본문 바로가기

kubernetes73

728x90
맥미니(Mac mini) 환경 Colima + Docker + Kubernetes 서버 구성 목적: macOS에서 Docker 데스크탑 없이 Colima로 컨테이너/쿠버네티스(k3s) 환경을 안정적으로 운영하고, 데이터(볼륨)를 안전하고 관리하기 쉬운 호스트 디렉토리 구조에 보관핵심 아이디어: Colima VM(리마/Lima 기반)에 호스트 디렉토리 마운트를 미리 지정하면, Docker bind mount나 Compose 볼륨을 통해 컨테이너가 호스트 파일을 읽고 쓸 수 있음. (Colima의 --mount / mounts 옵션 활용)사전 준비macOS (권장: Ventura/Monterey 이상; virtiofs 사용 시 macOS 13+ 권장)Homebrew 설치기본 도구:(Colima docs 및 명령어 참조).brew install colima docker docker-compose ku.. 2026. 3. 7.
Kubernetes DaemonSet 운영 Worker / Master 노드 스케줄링 구조 Kubernetes에서 DaemonSet은 “클러스터의 모든 노드 또는 특정 조건의 노드에 동일한 Pod을 하나씩 배포”하기 위한 워크로드입니다. 하지만 마스터 노드(Control Plane 노드) 에서 DaemonSet을 생성했다고 해서 자동으로 모든 노드에 무조건 적용되는 것은 아닙니다.실제 동작은 다음 3가지 요소에 의해 결정됩니다.기본 개념: DaemonSet의 배포 방식DaemonSet은 각 노드마다 1개의 Pod을 자동 배포하는 컨트롤러입니다.예를 들어 아래와 같은 구조입니다.Cluster ├─ Node1 → Pod (DaemonSet) ├─ Node2 → Pod (DaemonSet) ├─ Node3 → Pod (DaemonSet) └─ Node4 → Pod (DaemonSet)즉 클러.. 2026. 3. 3.
LLM 생성 코드 실행의 위협 모델과 방어 설계: 탈출·유출·DoS 통제 LLM이 만든 코드는 “우리 코드”가 아니라 외부 입력(External Input) 과 동일하게 취급해야 합니다.즉, LLM 생성 코드를 실행하는 순간부터는 서버가 ‘코드 실행 플랫폼’이 되며, 공격자 관점에서 아래가 모두 가능합니다.악성 코드 실행: 파일 삭제/변조, 데이터 유출, 채굴 등샌드박스 탈출: 커널/런타임/설정 실수로 호스트·클러스터 권한 획득리소스 고갈(DoS): 무한 루프/메모리·디스크 폭주로 노드/네임스페이스 장애네트워크 악용: 내부망 스캔, C2 통신, 데이터 외부 반출따라서 핵심은 단일 기법이 아니라 “다단계 격리 + 최소권한 + 정책 강제 + 감시/증적” 조합입니다.(A) LLM/에이전트→ 코드/입력/리소스 한도/필요 권한(capabilities)을 “선언”(B) Code Exec.. 2026. 2. 25.
Docker·containerd·CRI-O·Kubernetes 환경 컨테이너 탈출 탐지 전략 컨테이너 탈출 탐지의 현실컨테이너 탈출은 “하나의 이벤트”가 아니라 “행위 조합”컨테이너 탈출 시도는 보통 다음 요소들이 연속적으로 나타납니다.격리 경계 접근: /proc, /sys, /dev, namespace 조작권한 상승 시도: CAP_SYS_ADMIN, setcap, SUID, unshare, nsenter호스트 제어면 접근: Docker 소켓(/var/run/docker.sock), kubelet API, container runtime socket호스트 지속성: cron/systemd 변조, ssh key 추가, 바이너리 드롭👉 따라서 실무에서는 “A 단독이면 경고”, “A+B면 중간”, “A+B+C면 고위험” 같은 스코어링/상관분석이 맞습니다.osquery의 강점/한계강점: 프로세스/권한/.. 2026. 2. 12.
컨테이너 이미지 변경 REFRESH·REINDEX 무중단 인덱스 재생성 Playbook DB 생성 시기와 운영체제(glibc/ICU)·PostgreSQL 바이너리(업그레이드/컨테이너 이미지 변경 등)이 달라졌을 때 발생할 수 있는 각 상황에 대한 영향·진단·우선순위별 대응(명령·스크립트·무중단 옵션 포함)과 운영·보안 관점의 체크리스트 예시입니다.어떤 변화가 위험을 만드는가?OS(glibc/locale/ICU) 업그레이드 또는 변경 — DB가 만들어진 시점의 libc/ICU와 실행 환경이 달라지면 collation(문자열 정렬 규칙) 버전 불일치 경고가 발생할 수 있으며, 문자열 인덱스의 정렬 순서가 달라져 인덱스 불일치/쿼리 결과 변화 가능성이 있습니다.PostgreSQL 바이너리 업그레이드(버전 변경) 또는 재빌드 — 빌드 시 사용된 libc/ICU와 운영체제의 차이로 경고가 나타날 수.. 2026. 1. 22.
728x90
728x90

티스토리툴바