Kubernetes 다중 클러스터 kubectl 명령어 통한 관리 방법

What is Kubernetes multi-cluster? ⚙️ Architecture & Management

Kubernetes 환경에서 한 계정에서 여러 Kubernetes 클러스터를 관리하려면 kubectl 명령어를 사용하여 컨텍스트를 설정하고 전환하는 방법을 이용해야 합니다.

1. Kubeconfig 파일 이해

kubectl 명령어는 ~/.kube/config 파일을 사용하여 클러스터, 사용자, 컨텍스트 등의 정보를 관리합니다. 여러 클러스터 정보를 하나의 kubeconfig 파일에 저장하거나 여러 파일을 사용할 수 있습니다.

2. 여러 Kubeconfig 파일 병합

여러 kubeconfig 파일이 있다면 하나로 병합할 수 있습니다. 이렇게 하면 kubectl로 여러 클러스터를 손쉽게 관리할 수 있습니다. 파일을 병합하는 방법은 다음과 같습니다.

KUBECONFIG=~/.kube/config:~/.kube/config2:~/.kube/config3 kubectl config view --merge --flatten > ~/.kube/merged_config

이후 ~/.kube/merged_config 파일을 사용하여 여러 클러스터를 관리할 수 있습니다. 이 파일을 기본 kubeconfig 파일로 설정하려면 환경변수 KUBECONFIG를 업데이트합니다.

export KUBECONFIG=~/.kube/merged_config

3. 컨텍스트 설정 및 전환

각 클러스터에는 특정 컨텍스트가 있습니다. kubectl을 사용하여 현재 설정된 컨텍스트를 확인하고 변경할 수 있습니다.

• 현재 컨텍스트 확인: kubectl config current-context
• 사용 가능한 모든 컨텍스트 목록: kubectl config get-contexts
• 컨텍스트 전환: kubectl config use-context my-context-name

여기서 my-context-name은 사용하려는 대상 클러스터의 컨텍스트 이름입니다.

4. 컨텍스트 생성 및 구성

새로운 클러스터를 kubectl에 추가하려면 새 컨텍스트를 생성해야 합니다.

kubectl config set-context my-new-context --cluster=my-cluster --user=my-user --namespace=default

이 명령은 새 컨텍스트를 생성하며, 이를 사용하여 클러스터에 접속할 수 있습니다.

5. 네임스페이스 기본값 설정

특정 컨텍스트에서 사용할 기본 네임스페이스를 설정하려면 다음 명령어를 사용합니다.

kubectl config set-context --current --namespace=my-namespace

이렇게 하면 특정 컨텍스트에 대해 매번 네임스페이스를 지정할 필요 없이 kubectl 명령어를 실행할 수 있습니다.

 

이러한 설정을 통해 하나의 계정에서 여러 Kubernetes 클러스터를 관리할 수 있으며, 각 클러스터에 대한 접근을 빠르게 전환하며 관리할 수 있습니다. 이 설정들은 클러스터 관리자가 여러 환경을 효과적으로 관리할 수 있도록 돕습니다.

 

kubectl 명령어는 Kubernetes 클러스터와 통신할 때 인증을 위해 kubeconfig 파일에서 지정된 인증서를 사용합니다. 기본적으로 kubeconfig 파일에는 클러스터, 사용자, 인증 방법 등이 지정되어 있으며, 인증서 파일의 위치도 이 파일에 명시됩니다. 인증서가 표준 경로인 ~/.kube/ca.*가 아닌 다른 경로에 있다면, kubeconfig 파일에서 해당 경로를 정확히 지정해야 합니다.

Kubeconfig 파일에 인증서 경로 설정하기

1. 클러스터 인증서 경로 설정: 클러스터의 루트 CA 인증서가 다른 경로에 위치해 있다면, kubeconfig에서 클러스터 섹션을 다음과 같이 수정합니다.

   clusters:
   - name: my-cluster
     cluster:
       certificate-authority: /path/to/my/ca.crt  # 루트 CA 인증서의 새로운 경로
       server: https://my-cluster-url

   여기서 /path/to/my/ca.crt는 새로운 인증서 파일의 경로입니다.
2. 사용자 키 및 인증서 경로 설정: 클라이언트 인증서와 키가 다른 경로에 위치해 있다면, kubeconfig에서 사용자 섹션을 다음과 같이 수정합니다.

   users:
   - name: my-user
     user:
       client-certificate: /path/to/my/client.crt  # 클라이언트 인증서의 새로운 경로
       client-key: /path/to/my/client.key          # 클라이언트 키의 새로운 경로 여기서 /path/to/my/ca.crt는 새로운 인증서 파일의 경로입니다.

   이렇게 설정하면 kubectl은 지정된 경로의 인증서와 키를 사용하여 클러스터와의 인증을 시도합니다.

