kkumtree

Release file for URL is not valid yet 해결 방법

kkumtree

2023-06-29T02:28:34+09:00

최근 WSL를 쓰게 되면서, 한 가지 이슈가 생겼다.
APT repo를 업데이트 하면 아래와 같은 에러가 발생한다.
이것저것 손대보고 해결법을 적어보고자 한다.

apt-update-with-error

E: Release file for http://ports.ubuntu.com/ubuntu-ports/dists/jammy/InRelease is not valid yet (invalid for another 5min 1s). Updates for this repository will not be applied.

오류 증상은 릴리스 파일이 존재하지 않는데, 5분 1초동안 유효하지 않는다고 한다.
무슨 말인가 싶은데, 5분 있다가 업데이트 해보라는 것이다.

원인

오랫동안 절전모드로 두어서 시간 동기화가 안된 것으로 보인다.
재부팅하지 않으려고 했기에, 해결을 위해 더 많은 시간을 보냈다.

Linux Runlevel - 런레벨/부트레벨

kkumtree

2023-06-22T16:07:05+09:00

CPU를 1600X에서 5700X로 업그레이드를 진행하기에 앞서,
RunLevel(런레벨/부트레벨)에 대해 한번 메모하고자 함.

Runlevel

7가지 레벨이 존재
- man runlevel 참고
Level 5을 제외하고는, cli 환경에서만 구동
Linux Standard Base 기준
- ls -l /lib/systemd/system/runlevel?.target 명령어로 확인 가능

RunLevel	EN	설명	비고
0	Power Off	시스템 종료(중단/Halt)
1	Rescue	시스템 복구	단일 사용자 모드
2	Multi-User	다중 사용자(텍스트 모드, 네트워크 서비스 X)	사용 X (사용자 정의 가능)
3	Multi-User	다중 사용자(텍스트 모드)
4	Multi-User	상동	사용 X (사용자 정의 가능)
5	Graphical	다중 사용자 모드 (그래픽 모드)	X-window 기반
6	Reboot	시스템 리부팅

운영체제(Ubuntu 22.04 기준)내 확인

su 모드에서. target을 기반으로 링킹되어 있음을 확인
ls -al /lib/systemd/system/runlevel?.target: default
ls -al /etc/systemd/system | grep runlevel?.target.wants: 사용자 정의용 폴더

sudo su
ls -l /lib/systemd/system/runlevel?.target*

runlevel

Vagrant 설치 및 Provider 지정

kkumtree

2023-06-19T11:12:47+09:00

Ubuntu 23.04 (Host OS)에서 간단하게 Vagrant 사용을 해보고, VBox가 아닌 Docker를 Provider로 지정하여 사용해본다.

WSL2 환경에서는 Vagrant가 의도한대로 작동하지 않으므로 유의: 별도의 설정 필요
- Hashicorp Docs

Vagrant 설치

Ubuntu 22.04 LTS 및 23.10 기준, APT repo를 통한 설치 지원

sudo apt-get install vagrant

VBox 설치(사용 시)

CPU 가상화 기술 활성화 필요(BIOS단, AMD의 경우는 SVM, Intel의 경우는 VT-x)

enable_svm_for_vbox

enable_svm_in_amd_bios

virtualbox-ext-pack(선택): USB 2.0/3.0 지원 등의 확장 기능을 사용하려면 설치
- 개인용도의 제한적 라이선스(동의를 위한 대화창 확인)
- 확장기능을 쓸 필요가 없기 때문에 설치하지 아니함

sudo apt-get install virtualbox
# sudo apt-get install virtualbox-ext-pack

Docker 설치(사용 시)

Ubuntu 기준, 아래 3가지 설치 방법이 있으므로, 친숙한 모드로 진행

sudo snap install docker # 최신버전
sudo apt-get install docker.io
sudo apt-get install podman-docker

Docker 권한 부여: 라이브 서비스 시 권한 유의 (Docker Docs)
- Docker 그룹에 현재 사용자 추가
- Docker 그룹에 속한 사용자는 sudo 없이도 Docker 사용 가능

sudo addgroup --system docker
sudo adduser $USER docker
newgrp docker

(참고) Docker 공식 Docs에 서술된 Docker Engine 설치 방법
- Docker Docs: Install Docker Engine on Ubuntu

