kubernetes6 Harbor 레지스트리 + Cosign 서명 + Trivy 스캔 + 배포 차단 정책(OPA/Kyverno)으로 컨테이너 공급망 보안 완성 Harbor 레지스트리 + Cosign 서명 + Trivy 스캔 + 배포 차단 정책(OPA/Kyverno)으로 컨테이너 공급망 보안 완성이미지 한 장이 프로덕션 전부를 흔듭니다. 오늘은 사설 레지스트리(Harbor)에 취약점 스캔(Trivy)과이미지 서명(Cosign)을 붙이고, 배포 차단 정책(OPA Gatekeeper 또는 Kyverno)으로“서명+무중대취약”일 때만 배포되게 만드는 실전 구성을 단계별로 정리합니다.Ubuntu 24.04 + Kubernetes 1.28+ 기준입니다.1) 아키텍처 한 장 요약[빌드 파이프라인(GH Actions/GitLab CI)] └─(푸시)─> [Harbor(Trivy 스캔)] └─(서명 참조/저장)─> [Cosign(OCI.. 2025. 11. 3. Velero로 Kubernetes 백업·복구: S3/MinIO 연동, PV 스냅샷, 네임스페이스 단위 복원 Velero로 Kubernetes 백업·복구: S3/MinIO 연동, PV 스냅샷, 네임스페이스 단위 복원클러스터를 오래 운영하다 보면 “사람이 한 번쯤은 실수한다”는 가정이 현실이 됩니다. 잘못된 kubectl delete, 장애로 인한 PV 손상,혹은 잘못된 배포 롤아웃 등. Velero는 Kubernetes 리소스(YAML)와 볼륨 데이터를 함께 백업하고,필요한 스코프(전체/네임스페이스/레이블 선택)로 빠르게 복원할 수 있게 도와줍니다. 이 글은 Ubuntu 24.04 + K8s(1.28+) 기준으로S3/MinIO 연동, 스냅샷/파일단위 백업(Restic/FSB), 테스트 복원까지 한 번에 구성합니다.1) 무엇을 백업하나? 리소스: Deployment/Service/Ingress/CRD/Secre.. 2025. 11. 2. External Secrets로 시크릿 자동 주입: AWS Secrets Manager/KMS · Kubernetes 네이티브 시크릿 관리 External Secrets로 시크릿 자동 주입: AWS Secrets Manager/KMS · Kubernetes 네이티브 시크릿 관리GitOps로 배포를 표준화했더라도 민감한 값(DB 비밀번호, API 키, OAuth 시크릿)을 Git에 넣을 수는 없습니다. 이 글에서는 External Secrets Operator(ESO)로 AWS Secrets Manager의 값을 Kubernetes Secret에 자동으로 동기화하는 방법을 정리합니다. 장점은 코드에는 참조만 남기고, 실제 값은 KMS로 암호화된 Vault(Secrets Manager)에 보관한다는 점입니다. PR 승격만으로도 환경별 시크릿을 안전하게 배포할 수 있습니다.1) 개념 한 장 요약[AWS Secrets Manager] --(IAM .. 2025. 11. 1. Argo CD로 GitOps 파이프라인 구축: App-of-Apps, 환경 분리, 자동 동기화/PR 기반 승격 Argo CD로 GitOps 파이프라인 구축: App-of-Apps, 환경 분리, 자동 동기화/PR 기반 승격Argo Rollouts로 카나리/블루그린을 자동화했다면, 이제 Argo CD로 배포 상태 = Git을 구현해 보겠습니다. 핵심은 “모든 클러스터 상태를 선언적으로 Git에 보관하고, Argo CD가 주기적으로 이를 관찰해 자동 동기화”하는 것입니다. 이 글은 App-of-Apps 패턴으로 다수의 애플리케이션을 관리하고, dev→staging→prod로 PR 승인 기반 승격을 만드는 실전 템플릿을 제공합니다.1) 저장소 구조(권장 예시)gitops/├─ apps/ # 개별 앱 선언(Helm/Kustomize)│ └─ order-api/│ ├─ base.. 2025. 11. 1. Argo Rollouts로 프로그레시브 딜리버리: Canary/Blue-Green, 자동 프로모션·중단, 메트릭 연동(Prometheus) Argo Rollouts로 프로그레시브 딜리버리: Canary/Blue-Green, 자동 프로모션·중단, 메트릭 연동(Prometheus)이전 글들에서 Nginx/HAProxy, KEDA/HPA로 무중단 배포와 부하 대응을 다뤘다면,이번에는 Kubernetes에서 Argo Rollouts로 카나리/블루그린을 자동화합니다.배포는 “배포 → 관찰 → 승격/중단” 루프가 핵심입니다. Rollouts는 이 루프를 선언적 YAML 한 장으로 완성합니다.1) 핵심 개념 요약 Rollout: Deployment 대체 리소스(동일한 스펙 대부분 지원). strategy로 Canary/BlueGreen 지정. Analysis: 배포 단계마다 지표/헬스 체크를 수행해 자동 승격 또는 자동 중단. Traffic Rou.. 2025. 10. 31. KEDA + Prometheus Adapter로 HPA 커스텀 메트릭 오토스케일링(스레드·큐·지연 기반) KEDA + Prometheus Adapter로 HPA 커스텀 메트릭 오토스케일링(스레드·큐·지연 기반)CPU만 보고 스케일하면 늦습니다. 실제로는 웹 스레드풀 사용률, DB 커넥션 대기열, 요청 지연(p95), 메시지 큐 길이가 먼저 비명을 지릅니다.이 글은 Kubernetes에서 KEDA와 Prometheus Adapter를 이용해 이런 도메인 메트릭으로 HPA를 구동하는 방법을 단계별로 정리합니다.1) 아키텍처 개요Prometheus가 애플리케이션/인프라 지표를 수집하고, Recording Rule로 스케일에 적합한 지표를 만듭니다.Prometheus Adapter는 해당 지표를 Kubernetes Custom Metrics API로 노출합니다.HPA는 그 지표를 목표값으로 삼아 레플리카를 조정하고.. 2025. 10. 31. 이전 1 다음