CloudNet@

VSCode DevContainer - CI/CD 스터디 1주차

kkumtree

2025-10-19T20:50:46+09:00

한가위 연휴의 끝과 함께, CloudNet@에서 진행하고 있는 CI/CD Study에 참여하게 되었습니다.

이번에는 핸즈온용으로 즐겨쓰는 GitHub CodeSpace와 연관된,
Visual Studio 상에서의 Dev Containers 활용에 대해 다뤄보고자 합니다.

사용 OS환경은 Ubuntu Desktop 24.04 LTS 이며,
아래의 문서에서 안내된대로 차근차근 따라해보며 좀 더 이해를 해보고자 합니다.

Developing inside a Container

0. Docker 설치

내용이 길어, 아래의 포스트로 나누었습니다.

Ubuntu Docker 설치
작성 기준, Dev Container는 Ubuntu Snap 패키지(snapcraft)로 설치된 Docker에는 지원되지 않는다고 합니다.
사용자($USER)를 docker 그룹에 추가하여야합니다.
(위 게시물의 3. 권한 상승 설정 (선택) 참고)

1. Dev Containers 확장 프로그램

Visual Studio Code(이하, VSCode)에서 제공되는, Dev Containers 확장 프로그램을 사용하면, 개발 환경에 필요한 모든 기능이 갖춰진 Container를 구축하여 환경을 구성할 수 있습니다.

TFC(Terraform Cloud) drift 알림 설정

kkumtree

2023-10-15T00:10:33+09:00

CloudNet@에서의 Terraform 스터디가 끝나고 나서,
테라폼을 실제 운영 상황에 도입하면서 마주할 수 밖에 없는 드리프트(drift) 상황에 대해
이해해보는 시간을 가졌습니다.

참고) TFC에서의 Drift Detection 기능은 현재 TFC Plus 에디션에서 지원됩니다.

1. 용어 이해해보기

사실은 작년부터 테라폼을 접하고나서, IaC라는 개념에 꽂히기만 했지
운영 입장에서 마주했었던 수많은 시행착오들을 흔한 유저에러로만 생각해왔었습니다.
스터디에 참여하면서 종종 ‘드리프트’라는 단어를 듣고, 찾아보니
상당부분이 이에 속하는 상황이라는 것을 알 수 있었습니다.

(1) Drift?

글 작성을 위해 찾아본 기술적 Drift는 본래 주행에 있어서의 그것과
크게 차이가 없음을 알 수 있었습니다.

Understanding terraform module

kkumtree

2023-10-04T11:24:13+09:00

This week is last week of CloudNet@ group study about terraform.

In this study, my personal goal is making AWS architecture only with terraform and one tfstate file.

Basic knowledge about AWS resources is required.

1. Terraform without Module

Before, I already met terraform for maintaining AWS in production level.
But at that time, our team maintain them as folder structure which is used by terraformer

# example structure

$ tree
.
├── alb
│   ├── lb.tf
│   ├── lb_listener.tf
│   ├── lb_target_group.tf
│   ├── lb_target_group_attachment.tf
│   ├── outputs.tf
│   ├── provider.tf
│   └── variables.tf
├── auto_scaling
│   ├── autoscaling_group.tf
│   ├── launch_template.tf
│   ├── outputs.tf
│   ├── provider.tf
│   └── variables.tf
├── ec2_instance
│   ├── instance.tf
│   ├── outputs.tf
│   ├── provider.tf
│   └── variables.tf
├── eni
│   ├── network_interface.tf
│   ├── outputs.tf
│   └── provider.tf
├── igw
│   ├── internet_gateway.tf
│   ├── outputs.tf
│   ├── provider.tf
│   └── variables.tf
├── nacl
│   ├── default_network_acl.tf
│   ├── outputs.tf
│   ├── provider.tf
│   └── variables.tf
├── route_table
│   ├── main_route_table_association.tf
│   ├── outputs.tf
│   ├── provider.tf
│   ├── route_table.tf
│   ├── route_table_association.tf
│   └── variables.tf
├── s3
│   ├── outputs.tf
│   ├── provider.tf
│   └── s3_bucket.tf
├── sg
│   ├── outputs.tf
│   ├── provider.tf
│   ├── security_group.tf
│   └── variables.tf
├── subnet
│   ├── outputs.tf
│   ├── provider.tf
│   ├── subnet.tf
│   └── variables.tf
└── vpc
    ├── outputs.tf
    ├── provider.tf
    └── vpc.tf

At glance, this solution looks like cool.
But, problems were enough critical to think ‘why we have to use terraform?’.