Vagrantfile 생성

VBox 사용 시

Snippet: Gist
- CPU: 1Core / RAM: 1024MB

# -*- mode: ruby -*-
# vi: set ft=ruby :

Vagrant.configure("2") do |config|
  config.vm.box = "ubuntu/focal64"

  config.vm.define "ubuntu" do |ubuntu|
    ubuntu.vm.hostname = "kkumtree-server"
    ubuntu.vm.provider "virtualbox" do |vb|
      vb.name = "ubuntu-server"
      vb.cpus = 1
      vb.memory = 1024
    end
    
    ubuntu.vm.network "private_network", ip: "192.168.56.99"

    ubuntu.vm.provision "shell", inline: <<-SCRIPT
      sudo sed -i 's/PasswordAuthentication no/PasswordAuthentication yes/g' /etc/ssh/sshd_config
      sudo useradd kkumtree -m -s /bin/bash
      sudo usermod -a -G sudo kkumtree
      echo kkumtree:kkumtree | sudo chpasswd
      sudo systemctl restart sshd
    SCRIPT
  end
end

Docker 사용 시

Vagrantfile과 Dockerfile은 같은 폴더에 있음을 전제, 아닐 경우 d.build_dir 파라미터 수정.
- 아래처럼 다른 폴더를 지정하여 사용 가능

vagrant_dockerfile_path

AWS EKS 스터디 7주차 - Automation

kkumtree

2023-06-10T15:13:19+09:00

EKS 스터디도 마지막 7주차를 맞이했습니다.

이번에는 AWS Controller for k8s(ACK)와 flux를 가볍게 실습해보고
자동화에 대해 맛보기를 해보았습니다.

앞서 학습해본 IRSA 개념 외에도 CRD(CustomResourceDefinition)을 활용합니다.

1. 실습환경 배포

실습을 위한 YAML파일이 변경된거 말고는 6주차와 유사합니다.

curl -O https://s3.ap-northeast-2.amazonaws.com/cloudformation.cloudneta.net/K8S/eks-oneclick6.yaml

# 이하 중략

# CERT_ARN(ACM)의 경우에는 /etc/profile에 환경변수 저장을 안해둬서  
# 세션이 만료되면, 다시 재설정 필요

CERT_ARN=`aws acm list-certificates --query 'CertificateSummaryList[].CertificateArn[]' --output text`
echo $CERT_ARN

2. ACK(AWS Controller for k8s)

웹콘솔에 접근하지 않고도, AWS 서비스 리소스를 직접 k8s에서 정의 및 사용가능
순서: ACK 컨트롤러 설치 -> IRSA 설정 -> AWS 리소스 컨트롤
- 같은 패턴으로 이루어져있는데, Cloudformation을 쓰다보니 중간중간 대기 시간 발생
(23/05/29) GA: 17개 서비스, Preview: 10개 서비스

2-1. S3

[ACK S3 Controller 설치]

# 서비스명 변수 지정
export SERVICE=s3

# helm 차트 다운로드
export RELEASE_VERSION=$(curl -sL https://api.github.com/repos/aws-controllers-k8s/$SERVICE-controller/releases/latest | grep '"tag_name":' | cut -d'"' -f4 | cut -c 2-)
helm pull oci://public.ecr.aws/aws-controllers-k8s/$SERVICE-chart --version=$RELEASE_VERSION
tar xzvf $SERVICE-chart-$RELEASE_VERSION.tgz

# helm chart 확인
tree ~/$SERVICE-chart

# ACK S3 Controller 설치
export ACK_SYSTEM_NAMESPACE=ack-system
export AWS_REGION=ap-northeast-2
helm install --create-namespace -n $ACK_SYSTEM_NAMESPACE ack-$SERVICE-controller --set aws.region="$AWS_REGION" ~/$SERVICE-chart

# 설치 확인
helm list --namespace $ACK_SYSTEM_NAMESPACE
kubectl -n ack-system get pods
kubectl get crd | grep $SERVICE

kubectl get all -n ack-system
kubectl get-all -n ack-system
kubectl describe sa -n ack-system ack-s3-controller

[IRSA 설정] AmazonS3FullAccess
- 설정 후에는 rollout으로 반영해주어야함

# Create an iamserviceaccount - AWS IAM role bound to a Kubernetes service account
eksctl create iamserviceaccount \
  --name ack-$SERVICE-controller \
  --namespace ack-system \
  --cluster $CLUSTER_NAME \
  --attach-policy-arn $(aws iam list-policies --query 'Policies[?PolicyName==`AmazonS3FullAccess`].Arn' --output text) \
  --override-existing-serviceaccounts --approve

# 확인
eksctl get iamserviceaccount --cluster $CLUSTER_NAME
kubectl get sa -n ack-system
kubectl describe sa ack-$SERVICE-controller -n ack-system

