diff --git a/content/ko/case-studies/ibm/ibm_featured_logo.png b/content/ko/case-studies/ibm/ibm_featured_logo.png index b819876bf790a..adb07a8cdf588 100644 Binary files a/content/ko/case-studies/ibm/ibm_featured_logo.png and b/content/ko/case-studies/ibm/ibm_featured_logo.png differ diff --git a/content/ko/docs/concepts/_index.md b/content/ko/docs/concepts/_index.md index 00fc1b62c3a51..89df24dfb6c22 100644 --- a/content/ko/docs/concepts/_index.md +++ b/content/ko/docs/concepts/_index.md @@ -15,7 +15,7 @@ weight: 40 ## 개요 -쿠버네티스를 사용하려면, *쿠버네티스 API 오브젝트로* 클러스터에 대해 사용자가 *바라는 상태를* 기술해야 한다. 어떤 애플리케이션이나 워크로드를 구동시키려고 하는지, 어떤 컨테이너 이미지를 쓰는지, 복제의 수는 몇 개인지, 어떤 네트워크와 디스크 자원을 쓸 수 있도록 할 것인지 등을 의미한다. 바라는 상태를 설정하는 방법은 쿠버네티스 API를 사용해서 오브젝트를 만드는 것인데, 대개 `kubectl`이라는 명령줄 인터페이스를 사용한다. 클러스터와 상호 작용하고 바라는 상태를 설정하거나 수정하기 위해서 쿠버네티스 API를 직접 사용할 수도 있다. +쿠버네티스를 사용하려면, *쿠버네티스 API 오브젝트로* 클러스터에 대해 사용자가 *바라는 상태를* 기술해야 한다. 어떤 애플리케이션이나 워크로드를 구동시키려고 하는지, 어떤 컨테이너 이미지를 쓰는지, 복제의 수는 몇 개인지, 어떤 네트워크와 디스크 자원을 쓸 수 있도록 할 것인지 등을 의미한다. 바라는 상태를 설정하는 방법은 쿠버네티스 API를 사용해서 오브젝트를 만드는 것인데, 대개 `kubectl`이라는 커맨드라인 인터페이스를 사용한다. 클러스터와 상호 작용하고 바라는 상태를 설정하거나 수정하기 위해서 쿠버네티스 API를 직접 사용할 수도 있다. 일단 바라는 상태를 설정하고 나면, *쿠버네티스 컨트롤 플레인이* 클러스터의 현재 상태를 바라는 상태와 일치시키기 위한 일을 하게 된다. 그렇게 함으로써, 쿠버네티스가 컨테이너를 시작 또는 재시작 시키거나, 주어진 애플리케이션의 복제 수를 스케일링하는 등의 다양한 작업을 자동으로 수행할 수 있게 된다. 쿠버네티스 컨트롤 플레인은 클러스터에서 돌아가는 프로세스의 집합으로 구성된다. @@ -51,7 +51,7 @@ weight: 40 ### 쿠버네티스 마스터 -클러스터에 대해 바라는 상태를 유지할 책임은 쿠버네티스 마스터에 있다. `kubectl` 명령줄 인터페이스와 같은 것을 사용해서 쿠버네티스로 상호 작용할 때에는 쿠버네티스 마스터와 통신하고 있는 셈이다. +클러스터에 대해 바라는 상태를 유지할 책임은 쿠버네티스 마스터에 있다. `kubectl` 커맨드라인 인터페이스와 같은 것을 사용해서 쿠버네티스로 상호 작용할 때에는 쿠버네티스 마스터와 통신하고 있는 셈이다. > "마스터"는 클러스터 상태를 관리하는 프로세스의 집합이다. 주로 이 프로세스는 클러스터 내 단일 노드에서 구동되며, 이 노드가 바로 마스터이다. 마스터는 가용성과 중복을 위해 복제될 수도 있다. diff --git a/content/ko/docs/concepts/architecture/cloud-controller.md b/content/ko/docs/concepts/architecture/cloud-controller.md new file mode 100644 index 0000000000000..9e79b765010d0 --- /dev/null +++ b/content/ko/docs/concepts/architecture/cloud-controller.md @@ -0,0 +1,262 @@ +--- +title: 클라우트 컨트롤러 매니저 기반에 관한 개념 +content_template: templates/concept +weight: 30 +--- + +{{% capture overview %}} + +클라우드 컨트롤러 매니저(CCM) 개념(바이너리와 혼동하지 말 것)은 본래 클라우드 벤더에 특화된 코드와 쿠버네티스 코어가 상호 독립적으로 진화할 수 있도록 해주기 위해 생성되었다. 클라우드 컨트롤러 매니저는 쿠버네티스 컨트롤러 매니저, API 서버, 그리고 스케줄러와 같은 다른 마스터 컴포넌트와 함께 동작된다. 또한 쿠버네티스 위에서 동작하는 경우에는, 쿠버네티스 애드온으로서 구동된다. + +클라우드 컨트롤러 매니저의 디자인은 새로운 클라우드 제공사업자가 플러그인을 이용하여 쉽게 쿠버네티스와 함께 통합하도록 허용해 주는 플러그인 메커니즘을 토대로 한다. 쿠버네티스에 새로운 클라우드 제공사업자를 적응시키기 위한 그리고 기존 모델에서 새로운 CCM 모델로 클라우드 제공사업자들이 전환을 이루기 위한 준비된 계획들이 있다. + +이 문서는 클라우드 컨트롤러 매니저 이면상의 개념들을 논의하고 그것과 연관된 기능들에 대한 세부적인 사항들을 제시한다. + +다음은 클라우드 컨트롤러 매니저가 존재하지 않는 형태의 쿠버네티스 클러스터 아키텍처이다. + +![Pre CCM Kube Arch](/images/docs/pre-ccm-arch.png) + +{{% /capture %}} + + +{{% capture body %}} + +## 디자인 + +이전 다이어그램에서, 쿠버네티스와 클라우드 제공사업자는 여러 상이한 컴포넌트들을 통해 통합되었다. + +* Kubelet +* 쿠버네티스 컨트롤러 매니저 +* 쿠버네티스 API 서버 + +CCM은 앞의 세 컴포넌트가 가진 클라우드 의존적인 로직을 한 곳에 모아서 클라우드 통합을 위한 단일 포인트를 만들었다. CCM을 활용한 새로운 아키텍처는 다음과 같다. + +![CCM Kube Arch](/images/docs/post-ccm-arch.png) + +## CCM의 컴포넌트 + +CCM은 쿠버네티스 컨트롤러 매니저(KCM)의 기능 일부를 독립시키고 분리된 프로세스로서 그것을 작동시킨다. 