IAM STS를 이용한 Terraform Cloud 권한 부여

kkumtree

2023-09-13T20:54:28+09:00

이번에는 Terraform Cloud가 얼마나 좋은지 더 알아보기 위해,
스터디에서 지속적으로 장점이 강조되어 왔던 Terraform Cloud에
IAM STS를 이용한 권한 부여 도전 및 적용 성공에 대해 써보려고 합니다.

Terraform의 상태 저장을 위해 보통 AWS S3를 사용하는데,
알다시피 S3 기록은 무료지만, 불러오는 것은 유료입니다.
~~(전기는 국산이지만, 원료는 수입입니다)~~

그래서 스터디용으로는 Terraform을 불러올 때마다,
상태 값을 S3말고, 로컬에 저장했었는데요.
밖에서는 노트북, 집에서는 데스크탑으로 하려니
이걸 GitHub의 Private Repo에 저장할까? 하다가
Terraform Cloud를 써보기로 했습니다. (고통의 시작)

Terraform resource 이해하기 w/AWS VPC

kkumtree

2023-09-08T22:41:14+09:00

이번에는 CloudNet@를 통해 학습한 내용을 기반으로,

AZ를 대상으로 한 data 조회
AWS VPC 생성 예제로 살펴보는 output
resource 이름 변경

순으로 알아보도록 하겠습니다.

교재로 사용한 [테라폼으로 시작하는 IaC] 도 참고하였습니다.

기본 설정

aws-cli에 리전을 ap-northeast-2을 설정하였습니다.

$ aws configure list

      Name                    Value             Type    Location
      ----                    -----             ----    --------
   profile                <not set>             None    None
access_key     ****************2U5J shared-credentials-file    
secret_key     ****************Z0co shared-credentials-file    
    region           ap-northeast-2      config-file    ~/.aws/config

1. data 조회

data는 사용자가 정의하는 resource 및 리소스에 대한 스펙과 반대로,
provider(이번 포스트에서는 aws)에서 제공하는 리소스를 조회하는 기능입니다.

Terraform 시작하기 w/Minimal Ubuntu

kkumtree

2023-08-31T22:21:08+09:00

이번에는 CloudNet@에서 진행하는 Terraform 스터디(이하, T101)에 참여했습니다.

Terraform을 쓰면 왜 좋은지는 자세하고 전문적인 글이 있으므로, 참고하시면 좋을 것 같습니다. (링크: 44bits)

예전에 테라폼을 썼던 적이 있지만, Module화가 어렵기도 하고
이번 기회에 테라폼 신간을 다시 복기하는 마음으로 참여했습니다.

사용한 교재는 [테라폼으로 시작하는 IaC] 입니다.

이번에는 Terraform 초기 셋업에 대해, 살펴보고
시험삼아 Canonical 공식 Minimal Ubuntu(ARM64) AMI를 설치해보겠습니다.

Terraform 설치
tfenv 사용과 .tf 작성 따라하기
Hello World in terraform
Terraform 써보기

순으로 진행합니다.

Terraform 설치

Terraform은 Linux 환경(Ubuntu 기준)에서 설치할 수 있는 방법이 3가지 정도 있습니다.
최신내용은 Terraform CLI에서 확인할 수 있습니다.

AWS EKS 스터디 7주차 - Automation

kkumtree

2023-06-10T15:13:19+09:00

EKS 스터디도 마지막 7주차를 맞이했습니다.

이번에는 AWS Controller for k8s(ACK)와 flux를 가볍게 실습해보고
자동화에 대해 맛보기를 해보았습니다.

앞서 학습해본 IRSA 개념 외에도 CRD(CustomResourceDefinition)을 활용합니다.

1. 실습환경 배포

실습을 위한 YAML파일이 변경된거 말고는 6주차와 유사합니다.

curl -O https://s3.ap-northeast-2.amazonaws.com/cloudformation.cloudneta.net/K8S/eks-oneclick6.yaml

# 이하 중략

# CERT_ARN(ACM)의 경우에는 /etc/profile에 환경변수 저장을 안해둬서  
# 세션이 만료되면, 다시 재설정 필요

CERT_ARN=`aws acm list-certificates --query 'CertificateSummaryList[].CertificateArn[]' --output text`
echo $CERT_ARN