# Restart ACK service controller deployment using the following commands.
kubectl -n ack-system rollout restart deploy ack-$SERVICE-controller-$SERVICE-chart

# IRSA 적용으로 Env, projected Volume 추가 확인
kubectl describe pod -n ack-system -l k8s-app=$SERVICE-chart

ISRA with override

gh-pages에 댓글 기능 추가하기(giscus/Hugo)

kkumtree

2023-06-04T09:15:14+09:00

요약

앞으로 가감없는 피드백 환영합니다.

https://github.com/kkumtree/blog.minseong.xyz/commit/e17822e72e8d357dcdbda1025c5372161a7b93ff

배경

gh-pages로 블로그를 구축해서, 첫 게시물을 올린 지 만 4개월이 지났다.
구축기는 나중에 올려야지.

급히 벤치마킹해서 올린거라, 부족한 점은 많지만 가장 중요한 댓글 기능이 없어서 아쉬웠다.

원래는 댓글을 달지 않으려고 했는데,

부족한 부분에 대해서 조언도 받아보고 싶고
추가로 궁금한 점이나 이해가 안되는 부분에 대해서 피드백도 받고 싶었다.

다른 블로그에서 답을 찾으려고 검색엔진을 돌리면, 뭔가 2% 부족하거나 / 내가 원하는 해답이 아니거나 / 매번 이모티콘으로 끝나는 특유의 허탈감으로 짜증이 밀려와서 번역기 돌려가며 국외 포스트나 문서를 보다보니, 반대로 내 글도 큰 도움이 되지 못할 경우도 있겠다 싶었다. 그래서 댓글 기능을 추가하기로 했다.

AWS EKS 스터디 6주차 - Security

kkumtree

2023-06-04T06:56:52+09:00

이번에는 보안을 위한 인증 및 인가, 그리고 IRSA를 중심으로 EKS의 보안에 대해 학습해보았습니다.

kops 스터디 때에는 잘 몰랐는데, RBAC 뿐만 아니라 복기하다보니…

[4-1] projected Volume
[4-2] AWS Load Balancer Controller IRSA 및 LB Pod mutating

위의 두 가지가 중요한 파트를 차지하고 있었음을 알 수 있었습니다.
Network(2주차)가 매번 뭔가 일부가 아리송하였다면
Security는 복기하다가 이론적으로는 간단(과연?)해보여도
실제 구동방식 이해 자체가 초반에 안되서, 사흘 남짓 걸린 덕에 더 어려웠던 것 같습니다.

그 외

myeks-bastion-2에 접속 시, 함께 진행할 때는 ssh {Public IP}로 잘 접속되는 걸 봤는데 정작 혼자 할 땐 접속이 되지않았습니다.
- Amazon Linux에서는 ssh ec2-user@{Public IP}로 접속해야함
  (필요한 경우 ssh키도 포함)
- AWS Public AMI에서 제공되는 Ubuntu AMI의 경우,
  ubuntu@{Public IP}로 접속가능
- 추정: 공유된 머신에 다른 설정이 이슈가 되는 것으로 추정됩니다.
IAM User(testuser)는 웹콘솔에서 삭제하는 것이 편리합니다.
- 아니면, 아래처럼 detach 한다는 느낌으로 순차적 실행합니다.
  - list-attached-role-policies && detach-role-policy
  - list-access-keys && delete-access-key
  - delete-user
CLI로 IAM Trust Relationship 조회
- 웹 콘솔에 굳이 들어가야하나 하고, 문득 호기심에 시도하다가 시간이 날아갔습니다.
- 결론: 하드코어한 파싱..
  - jq -r '.[].status.roleARN' | rev | cut -d '/' -f1 | rev
  - chatGPT에게 아래와 같이 교정 받았지만, 탐탁치 않음..
    jq -r '.[].status.roleARN' | grep -oE '[^/]+$'

1. 실습 환경 배포

모의공격(?) 테스트를 위해 2개의 bastion 서버가 구성된 환경 배포
p8s 및 grafana의 경우, 선택적으로 배포해도 되서 기술 생략

curl -O https://s3.ap-northeast-2.amazonaws.com/cloudformation.cloudneta.net/K8S/eks-oneclick5.yaml

# 이하 중략

# CERT_ARN(ACM)의 경우에는 /etc/profile에 환경변수 저장을 안해둬서  
# 세션이 만료되면, 다시 재설정 필요

CERT_ARN=`aws acm list-certificates --query 'CertificateSummaryList[].CertificateArn[]' --output text`
echo $CERT_ARN

2. k8s 인증/인가

.kube/config 파일을 기반
- cluster: k8s API 서버 접속정보
- users: API 서버에 접속하기 위한 유저 인증정보 목록
- contexts: cluster및 user를 매핑(조합)한 정보

kubeconfig

GnuPG 키 백업하기

kkumtree

2023-05-27T18:29:18+09:00

23/05/30 GPG 키 복원방법 및 출처 추가

망가진 PC 메인보드를 교체하고, 서둘러 GPG key를 백업하였습니다.
용량이 그리 큰편은 아니니, 왠만한 USB 메모리에도 충분히 백업이 가능합니다.
(어째서 안했었을꼬…)

출처는 마지막 referenece를 참조해주시기 바랍니다.

