POD에 Security Group이 부착되어있을 경우 통신 흐름 문의

안녕하세요. CloudNet@ 팀입니다.ELB에서 Pod로 전달되는 트래픽 흐름은 다이렉트로 Pod SG로 전달되는 것이 아니라, NodeGroup SG가 할당된 노드 ENI를 반드시 거쳐서 최종적으로 Pod SG가 적용된 Pod ENI로 전달되는 구조입니다.ELB가 위치한 IP 대역이 노드 그룹 서브넷 내라 할지라도, 네트워크 트래픽은 먼저 해당 노드의 ENI(연결된 NodeGroup SG)를 경유하여 워커 노드로 접속됩니다.이후 ENIConfig 설정에 따라 Pod에 할당된 별도의 ENI(이때 Pod SG 적용)로 패킷이 전달되어 Pod에 도달합니다.결국, ELB → NodeGroup SG(노드 ENI) → Pod SG(별도 ENI) 순으로 보안 그룹 규칙 정책이 연속적으로 적용되며, 이 흐름이 EKS 내 통신 흐름입니다.감사합니다.

EKS SG ENI 질문

안녕하세요. CloudNet@ 팀입니다.말씀하신 것처럼 보안 그룹은 ENI(Elastic Network Interface)에 부착되어 트래픽 접근 제어를 수행합니다.하나의 ENI에는 여러 개의 보안 그룹을 동시에 붙일 수 있고, EKS에서 생성된 노드에도 ENI가 여러 개 존재할 수 있습니다.참고로 EKS 클러스터 생성 방식(eksctl, 관리 콘솔, terraform 등)이나 구성 방식에 따라 보안 그룹 배치는 달라집니다. Cluster shared node security group (자동 지정)클러스터의 모든 노드에 공통으로 부착되는 SG입니다. 주 목적은 노드 간 상호 통신(Pod ↔ Pod, 노드 ↔ 노드)을 보장하는 것입니다.각 노드의 ENI에도 이 보안 그룹이 자동으로 포함됩니다. Node group security group (사용자 지정)eksctl이나 콘솔에서 노드 그룹을 만들 때 지정한 SG입니다.외부 접근 제어, ALB/NLB 연결 같은 업무 목적의 통신 제어에 활용됩니다. 즉, 질문 주신 것처럼 노드에는 여러 개의 ENI가 붙을 수 있고, 각 ENI에 다수의 보안 그룹이 함께 적용되어 있습니다. 추가로, 완전 프라이빗 클러스터(Fully Private Cluster)라면 VPC Endpoint ENI에도 Cluster Shared Node SG를 붙여서 노드와의 통신을 제어할 수 있습니다. 감사합니다.

강의 자료 ?

안녕하세요. CloudNet@ 팀입니다.해당 부분 영상을 확인해 보니 별도의 그림이 있는 것은 아닙니다.설명하면서 마우스 포인트가 이동했을 뿐이네요.

리뉴얼 예정

안녕하세요. CloudNet@ 팀입니다.리뉴얼 생각보다 작업 시간이 소요되네요.차주(7월) 중으로 업로드 완료될거 같습니다.양해 말씀 드려요ㅠ

terraform plan 오류

안녕하세요. CloudNet@ 팀입니다.내용을 살펴보니... Helm Provider 버전이 올라가면서 생기는 이슈로 보이네요. Helm Provider v3.0.0 릴리즈 노트를 보면... 아래와 같은 내용이 있습니다.kubernetes block removedInstead, use kubeconfig, config_path, or environment variables [해결책]required_providers에 helm provider 버전 고정terraform { required_providers { helm = { source = "hashicorp/helm" version = "~> 2.12.1" } } }해당 블록을 추가하고 아래 terraform init -upgrade 수행 terraform init -upgrade 해당 작업 수행 후 피드백 주시면 감사하겠습니다.

ebs-dp-app 같은 centos 이미지 pod를 생성하면 오류가 발생합니다.

안녕하세요. CloudNet@ 팀입니다. 확인해보니 centos 이미지가 더 이상 Docker Hub에 존재하지 않아 오류가 발생하네요.제공하는 코드에서 대체 이미지로 변경했습니다.(Rocky Linux) 제보 감사합니다.

강의 연장 부탁드립니다.

안녕하세요. CloudNet@ 팀입니다. 앞서 공지했듯이 이번 강의의 수강 기한 정책이 "무제한"으로 변경됐습니다.이미 수강생 분의 수강 기간도 무제한으로 반영되어 있네요. 감사합니다.

EKS Cluster 생성 시 노드 IAM 역할 입력

안녕하세요. CloudNet@ 팀입니다.확인해보니 EKS 클러스터 생성에 대해 관리 콘솔에서 변화가 있네요;;EKS Auto Mode 기능이 신규 출시되면서 기존 작업 방식에 혼선을 주는 것 같습니다. 아래와 같이 "사용자 지정 구성"에 "EKS 자율 모드 사용"을 비활성화 후 진행합니다.(사진) EKS 클러스터 IAM Role의 생성 순서는 상관없습니다.EKS Hands-On 페이지에서는 미리 IAM Role을 생성하도록 가이드하는 것이죠.만약 그렇지 않다면 EKS 클러스터를 생성할 때 대상 IAM Role을 생성할 수도 있습니다. kubectl get svc 응답이 없는 것은 뭔가 제대로 EKS 클러스터 설치가 안된 것이 아닌가 싶네요.앞서 자율 모드로 설치된 것이 아닌지 확인하거나 기타 다른 설정이 빠진 것인지 확인 부탁드립니다.음.. IAM User의 권한도 연관있을 수 있겠네요. 관련해서 답글 주시면 어떤 문제인지 같이 확인해 보시죠 :)

강의 수강 연장 가능한가요?

안녕하세요. CloudNet@ 팀입니다.강의 연장 요청에 대해 반영 후 알려 드립니다.감사합니다.

원클릭 배포 결과가 다릅니다.

안녕하세요. CloudNet@ 팀입니다.원클릭 배포 후 추가 스택 3개를 기다리시는 것을 보니 2장 원클릭 배포로 보이네요. 기본적인 원클릭 배포 구조는 VPC 환경 생성과 관리형 EC2 인스턴스가 생성됩니다.그리고 관리형 EC2 인스턴스에서 eksctl 명령을 자동으로 수행해서 EKS 클러스터가 생성되는 구조네요.이때 eksctl 명령에 따라 추가적인 CloudFormation 스택이 생성되는 것이죠. 아무래도 IAM User에 대한 권한이 부족하거나 Access Key ID와 Secret Access Key가 제대로 정의된 것인지 궁금하네요. 먼저 관리용 EC2에 등록된 IAM User 정보를 호출해 보시고요. aws sts get-caller-identity --query Arn 정상적으로 출력되면 대상 IAM User의 Policy가 어떤 것인지 확인 부탁드립니다. 감사합니다.