특히, 클라우드 종속적인 KCM 내 컨트롤러들을 독립시킨다. KCM은 다음과 같은 클라우드 종속적인 컨트롤러 루프를 가진다. + + * 노드 컨트롤러 + * 볼륨 컨트롤러 + * 라우트 컨트롤러 + * 서비스 컨트롤러 + +버전 1.9 에서, CCM은 이전 리스트로부터 다음의 컨트롤러를 작동시킨다. + +* 노드 컨트롤러 +* 라우트 컨트롤러 +* 서비스 컨트롤러 + +추가적으로, PersistentVolumeLabels 컨트롤러라 불리는 다른 컨트롤러를 작동시킨다. 이 컨트롤러는 GCP와 AWS 클라우드 내 생성된 PersistentVolumes 상에 영역과 지역 레이블을 설정하는 책임을 가진다. + +{{< note >}} +볼륨 컨트롤러는 의도적으로 CCM의 일부가 되지 않도록 선택되었다. 연관된 복잡성 때문에 그리고 벤더 특유의 볼륨 로직 개념을 일반화 하기 위한 기존의 노력때문에, 볼륨 컨트롤러는 CCM으로 이전되지 않도록 결정되었다. +{{< /note >}} + +CCM을 이용하는 볼륨을 지원하기 위한 원래 계획은 플러그형 볼륨을 지원하기 위한 Flex 볼륨을 사용하기 위한 것이었다. 그러나, CSI라 알려진 경쟁적인 노력이 Flex를 대체하도록 계획되고 있다. + +이러한 역동성을 고려하여, CSI가 준비될 때까지 차이점에 대한 측정은 도중에 중지하기로 결정하였다. + +## CCM의 기능 + +CCM은 클라우드 제공사업자에 종속적인 쿠버네티스 컴포넌트로부터 그 속성을 상속받는다. 이번 섹션은 그러한 컴포넌트를 근거로 구성되었다. + +### 1. 쿠버네티스 컨트롤러 매니저 + +CCM의 주요 기능은 KCM으로부터 파생된다. 이전 섹션에서 언급한 바와 같이, CCM은 다음의 컨트롤러 루프를 작동시킨다. + +* 노드 컨트롤러 +* 라우트 컨트롤러 +* 서비스 컨트롤러 +* PersistentVolumeLabels 컨트롤러 + +#### 노드 컨트롤러 + +노드 컨트롤러는 클라우드 제공사업자의 클러스터에서 동작중인 노드에 대한 정보를 얻음으로써 노드를 초기화할 책임을 가진다. 노드 컨트롤러는 다음 기능을 수행한다. + +1. 클라우드 특유의 영역/지역 레이블을 이용한 노드를 초기화한다. +2. 클라우드 특유의 인스턴스 세부사항, 예를 들어, 타입 그리고 크기 등을 이용한 노드를 초기화한다. +3. 노드의 네트워크 주소와 호스트네임을 취득한다. +4. 노드가 무응답일 경우, 클라우드로부터 해당 노드가 삭제된 것인지 확인한다. 클라우드로부터 삭제된 것이라면, 쿠버네티스 노드 오브젝트를 삭제한다. + +#### 라우트 컨트롤러 + +라우트 컨트롤러는 클라우드에서 적합하게 경로를 구성하는 책임을 가지며 쿠버네티스 클러스터 내 상이한 노드 상의 컨테이너들이 상호 소통할 수 있도록 해준다. 라우트 컨트롤러는 오직 Google Compute Engine 클러스터에서만 적용가능 하다. + +#### 서비스 컨트롤러 + +서비스 컨트롤러는 서비스 생성, 업데이트, 그리고 이벤트 삭제에 대한 책임을 가진다. 쿠버네티스 내 서비스의 현재 상태를 근거로, 쿠버네티스 내 서비스의 상태를 나타내기 위해 클라우드 로드 밸런서(ELB 또는 구글 LB와 같은)를 구성해준다. 추가적으로, 클라우드 로드 밸런서를 위한 서비스 백엔드가 최신화 되도록 보장해 준다. + +#### PersistentVolumeLabels 컨트롤러 + +PersistentVolumeLabels 컨트롤러는 AWS EBS/GCE PD 볼륨이 생성되는 시점에 레이블을 적용한다. 이로써 사용자가 수동으로 이들 볼륨에 레이블을 설정할 필요가 없어진다. + +이들 볼륨은 오직 그것들이 속한 지역/영역 내에서만 동작되도록 제한되므로 파드 스케줄에 필수적이다. 이들 볼륨을 이용하는 모든 파드는 동일한 지역/영역 내에서 스케줄 되어야 한다. + +PersistentVolumeLabels 컨트롤러는 특별하게 CCM을 위해 생성되었다. 즉, CCM이 생성되기 전에는 없었다. 쿠버네티스 API 서버의 PV에 레이블을 붙이는 로직(어드미션 컨트롤러였다)을 CCM에 옮겨서 그렇게 만들었다. + +### 2. Kubelet + +노드 컨트롤러는 kubelet의 클라우드 종속적인 기능을 포함한다. CCM이 도입되기 이전에는, kubelet 이 IP 주소, 지역/영역 레이블 그리고 인스턴스 타입 정보와 같은 클라우드 특유의 세부사항으로 노드를 초기화하는 책임을 가졌다. CCM의 도입으로 kubelet에서 CCM으로 이 초기화 작업이 이전되었다. + +이 새로운 모델에서, kubelet은 클라우드 특유의 정보 없이 노드를 초기화 해준다. 그러나, kubelet은 새로 생성된 노드에 taint를 추가해서 CCM이 클라우드에 대한 정보를 가지고 노드를 초기화하기 전까지는 스케줄되지 않도록 한다. 그러고 나서 이 taint를 제거한다. + +### 3. 쿠버네티스 API 서버 + +PersistentVolumeLabels 컨트롤러는 이전 섹션에서 기술한 바와 같이, 쿠버네티스 API 서버의 클라우드 종속적인 기능을 CCM으로 이전한다. + +## 플러그인 메커니즘 + +클라우드 컨트롤러 매니저는 어떠한 클라우드에서든지 플러그 인 되어 구현될 수 있도록 Go 인터페이스를 이용한다. 