1. Backup

# tree로 ~/.gnupg 확인
tree ~/.gnupg

# 현재 사용중인 키 확인
gpg --list-secret-keys --keyid-format LONG

# 키 백업

## public 키 백업
gpg --export --export-options backup --output ~/public_mscho.gpg

## private 키 백업 (암호 입력 필요)
gpg --export-secret-keys --export-options backup --output ~/private_mscho.gpg

## trust(신뢰관게) 백업
gpg --export-ownertrust > trust_mscho.gpg

# 백업한 키 확인
ls -al ~/*.gpg

# 백업한 키를 USB로 복사

## 이미 마운트된 미디어 확인(볼륨이름 KEYS에 보관할 계획)
tree /media

## (옵션)하위 폴더 생성
mkdir /media/KEYS/GnuPG

## 키 복사
cp ~/*.gpg /media/KEYS/GnuPG

## 복사한 키 확인
ls -al /media/kkumtree/KEYS/GnuPG/*.gpg

backup

AWS EKS 스터디 5주차 - Autoscaling

kkumtree

2023-05-22T19:23:37+09:00

이번 주차는 오토스케일링을 메인으로 하여, 수평/수직 프로비저닝을 학습해보았습니다.
마지막에는 고성능 오토스케일러인 Karpenter를 별도로 실습해보았습니다. 특히..

HPA custom metrics(사용자 정의 메트릭) 적용
YAML 설정값을 CPU로 맞춘 것을 잊고, 프로비저닝을 잘못 예측한 것도 함께 공유합니다.
AutoScaling
- HPA: Horizontal Pod Autoscaler
- VPA: Vertical Pod Autoscaler
- CA: Cluster Autoscaler
  - 각 CSP 의존적, 워커 노드 레벨에서의 오토스케일링

1. 실습 환경 배포

4주차의 초기 배포 내용에 p8s 및 Grafana를 추가하여 배포
- verticalPodAutoscaler 활성화
- 추천 대시보드: 15757, 17900, 15172

curl -O https://s3.ap-northeast-2.amazonaws.com/cloudformation.cloudneta.net/K8S/eks-oneclick4.yaml

# 이하 중략

## Prometheus & Grafana 설치

# 인증서 ARN
CERT_ARN=`aws acm list-certificates --query 'CertificateSummaryList[].CertificateArn[]' --output text`
echo $CERT_ARN

# 파라미터 파일 생성 및 배포
cat <<EOT > monitor-values.yaml
prometheus:
  prometheusSpec:
    podMonitorSelectorNilUsesHelmValues: false
    serviceMonitorSelectorNilUsesHelmValues: false
    retention: 5d
    retentionSize: "10GiB"

  verticalPodAutoscaler:
    enabled: true

  ingress:
    enabled: true
    ingressClassName: alb
    hosts: 
      - prometheus.$MyDomain
    paths: 
      - /*
    annotations:
      alb.ingress.kubernetes.io/scheme: internet-facing
      alb.ingress.kubernetes.io/target-type: ip
      alb.ingress.kubernetes.io/listen-ports: '[{"HTTPS":443}, {"HTTP":80}]'
      alb.ingress.kubernetes.io/certificate-arn: $CERT_ARN
      alb.ingress.kubernetes.io/success-codes: 200-399
      alb.ingress.kubernetes.io/load-balancer-name: myeks-ingress-alb
      alb.ingress.kubernetes.io/group.name: study
      alb.ingress.kubernetes.io/ssl-redirect: '443'

grafana:
  defaultDashboardsTimezone: Asia/Seoul
  adminPassword: prom-operator

  ingress:
    enabled: true
    ingressClassName: alb
    hosts: 
      - grafana.$MyDomain
    paths: 
      - /*
    annotations:
      alb.ingress.kubernetes.io/scheme: internet-facing
      alb.ingress.kubernetes.io/target-type: ip
      alb.ingress.kubernetes.io/listen-ports: '[{"HTTPS":443}, {"HTTP":80}]'
      alb.ingress.kubernetes.io/certificate-arn: $CERT_ARN
      alb.ingress.kubernetes.io/success-codes: 200-399
      alb.ingress.kubernetes.io/load-balancer-name: myeks-ingress-alb
      alb.ingress.kubernetes.io/group.name: study
      alb.ingress.kubernetes.io/ssl-redirect: '443'

