ECS โ EKS Migration Deep Dive
Multi-Cluster Active-Active Architecture (30min)
์ค์ค์ (Junseok Oh)
Sr. Solutions Architect, AWS
ECS์์ EKS๋ก โ ์ ์ ํ์ ๊ณ ๋ คํ๋๊ฐ?
"ECS๋ก ์ ์ด์ํ๊ณ ์์๋๋ฐ, ์๋น์ค ๊ท๋ชจ๊ฐ ์ปค์ง๋ฉด์ ํ๊ณ๊ฐ ๋ณด์ด๊ธฐ ์์ํ์ต๋๋ค."
๊ท๋ชจ๊ฐ ์ปค์ง๋ฉด์ ๋ฐ์ํ๋ ECS ํ๊ณ
- ๋ฉํฐํด๋ฌ์คํฐ ๊ตฌ์ฑ์ด ๋ค์ดํฐ๋ธ๋ก ๋ถ๊ฐ โ Blast Radius ๊ด๋ฆฌ ์ด๋ ค์
- ๋คํธ์ํฌ ์ ์ด๊ฐ ์ ํ์ โ Pod ๋ ๋ฒจ Security Group, Network Policy ๋ถ์ฌ
- IP ๊ณ ๊ฐ โ awsvpc ๋ชจ๋์์ Task๋น ENI IP ์ ์ , ์๋ธ๋ท ๊ณ ๊ฐ
- ์์ฝ์์คํ โ Helm, Karpenter, Argo, Istio ๋ฑ CNCF ์ํ๊ณ ํ์ฉ ๋ถ๊ฐ
EKS ์ ํ ์ ๊ธฐ๋ํจ๊ณผ
- Multi-Cluster Active-Active๋ก Blast Radius ์ต์ํ
- Prefix Delegation์ผ๋ก IP ํจ์จ์ฑ 6๋ฐฐ ํฅ์
- Gateway API + Istio๋ก ํ์คํ๋ ํธ๋ํฝ ๊ด๋ฆฌ
- Karpenter + KEDA๋ก ์ง๋ฅํ ์คํ ์ค์ผ์ผ๋ง
Target: Active-Active Multi-Cluster
Single Cluster vs Multi-Cluster
Single Cluster
- ๊ด๋ฆฌ ํฌ์ธํธ ๋จ์ผํ
- ํด๋ฌ์คํฐ ๋ด Pod ๊ฐ ํต์ ๋น ๋ฆ
- ๋จ์ : ํด๋ฌ์คํฐ ์ฅ์ ์ ์ ์ฒด ์๋น์ค ์ค๋จ
- ๋จ์ : ์ ๊ทธ๋ ์ด๋ ์ ๋ค์ดํ์ ๋ฐ์
- Blast Radius: ์ ์ฒด ์๋น์ค
Multi-Cluster (Active-Active)
- Zone๋ณ ๋ ๋ฆฝ ์ด์
- ํด๋ฌ์คํฐ ์ ๊ทธ๋ ์ด๋ ์ ๋ฌด์ค๋จ ๊ฐ๋ฅ
- ์ฅ์ : Blast Radius 50% ๊ฐ์
- ์ฅ์ : Zone ์ฅ์ ๋์ ๊ฐ๋ฅ
- ํธ๋ ์ด๋์คํ: ์ด์ ๋ณต์ก์ฑ ์ฆ๊ฐ
๋ฉํฐ ํด๋ฌ์คํฐ ๋ถ๋ฆฌ ์ ๋ต
| ๊ธฐ์ค | Single Cluster | Multi-Cluster |
|---|---|---|
| ์๋น์ค ์ | < 50๊ฐ ์๋น์ค | 50+ ์๋น์ค |
| ๋ณด์ ๊ฒฉ๋ฆฌ | Namespace RBAC ์ถฉ๋ถ | ์ปดํ๋ผ์ด์ธ์ค/๊ท์ ์๊ตฌ |
| ํ ๋ ๋ฆฝ์ฑ | ๊ณต์ ๋ฆฌ์์ค ๊ฐ๋ฅ | ํ๋ณ ๋ ๋ฆฝ ๋ฆด๋ฆฌ์ค ํ์ |
| Blast Radius | ์ ์ฒด ์๋น์ค ์ํฅ ํ์ฉ | ์ฅ์ ๋ฒ์ ์ ํ ํ์ |
| ์ ๊ทธ๋ ์ด๋ | ๋ค์ดํ์ ํ์ฉ ๊ฐ๋ฅ | ๋ฌด์ค๋จ ํ์ |
ํ๋จ: ์ ์ฒด ์๋น์ค EKS ์ด๊ด + ๋ฌด์ค๋จ ์ ๊ทธ๋ ์ด๋ ํ์ โ Multi-Cluster ๊ถ์ฅ
| ํจํด | ๊ตฌ์กฐ | ์ ํฉํ ๊ฒฝ์ฐ |
|---|---|---|
| ํ๊ฒฝ๋ณ ๋ถ๋ฆฌ | Dev Account / Staging Account / Prod Account | ํ๊ฒฝ ๊ฐ ์์ ๊ฒฉ๋ฆฌ ํ์ |
| ์ํฌ๋ก๋๋ณ ๋ถ๋ฆฌ | Frontend Account / Backend Account / Data Account | ํ๋ณ ๋น์ฉ ๋ถ๋ฆฌ, ๋ ๋ฆฝ ์ด์ |
| ํ์ด๋ธ๋ฆฌ๋ | Prod-Service / Prod-Data / NonProd | ๊ถ์ฅ โ ์๋น์ค์ ๋ฐ์ดํฐ ๋ถ๋ฆฌ + ํ๊ฒฝ ๋ถ๋ฆฌ |
ํต์ฌ: AWS Organizations + OU ๊ตฌ์กฐ๋ก ๊ณ์ ํ์คํ, ์ ๊ท ๊ณ์ ์ Control Tower๋ก ์๋ ํ๋ก๋น์ ๋
| ํจํด | ํด๋ฌ์คํฐ ์ | ์ฅ์ | ๋จ์ |
|---|---|---|---|
| ํ๊ฒฝ๋ณ | Dev + Staging + Prod | ๊ฐ๋จ, ๋ช ํํ ๊ฒฉ๋ฆฌ | Prod ํด๋ฌ์คํฐ ๋น๋ํ |
| ๋๋ฉ์ธ๋ณ | ์๋น์คA + ์๋น์คB + Platform | ํ ์์จ์ฑ | ํด๋ฌ์คํฐ ๊ด๋ฆฌ ๋ถ๋ด |
| ๊ธฐ๋ฅ๋ณ | Service Plane + Data Plane | ์ํฌ๋ก๋ ํน์ฑ ์ต์ ํ | ์๋น์ค ๊ฐ ํต์ ๋ณต์ก |
| AZ ๊ธฐ๋ฐ | Zone-A + Zone-C | ๊ณ ๊ฐ์ฉ์ฑ ๊ทน๋ํ | ๋ฐ์ดํฐ ๋๊ธฐํ ๊ณ ๋ ค |
๊ถ์ฅ: AZ ๊ธฐ๋ฐ Active-Active + Service/Data Plane ๋ถ๋ฆฌ ์กฐํฉ
Service Plane vs Data Plane ๋ถ๋ฆฌ
โ AWS VPC (Multi-AZ)
โ Application Load Balancer
โ
โ Amazon EKS Cluster
๐ฆ Service Plane (Stateless)
Namespace:
service-ns
API Pod
Web Pod
Spot / Fargate ยท Deployment ยท HPA
๐พ EFS (ReadWriteMany)
๐
Net
Policy
Net
Policy
๐ Data Plane (Stateful)
๐ก Taint
Namespace:
data-nsdb-0
EBS
db-1
EBS
On-Demand ยท StatefulSet ยท KEDA
๐ Headless Service (๊ณ ์ DNS)
EKS Multi-Plane ์ํคํ ์ฒ ๊ฐ์
Service Plane๊ณผ Data Plane์ ๋ถ๋ฆฌํ์ฌ ๋น์ฉ ์ต์ ํ + ๋ฐ์ดํฐ ์์ ์ฑ ๊ทน๋ํ
๐ฏ ์ฃผ์ ์ค๊ณ ํฌ์ธํธ
- โ ๋ฆฌ์์ค ๋ถ๋ฆฌ๋ก Noisy Neighbor ๋ฌธ์ ๋ฐฉ์ง
- โ ์ํฌ๋ก๋ ํน์ฑ๋ณ ์ธ์คํด์ค ํ์ (Spot vs On-Demand)
- โ ๋ช ํํ ๋คํธ์ํฌ ๊ฒฉ๋ฆฌ ๋ฐ ์คํ ๋ฆฌ์ง ํ ๋น ์ ๋ต
์ํฌ๋ก๋ ์๋ช ์ฃผ๊ธฐ โ Stateless vs Stateful
Stateless
Stateful
EBS
Traffic
Error
Step 0 / 4
Service/Data Plane ๋ถ๋ฆฌ์ ์ด์
Service Plane
- ์ํฌ๋ก๋: API, Web, Mobile BFF
- ํน์ฑ: Stateless, ์ํ ํ์ฅ ์ฉ์ด
- ๋ ธ๋: Spot Instance 70% + On-Demand 30%
- ์ค์ผ์ผ๋ง: HPA + Karpenter (RPS ๊ธฐ๋ฐ)
- ์ ๊ทธ๋ ์ด๋: Canary/Rolling (๋น ๋ฅธ ๋ฐ์)
- ์ฅ์ ์ํฅ: ์๋น์ค ์ผ์ ์ง์ฐ (๋ณต๊ตฌ ๋น ๋ฆ)
Data Plane
- ์ํฌ๋ก๋: Kafka Consumer, Batch, ML Inference
- ํน์ฑ: Stateful/Long-running, ๋ฐ์ดํฐ ์ ํฉ์ฑ ์ค์
- ๋ ธ๋: On-Demand 90% + Spot 10% (๋น์ค์ ๋ฐฐ์น๋ง)
- ์ค์ผ์ผ๋ง: KEDA (Queue depth/Lag ๊ธฐ๋ฐ)
- ์ ๊ทธ๋ ์ด๋: Blue/Green (์์ ์ฐ์ )
- ์ฅ์ ์ํฅ: ๋ฐ์ดํฐ ์ ์ค ๊ฐ๋ฅ (๋ณต๊ตฌ ์๊ฐ ํ์)
๋ฉํฐ ๊ณ์ ๋คํธ์ํฌ ํ ํด๋ก์ง
Prod Service Account
EKS Service Cluster
Prod Data Account
EKS Data Cluster
NonProd Account
EKS Dev/Staging
Transit Gateway
โ VPC Peering โ
Shared VPC
ArgoCD, Monitoring
Route 53
Private Hosted Zone / DNS Resolution
NLB Weighted Routing Deep Dive
Gateway API ์๊ฐ
apiVersion: gateway.networking.k8s.io/v1
kind: GatewayClass
metadata:
name: nginx
spec:
controllerName: gateway.nginx.org/nginx-gateway-controller
์ญํ : ์ธํ๋ผ ์ ๊ณต์๊ฐ ์ ์ํ๋ Gateway ํ ํ๋ฆฟ
๋ด๋น: Platform Team
production-gateway.yamlapiVersion: gateway.networking.k8s.io/v1
kind: Gateway
metadata:
name: production-gateway
spec:
gatewayClassName: nginx