구체적으로, [여기](https://github.com/kubernetes/cloud-provider/blob/9b77dc1c384685cb732b3025ed5689dd597a5971/cloud.go#L42-L62)에 정의된 CloudProvider 인터페이스를 이용한다. + +위에서 강조되었던 4개의 공유 컨트롤러의 구현, 그리고 공유 cloudprovider 인터페이스와 더불어 일부 골격은 쿠버네티스 코어 내에 유지될 것이다. 클라우드 제공사업자 특유의 구현은 코어의 외부에 탑재되어 코어 내에 정의된 인터페이스를 구현할 것이다. + +개발 중인 플러그인에 대한 보다 자세한 정보는, [클라우드 컨트롤러 매니저 개발하기](/docs/tasks/administer-cluster/developing-cloud-controller-manager/)를 참고한다. + +## 인가 + +이 섹션은 CCM에 의해 작업을 수행하기 위해 다양한 API 오브젝트에서 요구되는 접근에 대해 구분해 본다. + +### 노드 컨트롤러 + +노드 컨트롤러는 오직 노드 오브젝트와 동작한다. 노드 오브젝트를 get, list, create, update, patch, watch, 그리고 delete 하기 위한 모든 접근을 요한다. + +v1/Node: + +- Get +- List +- Create +- Update +- Patch +- Watch +- Delete + +### 라우트 컨트롤러 + +라우트 컨트롤러는 노드 오브젝트 생성에 대해 귀기울이고 적절하게 라우트를 구성한다. 노드 오브젝트에 대한 get 접근을 요한다. + +v1/Node: + +- Get + +### 서비스 컨트롤러 + +서비스 컨트롤러는 서비스 오브젝트 create, update 그리고 delete에 대해 귀기울이고, 서비스를 위해 적절하게 엔드포인트를 구성한다. + +서비스에 접근하기 위해, list, 그리고 watch 접근을 요한다. 서비스 update를 위해 patch와 update 접근을 요한다. + +서비스에 대한 엔드포인트 설정을 위해, create, list, get, watch, 그리고 update를 하기위한 접근을 요한다. + +v1/Service: + +- List +- Get +- Watch +- Patch +- Update + +### PersistentVolumeLabels 컨트롤러 + +PersistentVolumeLabels 컨트롤러는 PersistentVolume(PV) 생성 이벤트에 대해 귀기울이고 그것을 업데이트 한다. 이 컨트롤러는 PV를 get 하고 update 하기 위한 접근을 요한다. + +v1/PersistentVolume: + +- Get +- List +- Watch +- Update + +### 그 외의 것들 + +CCM의 코어에 대한 구현은 이벤트를 create 하고, 보안 작업을 보장하기 위한 접근을 요하며, ServiceAccount를 create 하기 위한 접근을 요한다. + +v1/Event: + +- Create +- Patch +- Update + +v1/ServiceAccount: + +- Create + +CCM에 대한 RBAC ClusterRole은 다음과 같다. + +```yaml +apiVersion: rbac.authorization.k8s.io/v1 +kind: ClusterRole +metadata: + name: cloud-controller-manager +rules: +- apiGroups: + - "" + resources: + - events + verbs: + - create + - patch + - update +- apiGroups: + - "" + resources: + - nodes + verbs: + - '*' +- apiGroups: + - "" + resources: + - nodes/status + verbs: + - patch +- apiGroups: + - "" + resources: + - services + verbs: + - list + - patch + - update + - watch +- apiGroups: + - "" + resources: + - serviceaccounts + verbs: + - create +- apiGroups: + - "" + resources: + - persistentvolumes + verbs: + - get + - list + - update + - watch +- apiGroups: + - "" + resources: + - endpoints + verbs: + - create + - get + - list + - watch + - update +``` + +## 벤더 구현사항 + +다음은 클라우드 제공사업자들이 구현한 CCM들이다. + +* [Digital Ocean](https://github.com/digitalocean/digitalocean-cloud-controller-manager) +* [Oracle](https://github.com/oracle/oci-cloud-controller-manager) +* [Azure](https://github.com/kubernetes/kubernetes/tree/master/pkg/cloudprovider/providers/azure) +* [GCE](https://github.com/kubernetes/kubernetes/tree/master/pkg/cloudprovider/providers/gce) +* [AWS](https://github.com/kubernetes/kubernetes/tree/master/pkg/cloudprovider/providers/aws) + +## 클러스터 관리 + +CCM을 구성하고 작동하기 위한 전체 안내는 [여기](/docs/tasks/administer-cluster/running-cloud-controller/#cloud-controller-manager)에서 제공된다. + +{{% /capture %}} diff --git a/content/ko/docs/concepts/containers/container-lifecycle-hooks.md b/content/ko/docs/concepts/containers/container-lifecycle-hooks.md new file mode 100644 index 0000000000000..37a0c02d5a404 --- /dev/null +++ b/content/ko/docs/concepts/containers/container-lifecycle-hooks.md @@ -0,0 +1,120 @@ +--- +title: 컨테이너 라이프사이클 훅(Hook) +content_template: templates/concept +weight: 30 +--- + +{{% capture overview %}} + +이 페이지는 kubelet이 관리하는 컨테이너가 관리 라이프사이클 동안의 이벤트에 의해 발동되는 코드를 실행하기 위해서 +컨테이너 라이프사이클 훅 프레임워크를 사용하는 방법에 대해서 설명한다. + +{{% /capture %}} + + +{{% capture body %}} + +## 개요 + +Angular와 같이, 컴포넌트 라이프사이클 훅을 가진 많은 프로그래밍 언어 프레임워크와 유사하게, +쿠버네티스도 컨테이너에 라이프사이클 훅을 제공한다. +훅은 컨테이너가 관리 라이프사이클의 이벤트를 인지하고 상응하는 +라이프사이클 훅이 실행될 때 핸들러에 구현된 코드를 실행할 수 있게 한다. + +## 컨테이너 훅 + +컨테이너에 노출되는 훅은 두 가지가 있다. + +`PostStart` + +이 훅은 컨테이너가 생성된 직후에 실행된다. +그러나, 훅이 컨테이너 엔트리포인트에 앞서서 실행된다는 보장은 없다. +파라미터는 핸들러에 전달되지 않는다. + +`PreStop` + +이 훅은 컨테이너가 종료되기 직전에 호출된다. +그것은 동기적인 동작을 의미하는, 차단(blocking)을 수행하고 있으므로, +컨테이너를 삭제하기 위한 호출이 전송되기 전에 완료되어야한다. +파라미터는 핸들러에 전달되지 않는다. + +종료 동작에 더 자세한 대한 설명은 +[파드의 종료](/docs/concepts/workloads/pods/pod/#termination-of-pods)에서 찾을 수 있다. + +### 훅 핸들러 구현 + +컨테이너는 훅의 핸들러를 구현하고 등록함으로써 해당 훅에 접근할 수 있다. +구현될 수 있는 컨테이너의 훅 핸들러에는 두 가지 유형이 있다. + +* Exec - 컨테이너의 cgroups와 네임스페이스 안에서, `pre-stop.sh`와 같은, 특정 커맨드를 실행. +커맨드에 의해 소비된 리소스는 해당 컨테이너에 대해 계산된다. +* HTTP - 컨테이너의 특정 엔드포인트에 대해서 HTTP 요청을 실행. + +### 훅 핸들러 실행 + +컨테이너 라이프사이클 관리 훅이 호출되면, +쿠버네티스 관리 시스템은 해당 훅이 등록된 컨테이너에서 핸들러를 실행한다. + +훅 핸들러 호출은 해당 컨테이너를 포함하고 있는 파드의 맥락과 동기적으로 동작한다. +이것은 `PostStart` 훅에 대해서, +훅이 컨테이너 엔트리포인트와는 비동기적으로 동작함을 의미한다. +그러나, 만약 해당 훅이 너무 오래 동작하거나 어딘가에 걸려 있다면, +컨테이너는 `running` 상태에 이르지 못한다. + +이러한 동작은 `PreStop` 훅에 대해서도 비슷하게 일어난다. +만약 훅이 실행되던 도중에 매달려 있다면, +파드의 단계(phase)는 `Terminating` 상태에 머물고 해당 훅은 파드의 `terminationGracePeriodSeconds`가 끝난 다음에 종료된다. +만약 `PostStart` 또는 `PreStop` 훅이 실패하면, +그것은 컨테이너를 종료시킨다. + +사용자는 훅 핸들러를 가능한 한 가볍게 만들어야 한다. +그러나, 컨테이너가 멈추기 전 상태를 저장하는 것과 같이, +오래 동작하는 커맨드가 의미 있는 경우도 있다. + +### 훅 전달 보장 + +훅 전달은 *한 번 이상* 으로 의도되어 있는데, +이는 `PostStart` 또는 `PreStop`와 같은 특정 이벤트에 대해서, +훅이 여러 번 호출될 수 있다는 것을 의미한다. +이것을 올바르게 처리하는 것은 훅의 구현에 달려 있다. + +일반적으로, 전달은 단 한 번만 이루어진다. +예를 들어, HTTP 훅 수신기가 다운되어 트래픽을 받을 수 없는 경우에도, +재전송을 시도하지 않는다. +그러나, 드문 경우로, 이중 전달이 발생할 수 있다. +예를 들어, 훅을 전송하는 도중에 kubelet이 재시작된다면, +Kubelet이 구동된 후에 해당 훅은 재전송될 것이다. + +### 디버깅 훅 핸들러 + +훅 핸들러의 로그는 파드 이벤트로 노출되지 않는다. +만약 핸들러가 어떠한 이유로 실패하면, 핸들러는 이벤트를 방송한다. +`PostStart`의 경우, 이것은 `FailedPostStartHook` 이벤트이며, +`PreStop`의 경우, 이것은 `FailedPreStopHook` 이벤트이다. +이 이벤트는 `kubectl describe pod <파드_이름>`를 실행하면 볼 수 있다. +다음은 이 커맨드 실행을 통한 이벤트 출력의 몇 가지 예다. + +``` +Events: + FirstSeen LastSeen Count From SubobjectPath Type Reason Message + --------- -------- ----- ---- ------------- -------- ------ ------- + 1m 1m 1 {default-scheduler } Normal Scheduled Successfully assigned test-1730497541-cq1d2 to gke-test-cluster-default-pool-a07e5d30-siqd + 1m 1m 1 {kubelet