EKS

Monitoring CoreDNS in EKS with Grafana Cloud

kkumtree

2024-10-30T23:44:01+09:00

Grafana Cloud 첫 사용기

CloudNet@에서 진행하고 있는 K8s Advanced Network Study(이하, KANS)를 통해 학습한 내용을 정리합니다.

이번 주차는 실감이 아직 안나는데, 스터디 마지막 주차입니다.
그래서 여러분이 잘 알고, 매우 좋아하는 EKS를 통해, CoreDNS 이슈를 모니터링하는 Hands-on을 차근차근 따라해보려고합니다.

AWS Cloud Operations Blog/Monitoring CoreDNS for DNS throttling issues using AWS Open source monitoring services

위의 Blog를 그대로 따라해볼 겁니다.

0. EKS Cluster 생성

스터디에서 제공된 CloudFormation을 통해 EKS Cluster를 생성해볼까합니다.
eksctl이 언급되어 있어서 왠지… 나중에 롤백하고 태초마을부터 eksctl 기반 CloudFormation 배포를 할 것 같은 불안함이 있지만 해보죠(?).

AWS EKS 스터디 7주차 - Automation

kkumtree

2023-06-10T15:13:19+09:00

EKS 스터디도 마지막 7주차를 맞이했습니다.

이번에는 AWS Controller for k8s(ACK)와 flux를 가볍게 실습해보고
자동화에 대해 맛보기를 해보았습니다.

앞서 학습해본 IRSA 개념 외에도 CRD(CustomResourceDefinition)을 활용합니다.

1. 실습환경 배포

실습을 위한 YAML파일이 변경된거 말고는 6주차와 유사합니다.

curl -O https://s3.ap-northeast-2.amazonaws.com/cloudformation.cloudneta.net/K8S/eks-oneclick6.yaml

# 이하 중략

# CERT_ARN(ACM)의 경우에는 /etc/profile에 환경변수 저장을 안해둬서  
# 세션이 만료되면, 다시 재설정 필요

CERT_ARN=`aws acm list-certificates --query 'CertificateSummaryList[].CertificateArn[]' --output text`
echo $CERT_ARN

2. ACK(AWS Controller for k8s)

웹콘솔에 접근하지 않고도, AWS 서비스 리소스를 직접 k8s에서 정의 및 사용가능
순서: ACK 컨트롤러 설치 -> IRSA 설정 -> AWS 리소스 컨트롤
- 같은 패턴으로 이루어져있는데, Cloudformation을 쓰다보니 중간중간 대기 시간 발생
(23/05/29) GA: 17개 서비스, Preview: 10개 서비스

2-1. S3

[ACK S3 Controller 설치]

# 서비스명 변수 지정
export SERVICE=s3

# helm 차트 다운로드
export RELEASE_VERSION=$(curl -sL https://api.github.com/repos/aws-controllers-k8s/$SERVICE-controller/releases/latest | grep '"tag_name":' | cut -d'"' -f4 | cut -c 2-)
helm pull oci://public.ecr.aws/aws-controllers-k8s/$SERVICE-chart --version=$RELEASE_VERSION
tar xzvf $SERVICE-chart-$RELEASE_VERSION.tgz

# helm chart 확인
tree ~/$SERVICE-chart

# ACK S3 Controller 설치
export ACK_SYSTEM_NAMESPACE=ack-system
export AWS_REGION=ap-northeast-2
helm install --create-namespace -n $ACK_SYSTEM_NAMESPACE ack-$SERVICE-controller --set aws.region="$AWS_REGION" ~/$SERVICE-chart

# 설치 확인
helm list --namespace $ACK_SYSTEM_NAMESPACE
kubectl -n ack-system get pods
kubectl get crd | grep $SERVICE

kubectl get all -n ack-system
kubectl get-all -n ack-system
kubectl describe sa -n ack-system ack-s3-controller