listeners:
- name: https
protocol: HTTPS
port: 443
hwahae-gateway.yamlapiVersion: gateway.networking.k8s.io/v1
kind: Gateway
metadata:
name: hwahae-gateway
namespace: gateway-system
spec:
gatewayClassName: nginx
listeners:
- name: https
protocol: HTTPS
port: 443
tls:
mode: Terminate
certificateRefs:
- kind: Secret
name: hwahae-tls
allowedRoutes:
namespaces:
from: All
์ญํ : ์ค์ ๋ก๋๋ฐธ๋ฐ์ ์ธ์คํด์ค
๋ด๋น: Cluster Admin
apiVersion: gateway.networking.k8s.io/v1
kind: HTTPRoute
metadata:
name: api-route
spec:
parentRefs:
- name: production-gateway
rules:
- matches:
- path: {type: PathPrefix, value: /api}
backendRefs:
- name: api-service
port: 8080
์ญํ : ์ ํ๋ฆฌ์ผ์ด์ ๋ผ์ฐํ ๊ท์น
๋ด๋น: Application Developer
VPC CNI & Prefix Delegation
| ์ธ์คํด์ค | ์ต๋ ENI | ENI๋น IP | ์ต๋ Pod |
|---|---|---|---|
| t3.medium | 3 | 6 | 17 |
| t3.large | 3 | 12 | 35 |
| m5.xlarge | 4 | 15 | 58 |
๋ฌธ์ : ENI๋น ํ ๋น ๊ฐ๋ฅํ Secondary IP ์ ์ ํ
๊ฒฐ๊ณผ: ๋ ธ๋๋น Pod ์ ์ ํ โ ์ํ ํ์ฅ ๋น์ฉ ์ฆ๊ฐ
| ๋ชจ๋ | ํ ๋น ๋จ์ | t3.medium ์ต๋ Pod |
|---|---|---|
| Secondary IP | ๊ฐ๋ณ IP | 17 |
| Prefix Delegation | /28 (16 IPs) | 110 |
/28 Prefix = 16๊ฐ IP ํ ๋ฒ์ ํ ๋น
- IP ํ ๋น ์๋ ํฅ์ (1 API call โ 16 IPs)
- ๋ ธ๋๋น Pod ๋ฐ๋ 6๋ฐฐ ์ด์ ์ฆ๊ฐ
- Nitro ์ธ์คํด์ค์์ ์ต์ ์ฑ๋ฅ
์๊ตฌ์ฌํญ:
- EKS 1.21+ / VPC CNI 1.9+
- Nitro ๊ธฐ๋ฐ ์ธ์คํด์ค ๊ถ์ฅ
- ์๋ธ๋ท /28 prefix ์ฌ์ ํ์ธ
์ฃผ์์ฌํญ:
- ๊ธฐ์กด ๋ ธ๋ ์ฌ์์ ํ์
- Windows ๋ ธ๋ ๋ฏธ์ง์
- Custom Networking๊ณผ ํจ๊ป ์ฌ์ฉ ๊ถ์ฅ
Custom Networking - ENIConfig (AZ๋ณ Pod ์๋ธ๋ท)
eniconfig.yamlapiVersion: crd.k8s.amazonaws.com/v1alpha1
kind: ENIConfig
metadata:
name: ap-northeast-2a
spec:
subnet: subnet-0abc123def456789a # Pod ์ ์ฉ ์๋ธ๋ท
securityGroups:
- sg-0123456789abcdef0
Security Group for Pods โ ์ ํ์ง ๋น๊ต
SGP (Branch ENI)
- Pod๋ณ Security Group ์ ์ฉ ๊ฐ๋ฅ
- Branch ENI ์๋ชจ โ Pod ๋ฐ๋ ๋ฎ์
- ๊ธฐ์กด SG ๊ท์น ์ฌํ์ฉ
- m5.large: ์ต๋ 9 Branch ENI
Pod ๋ฐ๋ ์ ํ
Prefix Delegation + Network Policy
- ๋ ธ๋ SG ๊ณต์ , Pod ๊ฒฉ๋ฆฌ๋ Network Policy
- /28 prefix ๋จ์ ํ ๋น โ Pod ๋ฐ๋ 6๋ฐฐโ
- Cilium L3/L4/L7 ํํฐ๋ง
- ๋๋ถ๋ถ์ ๊ฒฉ๋ฆฌ ์๊ตฌ์ฌํญ ์ถฉ์กฑ
๊ถ์ฅ ์กฐํฉ
Fargate
- Task๋ณ SG ์ ์ฉ ๊ฐ๋ฅ (์๋ฒ๋ฆฌ์ค)
- ENI ์ ํ ๋ฌด๊ด
- DaemonSet ๋ฏธ์ง์
- EKS ์ ์ด ์์ญ ๋น์ฉ ๋ณ๋
ํน์ ์ํฌ๋ก๋์ฉ
๊ถ์ฅ: SGP ํ์ Pod๋ง ์ ๋ณ ์ ์ฉ, ๋๋จธ์ง๋ Prefix Delegation + Network Policy ์กฐํฉ. ๊ธฐ์กด SGP Pod โ ๋๋ถ๋ถ Network Policy๋ก ์ ํ ๊ฐ๋ฅ
SGP Branch ENI ์ ์ฝ๊ณผ ๋์
Security Group for Pods(SGP) ์ํคํ ์ฒ:
Node ENI (Primary) โ ๋
ธ๋ ์์ฒด ํต์
Trunk ENI โ Branch ENI ๊ด๋ฆฌ (๋
ธ๋๋น 1๊ฐ)
Branch ENI โ SGP Pod ์ ์ฉ (VLAN ํ๊น
)
์ ์ฝ ์ฌํญ:
| ์ธ์คํด์ค | Branch ENI ์ต๋ | SGP Pod ์ต๋ |
|---|---|---|
| t3.medium | 6 | 6 |
| m5.large | 9 | 9 |
| m5.xlarge | 18 | 18 |
- Prefix Delegation๊ณผ ๋ณํ ๋ถ๊ฐ (Branch ENI๋ ๊ฐ๋ณ IP ํ ๋น)
- SGP Pod๋ Branch ENI ์์ ์ ํ๋จ โ ๋ ธ๋๋น Pod ๋ฐ๋ ๊ธ๊ฐ
๋ฐฉ์ 1: SGP ์ต์ํ + NetworkPolicy ํ์ฉ (๊ถ์ฅ)
network-policy.yaml# NetworkPolicy๋ก L3/L4 ํธ๋ํฝ ์ ์ด (SGP ๋ถํ์ํ ๊ฒฝ์ฐ)
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: db-access-only
spec:
podSelector:
matchLabels:
app: api-server
egress:
- to:
- ipBlock:
cidr: 10.0.100.0/24 # RDS ์๋ธ๋ท
ports:
- port: 5432
๋ฐฉ์ 2: SGP ํ์ Pod๋ Fargate๋ก ์ ํ
- Fargate Pod๋ ์์ฒด ENI โ Branch ENI ์ ์ฝ ์์
- RDS ์ง์ ์ ๊ทผ ๋ฑ SG ํ์ ์ผ์ด์ค์ ์ ํฉ
๋ฐฉ์ 3: VPC CNI v1.15+ POD_SECURITY_GROUP_ENFORCING_MODE=standard
- Standard ๋ชจ๋์์ SGP + Prefix Delegation ๋์ ์ฌ์ฉ ๊ฐ๋ฅ
- ๋จ, NetworkPolicy์ SGP ๊ฐ ์ฐ์ ์์ ์ฃผ์
๋๋ถ๋ถ์ Pod
- Prefix Delegation (๋์ Pod ๋ฐ๋)
- NetworkPolicy๋ก L3/L4 ํธ๋ํฝ ์ ์ด
- Spot Instance ํ์ฉ ๊ฐ๋ฅ
SG ํ์ Pod (RDS ์ง์ ์ ๊ทผ ๋ฑ)
- ์ต์ A: Fargate (SGP ์ ์ฝ ์์)
- ์ต์ B: ์ ์ฉ ๋ ธ๋ ๊ทธ๋ฃน (SGP ํ์ฑํ)
- ์ต์ C: standard ๋ชจ๋ (v1.15+)
๊ถ์ฅ: ๋๋ถ๋ถ NetworkPolicy๋ก ์ ํํ๊ณ , RDS ์ง์ ์ ๊ทผ ๋ฑ SG๊ฐ ๋ฐ๋์ ํ์ํ Pod๋ง Fargate ๋๋ ์ ์ฉ ๋ ธ๋ ๊ทธ๋ฃน์ผ๋ก ๋ถ๋ฆฌ
์๋ธ๋ท IP ๊ณ ๊ฐ โ ์ด๊ธฐ ์ค๊ณ vs ํ์ ์ฉ
์ด๊ธฐ ์ค๊ณ ์ ์ ์ฉ (๊ถ์ฅ)
- VPC ์์ฑ ์ Secondary CIDR ์ถ๊ฐ
- Pod ์ ์ฉ ์๋ธ๋ท (/19 ์ด์) ๋ฏธ๋ฆฌ ๊ตฌ์ฑ
- ENIConfig AZ๋ณ ๋งคํ ์ค์
- ์ฅ์ : ๋ฌด์ค๋จ ์ ์ฉ
- ์ฅ์ : ์๋ธ๋ท ์ฌ์ด์ง ์์ ๋ ๋์
- ๋น์ฉ: ์ถ๊ฐ ๋น์ฉ ์์
์ด์ ์ค ํ์ ์ฉ
- Secondary CIDR ์ถ๊ฐ โ ๊ฐ๋ฅ (VPC ์ค์ )
- Pod ์ ์ฉ ์๋ธ๋ท ์์ฑ โ ๊ฐ๋ฅ
- Custom Networking ํ์ฑํ โ ๋ ธ๋ ๋กค๋ง ์ฌ์์ ํ์
- ์ฃผ์: ๊ธฐ์กด Pod IP๊ฐ ๋ณ๊ฒฝ๋จ
- ์ฃผ์: ENIConfig ์ ์ฉ ํ ์ ๊ท ๋ ธ๋๋ถํฐ ์ ์ฉ
- ๊ถ์ฅ: Blue/Green ๋ ธ๋ ๊ทธ๋ฃน ๊ต์ฒด
๊ฒฐ๋ก : ํด๋ฌ์คํฐ ์ด๊ธฐ ์ค๊ณ ์ 100.64.0.0/16 Secondary CIDR + Custom Networking์ ์ ์ฉํ๋ ๊ฒ์ด ๊ฐ๋ ฅํ ๊ถ์ฅ๋ฉ๋๋ค. ํ์ ์ฉ๋ ๊ฐ๋ฅํ์ง๋ง ๋
ธ๋ ๋กค๋ง ์ฌ์์์ด ํ์ํ๋ฉฐ, Blue/Green ๋
ธ๋ ๊ทธ๋ฃน ๊ต์ฒด ๋ฐฉ์์ด ์์ ํฉ๋๋ค.
