kubernetes75 728x90 Kubernetes 서비스 보호를 위한 Google 인증 게이트 (oauth2-proxy) oauth2-proxy는 Google 같은 인증 제공자와 연동해 기존 서비스 앞단에 인증을 얹는 reverse proxy이며, Nginx auth_request와 Kubernetes Ingress annotation 방식 모두를 지원합니다. 또한 Google provider를 사용할 때는 Google Cloud Console에 OAuth 클라이언트 ID를 만들고, oauth2-proxy의 callback 경로를 승인된 redirect URI로 등록하는 방식이 기본 흐름입니다.oauth2-proxy로 Google 로그인 연동하기Kubernetes Ingress 앞단 인증을 가장 깔끔하게 붙이는 방법왜 oauth2-proxy인가oauth2-proxy는 애플리케이션 자체에 로그인 로직을 넣지 않고도, 앞단에서.. 2026. 3. 23. 단일 서버에 경량 쿠버네티스 k3s 싱글 노드 배포와 운영 시 고려사항 k8s(Upstream Kubernetes) vs k3s목적/무게감Kubernetes(이하 k8s)는 엔터프라이즈급 분산 오케스트레이션(완전한 control plane 구성, etcd 등).k3s는 경량화된 배포판으로 단일 바이너리, 의존성 축소, 엣지/IoT/로컬 개발·테스트 목적에 최적화.구성 요소k8s: API Server, Controller, Scheduler, etcd 등 여러 프로세스/컴포넌트.k3s: control-plane 구성 요소를 단일 바이너리에 패키징, 기본 데이터스토어로 SQLite(경량), 필요시 etcd / 외부 DB(MySQL/Postgres)도 사용 가능.설치·운영 편의성k8s: kubeadm/관리 툴로 구성, 운영·보안·확장 설계가 더 복잡.k3s: curl https:.. 2026. 3. 17. 맥미니(Mac mini) 환경 Colima + Docker + Kubernetes 서버 구성 목적: macOS에서 Docker 데스크탑 없이 Colima로 컨테이너/쿠버네티스(k3s) 환경을 안정적으로 운영하고, 데이터(볼륨)를 안전하고 관리하기 쉬운 호스트 디렉토리 구조에 보관핵심 아이디어: Colima VM(리마/Lima 기반)에 호스트 디렉토리 마운트를 미리 지정하면, Docker bind mount나 Compose 볼륨을 통해 컨테이너가 호스트 파일을 읽고 쓸 수 있음. (Colima의 --mount / mounts 옵션 활용)사전 준비macOS (권장: Ventura/Monterey 이상; virtiofs 사용 시 macOS 13+ 권장)Homebrew 설치기본 도구:(Colima docs 및 명령어 참조).brew install colima docker docker-compose ku.. 2026. 3. 7. Kubernetes DaemonSet 운영 Worker / Master 노드 스케줄링 구조 Kubernetes에서 DaemonSet은 “클러스터의 모든 노드 또는 특정 조건의 노드에 동일한 Pod을 하나씩 배포”하기 위한 워크로드입니다. 하지만 마스터 노드(Control Plane 노드) 에서 DaemonSet을 생성했다고 해서 자동으로 모든 노드에 무조건 적용되는 것은 아닙니다.실제 동작은 다음 3가지 요소에 의해 결정됩니다.기본 개념: DaemonSet의 배포 방식DaemonSet은 각 노드마다 1개의 Pod을 자동 배포하는 컨트롤러입니다.예를 들어 아래와 같은 구조입니다.Cluster ├─ Node1 → Pod (DaemonSet) ├─ Node2 → Pod (DaemonSet) ├─ Node3 → Pod (DaemonSet) └─ Node4 → Pod (DaemonSet)즉 클러.. 2026. 3. 3. LLM 생성 코드 실행의 위협 모델과 방어 설계: 탈출·유출·DoS 통제 LLM이 만든 코드는 “우리 코드”가 아니라 외부 입력(External Input) 과 동일하게 취급해야 합니다.즉, LLM 생성 코드를 실행하는 순간부터는 서버가 ‘코드 실행 플랫폼’이 되며, 공격자 관점에서 아래가 모두 가능합니다.악성 코드 실행: 파일 삭제/변조, 데이터 유출, 채굴 등샌드박스 탈출: 커널/런타임/설정 실수로 호스트·클러스터 권한 획득리소스 고갈(DoS): 무한 루프/메모리·디스크 폭주로 노드/네임스페이스 장애네트워크 악용: 내부망 스캔, C2 통신, 데이터 외부 반출따라서 핵심은 단일 기법이 아니라 “다단계 격리 + 최소권한 + 정책 강제 + 감시/증적” 조합입니다.(A) LLM/에이전트→ 코드/입력/리소스 한도/필요 권한(capabilities)을 “선언”(B) Code Exec.. 2026. 2. 25. 이전 1 2 3 4 ··· 15 다음 728x90 728x90