[IRSA 설정] AmazonS3FullAccess
- 설정 후에는 rollout으로 반영해주어야함

# Create an iamserviceaccount - AWS IAM role bound to a Kubernetes service account
eksctl create iamserviceaccount \
  --name ack-$SERVICE-controller \
  --namespace ack-system \
  --cluster $CLUSTER_NAME \
  --attach-policy-arn $(aws iam list-policies --query 'Policies[?PolicyName==`AmazonS3FullAccess`].Arn' --output text) \
  --override-existing-serviceaccounts --approve

# 확인
eksctl get iamserviceaccount --cluster $CLUSTER_NAME
kubectl get sa -n ack-system
kubectl describe sa ack-$SERVICE-controller -n ack-system

# Restart ACK service controller deployment using the following commands.
kubectl -n ack-system rollout restart deploy ack-$SERVICE-controller-$SERVICE-chart

# IRSA 적용으로 Env, projected Volume 추가 확인
kubectl describe pod -n ack-system -l k8s-app=$SERVICE-chart

ISRA with override

AWS EKS 스터디 6주차 - Security

kkumtree

2023-06-04T06:56:52+09:00

이번에는 보안을 위한 인증 및 인가, 그리고 IRSA를 중심으로 EKS의 보안에 대해 학습해보았습니다.

kops 스터디 때에는 잘 몰랐는데, RBAC 뿐만 아니라 복기하다보니…

[4-1] projected Volume
[4-2] AWS Load Balancer Controller IRSA 및 LB Pod mutating

위의 두 가지가 중요한 파트를 차지하고 있었음을 알 수 있었습니다.
Network(2주차)가 매번 뭔가 일부가 아리송하였다면
Security는 복기하다가 이론적으로는 간단(과연?)해보여도
실제 구동방식 이해 자체가 초반에 안되서, 사흘 남짓 걸린 덕에 더 어려웠던 것 같습니다.

그 외

myeks-bastion-2에 접속 시, 함께 진행할 때는 ssh {Public IP}로 잘 접속되는 걸 봤는데 정작 혼자 할 땐 접속이 되지않았습니다.
- Amazon Linux에서는 ssh ec2-user@{Public IP}로 접속해야함
  (필요한 경우 ssh키도 포함)
- AWS Public AMI에서 제공되는 Ubuntu AMI의 경우,
  ubuntu@{Public IP}로 접속가능
- 추정: 공유된 머신에 다른 설정이 이슈가 되는 것으로 추정됩니다.
IAM User(testuser)는 웹콘솔에서 삭제하는 것이 편리합니다.
- 아니면, 아래처럼 detach 한다는 느낌으로 순차적 실행합니다.
  - list-attached-role-policies && detach-role-policy
  - list-access-keys && delete-access-key
  - delete-user
CLI로 IAM Trust Relationship 조회
- 웹 콘솔에 굳이 들어가야하나 하고, 문득 호기심에 시도하다가 시간이 날아갔습니다.
- 결론: 하드코어한 파싱..
  - jq -r '.[].status.roleARN' | rev | cut -d '/' -f1 | rev
  - chatGPT에게 아래와 같이 교정 받았지만, 탐탁치 않음..
    jq -r '.[].status.roleARN' | grep -oE '[^/]+$'

1. 실습 환경 배포

모의공격(?) 테스트를 위해 2개의 bastion 서버가 구성된 환경 배포
p8s 및 grafana의 경우, 선택적으로 배포해도 되서 기술 생략

curl -O https://s3.ap-northeast-2.amazonaws.com/cloudformation.cloudneta.net/K8S/eks-oneclick5.yaml

# 이하 중략

# CERT_ARN(ACM)의 경우에는 /etc/profile에 환경변수 저장을 안해둬서  
# 세션이 만료되면, 다시 재설정 필요

CERT_ARN=`aws acm list-certificates --query 'CertificateSummaryList[].CertificateArn[]' --output text`
echo $CERT_ARN

2. k8s 인증/인가

.kube/config 파일을 기반
- cluster: k8s API 서버 접속정보
- users: API 서버에 접속하기 위한 유저 인증정보 목록
- contexts: cluster및 user를 매핑(조합)한 정보

kubeconfig

AWS EKS 스터디 5주차 - Autoscaling

kkumtree

2023-05-22T19:23:37+09:00

이번 주차는 오토스케일링을 메인으로 하여, 수평/수직 프로비저닝을 학습해보았습니다.
마지막에는 고성능 오토스케일러인 Karpenter를 별도로 실습해보았습니다. 특히..