Kubeconfig 파일 수정 예제

예를 들어, 다음과 같은 kubeconfig 파일에서는 두 클러스터의 정보가 다른 인증서 경로를 가리키고 있습니다.

apiVersion: v1
kind: Config
clusters:
- name: cluster-one
  cluster:
    certificate-authority: /etc/kubernetes/pki/ca.crt
    server: https://cluster-one-url
- name: cluster-two
  cluster:
    certificate-authority: /custom/path/to/ca.crt
    server: https://cluster-two-url
users:
- name: user-one
  user:
    client-certificate: /etc/kubernetes/pki/user-one.crt
    client-key: /etc/kubernetes/pki/user-one.key
- name: user-two
  user:
    client-certificate: /custom/path/user-two.crt
    client-key: /custom/path/user-two.key
contexts:
- name: context-one
  context:
    cluster: cluster-one
    user: user-one
- name: context-two
  context:
    cluster: cluster-two
    user: user-two
current-context: context-one

이 파일은 두 개의 클러스터와 사용자 설정을 포함하며, 각각의 클러스터 및 사용자에 대해 다른 인증서 경로를 사용합니다. 이 파일을 이용하여 kubectl을 설정하고 사용할 수 있습니다.

 

kubeconfig 파일을 통해 다양한 경로에 있는 인증서를 참조하여 Kubernetes 클러스터와의 안전한 통신을 설정할 수 있습니다. 인증서 경로를 올바르게 설정하는 것은 클러스터에 안전하게 접속하고 작업을 수행하는 데 필수적입니다.

 

Minikube는 로컬 환경에서 Kubernetes 클러스터를 쉽게 생성하고 사용할 수 있도록 설계된 도구로, 기본적으로는 외부 네트워크에서의 접근이 제한되어 있습니다. Minikube는 주로 개발 및 테스트 목적으로 사용되며, 기본 설정은 로컬 컴퓨터에서만 클러스터에 접근할 수 있도록 구성되어 있습니다.

Minikube API 접근 설정

1. API 서버 접근: Minikube의 Kubernetes API 서버는 기본적으로 호스트 컴퓨터의 가상 인터페이스를 통해서만 접근할 수 있습니다. 이는 minikube start를 실행할 때 생성된 가상 머신 내부에 구성됩니다.
2. 외부 접근 허용 설정: 외부에서 Minikube 클러스터의 API 서버에 접근하려면 몇 가지 설정을 변경해야 합니다. Minikube가 사용하는 가상 네트워크와 포트 포워딩 설정을 조정하여 네트워크에서 접근 가능하도록 해야 합니다.
   • 포트 포워딩 설정: Minikube VM이나 Docker에서 실행되는 경우, 특정 포트를 포워딩하여 외부 접근을 허용할 수 있습니다. 예를 들어, 다음은 kubectl 포트 포워딩 명령입니다.

     kubectl port-forward svc/[service-name] [local-port]:[service-port]

   • API 서버 엔드포인트 노출: 또 다른 방법은 minikube service 명령을 사용하는 것입니다. 이 명령은 특정 서비스를 외부에 노출시키고 외부 URL을 제공합니다.

     minikube service [service-name] --url

3. 보안 고려사항: Minikube를 외부에 노출할 때는 보안 문제를 주의해야 합니다. API 서버에 대한 접근은 적절한 인증과 인가를 통해 제어되어야 합니다. 외부에서의 접근을 허용하기 전에 API 서버의 인증 설정을 검토하고 필요한 경우 강화하세요.

Minikube는 기본적으로 외부 접근을 제한하고 있지만, 필요에 따라 설정을 조정하여 외부 접근을 허용할 수 있습니다. 하지만 외부에 노출시킬 때는 보안 문제를 철저히 고려해야 하며, 일반적으로 운영 환경에서 Minikube를 사용하는 것은 권장되지 않습니다. 운영 환경에는 보다 견고한 Kubernetes 설치가 필요합니다.

 

Minikube에서 8443 포트(Kubernetes API 서버가 사용하는 포트)를 외부에서 접근할 수 있도록 설정했지만 "forbidden" 오류가 발생하는 경우, 여러 가지 가능한 원인을 고려해볼 수 있습니다. 이 오류는 주로 인증이 성공했으나 Authorization 단계에서 문제가 발생했을 때 나타납니다.

1. RBAC(Role-Based Access Control) 설정 확인

Minikube는 기본적으로 RBAC를 활성화하여 각 사용자 또는 서비스 어카운트의 접근 권한을 제어합니다. "forbidden" 오류는 현재 사용자가 요청한 리소스에 대한 접근 권한이 없음을 의미할 수 있습니다.

• 사용자의 권한을 확인하려면 해당 사용자에게 적절한 Role 또는 ClusterRole이 할당되어 있는지 확인해야 합니다.
• 예를 들어, 특정 네임스페이스의 리소스에 접근할 수 있는 Role을 생성하고, 사용자에게 그 Role을 할당해야 할 수 있습니다.

