[7.22] kubernetes(EKS에서 Deployment.yaml 실행)

-- ECR 리포지토리 생성 후 레지스트리 만들기

=> 레지스트리가 리포지토리의 상위 개념

=> 레지스트리에 리포지토리가 만들어져야만 그곳에 이미지를 push할 수 있음

=> 도커 허브는 push를 하는 순간 리포지토리가 자동으로 생성되면서 push됨

  => ex) skk2022/web-site:v2.0 (도커 허브 아이디/리포지토리 이름)

aws ecr-public get-login-password --region us-east-1 
=> 사전에 aws configure를 통해 aws 자원에 접근할 수 있도록 해야 위의 명령어가 적용됨
=> 만약 aws configure를 먼저 하지 않으면 인증 토큰 검색과 레지스트리에 대한 도커 클라이언트 인증 애러 발생

 

도커 클라이언트 인증 완료

 

URI를 복사하여 태그 하기

docker tag skk2022/web-site:v2.0 public.ecr.aws/m0z4s0z6/test-site:eagle 로 태그(eagle부분은 임의로 기입)

 

리포지토리에서 태그한 이미지 push된 것 확인 가능

 

-- 일반사용자로 로그인(클러스터 생성)

 

* CNI(Container Network Interface)
=> pod 운영을 위한 일종의 서브넷

* kube-proxy
=> enduser들이 pod에 접근할 수 있도록 서비스들을 외부로 노출하야함, 그러한 서비스들에 대한 접속을 도와주는 것

클러스터 생성

-- 클러스터가 만들어지는 동안 제어 플레인을 관리하기 위한 도구인 kubectl을 설치하기

 

아래의 사이트에 접속하여 쿠버네티스 버전에 맞는 kubectl 설치 명령어 복사

https://docs.aws.amazon.com/ko_kr/eks/latest/userguide/install-kubectl.html

kubectl 설치 - Amazon EKS

curl -o kubectl https://s3.us-west-2.amazonaws.com/amazon-eks/1.22.6/2022-03-09/bin/linux/amd64/kubectl

chmod +x ./kubectl 를 통해 kubectl 실행 권한 부여

-- eks cli 를 설치( 위에서는 cluster 생성에 시간이 걸리니까 curl 명령어부터 실행한 것)
$ aws eks --region ap-northeast-2 update-kubeconfig --name EKS-CLUSTER

=> EKS-CLUSTER는 클러스터 생성 시 임의로 정한 이름을 넣어줘야 함

=> EKS클러스터와 도커를 연결해주는 자격증명 관련 명령어로 cluster 실행 이후 진행해야 함
$ curl -o kubectl https://s3.us-west-2.amazonaws.com/amazon-eks/1.22.6/2022-03-09/bin/linux/amd64/kubectl
$ chmod +x ./kubectl
$ sudo mv ./kubectl /usr/local/bin

=> kubectl을 bin으로 이동시키면 어떤 경로에서든 작업 가능해짐
$ source <(kubectl completion bash)

=> 자동완성 기능 적용
$ echo "source <(kubectl completion bash)" >> ~/.bashrc

=> 재부팅 시에도 자동완성 기능 유지
$ kubectl version --short --client
$ kubectl get svc

kubectl get svc는 아직 자격증명 안됨(EKS클러스터와 도커의 연결고리), 설치 명령어 첫째 줄인 자격증명 필요

자격증명 후 kubectl get svc 명령어 실행 가능

-- 노드 그룹 추가(워커 노드들이 위치할 곳)

- nodegroup 역할 만들기
AmazonEKSWorkerNodePolicy
AmazonEC2ContainerRegistryReadOnly
AmazonEKS_CNI_Policy

=>  CNI는 pod에 IP를 부여하고 pod 간 통신이 가능하도록 해주는 장치

=> 우선적으로 IAM에서 위의 세 개 역할을 일반 사용자에 추가

 

 

노드 그룹 컴퓨팅 구성 : 워커 노드들의 사양을 정하는 과정, 노드 그룹 구성 조정 : cpu사용량에 따른 것이 아닌 생성 가능한 노드 개수 제한

 

만들 예정인 노드 두 개에 SSH로 접속할 것이므로 SSH 엑세스 구성 활성화

 

노드 그룹 생성

 

kubectl get node 를 통해 노드 그룹 제대로 생성되었는지 확인

 

Auto scaling 그룹도 자동으로 생성됨

 

하지만, 자동 크기 조정 정책이 없기에 cpu 사용량에 따라 scale in과 out 정책은 필요 시 만들어야 함(알고만 있기)

 