ECS โ EKS ๋ง์ด๊ทธ๋ ์ด์ ๋ก๋๋งต
1
Phase 1
๊ธฐ๋ฐ ๊ตฌ์ถ
VPC ์ค๊ณ, EKS ํด๋ฌ์คํฐ ํ๋ก๋น์ ๋,
Gateway API ์ค์น (2์ฃผ)
VPC ์ค๊ณ, EKS ํด๋ฌ์คํฐ ํ๋ก๋น์ ๋,
Gateway API ์ค์น (2์ฃผ)
2
Phase 2
ํ์ผ๋ฟ ์๋น์ค
๋จ์ผ ์๋น์ค ๋ง์ด๊ทธ๋ ์ด์ ,
CI/CD ํ์ดํ๋ผ์ธ ๊ตฌ์ถ, ๋ชจ๋ํฐ๋ง ์ค์ (2์ฃผ)
๋จ์ผ ์๋น์ค ๋ง์ด๊ทธ๋ ์ด์ ,
CI/CD ํ์ดํ๋ผ์ธ ๊ตฌ์ถ, ๋ชจ๋ํฐ๋ง ์ค์ (2์ฃผ)
3
Phase 3
์ ์ง์ ์ ํ
์๋น์ค๋ณ ์์ฐจ ๋ง์ด๊ทธ๋ ์ด์ ,
ํธ๋ํฝ ๊ฐ์ค์น ์กฐ์ , ECS ์ถ์ (4์ฃผ)
์๋น์ค๋ณ ์์ฐจ ๋ง์ด๊ทธ๋ ์ด์ ,
ํธ๋ํฝ ๊ฐ์ค์น ์กฐ์ , ECS ์ถ์ (4์ฃผ)
4
Phase 4
์์ ์ ํ
ECS ์ข ๋ฃ, Multi-Cluster ํ์ฑํ,
์ด์ ์์ ํ (2์ฃผ)
ECS ์ข ๋ฃ, Multi-Cluster ํ์ฑํ,
์ด์ ์์ ํ (2์ฃผ)
๋ง์ด๊ทธ๋ ์ด์ ์ฌ์ ์ฒดํฌ๋ฆฌ์คํธ
- ๋คํธ์ํฌ ์ค๋น
- VPC Secondary CIDR ์ถ๊ฐ (100.64.0.0/16)
- Pod ์ ์ฉ ์๋ธ๋ท ์์ฑ (/19 ์ด์)
- Security Group ์ ๋ฆฌ ๋ฐ ํ์คํ
- IAM ์ค๋น
- EKS ํด๋ฌ์คํฐ ์ญํ ์์ฑ
- ๋ ธ๋ ๊ทธ๋ฃน ์ญํ ์์ฑ
- IRSA์ฉ OIDC Provider ์ค์
- Pod Identity ์ ์ฑ ์ค๋น
- GitOps ์ค๋น
- Git ์ ์ฅ์ ๊ตฌ์กฐ ์ค๊ณ
- ArgoCD ์ค์น ๊ณํ
- Helm Chart / Kustomize ์ ํ
- ๋ชจ๋ํฐ๋ง ์ค๋น
- CloudWatch Container Insights ํ์ฑํ
- Prometheus/Grafana ์คํ ๊ณํ
- ๊ธฐ์กด ECS ๋ฉํธ๋ฆญ ๋์๋ณด๋ ๋งคํ
Block 01 Quiz
Q1: Multi-Cluster Active-Active ์ํคํ
์ฒ์ ์ฃผ์ ์ฅ์ ์?
Q2: Gateway API์์ ์ ํ๋ฆฌ์ผ์ด์
๊ฐ๋ฐ์๊ฐ ๊ด๋ฆฌํ๋ ๋ฆฌ์์ค๋?
Q3: Multi-Cluster ํ๊ฒฝ์์ ํด๋ฌ์คํฐ ๊ฐ ์ํฌ๋ก๋ ๋๊ธฐํ์ ์ฌ์ฉํ๋ ๋๊ตฌ๋?
Q4: NLB ๊ฐ์ค์น ๋ผ์ฐํ
์์ ํ ํด๋ฌ์คํฐ ์ ๊ฒ ์ ๊ถ์ฅ ์ค์ ์?
ECS โ EKS Migration Deep Dive
GitOps & Progressive Delivery (30min)
์ค์ค์ (Junseok Oh)
Sr. Solutions Architect, AWS
CI/CD Pain Point
ํ์ฌ ๋ฌธ์ ์
- Jenkins/CodePipeline ๊ธฐ๋ฐ Push ๋ชจ๋ธ
- ๋ฐฐํฌ ์ํ ์ถ์ ์ด๋ ค์
- ๋กค๋ฐฑ ์ ์๋ ๊ฐ์ ํ์
- ํ๊ฒฝ๋ณ ์ค์ ์ผ๊ด์ฑ ๋ถ์กฑ
GitOps ๋์ ํจ๊ณผ
- Git = Single Source of Truth
- ์๋ํ๋ Drift Detection
- ๋ฉํธ๋ฆญ ๊ธฐ๋ฐ ์๋ ๋กค๋ฐฑ
- ํ๊ฒฝ๋ณ ์ค์ ์ฝ๋ํ
IaC ์ ๋ต: Terraform + ArgoCD
GitHub - Source of Truth
infra-repo/
k8s-manifests/
โ
Boundary
โ
Terraform - Infrastructure Layer
GitHub Actions
terraform plan/apply
TF State
S3 + DynamoDB Lock
Terraform Modules
VPC
EKS
IAM
RDS
ElastiCache
Secrets
AWS Resources
VPC
EKSร2
IAM
Aurora
Redis
NLB
ArgoCD - Application Layer
ArgoCD Controller
Auto/Manual Sync
Git Sync
Poll 3min / Webhook
Application Manifests
Helm
Kustomize
YAML
ApplicationSet
EKS Clusters
Cluster A (AZ-a)
Cluster C (AZ-c)
IaC ์ ๋ต ๊ฐ์
์ธํ๋ผ(Terraform)์ ์ ํ๋ฆฌ์ผ์ด์ (ArgoCD)์ ์ฑ ์์ ๋ช ํํ ๋ถ๋ฆฌ
๐ฏ ํต์ฌ ์ค๊ณ
- โ Terraform: AWS ์ธํ๋ผ ๋ฆฌ์์ค ์ํ ๊ด๋ฆฌ
- โ ArgoCD: K8s ์ํฌ๋ก๋ ์ง์ ๋๊ธฐํ
- โ Git์ด Single Source of Truth
Terraform vs ArgoCD vs ACK ์์ฌ๊ฒฐ์
| ๋ฆฌ์์ค ํน์ฑ | Terraform | ArgoCD | ACK |
|---|---|---|---|
| EKS ํด๋ฌ์คํฐ, VPC, Subnet | โ ๊ถ์ฅ | โ | โ |
| EKS Add-on (VPC CNI, CoreDNS) | โ ๊ถ์ฅ | โณ ๊ฐ๋ฅ | โณ ๊ฐ๋ฅ |
| K8s Controller (ALB, ExternalDNS) | โณ ๊ฐ๋ฅ | โ ๊ถ์ฅ | โ |
| ์ฑ Deployment, Service | โ | โ ๊ถ์ฅ | โ |
| ์ฑ ์ ์ฉ S3 Bucket | โณ ๊ฐ๋ฅ | โณ ๊ฐ๋ฅ | โ ๊ถ์ฅ |
| ์ฑ ์ ์ฉ SQS Queue | โณ ๊ฐ๋ฅ | โณ ๊ฐ๋ฅ | โ ๊ถ์ฅ |
| ์ฑ ์ ์ฉ IAM Role | โ ๊ถ์ฅ | โ | โณ ๊ฐ๋ฅ |
| ๊ณต์ฉ RDS/Aurora | โ ๊ถ์ฅ | โ | โณ ๊ฐ๋ฅ |
| ๊ณต์ฉ ElastiCache | โ ๊ถ์ฅ | โ | โณ ๊ฐ๋ฅ |
ํต์ฌ ์์น: ๋ฆฌ์์ค์ ์๋ช ์ฃผ๊ธฐ๊ฐ ์ฑ๊ณผ ๊ฐ์ผ๋ฉด โ ACK/ArgoCD, ์ธํ๋ผ ์์ค์ด๋ฉด โ Terraform
AWS Controllers for Kubernetes (ACK)
- Kubernetes CR๋ก AWS ๋ฆฌ์์ค๋ฅผ ์ ์ธ์ ๊ด๋ฆฌ
kubectl apply๋ก S3, SQS, RDS ๋ฑ ์์ฑ/์ญ์ - ArgoCD์ ์์ฐ์ค๋ฝ๊ฒ ํตํฉ (GitOps)
sqs-queue.yaml# ACK๋ก SQS Queue ์์ฑ
apiVersion: sqs.services.k8s.aws/v1alpha1
kind: Queue
metadata:
name: order-queue
namespace: production
spec:
queueName: hwahae-order-queue
visibilityTimeout: "30"
tags:
- key: team
value: backend
์ฅ์ : ์ฑ๊ณผ AWS ๋ฆฌ์์ค๋ฅผ ๋์ผํ GitOps ์ํฌํ๋ก์ฐ๋ก ๊ด๋ฆฌ
์ ํ: IAM, VPC ๋ฑ ์ธํ๋ผ ๋ฆฌ์์ค๋ ์ง์ ์ ํ์
์ฑ ์ ์ฉ AWS ๋ฆฌ์์ค์ธ๊ฐ?
โโ Yes โ ๋ฆฌ์์ค ์๋ช
์ฃผ๊ธฐ๊ฐ ์ฑ๊ณผ ๋์ผํ๊ฐ?