gke-test-cluster-default-pool-a07e5d30-siqd} spec.containers{main} Normal Pulling pulling image "test:1.0" + 1m 1m 1 {kubelet gke-test-cluster-default-pool-a07e5d30-siqd} spec.containers{main} Normal Created Created container with docker id 5c6a256a2567; Security:[seccomp=unconfined] + 1m 1m 1 {kubelet gke-test-cluster-default-pool-a07e5d30-siqd} spec.containers{main} Normal Pulled Successfully pulled image "test:1.0" + 1m 1m 1 {kubelet gke-test-cluster-default-pool-a07e5d30-siqd} spec.containers{main} Normal Started Started container with docker id 5c6a256a2567 + 38s 38s 1 {kubelet gke-test-cluster-default-pool-a07e5d30-siqd} spec.containers{main} Normal Killing Killing container with docker id 5c6a256a2567: PostStart handler: Error executing in Docker Container: 1 + 37s 37s 1 {kubelet gke-test-cluster-default-pool-a07e5d30-siqd} spec.containers{main} Normal Killing Killing container with docker id 8df9fdfd7054: PostStart handler: Error executing in Docker Container: 1 + 38s 37s 2 {kubelet gke-test-cluster-default-pool-a07e5d30-siqd} Warning FailedSync Error syncing pod, skipping: failed to "StartContainer" for "main" with RunContainerError: "PostStart handler: Error executing in Docker Container: 1" + 1m 22s 2 {kubelet gke-test-cluster-default-pool-a07e5d30-siqd} spec.containers{main} Warning FailedPostStartHook +``` + +{{% /capture %}} + +{{% capture whatsnext %}} + +* [컨테이너 환경](/docs/concepts/containers/container-environment-variables/)에 대해 더 배우기. +* [컨테이너 라이프사이클 이벤트에 핸들러 부착](/docs/tasks/configure-pod-container/attach-handler-lifecycle-event/) + 실습 경험하기. + +{{% /capture %}} diff --git a/content/ko/docs/concepts/containers/images.md b/content/ko/docs/concepts/containers/images.md new file mode 100644 index 0000000000000..740d2182cdf4c --- /dev/null +++ b/content/ko/docs/concepts/containers/images.md @@ -0,0 +1,371 @@ +--- +title: Images +content_template: templates/concept +weight: 10 +--- + +{{% capture overview %}} + +사용자 Docker 이미지를 생성하고 레지스트리에 푸시(push)하여 쿠버네티스 파드에서 참조되기 이전에 대비한다. + +컨테이너의 `image` 속성은 `docker` 커맨드에서 지원하는 문법과 같은 문법을 지원한다. 이는 프라이빗 레지스트리와 태그를 포함한다. + +{{% /capture %}} + + +{{% capture body %}} + +## 이미지 업데이트 + +기본 풀(pull) 정책은 `IfNotPresent`이며, 이것은 Kubelet이 이미 +존재하는 이미지에 대한 풀을 생략하게 한다. 만약 항상 풀을 강제하고 싶다면, +다음 중 하나를 수행하면 된다. + +- 컨테이너의 `imagePullPolicy`를 `Always`로 설정. +- `imagePullPolicy`를 생략하고 `:latest`를 사용할 이미지의 태그로 사용. +- `imagePullPolicy`와 사용할 이미지의 태그를 생략. +- [AlwaysPullImages](/docs/reference/access-authn-authz/admission-controllers/#alwayspullimages) 어드미션 컨트롤러를 활성화. + +`:latest` 태그 사용은 피해야 한다는 것을 참고하고, 자세한 정보는 [구성을 위한 모범 사례](/docs/concepts/configuration/overview/#container-images)를 참고한다. + +## 매니페스트로 멀티-아키텍처 이미지 빌드 + +Docker CLI는 현재 `docker manifest` 커맨드와 `create`, `annotate`, `push`와 같은 서브 커맨드를 함께 지원한다. 이 커맨드는 매니페스트를 빌드하고 푸시하는데 사용할 수 있다. 