이미 system pod들이 생성되어 있어서 첫 번째 노드에는 pod가 만들어지지 않을 것

resourcequotas로 pod의 개수를 제한할 수 있지만, resourcequotas가 없음, 따라서 이미 생성된 시스템 파드들을 조정할 수 없음

 

실제로 한 쪽 노드에만 pod가 생성됨

 

EKS는 따로 서비스를 생성하면서 External IP를 넣지 않아도, 기존에 aws서비스 중 로드밸런서로 외부에서 접속 가능

 

실제로 콘솔에서 로드 밸런서 생성된 것 확인 가능

-- HTTPS 이용하기(acm인증서를 통해)

L4인 CLB를 사용하므로 SSL 선택, 인스턴스 포트는 로드밸런서의 포트가 자동으로 지정됨, 변경 클릭

HTTPS -> CLB ->NodePort를 오픈하고 있는 도커 호스트 -> 도커 호스트가 안쪽의 80포트 컨테이너로 연결

ACM에서 인증서 선택으로 만들어 놓은 인증서 사용

 

리스너 업데이트 완료, 아직은 접속 안 됨

-- 보안 그룹에 대한 설명

로드 밸런서 -> 설명 -> 보안 그룹

로드 밸런서가 HTTPS 통신을 매개할 수 있도록 CLB의 인바운드 규칙에서 HTTPS 포트를 오픈

 

인스턴스에 보안 그룹이 두개 (22번 포트는 관리자가 직접 인스턴스에 접근하기 위한 보안 그룹), 나머지는 CLB를 통해 접근하기 위한 보안 그룹

 

eks-cluster-sg~~~는 자기 자신을 소스로 넣었는데 이유는...

같은 네트워크 및 보안그룹에 있더라도 보안 그룹에서 포트나 ICMP를 열지 않으면 ping 안 됨

 

실제로 자기 자신을 소스에서 삭제해보기

자기 자신을 소스로 하는 인바운드 규칙을 삭제하니 노드 간 통신 안 됨

 

보안 그룹 소스에 자기 자신을 셋팅하지 않고 ICMP 프로토콜을 허용해도 되지만, 이렇게 하게 되면 새로운 포트가 추가될 때마다 일일이 보안 그룹을 편집해야하므로 자기 자신을 소스로 하는 인바운드 규칙을 만듦

---

--- ReplicaSet  + LoadBalancer

# vi replica-loadbalancer.yaml
apiVersion: apps/v1
kind: ReplicaSet
metadata:
  name: nginx-replicaset
spec:
  replicas: 3 # desired state (kube-controller-manager)
  selector:
    matchLabels:
      app: nginx-replicaset

  template:
    metadata:
      name: nginx-replicaset
      labels:
        app: nginx-replicaset
    spec:
      containers:
      - name: nginx-replicaset-container
        image: nginx
        ports:
        - containerPort: 80

---

apiVersion: v1
kind: Service
metadata:
  name: loadbalancer-service-replicaset
spec:
  type: LoadBalancer
 # externalIPs:
  #  - 172.25.0.137
  selector:
    app: nginx-replicaset
  ports:
  - protocol: TCP
    port: 80
    targetPort: 80

 

---

--- Deployment

# vi loadbalancer-deployment.yaml

apiVersion: v1
kind: Service
metadata:
  name: loadbalancer-service-deployment
spec:
  type: LoadBalancer
  externalIPs: # AWS EC2들의 프라이빗 IP를 기입

  - 10.13.15.145
  - 10.13.11.150
  - 10.13.47.143
  - 10.13.42.115
  selector:
    app: nginx-replicaset
  ports:
  - protocol: TCP
    port: 80
    targetPort: 80

---

--- Deployment 롤링 업데이트 제어

 

# kubectl set image deployment.apps/nginx-deployment nginx-deployment-container=public.ecr.aws/m0z4s0z6/test-site:eagle

=> deployment라는 파일 찾아서 해당 파일의 메타 데이터 중 nginx-deployment인 것 찾아서 nginx-deployment-container라는 이름을 가진 컨테이너 필드 찾아서 해당 컨테이너가 가지고 있는 이미지를 public.ecr ~~~로 바꾼다는 의미
# kubectl get all
# kubectl rollout history deployment nginx-deployment
# kubectl rollout history deployment nginx-deployment --revision=2 # 리비전2 상세보기
# kubectl rollout undo deployment nginx-deployment # 롤백(전 단계로 복원)
# kubectl get all
# kubectl rollout history deployment nginx-deployment
# kubectl rollout history deployment nginx-deployment --revision=3 # 리비전3 상세보기