gasida 님이 진행하는 AEWS4 스터디를 기반으로 정리한 내용입니다.이 글에서는, 아닌 K8s에 올라간 애플리케이션(파드)이 AWS 리소스를 사용할 때 권한을 부여하는 방식을 다루겠습니다. 그 전에, 알아둬야 할 개념입니다.1. 핵심 개념: 임시 자격 증명 (Assume Role)파드는 주체가 애플리케이션이기 때문에 유출 위험이 큰 **장기 키(Access Key, Secret Key)**를 가져서는 안 됩니다. 대신 **IAM Role을 Assume(역할 맡기)**하여 유효 기간이 있는 임시 키를 발급받아 사용합니다. 현재 EKS에서 권장되는 **IRSA(IAM Roles for Service Accounts)**와 EKS Pod Identity 방식 모두 이 임시 키 방식을 사용합니다.2. AW..

gasida 님이 진행하는 AEWS4 스터디를 기반으로 정리한 내용입니다. 학습할 내용은 크게 2가지로 나뉘는데K8S(EKS) Identity and Access ManagementK8S(EKS) Pod(SA) with IAM Role → AWS 리소스 사용 이번 글에서는 K8S(EKS) Identity and Access Management 를 살펴보겠습니다.K8S(EKS) Identity and Access Management이번 첫 번째 챕터에서는 Kubernetes 플랫폼, 조금 더 정확히는 Kubernetes API 서버를 사용할 때 인증과 인가를 어떻게 처리하는지 다룹니다. 이 실습 환경에서는 결국 EKS API 서버를 사용할 때 접근을 어떻게 제어하는지 확인하는 내용입니다. K8S 기본 ..

gasida 님이 진행하는 AEWS4 스터디를 기반으로 정리한 내용입니다. 주요 학습 내용운영자가 K8S API 를 사용하기 위한 인증/인가를 알아보자애플리케이션(=파드, Service Account :Token)이 K8S API 를 사용하기 위한 인증/인가를 알아보자운영자가 EKS API 를 사용하기 위한 인증/인가를 알아보자 : ConfigMap vs EKS API애플리케이션이 K8S API 를 사용하기 위한 인증/인가를 알아보자 : IRSA vs EKS Pod Identity 1. 실습 환경 구성오늘은 이 실습에서 컨트롤 플레인 로그를 확인해야 하므로 5종을 모두 활성화해 두었습니다. eks.tf를 보면enabled_log_types = [ "api", "scheduler", "authen..

8 Cluster Autoscaler (CAS) 소개Cluster Autoscaler는 클러스터 안에서 Pending 상태의 Pod가 발생했을 때 워커 노드를 늘리고, 반대로 일정 조건을 만족하는 유휴 노드는 줄여주는 컴포넌트입니다.참고 링크:GitHubAWS 예제example핵심 동작은 다음과 같습니다.스케일 아웃 리소스 부족으로 Pending 상태인 Pod가 있으면 노드를 추가합니다.스케일 인 일정 시간 동안 사용률이 낮고, 해당 노드의 Pod를 다른 노드로 안전하게 옮길 수 있으면 노드를 제거합니다.AWS 환경에서는 보통 EC2 Auto Scaling Group(ASG) 을 통해 노드를 관리합니다.즉, CAS는 직접 노드를 만드는 것이 아니라 ASG의 DesiredCapacity를 조정해서 노드 수..

3. EKS Scaling 소개EKS에서 스케일링은 단순히 Pod 수를 늘리는 문제만이 아니라, 애플리케이션 튜닝, Pod 리소스 조정, 노드 증설, 이벤트 기반 확장까지 함께 고려해야 합니다.어떤 워크로드인지에 따라 HPA, VPA, KEDA, Cluster Autoscaler, Karpenter 같은 도구의 역할이 달라집니다.주요 스케일링 기술은 다음과 같습니다.Application tuning 애플리케이션 자체의 병목을 줄이기 위한 프로세스 튜닝입니다.VPA Vertical Pod Autoscaler와 In-Place Pod Resource Resize를 통해 Pod 1개의 CPU/메모리 크기를 조정합니다.HPA CPU/메모리 같은 메트릭을 기준으로 Pod 수를 늘리거나 줄입니다. 요청 분산을 위해..

1. 환경 구성1.35(log), 노드(private subnet 배치, SSM) + 권한(ec2 instance profile), add-on(metrics-server, external-dns)ssm session manager로 붙는 방식을 사용합니다1.1 배포 (Terraform)# 코드 다운로드git clone https://github.com/gasida/aews.gitcd aews/3w❯ lsREADME.md eks.tf outputs.tf var.tf vpc.tf❯ curl -o aws_lb_controller_policy.json https://raw.githubusercontent.com/kubernetes-sigs/aws-load-balancer-controller/refs/heads..