โ โโ Yes โ ACK (GitOps ํตํฉ)
โ โโ No โ Terraform
โโ No (๊ณต์ฉ ๋ฆฌ์์ค) โ Terraform
๋ณด์ ๋ฏผ๊ฐ ๋ฆฌ์์ค์ธ๊ฐ? (IAM Role, SG)
โโ Yes โ Terraform (๋ณ๊ฒฝ ์ด๋ ฅ + Plan ๊ฒ์ฆ)
โโ No โ ACK ๋๋ Terraform
ํ์ฌ ๊ตฌ์กฐ์ ๋งคํ:
terraform/: EKS, VPC, ๊ณต์ฉ RDS, IAM โ ์ ์งterraform/applications/<app>/: ์ฑ ์ ์ฉ SG, IAM โ ์ ์ง (๋ณด์์ Terraform ๊ถ์ฅ)- ์ ๊ท: ์ฑ ์ ์ฉ S3, SQS, SNS โ ACK๋ก ์ ํ ๊ฒํ
EKS Capabilities (๊ด๋ฆฌํ Add-on, Auto Mode ๋ฑ)
| ํญ๋ชฉ | EKS Add-on (Terraform) | ArgoCD | ํ๋จ ๊ธฐ์ค |
|---|---|---|---|
| VPC CNI | โ | โณ | EKS API ํตํฉ, ์๋ ์ ๊ทธ๋ ์ด๋ |
| CoreDNS | โ | โณ | EKS ๋ฒ์ ํธํ์ฑ ์๋ ๊ด๋ฆฌ |
| kube-proxy | โ | โณ | EKS ๋ฒ์ ์ฐ๋ |
| AWS LB Controller | โณ | โ | Helm values ์ปค์คํฐ๋ง์ด์ง ํ์ |
| External DNS | โ | โ | K8s ๋ค์ดํฐ๋ธ ์ค์ |
| Cert Manager | โ | โ | K8s ๋ค์ดํฐ๋ธ ์ค์ |
| Karpenter | โณ | โ | NodePool CRD๋ ArgoCD๊ฐ ์ ํฉ |
| ADOT/CloudWatch Agent | โ | โณ | EKS Add-on์ผ๋ก ๊ฐํธ ๊ด๋ฆฌ |
์์น: EKS API๋ก ๊ด๋ฆฌ๋๋ ํต์ฌ ๋คํธ์ํน/์์คํ ์ปดํฌ๋ํธ๋ Terraform, ๋๋จธ์ง Controller๋ ArgoCD
ACK ์ค์ ์ค์
ack-setup.yaml# 1. ACK S3 Controller ์ค์น (ArgoCD Application)
apiVersion: argoproj.io/v1alpha1
kind: Application
metadata:
name: ack-s3-controller
namespace: argocd
spec:
source:
chart: s3-chart
repoURL: public.ecr.aws/aws-controllers-k8s
targetRevision: v1.0.15
helm:
values: |
serviceAccount:
annotations:
eks.amazonaws.com/role-arn: arn:aws:iam::123456789012:role/ACK-S3-Role
destination:
server: https://kubernetes.default.svc
namespace: ack-system
ACK ๋ฆฌ์์ค ๋งค๋ํ์คํธ
s3-bucket.yaml# ์ฑ ์ ์ฉ S3 Bucket
apiVersion: s3.services.k8s.aws/v1alpha1
kind: Bucket
metadata:
name: hwahae-user-uploads
namespace: production
spec:
name: hwahae-user-uploads-prod
versioning:
status: Enabled
encryption:
rules:
- applyServerSideEncryptionByDefault:
sseAlgorithm: aws:kms
sqs-queue.yaml# ์ฑ ์ ์ฉ SQS Queue
apiVersion: sqs.services.k8s.aws/v1alpha1
kind: Queue
metadata:
name: order-processing
namespace: production
spec:
queueName: hwahae-order-processing
visibilityTimeout: "60"
messageRetentionPeriod: "345600"
redrivePolicy: |
{
"deadLetterTargetArn": "...-dlq",
"maxReceiveCount": 3
}
ํจ๊ณผ: K8s ๋งค๋ํ์คํธ๋ก AWS ๋ฆฌ์์ค ๊ด๋ฆฌ โ ์ฑํ ์ ํ์๋น์ค, ArgoCD GitOps ์ผ์ํ
ArgoCD Sync vs Argo Rollouts
ArgoCD Sync (์ผ๋ฐ ๋ฐฐํฌ)
- Git ๋ณ๊ฒฝ ๊ฐ์ง โ ์๋/์๋ Sync
- Deployment์ ๊ธฐ๋ณธ RollingUpdate ์ฌ์ฉ
- ์ฅ์ : ์ค์ ๊ฐ๋จ, ๋น ๋ฅธ ๋ฐฐํฌ
- ๋จ์ : ์ธ๋ฐํ ํธ๋ํฝ ์ ์ด ๋ถ๊ฐ
- ์ ํฉ: ๋ด๋ถ ์๋น์ค, ๊ฐ๋ฐ ํ๊ฒฝ
syncPolicy:
automated:
prune: true
selfHeal: true
Argo Rollouts (Progressive Delivery)
- Canary / Blue-Green ๋ฐฐํฌ ์ง์
- ํธ๋ํฝ ๊ฐ์ค์น ๋จ๊ณ๋ณ ์กฐ์
- ์ฅ์ : ๋ฉํธ๋ฆญ ๊ธฐ๋ฐ ์๋ ๋กค๋ฐฑ
- ์ฅ์ : Istio VirtualService ์ฐ๋
- ์ ํฉ: ํ๋ก๋์ , ๊ณ ๊ฐ ๋๋ฉด ์๋น์ค
strategy:
canary:
steps:
- setWeight: 10
- analysis: {templates: [success-rate]}
- setWeight: 50
Argo Rollouts + Istio Canary Architecture
๋ฐฐํฌ ํ๋ฆ
Git Push
โธ
ArgoCD Sync
โธ
Argo Rollouts
โธ
Istio VirtualService
Stable (v1)
ํ์ฌ ํ๋ก๋์
ํธ๋ํฝ
weight: 90% โ 0%
Canary (v2)
์ ๋ฒ์ ํธ๋ํฝ
weight: 10% โ 100%
AnalysisRun
- โ Prometheus ๋ฉํธ๋ฆญ ์กฐํ
- โ ์ฑ๊ณต๋ฅ โฅ 95% โ Promote
- โ ์คํจ ์ โ ์๋ Rollback
Promote
โ 100%
โ 100%
Rollback
โ 0%
โ 0%
Canary Deployment Flow
1
10%
์ด๊ธฐ ํธ๋ํฝ ์ ํ
2๋ถ ๋๊ธฐ ํ ๋ฉํธ๋ฆญ ๋ถ์
2๋ถ ๋๊ธฐ ํ ๋ฉํธ๋ฆญ ๋ถ์
2
30%
์ฑ๊ณต ์ ํธ๋ํฝ ์ฆ๊ฐ
์๋ฌ์จ ๋ชจ๋ํฐ๋ง
์๋ฌ์จ ๋ชจ๋ํฐ๋ง
3
50%
์ ๋ฐ ์ ํ
5๋ถ๊ฐ ์์ ์ฑ ๊ฒ์ฆ
5๋ถ๊ฐ ์์ ์ฑ ๊ฒ์ฆ
4
80%
๋๋ถ๋ถ ์ ํ
์ต์ข ๊ฒ์ฆ
์ต์ข ๊ฒ์ฆ
5
100%
์์ ์ ํ
Stable๋ก Promote
Stable๋ก Promote
์ง์ Traffic Provider: Istio, NGINX Ingress, ALB, SMI, Apache APISIX, Traefik
Zone-Aware PDB ๋ฐฉ์ด ์๋๋ฆฌ์ค
Step 1 / 7
Zone A Cluster (Spot) โ
App D PDB
maxUnavailable: 2
Zone C Cluster โ
์์ ์ ์ธ ํธ๋ํฝ ์ฒ๋ฆฌ ์ค
D App D (PDB)
โ
Running
T Terminating
PDB Blocked
Pending
Zone-Aware Rollouts
GitHub Self-Hosted Runner (ARC)
Actions Runner Controller (ARC)
- GitHub Actions Self-Hosted Runner๋ฅผ EKS์์ ์คํ
- Runner Pod ์๋ ์ค์ผ์ผ๋ง (HRA)
- ์ํฌ๋ก๋๋ณ Runner ๊ฒฉ๋ฆฌ ๊ฐ๋ฅ
์ฅ์ :
- VPC ๋ด๋ถ ๋ฆฌ์์ค ์ ๊ทผ (RDS, ElastiCache)
- ECR Push ์ IAM Role ํ์ฉ
- ๋น๋ ์บ์ PVC๋ก ์๋ ํฅ์
GitHub Actions Workflow
Webhook Event (workflow_job)
ARC Controller (EKS)
Runner Pod ์์ฑ (ephemeral)
Job ์คํ
โธ
ECR Push
โธ
ArgoCD Sync
Runner Pod ์ญ์
# Runner Pod ๋ฆฌ์์ค
resources:
requests:
cpu: "500m"
memory: "1Gi"
limits:
cpu: "2000m"
memory: "4Gi"
# Runner ์ค์ผ์ผ๋ง
minRunners: 1
maxRunners: 10
HorizontalRunnerAutoscaler - ์๋ ์ค์ผ์ผ๋ง
hra.yamlapiVersion: actions.summerwind.dev/v1alpha1
kind: HorizontalRunnerAutoscaler
metadata:
name: hwahae-runners-autoscaler
namespace: arc-runners
spec:
scaleTargetRef:
kind: RunnerDeployment
name: hwahae-runners
minReplicas: 1
maxReplicas: 10
metrics:
- type: TotalNumberOfQueuedAndInProgressWorkflowRuns
repositoryNames:
- hwahae/backend
- hwahae/frontend
NGINX Gateway Fabric vs Istio Gateway
NGINX Gateway Fabric
์ญํ : North-South ํธ๋ํฝ (์ธ๋ถ โ ํด๋ฌ์คํฐ)
- L4/L7 ๋ก๋๋ฐธ๋ฐ์ฑ
- TLS ์ข ๋ฃ
- Rate Limiting
- WAF ํตํฉ ๊ฐ๋ฅ
- Gateway API ๋ค์ดํฐ๋ธ
apiVersion: gateway.networking.k8s.io/v1
kind: Gateway
metadata:
name: external-gateway
spec:
gatewayClassName: nginx
listeners:
- name: https
port: 443
protocol: HTTPS
Istio Service Mesh
ํ์ฌ ์๊ตฌ์ฌํญ์ ๋ฏธํฌํจ (ํฅํ ๊ฒํ )
์ฐธ๊ณ : Service Mesh ๋์ ์ ๊ณ ๋ ค์ฌํญ
- East-West ํธ๋ํฝ (Pod โ Pod) mTLS
- ํธ๋ํฝ ๋ฏธ๋ฌ๋ง, Circuit Breaker
- Canary ๋ฐฐํฌ (Argo Rollouts ์ฐ๋)
- ๋ฆฌ์์ค ์ค๋ฒํค๋ (Sidecar Proxy)
- ์ด์ ๋ณต์ก์ฑ ์ฆ๊ฐ
๊ฒฐ๋ก : ํ ๋จ๊ณ์์๋ NGINX Gateway Fabric๋ง์ผ๋ก ์ถฉ๋ถ. Service Mesh๋ ํธ๋ํฝ ๊ด์ฐฐ ์๊ตฌ์ฌํญ ๋ฐ์ ์ ๋์ ๊ฒํ
GitOps Best Practices
- Repository ๊ตฌ์กฐ
- ๋ชจ๋ ธ๋ ํฌ vs ํด๋ฆฌ๋ ํฌ ๊ฒฐ์
-
base/+overlays/Kustomize ๊ตฌ์กฐ- ํ๊ฒฝ๋ณ ๋ธ๋์น ๋๋ ๋๋ ํ ๋ฆฌ ๋ถ๋ฆฌ
- Sync ์ ๋ต
- Dev/Staging:
automated+selfHeal: true- Production:
manual๋๋ Sync Window ์ค์ -
prune: true์ ์คํ๊ฒ ์ ์ฉ - ๋ณด์
- Sealed Secrets ๋๋ External Secrets Operator
- RBAC: AppProject๋ณ ๋ค์์คํ์ด์ค ์ ํ
- SSO ํตํฉ (OIDC)
- ์ด์
- Notification ์ค์ (Slack, PagerDuty)
- Application ์ํ ๋์๋ณด๋ ๊ตฌ์ฑ
- ์ ๊ธฐ์ Diff ๋ฆฌํฌํธ ๊ฒํ
AWS ๋ฆฌ์์ค ๊ด๋ฆฌ: Terraform vs ArgoCD vs ACK
| ๋ฆฌ์์ค ์ ํ | ๊ด๋ฆฌ ๋๊ตฌ | ์์ | ๋ณ๊ฒฝ ๋น๋ |
|---|---|---|---|
| ์ธํ๋ผ ๊ธฐ๋ฐ | Terraform | VPC, EKS Cluster, RDS, IAM Role | ๋ฎ์ |
| EKS ํต์ฌ ์ ๋์จ | Terraform (EKS Add-on) | VPC CNI, CoreDNS, kube-proxy, EBS CSI | ๋ฎ์ |
| ํด๋ฌ์คํฐ ์ปจํธ๋กค๋ฌ | ArgoCD | ALB Controller, External DNS, ESO, Cert Manager | ์ค๊ฐ |
| App ์ ์ฉ AWS ๋ฆฌ์์ค | ArgoCD or ACK | App๋ณ SQS Queue, S3 Bucket, IAM Policy | ๋์ |
ํ์ฌ ์์น๊ณผ ์ผ์น: "EKS ๋ด ๋ฆฌ์์ค๋ ArgoCD, ๊ณต์ฉ AWS ๋ฆฌ์์ค๋ Terraform"
ACK ๋์ ์์ : Appํ์ด K8s ๋งค๋ํ์คํธ๋ก SQS, S3 ๋ฑ AWS ๋ฆฌ์์ค๋ฅผ ์ง์ ๊ด๋ฆฌํด์ผ ํ ๋. ํ์ฌ ๋จ๊ณ์์๋ Terraform + ArgoCD ์ด์ํ๋ก ์ถฉ๋ถ
Block 02 Quiz
Q1: GitOps์ ํต์ฌ ์์น์?
Q2: Argo Rollouts์์ Canary ๋ฐฐํฌ ์คํจ ์ ๋์์?
Q3: Zone-Aware Rollouts์ ์ฃผ์ ์ฅ์ ์?
