유니슨의 통합
__마이크로서비스 구축
____Hello World 배포하기
____우리 서비스에 인증 통합
____우리 서비스에 액세스 권한 부여
____서비스를 누가 사용하고 있는지 알고 싶다면
____사용자 자격 부여
______서비스 승인
______이스티오와 함께 OPA 사용
____다른 서비스 호출하기
______OAuth2 토큰 교환 사용
______서비스 인증하기
______수표 작성 서비스 배포 및 실행
______가장 사용
______위임 사용
______서비스 간 토큰 전달
______단순 가장 사용
__API 게이트웨이가 필요한가?
__요약
__문제

14장. 플랫폼 프로비저닝
__기술 요구 사항
__파이프라인 설계
____독단적 플랫폼
____파이프라인 보안
____플랫폼 요구 사항 구축
____기술 스택 선택
__클러스터 준비
____cert-manager 배포
____도커 컨테이너 레지스트리 배포
____오픈유니슨 및 게이트키퍼 배포
__깃랩 배포
____예제 프로젝트 만들기
__Tekton 배포
____Hello World 만들기
____자동으로 빌드하기
__ArgoCD 배포
__오픈유니슨을 사용한 프로젝트 온보딩 자동화
____깃옵스 전략 설계
____깃랩 통합
____TektonCD 대시보드 통합
____ArgoCD 통합
____오픈유니슨 업데이트
__애플리케이션 배포
____쿠버네티스에서 애플리케이션 생성
____개발자에게 접근하기
____개발 매니페스트 배포
____Tekton 파이프라인 배포
____파이프라인 실행
____프로덕션으로 프로모션
__요약
__문제