매니페스트를 보기 위해서는 `docker manifest inspect`를 사용하면 된다. + +다음에서 docker 문서를 확인하기 바란다. +https://docs.docker.com/edge/engine/reference/commandline/manifest/ + +이것을 사용하는 방법에 대한 예제는 빌드 하니스(harness)에서 참조한다. +https://cs.k8s.io/?q=docker%20manifest%20(create%7Cpush%7Cannotate)&i=nope&files=&repos= + +이 커맨드는 Docker CLI에 의존하며 그에 전적으로 구현된다. `$HOME/.docker/config.json` 편집 및 `experimental` 키를 `enabled`로 설정하거나, CLI 커맨드 호출 시 간단히 `DOCKER_CLI_EXPERIMENTAL` 환경 변수를 `enabled`로만 설정해도 된다. + +{{< note >}} +Docker *18.06 또는 그 이상* 을 사용하길 바란다. 더 낮은 버전은 버그가 있거나 실험적인 명령줄 옵션을 지원하지 않는다. 예를 들어 https://github.com/docker/cli/issues/1135 는 containerd에서 문제를 일으킨다. +{{< /note >}} + +오래된 매니페스트 업로드를 실행하는 데 어려움을 겪는다면, `$HOME/.docker/manifests`에서 오래된 매니페스트를 정리하여 새롭게 시작하면 된다. + +쿠버네티스의 경우, 일반적으로 접미사 `-$(ARCH)`가 있는 이미지를 사용해 왔다. 하위 호환성을 위해, 접미사가 있는 구형 이미지를 생성하길 바란다. 접미사에 대한 아이디어는 모든 아키텍처를 위한 매니페스트를 가졌다는 의미가 내포된 `pause` 이미지를 생성하고, 접미사가 붙은 이미지가 하드 코드되어 있을 오래된 구성 또는 YAML 파일에 대해 하위 호환된다는 의미가 내포되어 있는 `pause-amd64`를 생성하기 위한 것이다. + +## 프라이빗 레지스트리 사용 + +프라이빗 레지스트리는 해당 레지스트리에서 이미지를 읽을 수 있는 키를 요구할 것이다. +자격 증명(credential)은 여러 가지 방법으로 제공될 수 있다. + + - Google 컨테이너 레지스트리 사용 + - 각 클러스터에 대하여 + - Google 컴퓨트 엔진 또는 Google 쿠버네티스 엔진에서 자동적으로 구성됨 + - 모든 파드는 해당 프로젝트의 프라이빗 레지스트리를 읽을 수 있음 + - AWS EC2 컨테이너 레지스트리(ECR) 사용 + - IAM 역할 및 정책을 사용하여 ECR 저장소에 접근을 제어함 + - ECR 로그인 자격 증명은 자동으로 갱신됨 + - Azure 컨테이너 레지스트리(ACR) 사용 + - IBM 클라우드 컨테이너 레지스트리 사용 + - 프라이빗 레지스트리에 대한 인증을 위한 노드 구성 + - 모든 파드는 구성된 프라이빗 레지스트리를 읽을 수 있음 + - 클러스터 관리자에 의한 노드 구성 필요 + - 미리 풀링(pre-pulling)된 이미지 + - 모든 파드는 노드에 캐시된 모든 이미지를 사용 가능 + - 셋업을 위해서는 모든 노드에 대해서 root 접근이 필요 + - 파드에 ImagePullSecrets을 명시 + - 자신의 키를 제공하는 파드만 프라이빗 레지스트리에 접근 가능 + +각 옵션은 아래에서 더 자세히 설명한다. + + +### Google 컨테이너 레지스트리 사용 + +쿠버네티스는 Google 컴퓨트 엔진(GCE)에서 동작할 때, [Google 컨테이너 +레지스트리(GCR)](https://cloud.google.com/tools/container-registry/)를 자연스럽게 +지원한다. 사용자의 클러스터가 GCE 또는 Google 쿠버네티스 엔진에서 동작 중이라면, 간단히 +이미지의 전체 이름(예: gcr.io/my_project/image:tag)을 사용하면 된다. + +클러스터 내에서 모든 파드는 해당 레지스트리에 있는 이미지에 읽기 접근 권한을 가질 것이다. + +Kubelet은 해당 인스턴스의 Google 서비스 계정을 이용하여 GCR을 인증할 것이다. +인스턴스의 서비스 계정은 `https://www.googleapis.com/auth/devstorage.read_only`라서, +프로젝트의 GCR로부터 풀은 할 수 있지만 푸시는 할 수 없다. + +### AWS EC2 컨테이너 레지스트리 사용 + +쿠버네티스는 노드가 AWS EC2 인스턴스일 때, [AWS EC2 컨테이너 +레지스트리](https://aws.amazon.com/ecr/)를 자연스럽게 지원한다. + +간단히 이미지의 전체 이름(예: `ACCOUNT.dkr.ecr.REGION.amazonaws.com/imagename:tag`)을 +파드 정의에 사용하면 된다. + +파드를 생성할 수 있는 클러스터의 모든 사용자는 ECR 레지스트리에 있는 어떠한 +이미지든지 파드를 실행하는데 사용할 수 있다. + +kubelet은 ECR 자격 증명을 가져오고 주기적으로 갱신할 것이다. 이것을 위해서는 다음에 대한 권한이 필요하다. + +- `ecr:GetAuthorizationToken` +- `ecr:BatchCheckLayerAvailability` +- `ecr:GetDownloadUrlForLayer` +- `ecr:GetRepositoryPolicy` +- `ecr:DescribeRepositories` +- `ecr:ListImages` +- `ecr:BatchGetImage` + +요구 사항: + +- Kubelet 버전 `v1.2.0` 이상을 사용해야 한다. (예: `/usr/bin/kubelet --version=true`를 실행). +- 노드가 지역 A에 있고 레지스트리가 다른 지역 B에 있다면, 버전 `v1.3.0` 이상이 필요하다. +- 사용자의 지역에서 ECR이 지원되어야 한다. + +문제 해결: + +- 위의 모든 요구 사항을 확인한다. +- 워크스테이션에서 $REGION (예: `us-west-2`)의 자격 증명을 얻는다. 