2. ACK(AWS Controller for k8s)

웹콘솔에 접근하지 않고도, AWS 서비스 리소스를 직접 k8s에서 정의 및 사용가능
순서: ACK 컨트롤러 설치 -> IRSA 설정 -> AWS 리소스 컨트롤
- 같은 패턴으로 이루어져있는데, Cloudformation을 쓰다보니 중간중간 대기 시간 발생
(23/05/29) GA: 17개 서비스, Preview: 10개 서비스

2-1. S3

[ACK S3 Controller 설치]

# 서비스명 변수 지정
export SERVICE=s3

# helm 차트 다운로드
export RELEASE_VERSION=$(curl -sL https://api.github.com/repos/aws-controllers-k8s/$SERVICE-controller/releases/latest | grep '"tag_name":' | cut -d'"' -f4 | cut -c 2-)
helm pull oci://public.ecr.aws/aws-controllers-k8s/$SERVICE-chart --version=$RELEASE_VERSION
tar xzvf $SERVICE-chart-$RELEASE_VERSION.tgz

# helm chart 확인
tree ~/$SERVICE-chart

# ACK S3 Controller 설치
export ACK_SYSTEM_NAMESPACE=ack-system
export AWS_REGION=ap-northeast-2
helm install --create-namespace -n $ACK_SYSTEM_NAMESPACE ack-$SERVICE-controller --set aws.region="$AWS_REGION" ~/$SERVICE-chart

# 설치 확인
helm list --namespace $ACK_SYSTEM_NAMESPACE
kubectl -n ack-system get pods
kubectl get crd | grep $SERVICE

kubectl get all -n ack-system
kubectl get-all -n ack-system
kubectl describe sa -n ack-system ack-s3-controller

[IRSA 설정] AmazonS3FullAccess
- 설정 후에는 rollout으로 반영해주어야함

# Create an iamserviceaccount - AWS IAM role bound to a Kubernetes service account
eksctl create iamserviceaccount \
  --name ack-$SERVICE-controller \
  --namespace ack-system \
  --cluster $CLUSTER_NAME \
  --attach-policy-arn $(aws iam list-policies --query 'Policies[?PolicyName==`AmazonS3FullAccess`].Arn' --output text) \
  --override-existing-serviceaccounts --approve

# 확인
eksctl get iamserviceaccount --cluster $CLUSTER_NAME
kubectl get sa -n ack-system
kubectl describe sa ack-$SERVICE-controller -n ack-system

# Restart ACK service controller deployment using the following commands.
kubectl -n ack-system rollout restart deploy ack-$SERVICE-controller-$SERVICE-chart

# IRSA 적용으로 Env, projected Volume 추가 확인
kubectl describe pod -n ack-system -l k8s-app=$SERVICE-chart

ISRA with override

AWS EKS 스터디 6주차 - Security

kkumtree

2023-06-04T06:56:52+09:00

이번에는 보안을 위한 인증 및 인가, 그리고 IRSA를 중심으로 EKS의 보안에 대해 학습해보았습니다.

kops 스터디 때에는 잘 몰랐는데, RBAC 뿐만 아니라 복기하다보니…

[4-1] projected Volume
[4-2] AWS Load Balancer Controller IRSA 및 LB Pod mutating

위의 두 가지가 중요한 파트를 차지하고 있었음을 알 수 있었습니다.
Network(2주차)가 매번 뭔가 일부가 아리송하였다면
Security는 복기하다가 이론적으로는 간단(과연?)해보여도
실제 구동방식 이해 자체가 초반에 안되서, 사흘 남짓 걸린 덕에 더 어려웠던 것 같습니다.

그 외

myeks-bastion-2에 접속 시, 함께 진행할 때는 ssh {Public IP}로 잘 접속되는 걸 봤는데 정작 혼자 할 땐 접속이 되지않았습니다.
- Amazon Linux에서는 ssh ec2-user@{Public IP}로 접속해야함
  (필요한 경우 ssh키도 포함)
- AWS Public AMI에서 제공되는 Ubuntu AMI의 경우,
  ubuntu@{Public IP}로 접속가능
- 추정: 공유된 머신에 다른 설정이 이슈가 되는 것으로 추정됩니다.
IAM User(testuser)는 웹콘솔에서 삭제하는 것이 편리합니다.
- 아니면, 아래처럼 detach 한다는 느낌으로 순차적 실행합니다.
  - list-attached-role-policies && detach-role-policy
  - list-access-keys && delete-access-key
  - delete-user
CLI로 IAM Trust Relationship 조회
- 웹 콘솔에 굳이 들어가야하나 하고, 문득 호기심에 시도하다가 시간이 날아갔습니다.
- 결론: 하드코어한 파싱..
  - jq -r '.[].status.roleARN' | rev | cut -d '/' -f1 | rev
  - chatGPT에게 아래와 같이 교정 받았지만, 탐탁치 않음..
    jq -r '.[].status.roleARN' | grep -oE '[^/]+$'