2. 인증서와 연결된 사용자 또는 그룹

• 인증서에는 Kubernetes API 서버가 사용자를 식별할 수 있는 정보 (Common Name, CN 또는 Subject Alternative Name, SAN)가 포함되어 있습니다. 이 CN 또는 SAN이 Kubernetes 내부에서 사용자 또는 그룹으로 매핑되어 있는지 확인해야 합니다.
• 사용자의 인증서가 올바르게 시스템에 등록되어 있는지, kubeconfig 파일에서 적절히 참조되고 있는지 확인합니다.

3. API 서버 설정

• Minikube에서 API 서버는 일반적으로 특정 IP 범위에서만 접근을 허용하도록 설정되어 있지 않습니다. 그러나, 네트워크 정책이나 방화벽 설정에 따라 특정 IP에서의 접근이 제한될 수 있습니다.
• minikube start 명령에 --apiserver-ips 또는 --apiserver-host 옵션을 사용하여 API 서버의 접근 가능한 IP를 설정할 수 있습니다.

4. 로깅 및 디버깅

• 문제의 원인을 파악하기 위해 API 서버의 로그를 확인해 볼 필요가 있습니다. Minikube에서는 다음과 같은 명령어로 로그를 확인할 수 있습니다.

  minikube logs

• 또한, kubectl 명령어를 사용하여 RBAC 관련 문제를 진단할 수 있습니다.

  kubectl auth can-i <action> <resource> --as <username>

  이 명령은 <username> 사용자가 <resource>에 대해 <action>을 수행할 수 있는지 여부를 확인합니다.

 

"forbidden" 오류는 주로 인가 문제로 발생합니다. 사용자의 권한 설정을 확인하고, 필요한 경우 RBAC 설정을 조정하여 문제를 해결할 수 있습니다. 문제 해결이 어려운 경우, 로그를 상세히 분석하거나 Kubernetes 커뮤니티나 Minikube 관련 포럼에서 추가적인 도움을 받는 것도 좋은 방법입니다.

 

Nginx를 통해 Minikube의 Kubernetes API 서버에 접근하려고 할 때 forbidden 오류가 발생하는 경우라면 몇 가지 중요한 설정을 점검해야 합니다. 이 오류는 주로 인증과 인가 문제 때문에 발생하므로, Nginx 설정과 함께 Kubernetes의 RBAC 설정을 살펴볼 필요가 있습니다.

Nginx 설정 점검

1. Nginx 프록시 설정: Nginx가 Minikube의 API 서버로 요청을 올바르게 전달하고 있는지 확인해야 합니다. Nginx 설정 파일에 다음과 같은 프록시 설정이 포함되어 있는지 확인하세요.

   location / {
       proxy_pass https://192.168.49.2:8443;
       proxy_set_header Host $host;
       proxy_set_header X-Real-IP $remote_addr;
       proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
       proxy_set_header X-Forwarded-Proto $scheme;
       # SSL 설정
       proxy_ssl_certificate /path/to/client.crt;
       proxy_ssl_certificate_key /path/to/client.key;
       proxy_ssl_verify off;  # 개발 환경에서만 사용 권장
   }

   • 여기서 proxy_ssl_certificate와 proxy_ssl_certificate_key는 Kubernetes API에 접근할 때 사용하는 클라이언트 인증서와 키의 경로입니다. 이 파일들은 Kubernetes 클러스터에 접근할 수 있는 권한이 설정되어 있어야 합니다.
2. 인증서 검증: proxy_ssl_verify off; 설정은 개발 환경에서는 유용할 수 있으나, 운영 환경에서는 보안상 좋지 않습니다. 가능하다면 proxy_ssl_verify on;으로 설정하고 적절한 CA 인증서를 proxy_ssl_trusted_certificate 지시어를 통해 제공해야 합니다.

Kubernetes RBAC 설정 점검

1. RBAC 권한 확인: Nginx가 사용하는 인증서는 Kubernetes 클러스터 내의 특정 사용자 또는 서비스 어카운트에 연결되어 있어야 합니다. 이 사용자 또는 서비스 어카운트에 충분한 권한이 부여되었는지 확인해야 합니다.

   kubectl describe clusterrolebinding [binding-name]

   이 명령은 특정 클러스터 역할 바인딩에 대한 정보를 제공하며, 이를 통해 해당 사용자가 충분한 권한을 가지고 있는지 확인할 수 있습니다.
2. 정책 감사: kubectl을 사용하여 해당 사용자가 요청하려는 작업을 수행할 수 있는지 검사합니다.

   kubectl auth can-i <action> <resource> --as <username>

   이를 통해 특정 작업을 수행할 수 있는 권한이 있는지 확인할 수 있습니다.

로깅 및 디버깅

• Kubernetes API 서버 로그를 확인하거나 Nginx 로그를 검토하여 더 많은 정보를 얻을 수 있습니다.
• 문제의 정확한 원인을 파악하기 위해 로그 수준을 높여 보다 상세한 정보를 로깅할 수도 있습니다.

 

이러한 점검을 통해 문제를 해결할 수 있습니다. 권한 문제나 인증서 문제가 주된 원인일 가능성이 높으므로, 각 설정을 신중하게 검토하고 필요한 조치를 취하는 것이 중요합니다.