그 자격 증명을 사용하여 해당 호스트로 SSH를 하고 Docker를 수동으로 실행한다. 작동하는가? +- kubelet이 `--cloud-provider=aws`로 실행 중인지 확인한다. +- kubelet 로그에서 (예: `journalctl -u kubelet`) 다음과 같은 로그 라인을 확인한다. + - `plugins.go:56] Registering credential provider: aws-ecr-key` + - `provider.go:91] Refreshing cache for provider: *aws_credentials.ecrProvider` + +### Azure 컨테이너 레지스트리(ACR) 사용 +[Azure 컨테이너 레지스트리](https://azure.microsoft.com/en-us/services/container-registry/)를 사용하는 경우 +관리자 역할의 사용자나 서비스 주체(principal) 중 하나를 사용하여 인증할 수 있다. +어느 경우라도, 인증은 표준 Docker 인증을 통해서 수행된다. 이러한 지침은 +[azure-cli](https://github.com/azure/azure-cli) 명령줄 도구 사용을 가정한다. + +우선 레지스트리를 생성하고 자격 증명을 만들어야한다. 이에 대한 전체 문서는 +[Azure 컨테이너 레지스트리 문서](https://docs.microsoft.com/en-us/azure/container-registry/container-registry-get-started-azure-cli)에서 찾을 수 있다. + +컨테이너 레지스트리를 생성하고 나면, 다음의 자격 증명을 사용하여 로그인한다. + + * `DOCKER_USER` : 서비스 주체 또는 관리자 역할의 사용자명 + * `DOCKER_PASSWORD`: 서비스 주체 패스워드 또는 관리자 역할의 사용자 패스워드 + * `DOCKER_REGISTRY_SERVER`: `${some-registry-name}.azurecr.io` + * `DOCKER_EMAIL`: `${some-email-address}` + +해당 변수에 대한 값을 채우고 나면 +[쿠버네티스 시크릿을 구성하고 그것을 파드 디플로이를 위해서 사용](/docs/concepts/containers/images/#specifying-imagepullsecrets-on-a-pod)할 수 있다. + +### IBM 클라우드 컨테이너 레지스트리 사용 +IBM 클라우드 컨테이너 레지스트리는 멀티-테넌트 프라이빗 이미지 레지스트리를 제공하여 사용자가 Docker 이미지를 안전하게 저장하고 공유할 수 있도록 한다. 기본적으로, +프라이빗 레지스트리의 이미지는 통합된 취약점 조언기(Vulnerability Advisor)를 통해 조사되어 보안 이슈와 잠재적 취약성을 검출한다. IBM 클라우드 계정의 모든 사용자가 이미지에 접근할 수 있도록 하거나, 레지스트리 네임스페이스에 접근을 승인하는 토큰을 생성할 수 있다. + +IBM 클라우드 컨테이너 레지스트리 CLI 플러그인을 설치하고 사용자 이미지를 위한 네임스페이스를 생성하기 위해서는, [IBM 클라우드 컨테이너 레지스트리 시작하기](https://console.bluemix.net/docs/services/Registry/index.html#index)를 참고한다. + +[IBM 클라우드 퍼블릭 이미지](https://console.bluemix.net/docs/services/RegistryImages/index.html#ibm_images) 및 사용자의 프라이빗 이미지로부터 컨테이너를 사용자의 IBM 클라우드 쿠버네티스 서비스 클러스터의 `default` 네임스페이스에 디플로이하기 위해서 IBM 클라우드 컨테이너 레지스트리를 사용하면 된다. 컨테이너를 다른 네임스페이스에 디플로이하거나, 다른 IBM 클라우드 컨테이너 레지스트리 지역 또는 IBM 클라우드 계정을 사용하기 위해서는, 쿠버네티스 `imagePullSecret`를 생성한다. 더 자세한 정보는, [이미지로부터 컨테이너 빌드하기](https://console.bluemix.net/docs/containers/cs_images.html#images)를 참고한다. + +### 프라이빗 레지스트리에 대한 인증을 위한 노드 구성 + +{{< note >}} +Google 쿠버네티스 엔진에서 동작 중이라면, 이미 각 노드에 Google 컨테이너 레지스트리에 대한 자격 증명과 함께 `.dockercfg`가 있을 것이다. 그렇다면 이 방법은 쓸 수 없다. +{{< /note >}} + +{{< note >}} +AWS EC2에서 동작 중이고 EC2 컨테이너 레지스트리(ECR)을 사용 중이라면, 각 노드의 kubelet은 +ECR 로그인 자격 증명을 관리하고 업데이트할 것이다. 그렇다면 이 방법은 쓸 수 없다. +{{< /note >}} + +{{< note >}} +이 방법은 노드의 구성을 제어할 수 있는 경우에만 적합하다. 이 방법은 +GCE 및 자동 노드 교체를 수행하는 다른 클라우드 제공자에 대해서는 신뢰성 있게 작동하지 +않을 것이다. +{{< /note >}} + +Docker는 프라이빗 레지스트리를 위한 키를 `$HOME/.dockercfg` 또는 `$HOME/.docker/config.json` 파일에 저장한다. 