1. 실습 환경 배포

모의공격(?) 테스트를 위해 2개의 bastion 서버가 구성된 환경 배포
p8s 및 grafana의 경우, 선택적으로 배포해도 되서 기술 생략

curl -O https://s3.ap-northeast-2.amazonaws.com/cloudformation.cloudneta.net/K8S/eks-oneclick5.yaml

# 이하 중략

# CERT_ARN(ACM)의 경우에는 /etc/profile에 환경변수 저장을 안해둬서  
# 세션이 만료되면, 다시 재설정 필요

CERT_ARN=`aws acm list-certificates --query 'CertificateSummaryList[].CertificateArn[]' --output text`
echo $CERT_ARN

2. k8s 인증/인가

.kube/config 파일을 기반
- cluster: k8s API 서버 접속정보
- users: API 서버에 접속하기 위한 유저 인증정보 목록
- contexts: cluster및 user를 매핑(조합)한 정보

kubeconfig

AWS EKS 스터디 5주차 - Autoscaling

kkumtree

2023-05-22T19:23:37+09:00

이번 주차는 오토스케일링을 메인으로 하여, 수평/수직 프로비저닝을 학습해보았습니다.
마지막에는 고성능 오토스케일러인 Karpenter를 별도로 실습해보았습니다. 특히..

HPA custom metrics(사용자 정의 메트릭) 적용
YAML 설정값을 CPU로 맞춘 것을 잊고, 프로비저닝을 잘못 예측한 것도 함께 공유합니다.
AutoScaling
- HPA: Horizontal Pod Autoscaler
- VPA: Vertical Pod Autoscaler
- CA: Cluster Autoscaler
  - 각 CSP 의존적, 워커 노드 레벨에서의 오토스케일링

1. 실습 환경 배포

4주차의 초기 배포 내용에 p8s 및 Grafana를 추가하여 배포
- verticalPodAutoscaler 활성화
- 추천 대시보드: 15757, 17900, 15172

curl -O https://s3.ap-northeast-2.amazonaws.com/cloudformation.cloudneta.net/K8S/eks-oneclick4.yaml

# 이하 중략

## Prometheus & Grafana 설치

# 인증서 ARN
CERT_ARN=`aws acm list-certificates --query 'CertificateSummaryList[].CertificateArn[]' --output text`
echo $CERT_ARN

# 파라미터 파일 생성 및 배포
cat <<EOT > monitor-values.yaml
prometheus:
  prometheusSpec:
    podMonitorSelectorNilUsesHelmValues: false
    serviceMonitorSelectorNilUsesHelmValues: false
    retention: 5d
    retentionSize: "10GiB"

  verticalPodAutoscaler:
    enabled: true

  ingress:
    enabled: true
    ingressClassName: alb
    hosts: 
      - prometheus.$MyDomain
    paths: 
      - /*
    annotations:
      alb.ingress.kubernetes.io/scheme: internet-facing
      alb.ingress.kubernetes.io/target-type: ip
      alb.ingress.kubernetes.io/listen-ports: '[{"HTTPS":443}, {"HTTP":80}]'
      alb.ingress.kubernetes.io/certificate-arn: $CERT_ARN
      alb.ingress.kubernetes.io/success-codes: 200-399
      alb.ingress.kubernetes.io/load-balancer-name: myeks-ingress-alb
      alb.ingress.kubernetes.io/group.name: study
      alb.ingress.kubernetes.io/ssl-redirect: '443'

grafana:
  defaultDashboardsTimezone: Asia/Seoul
  adminPassword: prom-operator

  ingress:
    enabled: true
    ingressClassName: alb
    hosts: 
      - grafana.$MyDomain
    paths: 
      - /*
    annotations:
      alb.ingress.kubernetes.io/scheme: internet-facing
      alb.ingress.kubernetes.io/target-type: ip
      alb.ingress.kubernetes.io/listen-ports: '[{"HTTPS":443}, {"HTTP":80}]'
      alb.ingress.kubernetes.io/certificate-arn: $CERT_ARN
      alb.ingress.kubernetes.io/success-codes: 200-399
      alb.ingress.kubernetes.io/load-balancer-name: myeks-ingress-alb
      alb.ingress.kubernetes.io/group.name: study
      alb.ingress.kubernetes.io/ssl-redirect: '443'