HPA custom metrics(사용자 정의 메트릭) 적용
YAML 설정값을 CPU로 맞춘 것을 잊고, 프로비저닝을 잘못 예측한 것도 함께 공유합니다.
AutoScaling
- HPA: Horizontal Pod Autoscaler
- VPA: Vertical Pod Autoscaler
- CA: Cluster Autoscaler
  - 각 CSP 의존적, 워커 노드 레벨에서의 오토스케일링

1. 실습 환경 배포

4주차의 초기 배포 내용에 p8s 및 Grafana를 추가하여 배포
- verticalPodAutoscaler 활성화
- 추천 대시보드: 15757, 17900, 15172

curl -O https://s3.ap-northeast-2.amazonaws.com/cloudformation.cloudneta.net/K8S/eks-oneclick4.yaml

# 이하 중략

## Prometheus & Grafana 설치

# 인증서 ARN
CERT_ARN=`aws acm list-certificates --query 'CertificateSummaryList[].CertificateArn[]' --output text`
echo $CERT_ARN

# 파라미터 파일 생성 및 배포
cat <<EOT > monitor-values.yaml
prometheus:
  prometheusSpec:
    podMonitorSelectorNilUsesHelmValues: false
    serviceMonitorSelectorNilUsesHelmValues: false
    retention: 5d
    retentionSize: "10GiB"

  verticalPodAutoscaler:
    enabled: true

  ingress:
    enabled: true
    ingressClassName: alb
    hosts: 
      - prometheus.$MyDomain
    paths: 
      - /*
    annotations:
      alb.ingress.kubernetes.io/scheme: internet-facing
      alb.ingress.kubernetes.io/target-type: ip
      alb.ingress.kubernetes.io/listen-ports: '[{"HTTPS":443}, {"HTTP":80}]'
      alb.ingress.kubernetes.io/certificate-arn: $CERT_ARN
      alb.ingress.kubernetes.io/success-codes: 200-399
      alb.ingress.kubernetes.io/load-balancer-name: myeks-ingress-alb
      alb.ingress.kubernetes.io/group.name: study
      alb.ingress.kubernetes.io/ssl-redirect: '443'

grafana:
  defaultDashboardsTimezone: Asia/Seoul
  adminPassword: prom-operator

  ingress:
    enabled: true
    ingressClassName: alb
    hosts: 
      - grafana.$MyDomain
    paths: 
      - /*
    annotations:
      alb.ingress.kubernetes.io/scheme: internet-facing
      alb.ingress.kubernetes.io/target-type: ip
      alb.ingress.kubernetes.io/listen-ports: '[{"HTTPS":443}, {"HTTP":80}]'
      alb.ingress.kubernetes.io/certificate-arn: $CERT_ARN
      alb.ingress.kubernetes.io/success-codes: 200-399
      alb.ingress.kubernetes.io/load-balancer-name: myeks-ingress-alb
      alb.ingress.kubernetes.io/group.name: study
      alb.ingress.kubernetes.io/ssl-redirect: '443'

defaultRules:
  create: false
kubeControllerManager:
  enabled: false
kubeEtcd:
  enabled: false
kubeScheduler:
  enabled: false
alertmanager:
  enabled: false
EOT

kubectl create ns monitoring
helm install kube-prometheus-stack prometheus-community/kube-prometheus-stack --version 45.27.2 \
--set prometheus.prometheusSpec.scrapeInterval='15s' --set prometheus.prometheusSpec.evaluationInterval='15s' \
-f monitor-values.yaml --namespace monitoring

# metrics-server 배포
kubectl apply -f https://github.com/kubernetes-sigs/metrics-server/releases/latest/download/components.yaml

1-1. EKS Node Viewer 설치

파드 리소스에 대한 요청 정보를 확인할 수 있는 대시보드
- 해당 노드에 할당 가능한 용량을 시각적으로 표시
실제 사용량이 아니라, 요청된 리소스(CPU, Memory)에 대한 표시
실습 스책 상에서 go 설치 및 뷰어 설치시 다소 시간이 소요 (약 5분)
Karpenter 실습 시에도 언급되겠지만, EKS가 구축된 뒤에 사용이 가능하다.