Q4: ArgoCD์์ ํ๋ก๋์
ํ๊ฒฝ ๊ถ์ฅ Sync ์ ์ฑ
์?
ECS โ EKS Migration Deep Dive
Scaling Strategy โ Karpenter & KEDA (25 min)
์ค์ค์ (Junseok Oh)
Sr. Solutions Architect, AWS
Scaling Pain Point
Cluster Autoscaler vs Karpenter
Grafana: EKS Node Monitoring
CPU Requests vs Usage โ Karpenter ํ๋จ ๊ธฐ์ค ์๊ฐํ
NodePool ์ค์
nodepool.yamlapiVersion: karpenter.sh/v1
kind: NodePool
metadata:
name: default
spec:
template:
spec:
requirements:
# Spot + On-Demand ํผํฉ
- key: karpenter.sh/capacity-type
operator: In
values: ["spot", "on-demand"]
# ๋ค์ํ ์ธ์คํด์ค ํจ๋ฐ๋ฆฌ
- key: karpenter.k8s.aws/instance-family
operator: In
values: ["m5", "m6i", "m6a", "c5", "c6i", "r5", "r6i"]
# ์ํคํ
์ฒ
- key: kubernetes.io/arch
operator: In
values: ["amd64"]
nodeClassRef:
group: karpenter.k8s.aws
kind: EC2NodeClass
name: default
# ๋ฆฌ์์ค ์ ํ
limits:
cpu: 1000
memory: 1000Gi
# Disruption ์ ์ฑ
disruption:
consolidationPolicy: WhenEmptyOrUnderutilized
consolidateAfter: 1m
Karpenter Consolidation
KEDA RPS ๊ธฐ๋ฐ ์คํ ์ค์ผ์ผ๋ง
100
KEDA Architecture
KEDA Scalers
apiVersion: keda.sh/v1alpha1
kind: ScaledObject
metadata:
name: sqs-scaler
spec:
scaleTargetRef:
name: order-processor
minReplicaCount: 0 # Zero scaling ๊ฐ๋ฅ!
maxReplicaCount: 50
triggers:
- type: aws-sqs-queue
metadata:
queueURL: https://sqs.ap-northeast-2.amazonaws.com/123456789/orders
queueLength: "5" # ๋ฉ์์ง 5๊ฐ๋น Pod 1๊ฐ
awsRegion: ap-northeast-2
triggers:
- type: prometheus
metadata:
serverAddress: http://prometheus:9090
metricName: http_requests_per_second
threshold: "100" # RPS 100 ์ด๊ณผ ์ ์ค์ผ์ผ ์์
query: |
sum(rate(http_requests_total{
service="api-gateway"
}[1m]))
triggers:
- type: cron
metadata:
timezone: Asia/Seoul
start: 0 9 * * 1-5 # ํ์ผ 09:00
end: 0 18 * * 1-5 # ํ์ผ 18:00
desiredReplicas: "10" # ์
๋ฌด์๊ฐ 10๊ฐ ์ ์ง
triggers:
- type: aws-cloudwatch
metadata:
namespace: AWS/ApplicationELB
dimensionName: LoadBalancer
dimensionValue: app/my-alb/1234567890
metricName: RequestCount
targetValue: "1000"
awsRegion: ap-northeast-2
KEDA + Istio Metrics
keda-istio.yamlapiVersion: keda.sh/v1alpha1
kind: ScaledObject
metadata:
name: istio-rps-scaler
spec:
scaleTargetRef:
name: api-server
minReplicaCount: 2
maxReplicaCount: 20
triggers:
- type: prometheus
metadata:
serverAddress: http://prometheus.istio-system:9090
metricName: istio_requests_per_second
threshold: "50" # Pod๋น RPS 50 ์ ์ง
query: |
sum(rate(istio_requests_total{
destination_service="api-server.production.svc.cluster.local",
response_code!~"5.*"
}[1m])) /
count(kube_pod_info{
namespace="production",
pod=~"api-server-.*"
})
Batch & Schedule ์ํฌ๋ก๋ ํจํด
Batch ์ ์ฉ Karpenter NodePool
batch-nodepool.yaml# Batch ์ ์ฉ NodePool โ Spot ์ต์ ํ
apiVersion: karpenter.sh/v1
kind: NodePool
metadata:
name: batch
spec:
template:
metadata:
labels:
workload-type: batch
spec:
requirements:
# Batch๋ Spot Only (๋น์ฉ ์ต์ ํ)
- key: karpenter.sh/capacity-type
operator: In
values: ["spot"]
# ์ปดํจํ
์ต์ ํ ํจ๋ฐ๋ฆฌ
- key: karpenter.k8s.aws/instance-family
operator: In
values: ["c5", "c5a", "c6i", "c6a", "c7i", "c7a"]
- key: kubernetes.io/arch
operator: In
values: ["amd64", "arm64"]
nodeClassRef:
group: karpenter.k8s.aws
kind: EC2NodeClass
name: batch
# Batch Pod ์๋ฃ ํ ๋น ๋ฅธ ๋
ธ๋ ํ์
expireAfter: 2h
limits:
cpu: 200
disruption:
consolidationPolicy: WhenEmpty
consolidateAfter: 30s # ๋น ๋
ธ๋ 30์ด ํ ์ฆ์ ์ ๋ฆฌ
batch-pod-example.yaml# Batch Pod์ Toleration + NodeSelector ์ถ๊ฐ
spec:
nodeSelector:
workload-type: batch
tolerations:
- key: workload-type
value: batch
effect: NoSchedule
ํจ๊ณผ: Batch ์๋ฃ ํ ๋ ธ๋ ์๋ ํ์ โ ์ ํด ๋น์ฉ 0์
HPA โ Karpenter โ KEDA ๋์ ๋ก๋๋งต
1
Phase 1 (Week 1-2)
Karpenter ์ค์น ๋ฐ NodePool ๊ตฌ์ฑ ๊ธฐ์กด Cluster Autoscaler์ ๋ณํ ์ด์ ํ
์คํธ ์ํฌ๋ก๋๋ก ๊ฒ์ฆ
2
Phase 2 (Week 3-4)
Cluster Autoscaler ์ ๊ฑฐ Karpenter Consolidation ํ์ฑํ Spot Instance ๋น์จ ํ๋
3
Phase 3 (Week 5-6)
KEDA ์ค์น SQS ๊ธฐ๋ฐ ์์ปค ์ค์ผ์ผ๋ง ์ ์ฉ Prometheus ๋ฉํธ๋ฆญ ์ฐ๋
4
Phase 4 (Week 7-8)
Istio ๋ฉํธ๋ฆญ ๊ธฐ๋ฐ ์ค์ผ์ผ๋ง Cron ์ค์ผ์ผ๋ฌ๋ก ์์ธก ์ค์ผ์ผ๋ง Zero Scaling ์ ์ฉ (๋น์ฉ ์ต์ ํ)
Block 03 Quiz
Q1: Karpenter๊ฐ Cluster Autoscaler๋ณด๋ค ๋น ๋ฅธ ์ด์ ๋?
Q2: Karpenter Consolidation์ ๋ชฉ์ ์?
Q3: KEDA์ ๊ฐ์ฅ ํฐ ์ฅ์ ์?
Q4: Spot Instance ๋ค๊ฐํ ์ ๋ต์ด ์ค์ํ ์ด์ ๋?
ECS โ EKS Migration Deep Dive
Security & Platform Engineering (20 min)
์ค์ค์ (Junseok Oh)
Sr. Solutions Architect, AWS
EKS Security Architecture
๋ณด์ ๊ณ์ธต:
- IAM Layer: OIDC Provider โ IRSA/Pod Identity โ AWS ์๋น์ค ์ ๊ทผ
- Cluster Layer: RBAC, Access Entries, Cluster Endpoint ์ ๊ทผ ์ ์ด
- Workload Layer: Pod Security Standards, Network Policy
- Data Layer: Secrets Manager, KMS ์ํธํ
aws-auth vs Access Entries
aws-auth ConfigMap (Legacy)
- ConfigMap ๊ธฐ๋ฐ IAM ๋งคํ
- ์๋ ํธ์ง ํ์ (์ค๋ฅ ์ ์ ๊ทผ ๋ถ๊ฐ)
- ๋ณ๊ฒฝ ์ด๋ ฅ ์ถ์ ์ด๋ ค์
- GitOps์ ์ถฉ๋ ๊ฐ๋ฅ์ฑ
- ๋จ์ : ConfigMap ์ญ์ ์ ํด๋ฌ์คํฐ ์ ๊ธ
# aws-auth ConfigMap
apiVersion: v1
kind: ConfigMap
metadata:
name: aws-auth
namespace: kube-system
data:
mapRoles: |
- rolearn: arn:aws:iam::role/NodeRole
username: system:node:{{...}}
groups:
- system:bootstrappers
- system:nodes
Access Entries (๊ถ์ฅ)
- EKS API ๊ธฐ๋ฐ IAM ๋งคํ
- AWS CLI/Console/IaC๋ก ๊ด๋ฆฌ
- CloudTrail ๊ฐ์ฌ ๋ก๊ทธ ์๋ ๊ธฐ๋ก
- Terraform/CDK ์๋ฒฝ ์ง์
- ์ฅ์ : ConfigMap ์ญ์ ํด๋ ์ ๊ทผ ์ ์ง
# Access Entry ์์ฑ
aws eks create-access-entry \
--cluster-name my-cluster \
--principal-arn arn:aws:iam::role/DevRole \
--type STANDARD
Access Entries ์ค์
bash# 1. Access Entry ์์ฑ
aws eks create-access-entry \
--cluster-name hwahae-prod \
--principal-arn arn:aws:iam::123456789012:role/DevOpsRole \
--type STANDARD
# 2. Access Policy ์ฐ๊ฒฐ (RBAC ๊ถํ ๋ถ์ฌ)
aws eks associate-access-policy \
--cluster-name hwahae-prod \
--principal-arn arn:aws:iam::123456789012:role/DevOpsRole \
--policy-arn arn:aws:eks::aws:cluster-access-policy/AmazonEKSClusterAdminPolicy \
--access-scope type=cluster
# ์ฌ์ฉ ๊ฐ๋ฅํ Policy:
# - AmazonEKSClusterAdminPolicy (์ ์ฒด ๊ด๋ฆฌ์)
# - AmazonEKSAdminPolicy (๋ค์์คํ์ด์ค ๊ด๋ฆฌ์)
# - AmazonEKSEditPolicy (ํธ์ง ๊ถํ)
# - AmazonEKSViewPolicy (์ฝ๊ธฐ ๊ถํ)
terraform/access-entries.tf# Terraform์ผ๋ก Access Entry ๊ด๋ฆฌ
resource "aws_eks_access_entry" "devops" {
cluster_name = aws_eks_cluster.main.name
principal_arn = aws_iam_role.devops.arn
type = "STANDARD"
}
resource "aws_eks_access_policy_association" "devops" {
cluster_name = aws_eks_cluster.main.name
principal_arn = aws_iam_role.devops.arn
policy_arn = "arn:aws:eks::aws:cluster-access-policy/AmazonEKSAdminPolicy"
access_scope {
type = "namespace"
namespaces = ["production", "staging"]
}
}
RBAC & OIDC ์ํฌํ๋ก์ฐ
๐ก๏ธ
๐ STEP 1: External Identity Provider (OIDC)
// ID Token (JWT) Claims
"sub": "alice-id"
"email": "alice@company.com"
"groups": ["dev-team", "admin-group"]
"email": "alice@company.com"
"groups": ["dev-team", "admin-group"]
โ
K8s API ์๋ฒ๋ ์ด ํ ํฐ์ ์ฝ์ด Alice๋ผ๋ ์ ์ ์ dev-team์ด๋ผ๋ ๊ทธ๋ฃน์ด ์์ฒญ์ ๋ณด๋์์ ์ธ์ํฉ๋๋ค.