defaultRules:
  create: false
kubeControllerManager:
  enabled: false
kubeEtcd:
  enabled: false
kubeScheduler:
  enabled: false
alertmanager:
  enabled: false
EOT

kubectl create ns monitoring
helm install kube-prometheus-stack prometheus-community/kube-prometheus-stack --version 45.27.2 \
--set prometheus.prometheusSpec.scrapeInterval='15s' --set prometheus.prometheusSpec.evaluationInterval='15s' \
-f monitor-values.yaml --namespace monitoring

# metrics-server 배포
kubectl apply -f https://github.com/kubernetes-sigs/metrics-server/releases/latest/download/components.yaml

1-1. EKS Node Viewer 설치

파드 리소스에 대한 요청 정보를 확인할 수 있는 대시보드
- 해당 노드에 할당 가능한 용량을 시각적으로 표시
실제 사용량이 아니라, 요청된 리소스(CPU, Memory)에 대한 표시
실습 스책 상에서 go 설치 및 뷰어 설치시 다소 시간이 소요 (약 5분)
Karpenter 실습 시에도 언급되겠지만, EKS가 구축된 뒤에 사용이 가능하다.

# go 및 EKS Node Viewer 설치
yum install -y go
go install github.com/awslabs/eks-node-viewer/cmd/eks-node-viewer@latest

# EKS Node Viewer 실행
tree ~/go/bin
cd ~/go/bin && ./eks-node-viewer

## EKS Node Viewer 명령 샘플
# Display both CPU and Memory Usage
./eks-node-viewer --resources cpu,memory

# Karenter nodes only
./eks-node-viewer --node-selector "karpenter.sh/provisioner-name"

# Display extra labels, i.e. AZ
./eks-node-viewer --extra-labels topology.kubernetes.io/zone

# Specify a particular AWS profile and region
AWS_PROFILE=myprofile AWS_REGION=ap-northeast-2

## 기본 옵션 환경 변수
# select only Karpenter managed nodes
node-selector=karpenter.sh/provisioner-name

# display both CPU and memory
resources=cpu,memory

EKS node viewer

AWS EKS 스터디 4주차 - Observability

kkumtree

2023-05-21T06:13:52+09:00

이번 주차에는 Observability에 대해 스터디가 진행되었습니다.
자원 모니터링 툴들의 적용 및 사용이 중심입니다.

그나저나 k8s 1.26에서 metrics의 일부 명칭이 바뀌는 걸 보고 식겁했습니다.
(etcd_db_total_size_bytes 대신, apiserver_storage_db_total_size_in_bytes 으로 변경)
또한 kubecost의 경우, cloudformation 스택 제거 후에도 볼륨 데이터가 남아있어서 별도로 삭제해야 했습니다.

1. 실습환경 배포

NAT게이트웨이, EBS addon, IAM role, ISRA for LB/EFS, PreCommand 포함
노드: t3.xlarge
- t3a.xlarge(AMD)는 서울 리전 b AZ(ap-northeast-2b)에서 미지원
더 많은 값들이 입력되어서, 생성 완료까지 더 많은 시간이 소요 (약 20여분 이내)

curl -O https://s3.ap-northeast-2.amazonaws.com/cloudformation.cloudneta.net/K8S/eks-oneclick3.yaml

# 이하 생략, 3주차 참고

cloudformation

CloudNet@

VSCode DevContainer - CI/CD 스터디 1주차

0. Docker 설치

1. Dev Containers 확장 프로그램

TFC(Terraform Cloud) drift 알림 설정

1. 용어 이해해보기

(1) Drift?

Understanding terraform module

1. Terraform without Module

IAM STS를 이용한 Terraform Cloud 권한 부여

Terraform resource 이해하기 w/AWS VPC

기본 설정

1. data 조회

Terraform 시작하기 w/Minimal Ubuntu

Terraform 설치

AWS EKS 스터디 7주차 - Automation

1. 실습환경 배포

2. ACK(AWS Controller for k8s)

2-1. S3

AWS EKS 스터디 6주차 - Security

그 외

1. 실습 환경 배포

2. k8s 인증/인가

AWS EKS 스터디 5주차 - Autoscaling

1. 실습 환경 배포

1-1. EKS Node Viewer 설치

AWS EKS 스터디 4주차 - Observability

1. 실습환경 배포

kkumtree