# go 및 EKS Node Viewer 설치
yum install -y go
go install github.com/awslabs/eks-node-viewer/cmd/eks-node-viewer@latest

# EKS Node Viewer 실행
tree ~/go/bin
cd ~/go/bin && ./eks-node-viewer

## EKS Node Viewer 명령 샘플
# Display both CPU and Memory Usage
./eks-node-viewer --resources cpu,memory

# Karenter nodes only
./eks-node-viewer --node-selector "karpenter.sh/provisioner-name"

# Display extra labels, i.e. AZ
./eks-node-viewer --extra-labels topology.kubernetes.io/zone

# Specify a particular AWS profile and region
AWS_PROFILE=myprofile AWS_REGION=ap-northeast-2

## 기본 옵션 환경 변수
# select only Karpenter managed nodes
node-selector=karpenter.sh/provisioner-name

# display both CPU and memory
resources=cpu,memory

EKS node viewer

AWS EKS 스터디 4주차 - Observability

kkumtree

2023-05-21T06:13:52+09:00

이번 주차에는 Observability에 대해 스터디가 진행되었습니다.
자원 모니터링 툴들의 적용 및 사용이 중심입니다.

그나저나 k8s 1.26에서 metrics의 일부 명칭이 바뀌는 걸 보고 식겁했습니다.
(etcd_db_total_size_bytes 대신, apiserver_storage_db_total_size_in_bytes 으로 변경)
또한 kubecost의 경우, cloudformation 스택 제거 후에도 볼륨 데이터가 남아있어서 별도로 삭제해야 했습니다.

1. 실습환경 배포

NAT게이트웨이, EBS addon, IAM role, ISRA for LB/EFS, PreCommand 포함
노드: t3.xlarge
- t3a.xlarge(AMD)는 서울 리전 b AZ(ap-northeast-2b)에서 미지원
더 많은 값들이 입력되어서, 생성 완료까지 더 많은 시간이 소요 (약 20여분 이내)

curl -O https://s3.ap-northeast-2.amazonaws.com/cloudformation.cloudneta.net/K8S/eks-oneclick3.yaml

# 이하 생략, 3주차 참고

cloudformation

AWS EKS 스터디 3주차 - Storage

kkumtree

2023-05-12T05:36:38+09:00

이번 주차에는 스토리지에 대해 실습을 진행해보았습니다. 지난번 kOps 스터디에서 다루었던 내용이지만, 부족했던 내용을 보충하면서 작성을 해보았습니다.

주요한 내용은…

NodeAffinity를 이용한 라벨링
AWS EBS controller의 경우, AWS managed policy를 활용
AWS Volume SnapShots Controller를 통한 볼륨 백업
AWS EFS controller에서의 동적 프로비저닝
AWS EKS 신규 노드그룹 생성

별도로 kube-ops-view의 경우, 웹으로 확인할 수 있을 때까지 시간이 소요된다는 점이 있습니다.

1. 실습 환경 배포

2주차에 실습했던 내용들을 미리 배포
1. AWS LB
2. ExternalDNS
3. kube-ops-view
context 이름 변경
- 지난 번까지 pkos가 뜨는 현상이 있었는데, 닉네임을 별도 지정할 수 있음
EFS 생성 관련 cloudformation이 추가되었음
- EFS FS ID 조회를 하기 위해 aws-cli 필터 활용 (출처: AWS Docs)