STEP 2: SUBJECTS
๐ค
User (alice@...)
+
๐ฅ
Group (dev-team)
+
๐ค
ServiceAccount
Bound to
โ
STEP 3: BINDING
๐
RoleBinding
"Connects Subject to Role"
๐
ClusterRoleBinding
"Cluster-wide connection"
Refers
โ
STEP 4: PERMISSIONS
๐ก๏ธ
Role (Reader)
Namespace: App-A
๐ฆ Allowed Actions
- get, list, watch pods
- update deployments
- update deployments
๐
ClusterRole (Editor)
Entire Cluster
๐ฆ Allowed Actions
- get, list, watch, update
- all namespaces
- all namespaces
โน๏ธ OIDC์ K8s ๊ทธ๋ฃน ๋งคํ
ํ ํฐ์ด ๊ณง ์ ๋ถ์ฆ: JWT ์์
groups ํ๋๋ก Subject ๋งคํ์ค์ :
--oidc-groups-claim=groupsServiceAccount: Pod/ํ๋ก์ธ์ค์ฉ ๋ด๋ถ ๊ณ์ , OIDC ๋ถํ์
RBAC ํ์ฉ: RoleBinding์ subjects์
kind: Group ์ง์ RBAC โ ClusterRole, Role, RoleBinding
IAM Role (AWS) โ Access Entries EKS Cluster โ ClusterRoleBinding / RoleBinding Kubernetes RBAC โโ ClusterRole โ ํด๋ฌ์คํฐ ์ ์ฒด ๋ฒ์ โโ Role โ ๋ค์์คํ์ด์ค ๋ฒ์ โโ ClusterRoleBinding โ ClusterRole โ Subject ์ฐ๊ฒฐ โโ RoleBinding โ Role โ Subject ์ฐ๊ฒฐ
| ๋ฆฌ์์ค | ๋ฒ์ | ์ฉ๋ |
|---|---|---|
| ClusterRole | ํด๋ฌ์คํฐ ์ ์ฒด | ๋ ธ๋ ์กฐํ, CRD ๊ด๋ฆฌ, ์ ์ฒด ๋ค์์คํ์ด์ค ์ฝ๊ธฐ |
| Role | ๋ค์์คํ์ด์ค | ํน์ ๋ค์์คํ์ด์ค ๋ด Pod/Service/ConfigMap ๊ด๋ฆฌ |
| ClusterRoleBinding | ํด๋ฌ์คํฐ ์ ์ฒด | ClusterRole์ ์ฌ์ฉ์/๊ทธ๋ฃน์ ๋ฐ์ธ๋ฉ |
| RoleBinding | ๋ค์์คํ์ด์ค | Role ๋๋ ClusterRole์ ๋ค์์คํ์ด์ค ๋ฒ์๋ก ๋ฐ์ธ๋ฉ |
ํต์ฌ: RoleBinding์ ClusterRole๋ ์ฐธ์กฐ ๊ฐ๋ฅ โ ๋ค์์คํ์ด์ค ๋ฒ์๋ก ์ถ์ ์ ์ฉ
ClusterRole: namespace-viewer# 1. ClusterRole โ ๊ณตํต ์ฝ๊ธฐ ๊ถํ (์ ์ฒด ํ ๊ณต์ )
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: namespace-viewer
rules:
- apiGroups: [""]
resources: ["pods", "services", "configmaps", "events"]
verbs: ["get", "list", "watch"]
- apiGroups: ["apps"]
resources: ["deployments", "replicasets", "statefulsets"]
verbs: ["get", "list", "watch"]
Role: deployer# 2. Role โ ๋ค์์คํ์ด์ค๋ณ ๋ฐฐํฌ ๊ถํ
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
name: deployer
namespace: backend
rules:
- apiGroups: ["apps"]
resources: ["deployments", "replicasets"]
verbs: ["get", "list", "watch", "create", "update", "patch"]
- apiGroups: [""]
resources: ["pods", "pods/log", "pods/exec"]
verbs: ["get", "list", "watch", "create"]
- apiGroups: [""]
resources: ["configmaps", "secrets"]
verbs: ["get", "list", "watch", "create", "update"]
RoleBinding# 3. RoleBinding โ ํ๋ณ ๋ค์์คํ์ด์ค ๊ถํ ๋ถ์ฌ
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: backend-deployer
namespace: backend
subjects:
# IAM Role โ Access Entry โ Kubernetes Group ๋งคํ
- kind: Group
name: backend-team
apiGroup: rbac.authorization.k8s.io
roleRef:
kind: Role
name: deployer
apiGroup: rbac.authorization.k8s.io
ClusterRoleBinding# 4. ClusterRoleBinding โ ์ ์ฒด ์ฝ๊ธฐ ๊ถํ
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
name: all-teams-viewer
subjects:
- kind: Group
name: all-developers
apiGroup: rbac.authorization.k8s.io
roleRef:
kind: ClusterRole
name: namespace-viewer
apiGroup: rbac.authorization.k8s.io
RoleBinding with ClusterRole# 5. RoleBinding์ผ๋ก ClusterRole ๋ฒ์ ์ถ์
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: frontend-viewer
namespace: frontend
subjects:
- kind: Group
name: frontend-team
apiGroup: rbac.authorization.k8s.io
roleRef:
kind: ClusterRole # ClusterRole์ด์ง๋ง
name: namespace-viewer # ์ด ๋ค์์คํ์ด์ค๋ง ์ ์ฉ๋จ
apiGroup: rbac.authorization.k8s.io
bash# IAM Role โ Kubernetes Group ๋งคํ
aws eks create-access-entry \
--cluster-name hwahae-prod \
--principal-arn arn:aws:iam::123456789012:role/BackendDevRole \
--type STANDARD \
--kubernetes-groups backend-team,all-developers
IAM Role: BackendDevRole โ Access Entry (kubernetes-groups: backend-team, all-developers) โโ ClusterRoleBinding: all-teams-viewer โ ์ ์ฒด ์ฝ๊ธฐ โโ RoleBinding: backend-deployer โ backend NS ๋ฐฐํฌ ๊ถํ
๊ถ์ฅ ํจํด:
- Platform Team:
cluster-adminClusterRoleBinding - Backend Team: ์๊ธฐ ๋ค์์คํ์ด์ค
deployerRole + ์ ์ฒดviewerClusterRole - Frontend Team: ์๊ธฐ ๋ค์์คํ์ด์ค
deployerRole + ์ ์ฒดviewerClusterRole - CI/CD (ARC): ๋์ ๋ค์์คํ์ด์ค๋ณ
deployerRoleBinding
External Secrets Operator ํ๋ฆ
๋์ ํ๋ฆ:
- ExternalSecret CR ์์ฑ โ ESO Controller ๊ฐ์ง
- SecretStore ์ฐธ์กฐ โ IRSA๋ก AWS ์ธ์ฆ
- Secrets Manager์์ ๊ฐ ์กฐํ
- Kubernetes Secret ์๋ ์์ฑ/๊ฐฑ์
- Pod์์ Secret ์ฌ์ฉ
Network Policy ๊ตฌํ
# VPC CNI v1.14+ ์์ NetworkPolicy ์ง์
# ํ์ฑํ ๋ช
๋ น:
# kubectl set env daemonset aws-node -n kube-system \
# ENABLE_NETWORK_POLICY=true
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: api-policy
namespace: production
spec:
podSelector:
matchLabels:
app: api-server
policyTypes:
- Ingress
- Egress
ingress:
- from:
- podSelector:
matchLabels:
app: frontend
ports:
- port: 8080
egress:
- to:
- podSelector:
matchLabels:
app: database
ports:
- port: 5432
# Calico ์ถ๊ฐ ๊ธฐ๋ฅ: GlobalNetworkPolicy
apiVersion: projectcalico.org/v3
kind: GlobalNetworkPolicy
metadata:
name: default-deny-all
spec:
selector: all()
types:
- Ingress
- Egress
# ๊ท์น ์์ = ๋ชจ๋ ํธ๋ํฝ ์ฐจ๋จ
2. DNS ํ์ฉ (ํ์)
allow-dns.yamlapiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: allow-dns
namespace: production
spec:
podSelector: {}
policyTypes:
- Egress
egress:
- to:
- namespaceSelector:
matchLabels:
kubernetes.io/metadata.name: kube-system
ports:
- protocol: UDP
port: 53
Platform Engineering โ Self-Service ์ํคํ ์ฒ
ApplicationSet์ผ๋ก ํ๋ณ ์๋ ๋ฐฐํฌ
appset-team-onboarding.yaml# 1. ApplicationSet โ Git Directory Generator
apiVersion: argoproj.io/v1alpha1
kind: ApplicationSet
metadata:
name: team-onboarding
namespace: argocd
spec:
generators:
- git:
repoURL: https://github.com/hwahae/platform-config
revision: main
directories:
- path: "teams/*" # teams/backend, teams/frontend, ...
template:
metadata:
name: "team-{{path.basename}}"
spec:
project: "{{path.basename}}"
source:
repoURL: https://github.com/hwahae/platform-config
path: "{{path}}"
targetRevision: main
destination:
server: https://kubernetes.default.svc
namespace: "{{path.basename}}"
syncPolicy:
automated:
prune: true
selfHeal: true
syncOptions:
- CreateNamespace=true
teams/backend/kustomization.yaml# ํ ๋๋ ํ ๋ฆฌ ๊ตฌ์กฐ: teams/backend/
resources:
- namespace.yaml # Namespace + Labels
- rbac.yaml # Role + RoleBinding
- resource-quota.yaml # CPU/Memory ์ ํ
- limit-range.yaml # Pod ๊ธฐ๋ณธ ๋ฆฌ์์ค
- network-policy.yaml # Default Deny + DNS Allow
- service-monitor.yaml # Prometheus ์๋ ์์ง
๊ฒฐ๊ณผ: teams/ ๋๋ ํ ๋ฆฌ์ ํด๋๋ง ์ถ๊ฐํ๋ฉด โ ๋ค์์คํ์ด์ค + ๋ชจ๋ ๊ธฐ๋ณธ ์ ์ฑ
์๋ ์์ฑ
Namespace Provisioner ๋ฒ๋ค
namespace-bundle.yaml# 1. ResourceQuota โ ํ๋ณ ๋ฆฌ์์ค ์ํ
apiVersion: v1
kind: ResourceQuota
metadata:
name: team-quota
spec:
hard:
requests.cpu: "20"
requests.memory: "40Gi"
limits.cpu: "40"
limits.memory: "80Gi"
pods: "100"
limit-range.yaml# 2. LimitRange โ Pod ๊ธฐ๋ณธ๊ฐ ๋ฐ ์ต๋๊ฐ
apiVersion: v1
kind: LimitRange
metadata:
name: default-limits
spec:
limits:
- type: Container
default:
cpu: "200m"
memory: "256Mi"
defaultRequest:
cpu: "100m"
memory: "128Mi"
network-policy.yaml# 3. Default NetworkPolicy โ Ingress Deny
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: default-deny-ingress
spec:
podSelector: {}
policyTypes:
- Ingress
allow-dns.yaml# 4. DNS ํ์ฉ
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: allow-dns
spec:
podSelector: {}
policyTypes:
- Egress
egress:
- to:
- namespaceSelector:
matchLabels:
kubernetes.io/metadata.name: kube-system
ports:
- protocol: UDP
port: 53
Self-Service ํ๋ฆ: ๊ฐ๋ฐ์ teams/my-team/ ์์ฑ โ PR โ Platform Team ๋ฆฌ๋ทฐ โ ArgoCD ์๋ Namespace + ๋ฒ๋ค ์์ฑ
Block 04 Quiz
Q1: Access Entries๊ฐ aws-auth ConfigMap๋ณด๋ค ์ข์ ์ด์ ๋?
