CVE CVE는 Common Vulnerabilities and Exposures의 약자로 이 세상에는 완벽한 코드는 존재하지 않으므로 소프트웨어에는 공격자가 악용할 수 있는 취약점이 존재 할 수 있다. 보안 연구원들은 이러한 취약점을 발견하면 중앙 CVE 데이터베이스에 보고하며 다음과 같은 작업을 수행한다 . 버그 보고를 간소화하고 중복항목...

MTU 1450의 의미를 알아 보기 위해선 우선 VXLAN의 배경에 대해서 알아볼 필요가 있어 보인다. MTU/MSS의 정의 및 VXLAN의 배경 그리고 실무상 주의할점에 대해서 정리해본다. MTU / MSS 기본 https://aws.amazon.com/ko/blogs/tech/aws-mtu-mss-pmtud/ MTU : 네트워크 계층...

실습환경 먼저 위와 같이 k8s-ctr(control-plane), k8s-w1(worker-node 1), k8s-w0(worker-node 2), router를 가상 머신으로 배포한다. k8s-w0(192.168.20.0/24)는 보는 바와 같이 컨트롤 플레인(192.168.10.0/24)과 다른 네트워크 대역에 배치된다. eth1과 eth...

로컬 리디렉션 정책 (Local Redirect Policy) Link eBPF를 사용하여 IP 주소, 포트/프로토콜 튜플 또는 쿠버네티스 서비스로 향하는 파드 트래픽을 노드 내 백엔드 파드로 로컬 리디렉션할 수 있도록 하는 Cilium의 로컬 리디렉션 정책을 구성하는 방법을 설명하고 있다. 백엔드 파드의 네임스페이스는 정책의 네임스페이스와...

IPAM IPAM이란? IP Address Management) 네트워크 엔드포인트(컨테이너 등)에 대한 IP할당과 관리 kubectl cluster-info dump | grep -m 2 -E "cluster-cidr|service-cluster-ip-range" cilium config view | grep ^ipam kubectl get nod...

Hubble Cilium이 eBPF를 활용하여 커널 수준에서 네트워크 트래픽을 처리하고, Hubble이 이 트래픽에 대한 심층적인 관측 가능성 데이터를 수집하며, Hubble Relay가 이 데이터를 중앙 집계하여 사용자에게 클러스터 전체의 가시성을 제공하는 과정 허블은 Cilium과 eBPF를 기반으로 한 분산형 네트워크 및 보안 관측 플랫폼이다...

Cilium Metrics 및 Hubble Metrics Cilium Metrics Cilium metrics은 Cilium 자체의 상태, 즉 Cilium Agent, Cilium envoy, Cilium operator 프로세스에 대한 인사이트를 제공한다 프로메테우스 메트릭이 활성화된 Cilium을 실행하려면 pro...

Configure TLS with Hubble Hubble API에서 TLS 활성화 허블 릴레이가 배포되면 허블은 호스트 네트워크의 TCP 포트에서 수신대기한다. 이를 통해 허블 릴레이는 클러스터 내의 모든 허블 인스턴스와 통신 할 수 있다. 허블 인스턴스와 허블릴레이 간의 연결은 기본적으로 mTLS를 사용하여 보호된다. TLS인증서 구성 인증서...

아키텍처 Dynamic exporter configuration (hubble flow logs) 로 파일 출력 후 해당 파일을 수집하여 볼 수 있는 중앙 로깅 시스템 구성해본다. Vagrant를 이용한 쿠버네티스 환경 구축 vagrant를 사용하여 쿠버네티스 클러스터를 구축한다. helm차트를 이용하여 배포할 것인데 공식문서를 보니 최소 3개...