# 실습 YAML 파일
curl -O https://s3.ap-northeast-2.amazonaws.com/cloudformation.cloudneta.net/K8S/eks-oneclick2.yaml

# cloudformation 스택 생성
aws cloudformation deploy --template-file eks-oneclick2.yaml --stack-name myeks --parameter-overrides KeyName=aews SgIngressSshCidr=$(curl -s ipinfo.io/ip)/32  MyIamUserAccessKeyID=AKIA5... MyIamUserSecretAccessKey=CVNa2... ClusterBaseName=myeks --region ap-northeast-2

ssh -i ~/.ssh/aews.pem ec2-user@$(aws cloudformation describe-stacks --stack-name myeks --query 'Stacks[*].Outputs[0].OutputValue' --output text)

# default 네임스페이스 적용
kubectl ns default

# (옵션) context 이름 변경
NICK=kkumtree
kubectl ctx
kubectl config rename-context [email protected] $NICK@myeks

# EFS 확인 : AWS 관리콘솔 EFS 확인
EfsFsId=$(aws efs describe-file-systems --query 'FileSystems[*].FileSystemId' --output text)
echo $EfsFsId
mount -t nfs4 -o nfsvers=4.1,rsize=1048576,wsize=1048576,hard,timeo=600,retrans=2,noresvport $EfsFsId.efs.ap-northeast-2.amazonaws.com:/ /mnt/myefs
df -hT --type nfs4
mount | grep nfs4
echo "Test efs exist with file " > /mnt/myefs/memo.txt
cat /mnt/myefs/memo.txt
rm -f /mnt/myefs/memo.txt

# 스토리지클래스 및 CSI 노드 확인
kubectl get sc
kubectl get sc gp2 -o yaml | yh
kubectl get csinodes

# 노드 정보 확인
kubectl get node --label-columns=node.kubernetes.io/instance-type,eks.amazonaws.com/capacityType,topology.kubernetes.io/zone
eksctl get iamidentitymapping --cluster myeks

# 노드 IP 확인 및 PrivateIP 변수 지정
N1=$(kubectl get node --label-columns=topology.kubernetes.io/zone --selector=topology.kubernetes.io/zone=ap-northeast-2a -o jsonpath={.items[0].status.addresses[0].address})
N2=$(kubectl get node --label-columns=topology.kubernetes.io/zone --selector=topology.kubernetes.io/zone=ap-northeast-2b -o jsonpath={.items[0].status.addresses[0].address})
N3=$(kubectl get node --label-columns=topology.kubernetes.io/zone --selector=topology.kubernetes.io/zone=ap-northeast-2c -o jsonpath={.items[0].status.addresses[0].address})
echo "export N1=$N1" >> /etc/profile
echo "export N2=$N2" >> /etc/profile
echo "export N3=$N3" >> /etc/profile
echo $N1, $N2, $N3

# 노드 보안그룹 ID 확인
NGSGID=$(aws ec2 describe-security-groups --filters Name=group-name,Values=*ng1* --query "SecurityGroups[*].[GroupId]" --output text)
aws ec2 authorize-security-group-ingress --group-id $NGSGID --protocol '-1' --cidr 192.168.1.100/32

# 워커 노드 SSH 접속
ssh ec2-user@$N1 hostname
ssh ec2-user@$N2 hostname
ssh ec2-user@$N3 hostname

# 노드에 툴 설치
ssh ec2-user@$N1 sudo yum install links tree jq tcpdump sysstat -y
ssh ec2-user@$N2 sudo yum install links tree jq tcpdump sysstat -y
ssh ec2-user@$N3 sudo yum install links tree jq tcpdump sysstat -y

# AWS LB, ExternalDNS 설치
helm repo add eks https://aws.github.io/eks-charts
helm repo update
helm install aws-load-balancer-controller eks/aws-load-balancer-controller -n kube-system --set clusterName=$CLUSTER_NAME \
  --set serviceAccount.create=false --set serviceAccount.name=aws-load-balancer-controller

# ExternalDNS
MyDomain=awskops.click
MyDnzHostedZoneId=$(aws route53 list-hosted-zones-by-name --dns-name "${MyDomain}." --query "HostedZones[0].Id" --output text)
echo $MyDomain, $MyDnzHostedZoneId
curl -s -O https://raw.githubusercontent.com/gasida/PKOS/main/aews/externaldns.yaml
MyDomain=$MyDomain MyDnzHostedZoneId=$MyDnzHostedZoneId envsubst < externaldns.yaml | kubectl apply -f -

1-1. kube-ops-view

시각적으로 현재 k8s의 상태를 볼 수 있는 툴
안되는 줄 알았는데, 뷰어가 뜰 때까지 시간이 걸리는 것이었음.