defaultRules:
  create: false
kubeControllerManager:
  enabled: false
kubeEtcd:
  enabled: false
kubeScheduler:
  enabled: false
alertmanager:
  enabled: false
EOT

kubectl create ns monitoring
helm install kube-prometheus-stack prometheus-community/kube-prometheus-stack --version 45.27.2 \
--set prometheus.prometheusSpec.scrapeInterval='15s' --set prometheus.prometheusSpec.evaluationInterval='15s' \
-f monitor-values.yaml --namespace monitoring

# metrics-server 배포
kubectl apply -f https://github.com/kubernetes-sigs/metrics-server/releases/latest/download/components.yaml

1-1. EKS Node Viewer 설치

파드 리소스에 대한 요청 정보를 확인할 수 있는 대시보드
- 해당 노드에 할당 가능한 용량을 시각적으로 표시
실제 사용량이 아니라, 요청된 리소스(CPU, Memory)에 대한 표시
실습 스책 상에서 go 설치 및 뷰어 설치시 다소 시간이 소요 (약 5분)
Karpenter 실습 시에도 언급되겠지만, EKS가 구축된 뒤에 사용이 가능하다.

# go 및 EKS Node Viewer 설치
yum install -y go
go install github.com/awslabs/eks-node-viewer/cmd/eks-node-viewer@latest

# EKS Node Viewer 실행
tree ~/go/bin
cd ~/go/bin && ./eks-node-viewer

## EKS Node Viewer 명령 샘플
# Display both CPU and Memory Usage
./eks-node-viewer --resources cpu,memory

# Karenter nodes only
./eks-node-viewer --node-selector "karpenter.sh/provisioner-name"

# Display extra labels, i.e. AZ
./eks-node-viewer --extra-labels topology.kubernetes.io/zone

# Specify a particular AWS profile and region
AWS_PROFILE=myprofile AWS_REGION=ap-northeast-2

## 기본 옵션 환경 변수
# select only Karpenter managed nodes
node-selector=karpenter.sh/provisioner-name

# display both CPU and memory
resources=cpu,memory

EKS node viewer

AWS EKS 스터디 4주차 - Observability

kkumtree

2023-05-21T06:13:52+09:00

이번 주차에는 Observability에 대해 스터디가 진행되었습니다.
자원 모니터링 툴들의 적용 및 사용이 중심입니다.

그나저나 k8s 1.26에서 metrics의 일부 명칭이 바뀌는 걸 보고 식겁했습니다.
(etcd_db_total_size_bytes 대신, apiserver_storage_db_total_size_in_bytes 으로 변경)
또한 kubecost의 경우, cloudformation 스택 제거 후에도 볼륨 데이터가 남아있어서 별도로 삭제해야 했습니다.

1. 실습환경 배포

NAT게이트웨이, EBS addon, IAM role, ISRA for LB/EFS, PreCommand 포함
노드: t3.xlarge
- t3a.xlarge(AMD)는 서울 리전 b AZ(ap-northeast-2b)에서 미지원
더 많은 값들이 입력되어서, 생성 완료까지 더 많은 시간이 소요 (약 20여분 이내)

curl -O https://s3.ap-northeast-2.amazonaws.com/cloudformation.cloudneta.net/K8S/eks-oneclick3.yaml

# 이하 생략, 3주차 참고

cloudformation

aws-cli를 이용한 bastion CIDR 변경

kkumtree

2023-05-18T21:36:19+09:00

0. 요약

aws ec2 describe-security-groups 
aws ec2 modify-security-group-rules

1. 배경

intro

2주 전에 문득 이런 질문을 올렸던 적이 있었다.
물론 바꾸면 안될 일은 없었는데 이렇게 하는게 맞나 확신이 모자라서 의견을 여쭤봤었고,
이게 맞다는 확신을 받았다.

그리고 오늘… 카페를 두 곳이나 들리면서 하느라 약간의 번거로움도 있고 AWS 웹 콘솔에서 하려 했다.

그런데, 유독 SG에서만 페이지 로딩이 timeout 걸려서,
도저히 수정은 커녕 해당 ID도 파악을 하기 힘든 상황이 되었다.