개발새발

이번주는 IAM 취약점 및 보안에 대해 스터디를 진행했습니다. 그 중 IMDS에 집중하여 내용 정리 및 워크샵을 진행해 보겠습니다. IMDS(Instance Metadata Service) AWS에서는 IMDS를 사용하여 인스턴스의 메타데이터를 획득할 수 있습니다. 기본적으로 ip, ami id 등 ec2 관련 정보와 iam 관련 정보를 확인할 수 있습니다. IMDSv1 사용 예시 [ec2-user@My-EC2 ~]$ curl -s http://169.254.169.254/latest/meta-data/ ami-id ami-launch-index ami-manifest-path block-device-mapping/ events/ hostname iam/ identity-credentials/ insta..

AWS Hacking & Security Study에 참여하며 각종 실습 내용을 남길 예정입니다. 1주차 주제는 S3 취약점 및 보안입니다. S3 접근 제어 S3의 접근 제어 관련해서는 아래와 같은 정책을 활용할 수 있습니다. IAM IAM user 또는 role에 S3 관련 권한 부여 Bucket Policy 각 S3에 대한 권한 부여 IAM/IP/VPC 등에 대한 접근 제어 가능 HTTP 차단, SSE 방식에 따른 차단 가능 ACL(Access Control List) 현재 미권장 옵션이며, 신규 버킷 생성 시 disabled (= 객체 소유권이 버킷 소유자) 대부분 IAM + Bucket Policy로 원하는 요건을 만족시킬 수 있기 때문에 예외적으로 사용(CloudFront 로그 저장 권한 부여 ..

지난 7월 2일 CKA 시험에 응시했고, 자격증을 취득했습니다. 🎉 이번 글에는 시험을 어떻게 준비했고 시험 환경은 어땠는지 기록해 보겠습니다. 시험 준비 CKA 시험을 준비하는 누구나 한 번쯤 들어본 적 있는 udemy의 그 강의를 1회 들었습니다. 강의를 들으면서 각 챕터별 practice test를 한 번씩 풀어봤고, 해설 강의는 대부분 듣지 않았습니다. 강의를 모두 듣고 난 뒤 1주일 후를 목표로 시험 예약을 했고, 이때부터 강의 맨 뒤에 있는 Lightning Labs, Mock Exams를 약 2~3회 씩 반복해서 손에 익혔습니다. 이때 모든 문제를 공식 문서에서 검색해서 해결하는 연습을 했습니다. 시험 하루 전에는 시험 환경을 익히기 위해 killer.sh 테스트를 1회 응시했습니다. 그전까..

Practice Test - Application failure # 1 $ k get svc,deploy -n alpha NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE service/mysql ClusterIP 10.43.220.175 3306/TCP 6m6s service/web-service NodePort 10.43.220.159 8080:30081/TCP 6m6s NAME READY UP-TO-DATE AVAILABLE AGE deployment.apps/webapp-mysql 1/1 1 1 6m6s $ k get svc mysql -n alpha -oyaml >> service.yaml $ vi service.yaml apiVersion: v1 kind: Ser..

Practice Test - Service Networking $ k get no -owide NAME STATUS ROLES AGE VERSION INTERNAL-IP EXTERNAL-IP OS-IMAGE KERNEL-VERSION CONTAINER-RUNTIME controlplane Ready control-plane 25m v1.27.0 192.21.135.6 Ubuntu 20.04.5 LTS 5.4.0-1106-gcp containerd://1.6.6 node01 Ready 24m v1.27.0 192.21.135.9 Ubuntu 20.04.5 LTS 5.4.0-1106-gcp containerd://1.6.6 $ ifconfig -a datapath: flags=4163 mtu 1376 eth..

Practice Test - Explore environment $ k get no -owide NAME STATUS ROLES AGE VERSION INTERNAL-IP EXTERNAL-IP OS-IMAGE KERNEL-VERSION CONTAINER-RUNTIME controlplane Ready control-plane 7m3s v1.27.0 192.23.163.6 Ubuntu 20.04.5 LTS 5.4.0-1106-gcp containerd://1.6.6 node01 Ready 6m38s v1.27.0 192.23.163.8 Ubuntu 20.04.5 LTS 5.4.0-1106-gcp containerd://1.6.6 # 컨트롤플레인 노드 네트워크 인터페이스 확인 $ ifconfig -a .....

Practice Test - Cluster Installation Using Kubeadm # 기본 설정(https://kubernetes.io/docs/setup/production-environment/container-runtimes/) $ cat

Practice Test - Persistent Volume Claims hostPath $ alias k=kubectl $ k edit po webapp apiVersion: v1 kind: Pod metadata: creationTimestamp: "2023-06-12T10:46:35Z" name: webapp namespace: default resourceVersion: "674" uid: 382c1ae3-0641-4107-9105-eb1ec05b028e spec: containers: - env: - name: LOG_HANDLERS value: file image: kodekloud/event-simulator imagePullPolicy: Always name: event-simulator ..

이번 주는 EKS 에서의 인증/인가에 대해 알아봤습니다. 인증 누가 접근하고 있는가? 인가 무엇을 할 수 있는가?(권한) EKS에서의 인증/인가 EKS에서 인증/인가는 각각 다른 방식으로 처리가 됩니다. 인증 - IAM 클러스터를 생성하고나면 aws-auth configmap이 자동으로 생성된 것을 확인할 수 있습니다. $ kubectl get cm aws-auth -n kube-system -oyaml apiVersion: v1 data: mapRoles: | - rolearn: arn:aws:iam::111122223333:role/[NodeGroup IAM role명] username: system:node:{{EC2PrivateDNSName}} groups: - system:bootstrapper..

이번 주는 EKS를 조금 더 유연하게 사용할 수 있는 scaling 방법에 대해 알아보았습니다. EKS에서 scaling 대상은 node와 pod가 있습니다. 각각 어떤 솔루션이 있는지 살펴보겠습니다. 실습 시 제일 하단에 있는 '사전 설치 툴'을 설치한 뒤 진행이 필요합니다. Node Cluster Autoscaler - metric server에서 제공하는 metric을 기반으로 노드그룹의 ASG 수를 조정합니다. - pending 상태인 pod가 생기면 노드 수를 늘리고 사용량이 낮다면 노드 수를 줄입니다. Cluster Autoscaler 설치 설치 전에 먼저 nodegroup의 ASG 최대값을 조정합니다. $ export ASG_NAME=$(aws autoscaling describe-auto..