rygus 님의 블로그

안녕하세요.오늘은 AKS 네임스페이스별 로그를 각 Log Analytics Workspace에 저장해 보겠습니다. Azure Monitor Private Scope(AMPLS) : Azure Monitor 리소스에 프라이빗 엔드포인트를 사용하여 Azure PaaS(Platform as a Service) 리소스를 가상 네트워크에 안전하게 연결할 수 있는 서비스로 공용 네트워크를 거치지 않고 Azure 백본망을 통해 통신됩니다. Data Collection Endpoint(DCE) : DCE는 관문 또는 진입점과 같습니다. 리소스가 DCR에서 처리되기 전에 데이터를 전송하는 보안 주소입니다. 데이터 수집 규칙(DCR) : DCR은 Azure에 어떤 종류의 데이터를 수집할지, 어디에서 수집할지, 필요한 ..

안녕하세요. 최근 Azure 환경에서 운영 중인 VM 한 대가 VPN을 맺고 있는 AWS 네트워크와 IP 대역이 충돌하여 통신이 불가능한 문제가 발생했습니다.이를 해결하기 위해 VM에 AWS와 겹치지 않는 새로운 NIC를 추가했지만, 여전히 정상적인 통신이 이루어지지 않는 현상이 확인되었습니다.이번 글에서는 해당 문제의 근본 원인과 실제로 적용했던 해결 방안을 정리해보려고 합니다.# 이슈위와 같이 AWS 대역과 겹치지 않는 Subnet2를 Azure에 만들고 통신을 했으나 통신이 되지 않던 이슈입니다.Azure VM에서 tcpdump를 뜨니 정상적으로 SYN 패킷을 받고 SYN + ACK 패킷을 던지고 있는 것까지는 확인이 되었으나 마지막 ACK가 확인되고 있지 않았습니다. 원인 파악을 위해 테스트 환..

안녕하세요.오늘은 AKS의 인증 및 권한 부여에 대해 알아보겠습니다. 여기서 말하는 인증 및 권한 부여는 컨트롤 플레인(= AKS API 서버)에 대한 인증 입니다. 설정은 보안 구성 → 인증 및 권한 부여에서 설정이 가능합니다. 이제 각 항목 별 차이점을 알아보겠습니다. # Kubernetes RBAC가 있는 로컬 계정이 방식은 Azure와 거의 관계없는 순수 Kubernetes 방식입니다. 저희가 익히 알고 있는 인증서, 토큰을 통해서 API를 호출하는 방식으로 kubeconfig 파일을 들고 있는 사람이 관리자가 됩니다. 보안상 가장 취약한 인증 방법으로 로그인과 권한 인증 모두 Kubernetes가 하게됩니다.사용자는 최초로 AKS 인증서를 불러올 권한만 있으면 됩니다. az aks get-..