1-kube-ops-view

AWS EKS 스터디 2주차 - Network

kkumtree

2023-05-07T07:30:52+09:00

# 아쉽게도 신규 항목인 istio, kube-ops-view는 실습 실패
- istio: `myhome.yaml` 을 어떻게 생성할지 몰라서 중단
- kube-ops-view: A레코드에 제대로 잡히지 않음

지난 1주차에 이어, 이번 주에는 EKS의 네트워크 구성에 대해 알아보는 시간이었습니다.

직전 스터디에서도 바로 광탈당하나?하며 밤과 주말을 하얗게 불태웠을 정도로
가장 고난도라고 생각했던 네트워크를 다시 만나니 이제 1% 친근감이 느껴지고 있네요.

이해했냐고요?

자 그럼 해보도록 합시다.

1. cloudformation을 활용한 EKS 원클릭 구성

학습을 위해, 이번에도 가시다님이 준비해주신 원클릭 배포 yaml을 활용하여 배포.
완전 배포까지 대략 20분 가량 소요
IAM에서 미리 발급해둔 액세스키/시크릿키를 알아두어야합니다.

# 원클릭 셋업
aws cloudformation deploy --template-file ~/Documents/aews/eks-oneclick.yaml --stack-name myeks --parameter-overrides KeyName=aews SgIngressSshCidr=$(curl -s ipinfo.io/ip)/32 MyIamUserAccessKeyID={ACSSKEY|AKIA..}  MyIamUserSecretAccessKey={SECUKEY|7ob..} ClusterBaseName=myeks --region ap-northeast-2

# 컨트롤 플레인(마스터노드) 접속 확인
ssh -i ~/.ssh/aews.pem ec2-user@$(aws cloudformation describe-stacks --stack-name myeks --query 'Stacks[*].Outputs[0].OutputValue' --output text)

oneclick_templete

AWS EKS 스터디 1주차

kkumtree

2023-04-30T03:00:15+09:00

최근 CloudNet@에서 진행하고 있는
AWS EKS Workshop Study(이하, AEWS)에 참여하게 되었습니다.

k8s가 워낙 인기가 많기도 하지만, 지난 kOps 스터디를 통해 관리요소가 참 많은 것을 느꼈었고,
좀더 수월하게 이해를 해보고자 AWS 서비스인
EKS(Elastic Kubernetes Service)를 이번 기회에 살펴보기로 했습니다.

EKS 사용에 있어 고려사항

EKS는 관리형 서비스(managed service)이기에 아래와 같은 장점이 있습니다.

클러스터링을 위한 Control Plane(일명, 마스터 노드)을 AWS에서 관리해줍니다.
- 워커노드는
  1. 사용자가 AMI를 구성하여 이를 사용
  2. AWS에서 제공하는 Fargate로 VM을 할당하여 사용
kOps와도 유사하지만, 다른 AWS 서비스와의 연동이 용이합니다.
개인적으로는 ACM의 인증서 사용에 있어 더 편할 것이라 생각을 했습니다.
1. ECR에 저장한 컨테이너 이미지를 활용가능
2. IAM을 통한 권한 관리
3. ELB를 통한 로드밸런싱
4. VPC를 통한 네트워크 관리
오픈소스 k8s 기반이기에 EKS로의 용이한 마이그레이션

API 서버 Cluster Endpoint 구성

EKS는 Control Plane을 관리해주나, 마스터 노드에 접근이 필요한 경우가 있습니다.
이를 위해, Cluster Endpoint를 구성하여 마스터 노드에 접근할 수 있습니다.