Q2: External Secrets Operator์ ์ญํ ์?
Q3: Network Policy์ Default Deny ํจํด์์ ๋ฐ๋์ ํ์ฉํด์ผ ํ๋ ๊ฒ์?
Q4: IRSA(IAM Roles for Service Accounts)์ ์ฅ์ ์?
ECS โ EKS Migration Deep Dive
Observability & Next Steps (20 min)
์ค์ค์ (Junseok Oh)
Sr. Solutions Architect, AWS
Observability 3 Pillars
๐
Logs
๊ฐ๋ณ ์ด๋ฒคํธ์ ๋ถ๋ณ ๊ธฐ๋ก
๋๋ฒ๊น
& ๊ฐ์ฌ ์ถ์
Loki / CloudWatch
Label
๋งค์นญ
๋งค์นญ
โ
๐
Metrics
์๊ณ์ด ์์น ๋ฐ์ดํฐ
์ง๊ณ & ์๋ ๊ธฐ๋ฐ
Prometheus / CloudWatch
Exemplar
โ
๐
Traces
๋ถ์ฐ ์์ฒญ ๊ฒฝ๋ก ์ถ์
์ง์ฐ ๊ตฌ๊ฐ ๋ถ์
X-Ray / Tempo
TraceID๋ก Logs โ Traces ์ฐ๊ฒฐ | Exemplar๋ก Metrics โ Traces ์ ํ
ํ์ฌ vs ๋ชฉํ ๊ด์ธก์ฑ ์คํ
| ์์ญ | ๋๊ตฌ | ํ๊ณ |
|---|---|---|
| Logs | CloudWatch Logs, OpenSearch | ๋น์ฉ ์ฆ๊ฐ, ์ฟผ๋ฆฌ ๋ณต์ก |
| Metrics | CloudWatch Metrics | ์ปค์คํ ๋ฉํธ๋ฆญ ๋น์ฉ, 15๊ฐ์ ๋ณด์กด |
| Traces | X-Ray (๋ถ๋ถ ์ ์ฉ) | ์ํ๋ง ์ ํ, ์ปจํ ์คํธ ์ ํ ์ด๋ ค์ |
| Dashboard | CloudWatch Dashboards | ์ ํ๋ ์๊ฐํ |
| ์์ญ | ๋๊ตฌ | ์ฅ์ |
|---|---|---|
| Logs | Loki + Fluent Bit | ๊ฒฝ๋, ๋ผ๋ฒจ ๊ธฐ๋ฐ ์ฟผ๋ฆฌ, ๋น์ฉ ํจ์จ |
| Metrics | Prometheus (AMP) + Grafana | PromQL, ๋ฌด์ ํ ์ปค์คํ ๋ฉํธ๋ฆญ |
| Traces | Tempo + OpenTelemetry | ๋ฒค๋ ์ค๋ฆฝ, ์ ์ฒด ์ํ๋ง ๊ฐ๋ฅ |
| Dashboard | Grafana (AMG) | ํตํฉ ์๊ฐํ, ์๋ฆผ, ์๊ด๋ถ์ |
Prometheus + Grafana ์ํคํ ์ฒ
App Pod
App Pod
App Pod
/metrics
โ
scrape
ServiceMonitor
Prometheus Operator CRD
Prometheus Operator CRD
โ
configure
Prometheus
Pull ๋ฐฉ์ ์์ง
Pull ๋ฐฉ์ ์์ง
โ
remote write
AMP
Amazon Managed
Prometheus
Amazon Managed
Prometheus
โ
PromQL
Grafana (AMG)
๋์๋ณด๋ & ์๋ฆผ
๋์๋ณด๋ & ์๋ฆผ
ServiceMonitor
๋ผ๋ฒจ ์ ๋ ํฐ๋ก ์คํฌ๋ํ ๋์ ์๋ ๋ฐ๊ฒฌ. ์ ์๋น์ค ๋ฐฐํฌ ์ ์๋ ์ค์ ๋ถํ์
Pull ๊ธฐ๋ฐ ์์ง
Prometheus๊ฐ /metrics ์๋ํฌ์ธํธ๋ฅผ ์ฃผ๊ธฐ์ ์ผ๋ก ์คํฌ๋ํ (๊ธฐ๋ณธ 30s)
AWS ๊ด๋ฆฌํ
AMP + AMG๋ก ์ด์ ๋ถ๋ด ์ต์ํ. HA/์คํ ๋ฆฌ์ง ์๋ ๊ด๋ฆฌ
Prometheus + Grafana ์ ์
servicemonitor.yamlapiVersion: monitoring.coreos.com/v1
kind: ServiceMonitor
metadata:
name: hwahae-api
namespace: monitoring
spec:
selector:
matchLabels:
app: hwahae-api # ์๋ ๋ฐ๊ฒฌ
endpoints:
- port: metrics # metrics ํฌํธ
interval: 30s # 30์ด ์คํฌ๋ํ
path: /metrics
namespaceSelector:
matchNames:
- production
- staging
grafana-dashboard-cm.yamlapiVersion: v1
kind: ConfigMap
metadata:
name: hwahae-dashboard
labels:
grafana_dashboard: "1"
# Grafana sidecar๊ฐ ์๋ ๋ก๋
data:
hwahae.json: |
{
"title": "Hwahae API Dashboard",
"panels": [...]
}
Datadog vs OSS Stack
Datadog
| ํญ๋ชฉ | ๋ด์ฉ |
|---|---|
| ๋น์ฉ | ํธ์คํธ๋น $15-23/์ + ๋ก๊ทธ/APM ์ถ๊ฐ ๋น์ฉ |
| ๊ธฐ๋ฅ | ์ฌ์ธ์ (Logs, Metrics, APM, RUM) |
| ์ด์ ๋ถ๋ด | ๋ฎ์ (SaaS) |
| ์ฅ์ | ๋น ๋ฅธ ๋์ , ํตํฉ UI, AI ๊ธฐ๋ฐ ๋ถ์ |
| ๋จ์ | ๋ฒค๋ ์ข ์, ๋น์ฉ ์์ธก ์ด๋ ค์, ๋ฐ์ดํฐ ์์ ๊ถ |
OSS Stack (Prometheus + Loki + Tempo)
| ํญ๋ชฉ | ๋ด์ฉ |
|---|---|
| ๋น์ฉ | ์ธํ๋ผ ๋น์ฉ๋ง (AMP: GB๋น $0.03) |
| ๊ธฐ๋ฅ | ์กฐํฉ ํ์ (๊ฐ ๋๊ตฌ ์ญํ ๋ช ํ) |
| ์ด์ ๋ถ๋ด | ์ค๊ฐ (AWS ๊ด๋ฆฌํ ์ฌ์ฉ ์ ๋ฎ์) |
| ์ฅ์ | ๋น์ฉ ํฌ๋ช ์ฑ, ๋ฒค๋ ์ค๋ฆฝ, ์ปค์คํฐ๋ง์ด์ง |
| ๋จ์ | ์ด๊ธฐ ํ์ต ๊ณก์ , ํตํฉ ์ค์ ํ์ |
๊ธฐ์กด OpenSearch์ ๊ณต์กด ์ ๋ต
1
Phase 1
๋ฉํธ๋ฆญ ์ฐ์ (Month 1-2)
๊ธฐ์กด OpenSearch ์ ์ง,
Prometheus(AMP) + Grafana(AMG) ์ถ๊ฐ,
CloudWatch Container Insights ๋ณํ
๊ธฐ์กด OpenSearch ์ ์ง,
Prometheus(AMP) + Grafana(AMG) ์ถ๊ฐ,
CloudWatch Container Insights ๋ณํ
2
Phase 2
๋์ผ ๋ก๊ทธ ํ์ดํ๋ผ์ธ (Month 3-4)
Fluent Bit ๋์ผ ์์ํ:
OpenSearch + ClickHouse,
์ ๊ท ์๋น์ค๋ ClickHouse ์ ์ฉ
Fluent Bit ๋์ผ ์์ํ:
OpenSearch + ClickHouse,
์ ๊ท ์๋น์ค๋ ClickHouse ์ ์ฉ
3
Phase 3
ํธ๋ ์ด์ฑ ๋์
(Month 5-6)
OpenTelemetry Collector ์ค์น,
ClickHouse์ ํธ๋ ์ด์ค ์ ์ฅ,
Grafana์์ ์๊ด๋ถ์
OpenTelemetry Collector ์ค์น,
ClickHouse์ ํธ๋ ์ด์ค ์ ์ฅ,
Grafana์์ ์๊ด๋ถ์
4
Phase 4
ํตํฉ ์๋ฃ (Month 7+)
OpenSearch ํธ๋ํฝ ๋ชจ๋ํฐ๋ง,
๋จ๊ณ์ ์ถ์ ๋๋ ๊ณต์กด ์ ์ง,
๋น์ฉ ๋น๊ต ํ ์ต์ข ํ๋จ
OpenSearch ํธ๋ํฝ ๋ชจ๋ํฐ๋ง,
๋จ๊ณ์ ์ถ์ ๋๋ ๊ณต์กด ์ ์ง,
๋น์ฉ ๋น๊ต ํ ์ต์ข ํ๋จ
Fluent Bit ๋์ผ ์์ํ ์ค์
fluent-bit-dual-output.yaml# Fluent Bit ConfigMap โ ๋์ผ ์์ํ
apiVersion: v1
kind: ConfigMap
metadata:
name: fluent-bit-config
namespace: logging
data:
output.conf: |
# Output 1: ๊ธฐ์กด OpenSearch (๊ธฐ์กด ๋์๋ณด๋ ์ ์ง)
[OUTPUT]
Name opensearch
Match kube.*
Host vpc-hwahae-logs.ap-northeast-2.es.amazonaws.com
Port 443
TLS On
AWS_Auth On
AWS_Region ap-northeast-2
Index k8s-logs
Type _doc
# Output 2: ์ ๊ท ClickHouse (Grafana ํตํฉ)
[OUTPUT]
Name http
Match kube.*
Host clickhouse.monitoring.svc
Port 8123
URI /?query=INSERT+INTO+k8s_logs+FORMAT+JSONEachRow
Format json_stream
Json_date_key timestamp
Json_date_format iso8601
# Output 3: ํน์ ๋ค์์คํ์ด์ค๋ ClickHouse ์ ์ฉ
[OUTPUT]
Name http
Match kube.var.log.containers.*_new-service_*
Host clickhouse.monitoring.svc
Port 8123
URI /?query=INSERT+INTO+k8s_logs+FORMAT+JSONEachRow
Format json_stream
์ ํ ์ ๋ต:
- ๊ธฐ์กด ์๋น์ค โ OpenSearch + ClickHouse ๋์ผ ์ ์ก
- ์ ๊ท ์๋น์ค โ ClickHouse ์ ์ฉ
- 2-3๊ฐ์ ๋ณํ ํ OpenSearch ์์กด๋ ํ์ธ โ ์ถ์ ํ๋จ
