# cni
PKOS 2기 2주차 학습 스터디-2
2023년 3월 6일부터 @cloudnet study를 시작 하였다.24단계 실습으로 정복하는 쿠버네티스의 책을 기본으로 학습을 한다.운영을 하면서도 부족한 부분을 배울 수 있을 것이란 기대감과 함께 시작한 수업이나 숙제를 하지 못해서 발생하는 불상사를 경험하지 않고
PKOS 2기 2주차 학습 스터디-1
2023년 3월 6일부터 @cloudnet study를 시작 하였다.24단계 실습으로 정복하는 쿠버네티스의 책을 기본으로 학습을 한다.운영을 하면서도 부족한 부분을 배울 수 있을 것이란 기대감과 함께 시작한 수업이나 숙제를 하지 못해서 발생하는 불상사를 경험하지 않고
Network & Storage
📌 목표 이번주는 VPC CNI를 사용한 쿠버네티스 클러스터 구성을 지난번과 마찬가지로 kops 를 통해 AWS 환경에 구성하게 된다. POD간 통신을 패킷덤프를 통해 확인하게 되며, VPC CNI에서 파드 생성 개수의 제한도 확인하게 된다. AWS EBS를 통해 P
AWS VPC CNI
Amazon EKS implements cluster networking through the Amazon VPC Container Network Interface(VPC CNI) plugin.
PKOS 스터디 2주차 정리
2주차는 금방 끝낼 수 있을거라 생각했는데 도메인 등록이 내 발목을 계속 붙잡은 느낌이였다.클러스터 등록 시 dig +short 도메인 주소로 클러스터에 사용할 도메인이 정상적으로 동작하는지에 대한 확인이 필수적이였는데 이 때 IP가 할당이 안되면 10.0.2.53 또
[Container] Container Network Interface (CNI) 간단 정리
CNI(Container Network Interface)는 Linux 컨테이너에서 네트워크 인터페이스를 구성하는데 사용되는 플러그인을 작성하기 위한 사양 및 라이브러리로 구성된다.
[Kubernetes] Calico CNI 동작원리 이해하기
Kubernetes Advanced Networking Study(KANS)의 3주차 내용을 학습하며 정리한 내용입니다.
[Kubernetes] K8S Flannel CNI & PAUSE 컨테이너 동작원리 이해하기
Kubernetes Advanced Networking Study(KANS)의 2주차 내용을 학습하며 정리한 내용입니다.
[K8S/Cilium] eBPF 기반 서비스 메쉬 분석 (Per-Node Proxy)
Cilium 이 최근 공개한 eBPF 기반의 서비스 메쉬에서 중요하게 언급하고 있는 것 중에 하나는 Pod 마다 사이드카 형태로 프록시를 추가하지 말고 노드별로 하나씩만 설치해서 사용하자는 것이다. 이는 특히 대규모의 클러스터에서 많은 사이드카 프록시로 인해 발생하는
KANS 스터디 2주차 - K8S Flannel & PAUSE
스터디 내용 정리 개요 인트로 가장 쉽고 간편한 CNI중 하나인 Flannel CNI로 2주차 스터디 진행. 아무래도 기능이 다양하지는 않기 때문에 프로덕션에서 쓰기에는 조금 무리가 있을 수 있다. 온프레미스에서 가장 많이 상요되는 CNI는 아마도 Calico가 아
[K8S] Cilium NetworkPolicy 문제 분석
오늘은 최근 회사에서 GitOps 를 적용하기 위해 ArgoCD 를 설치하던 중 발생했던 네트워크 정책(NetworkPolicy) 관련된 문제에 대해 살펴보고자 한다.Helm 을 이용하여 ArgoCD 를 설치하였는데 아래와 같이 두 개의 Pod 만 동작하지 않는 문제가
[K8S] Cilium RPFilter 문제 분석
리눅스는 패킷의 출발지 주소를 마음대로 조작해서 공격하는 IP 스푸핑 공격을 막기위해 RPFilter (Reverse Path Filter) 라는 기능을 제공한다. 이 기능은 간단히 소개하면 특정 네트워크 장치로 들어온 패킷이 동일한 네트워크 장치로 나갈 수 있는지를
[K8S] Cilium CGroupV2/PrivateNS 문제 분석
최근 공개된 우분투 21.10 은 컨테이너와 관련된 상당히 큰 부분이 변경되었다. 마침내 CGroupV2 가 적용되었고, 도커도 업그레이드되면서 CGroup 네임스페이스의 기본값이 Private 으로 설정되었다. 오늘은 이로 인해 발생한 문제에 대해 자세히 살펴보도록
[K8S] Cilium Socket-based LoadBalancing 에 의한 Istio Envoy 우회 문제 분석
오늘은 Cilium 에서 소켓 기반 로드밸런싱을 이용할 때 발생하는 EnvoyProxy 사이드카 우회 문제에 대해 살펴보고자 한다. 이는 현재 모든 서비스 메쉬(Istio, Linkerd, ...)에서 서비스 IP 기반으로 동작하는 모든 필터를 우회하는 심각한 문제를
[K8S] VXLAN 사용 불가 문제 분석
우리 회사에서는 주로 의료데이터를 다루다보니 개인정보보호법에 의해 서비스를 운영하는 국가 외부로 데이터가 유출되면 안 된다. 그래서 한국이나 미국 같이 AWS 나 GCP 리전이 있는 국가들은 해당 서비스를 이용하여 운영할 수 있지만, 해당 국가에 리전이 없는 경우에는
[K8S/Cilium] Socket-Based LoadBalancing 기법
Cilium 에서 ClusterIP 서비스로 통신할때 로드밸런싱이 이루어지는 과정은 아래 그림과 같다. 왼쪽 그림은 네트워크 기반 로드밸런싱 방식이고, 오른쪽 그림은 소켓 기반 로드밸런싱 방식이다. 간단한 설명을 위해 백엔드가 같은 노드에 있는 경우만 살펴보자.cili
[K8S/Cilium] IPVLAN 기반 Cilium 의 NodePort 버그 분석
Cilium 에서 제공하는 IPVLAN 기반의 Routing Datapath 기법을 사용하던 중 NodePort 관련 버그를 발견하였다. (NodePort 는 모든 노드의 지정된 포트로 접속하면 백엔드(선택된 Pod)로 연결해주는 서비스이다.) IPVLAN 을 사용하는
[K8S/Cilium] 라우팅 기법 성능 평가
쿠버네티스의 CNI 에서 성능에 가장 큰 영향을 미치는 것은 다음 두 가지이다.eBPF vs IPTables (IPVS)Direct Routing vs TunnelingCilium 과 가장 대표적인 CNI 인 Calico 를 이용하여 어느 정도의 성능 차이가 나는지 살
[K8S/Cilium] bpf_redirect_peer()/bpf_redirect_neigh()
Cilium 에서 VETH 를 기반으로 Pod-To-Pod 통신이 이루어지는 과정은 아래 그림의 왼쪽과 같다.Pod1 의 eth0 으로 패킷을 전달하면 veth1 을 통해 호스트 네트워크 스택으로 패킷이 전달된다.여기에서 목적지 주소를 이용하여 몇 단계의 처리를 거친