ํต์ฌ ๋ฉํธ๋ฆญ ๋ชจ๋ํฐ๋ง ํ
Cluster Overview:
# ๋
ธ๋ CPU ์ฌ์ฉ๋ฅ
100 - (avg by(instance) (rate(node_cpu_seconds_total{mode="idle"}[5m])) * 100)
# Pod Restart ์๋ฆผ (5๋ถ ๋ด 3ํ ์ด์)
increase(kube_pod_container_status_restarts_total[5m]) > 3
# Pending Pod ๊ฐ์ง (Karpenter ์ค์ผ์ผ๋ง ์ง์ฐ)
kube_pod_status_phase{phase="Pending"} > 0
Application RED Metrics:
# Rate: ์ด๋น ์์ฒญ ์
sum(rate(istio_requests_total{reporter="destination"}[5m])) by (destination_service)
# Error: 5xx ์๋ฌ์จ
sum(rate(istio_requests_total{response_code=~"5.*"}[5m])) / sum(rate(istio_requests_total[5m]))
# Duration: P99 ๋ ์ดํด์
histogram_quantile(0.99, sum(rate(istio_request_duration_milliseconds_bucket[5m])) by (le, destination_service))
# ๋
ธ๋ ํ๋ก๋น์ ๋ ์๊ฐ
karpenter_provisioner_scheduling_duration_seconds
# Spot ์ค๋จ ํ์
karpenter_interruption_received_messages_total
# ๋
ธ๋ Consolidation ์ด๋ฒคํธ
karpenter_disruption_pods_disrupted_total
# ๋
ธ๋๋น Pod ๋ฐ๋
count(kube_pod_info) by (node)
์๋ฆผ ๊ท์น:
- Spot ์ค๋จ ๋น๋ > 5ํ/์ผ โ ์ธ์คํด์ค ๋ค๊ฐํ ๊ฒํ
- Pending Pod > 0 for 2๋ถ โ Karpenter ๋๋ ๋ฆฌ์์ค ์ ํ ํ์ธ
- Consolidation ์คํจ โ PDB ์ค์ ํ์ธ
# SQS ํ ๊น์ด (KEDA CloudWatch Scaler)
aws_sqs_approximate_number_of_messages_visible_average
# KEDA ์ค์ผ์ผ๋ง ์ํ
keda_scaledobject_ready
# Worker Pod vs ํ ๋ฉ์์ง ๋น์จ
count(kube_pod_info{pod=~"order-worker.*"})
/ aws_sqs_approximate_number_of_messages_visible_average
ํต์ฌ: ํ ๊น์ด ๋๋น Worker Pod ์์ ๋น์จ์ ๋ชจ๋ํฐ๋งํ์ฌ ์ค์ผ์ผ๋ง์ด ์ ์ ํ์ง ํ์ธ
Blue/Green ํด๋ฌ์คํฐ ์ ๊ทธ๋ ์ด๋
1
์ค๋น
์ ๋ฒ์ ํด๋ฌ์คํฐ
ํ๋ก๋น์ ๋,
์ ๋์จ ํธํ์ฑ ๊ฒ์ฆ
ํ๋ก๋น์ ๋,
์ ๋์จ ํธํ์ฑ ๊ฒ์ฆ
2
๋ฐฐํฌ
GitOps๋ก
์ํฌ๋ก๋ ๋๊ธฐํ,
Smoke ํ ์คํธ
์ํฌ๋ก๋ ๋๊ธฐํ,
Smoke ํ ์คํธ
3
ํธ๋ํฝ ์ ํ
Route 53 ๊ฐ์ค์น
10% โ 50% โ 100%
10% โ 50% โ 100%
4
๊ฒ์ฆ
๋ฉํธ๋ฆญ/๋ก๊ทธ
๋ชจ๋ํฐ๋ง,
7์ผ ์์ ํ
๋ชจ๋ํฐ๋ง,
7์ผ ์์ ํ
5
์ ๋ฆฌ
์ด์ ํด๋ฌ์คํฐ ์ข
๋ฃ,
๋น์ฉ ์ ๊ฐ
๋น์ฉ ์ ๊ฐ
DR ์ ๋ต: GitOps ์ฌ๊ตฌ์ถ vs Velero ๋ฐฑ์
GitOps ๊ธฐ๋ฐ ์ฌ๊ตฌ์ถ
- ์๋ณธ: Git Repository = ํด๋ฌ์คํฐ ์ํ
- ๋ณต๊ตฌ: ArgoCD Sync โ ์ ์ฒด ๋ณต์
- ๋์: Stateless ์ํฌ๋ก๋์ ์ต์
- RTO: 30๋ถ ~ 1์๊ฐ
- ์ถ๊ฐ ์ธํ๋ผ: ๋ถํ์
- ๋น์ฉ: ์์ (Git ํ์ฉ)
Velero ๋ฐฑ์ /๋ณต๊ตฌ
- ์๋ณธ: etcd ์ค๋ ์ท + PV ๋ฐฑ์
- ๋ณต๊ตฌ: ๋ค์์คํ์ด์ค/๋ฆฌ์์ค ๋จ์ ์ ํ์ ๋ณต๊ตฌ
- ๋์: Stateful ์ํฌ๋ก๋ ํ์
- RTO: 15๋ถ ~ 30๋ถ
- ์ถ๊ฐ ์ธํ๋ผ: S3 + Velero ์๋ฒ
- ๋น์ฉ: S3 ์ ์ฅ ๋น์ฉ
๊ถ์ฅ: Stateless ์๋น์ค โ GitOps ์ฌ๊ตฌ์ถ (์ถ๊ฐ ๋น์ฉ 0), DB โ RDS ์์ฒด ๋ฐฑ์ /๋ณต๊ตฌ ํ์ฉ, PV ์๋ ์ํฌ๋ก๋๋ง Velero ์ ํ์ ์ ์ฉ
๋น์ฉ ๋ชจ๋ํฐ๋ง & ์ต์ ํ
KubeCost
- ๋ค์์คํ์ด์ค/์ํฌ๋ก๋๋ณ ๋น์ฉ ํ ๋น
- ์ ํด ๋ฆฌ์์ค ํ์ง ๋ฐ ์๋ฆผ
- ๋น์ฉ ์์ธก ๋์๋ณด๋
- ๋ฌด๋ฃ ํฐ์ด๋ก ์์ ๊ฐ๋ฅ
Right-sizing
- VPA ๊ถ์ฅ๊ฐ ๊ธฐ๋ฐ ๋ฆฌ์์ค ์กฐ์
- requests/limits ์ต์ ํ
- Karpenter Consolidation ์ฐ๊ณ
- Over-provisioning ๋ฐฉ์ง
Savings Plans + Spot
- Compute Savings Plans (1yr/3yr)
- Spot Instance ํ์ฉ (Karpenter)
- On-Demand ๋๋น 40-70% ์ ๊ฐ
- RI โ SP ์ ํ ๊ฒํ
$5K-$20K/์ ๊ท๋ชจ โ KubeCost ๋ฌด๋ฃ ํฐ์ด๋ก ์์, ๋ค์์คํ์ด์ค๋ณ ๋น์ฉ ๊ฐ์์ฑ ํ๋ณด ํ Right-sizing ์ ์ฉ. Savings Plans๋ก ์ฅ๊ธฐ ์ ๊ฐ
๋ถ์ฐ ์ถ์ ๊ตฌํ: ADOT โ X-Ray / Tempo
App (OTel SDK)
โ
ADOT Collector
DaemonSet
โ
DaemonSet
X-Ray (AWS ๋ค์ดํฐ๋ธ)
Tempo (Grafana ์ฐ๋)
๋น ๋ฅธ ์์ โ AWS ๊ด๋ฆฌํ
- ADOT Collector DaemonSet ์ค์น (EKS Add-on ์ง์)
- X-Ray ์๋ ์ฐ๋ โ AWS Console์์ ํธ๋ ์ด์ค ํ์ธ
- Java/Node.js Auto-instrumentation์ผ๋ก ์ฝ๋ ๋ณ๊ฒฝ ์ต์ํ
# ADOT Add-on ์ค์น
aws eks create-addon \
--cluster-name hwahae-eks \
--addon-name adot \
--addon-version v0.92.1-eksbuild.1
Grafana ํตํฉ โ Logs/Metrics/Traces ์๊ด๋ถ์
- Grafana Tempo ์ถ๊ฐ ์ค์น (S3 ๋ฐฑ์๋)
- ADOT Collector์ Tempo exporter ์ถ๊ฐ
- Grafana์์ Loki โ Prometheus โ Tempo ์ฐ๊ฒฐ
- TraceID๋ก ๋ก๊ทธ-๋ฉํธ๋ฆญ-ํธ๋ ์ด์ค ์ํด๋ฆญ ์ ํ
์๋น์ค ๊ณ์ธก ํ๋
- Auto-instrumentation โ Manual Spans ์ถ๊ฐ
- ๋น์ฆ๋์ค ๋ก์ง ํต์ฌ ๊ตฌ๊ฐ ์ปค์คํ Span
- DB ์ฟผ๋ฆฌ, ์ธ๋ถ API ํธ์ถ ์ถ์
- Sampling ์ ๋ต ์๋ฆฝ (Head-based โ Tail-based)
ํ์ฌ "๋ถ์ฐ ์ถ์ ๋ฏธ๊ตฌ์ถ" โ 1๋จ๊ณ ADOT + X-Ray๋ถํฐ ์์ ๊ถ์ฅ. EKS Add-on์ผ๋ก ์ค์นํ๋ฉด Terraform์ผ๋ก ๊ด๋ฆฌ ๊ฐ๋ฅ
30/60/90์ผ ๋ง์ด๊ทธ๋ ์ด์ ๋ก๋๋งต
- Day 1-30: ๊ธฐ๋ฐ ๊ตฌ์ถ
- EKS ํด๋ฌ์คํฐ ํ๋ก๋น์ ๋ (Terraform/eksctl) - GitOps ํ์ดํ๋ผ์ธ ๊ตฌ์ฑ (ArgoCD) - Karpenter ๋ ธ๋ ์คํ ์ค์ผ์ผ๋ง ์ค์ - ๋คํธ์ํฌ ์ ์ฑ ๋ฐ ๋ณด์ ๊ธฐ๋ณธ ์ค์
- Day 31-60: ์ํฌ๋ก๋ ๋ง์ด๊ทธ๋ ์ด์
- Stateless ์๋น์ค ๋จผ์ ๋ง์ด๊ทธ๋ ์ด์ - Canary ๋ฐฐํฌ๋ก ํธ๋ํฝ ์ ์ง์ ์ ํ - Observability ์คํ ๊ตฌ์ถ (Prometheus, Loki) - KEDA ์ด๋ฒคํธ ๊ธฐ๋ฐ ์ค์ผ์ผ๋ง ์ ์ฉ
- Day 61-90: ์ต์ ํ ๋ฐ ์์ ํ
- Stateful ์๋น์ค ๋ง์ด๊ทธ๋ ์ด์ (DB ์ฐ๋) - ๋น์ฉ ์ต์ ํ (Spot, Savings Plans) - ์ด์ ์๋ํ (์ ๊ทธ๋ ์ด๋ ํ์ดํ๋ผ์ธ) - ECS ํด๋ฌ์คํฐ ์ข ๋ฃ ๋ฐ ์ ๋ฆฌ
Deep Dive ์ฐธ์กฐ ๋งํฌ
Block 05 Quiz
Q1: Observability์ 3๊ฐ์ง ์ถ์ด ์๋ ๊ฒ์?
Q2: Prometheus๊ฐ ๋ฉํธ๋ฆญ์ ์์งํ๋ ๋ฐฉ์์?
Q3: EKS ํด๋ฌ์คํฐ ์
๊ทธ๋ ์ด๋ ์ ๊ถ์ฅ๋๋ ์ ๋ต์?
์๊ณ ํ์ จ์ต๋๋ค!
์ ์ฒด ์ธ์ ์ง๋ฌธ & ํผ๋๋ฐฑ์ ํ์ํฉ๋๋ค
Speaker: ์ค์ค์ (์ค์ค์ (Junseok Oh)) ยท Email: junseoko@amazon.com
GitBook: atomoh.gitbook.io/kubernetes-docs