만약 동일한 파일을 +아래의 검색 경로 리스트에 넣으면, kubelete은 이미지를 풀 할 때 해당 파일을 자격 증명 공급자로 사용한다. + +* `{--root-dir:-/var/lib/kubelet}/config.json` +* `{cwd of kubelet}/config.json` +* `${HOME}/.docker/config.json` +* `/.docker/config.json` +* `{--root-dir:-/var/lib/kubelet}/.dockercfg` +* `{cwd of kubelet}/.dockercfg` +* `${HOME}/.dockercfg` +* `/.dockercfg` + +{{< note >}} +아마도 kubelet을 위한 사용자의 환경 파일에 `HOME=/root`을 명시적으로 설정해야 할 것이다. +{{< /note >}} + +프라이빗 레지스트리를 사용도록 사용자의 노드를 구성하기 위해서 권장되는 단계는 다음과 같다. 이 +예제의 경우, 사용자의 데스크탑/랩탑에서 아래 내용을 실행한다. + + 1. 사용하고 싶은 각 자격 증명 세트에 대해서 `docker login [서버]`를 실행한다. 이것은 `$HOME/.docker/config.json`를 업데이트한다. + 1. 편집기에서 `$HOME/.docker/config.json`를 보고 사용하고 싶은 자격 증명만 포함하고 있는지 확인한다. + 1. 노드의 리스트를 구한다. 예를 들면 다음과 같다. + - 이름을 원하는 경우: `nodes=$(kubectl get nodes -o jsonpath='{range.items[*].metadata}{.name} {end}')` + - IP를 원하는 경우: `nodes=$(kubectl get nodes -o jsonpath='{range .items[*].status.addresses[?(@.type=="ExternalIP")]}{.address} {end}')` + 1. 로컬의 `.docker/config.json`를 위의 검색 경로 리스트 중 하나에 복사한다. + - 예: `for n in $nodes; do scp ~/.docker/config.json root@$n:/var/lib/kubelet/config.json; done` + +프라이빗 이미지를 사용하는 파드를 생성하여 검증한다. 예를 들면 다음과 같다. + +```yaml +kubectl create -f - <}} +Google 쿠버네티스 엔진에서 동작 중이라면, 이미 각 노드에 Google 컨테이너 레지스트리에 대한 자격 증명과 함께 `.dockercfg`가 있을 것이다. 그렇다면 이 방법은 쓸 수 없다. +{{< /note >}} + +{{< note >}} +이 방법은 노드의 구성을 제어할 수 있는 경우에만 적합하다. 이 방법은 +GCE 및 자동 노드 교체를 수행하는 다른 클라우드 제공자에 대해서는 신뢰성 있게 작동하지 +않을 것이다. +{{< /note >}} + +기본적으로, kubelet은 지정된 레지스트리에서 각 이미지를 풀 하려고 할 것이다. +그러나, 컨테이너의 `imagePullPolicy` 속성이 `IfNotPresent` 또는 `Never`으로 설정되어 있다면, +로컬 이미지가 사용된다(우선적으로 또는 배타적으로). + +레지스트리 인증의 대안으로 미리 풀 된 이미지에 의존하고 싶다면, +클러스터의 모든 노드가 동일한 미리 풀 된 이미지를 가지고 있는지 확인해야 한다. + +이것은 특정 이미지를 속도를 위해 미리 로드하거나 프라이빗 레지스트리에 대한 인증의 대안으로 사용될 수 있다. + +모든 파드는 미리 풀 된 이미지에 대해 읽기 접근 권한을 가질 것이다. + +### 파드에 ImagePullSecrets 명시 + +{{< note >}} +이 방법은 현재 Google 쿠버네티스 엔진, GCE 및 노드 생성이 자동화된 모든 클라우드 제공자에게 +권장된다. +{{< /note >}} + +쿠버네티스는 파드에 레지스트리 키를 명시하는 것을 지원한다. + +#### Docker 구성으로 시크릿 생성 + +대문자 값을 적절히 대체하여, 다음 커맨드를 실행한다. + +```shell +kubectl create secret docker-registry myregistrykey --docker-server=DOCKER_REGISTRY_SERVER --docker-username=DOCKER_USER --docker-password=DOCKER_PASSWORD --docker-email=DOCKER_EMAIL +secret/myregistrykey created. +``` + +만약 다중 레지스트리에 접근이 필요하다면, 각 레지스트리에 대한 하나의 시크릿을 생성할 수 있다. +Kubelet은 파드를 위한 이미지를 풀링할 때 `imagePullSecrets`를 단일의 가상 `.docker/config.json` +에 병합할 것이다. + +파드는 이미지 풀 시크릿을 자신의 네임스페이스에서만 참조할 수 있다. +따라서 이 과정은 네임스페이스 당 한 번만 수행될 필요가 있다. + +##### kubectl create secrets 우회 + +어떤 이유에서 단일 `.docker/config.json`에 여러 항목이 필요하거나 +위의 커맨드를 통해서는 주어지지 않는 제어가 필요한 경우, [json 또는 yaml로 +시크릿 생성](/docs/user-guide/secrets/#creating-a-secret-manually)을 수행할 수 있다. + +다음 사항을 준수해야 한다. + +- `.dockerconfigjson`에 해당 데이터 항목의 이름을 설정 +- Docker 파일을 base64로 인코딩하여 해당 문자열을 붙여넣을 때, + `data[".dockerconfigjson"]` 필드의 값으로써 깨짐 방지 +- `kubernetes.io/dockerconfigjson`에 `type`을 설정 + +예: + +```yaml +apiVersion: v1 +kind: Secret +metadata: + name: myregistrykey + namespace: awesomeapps +data: + .dockerconfigjson: UmVhbGx5IHJlYWxseSByZWVlZWVlZWVlZWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWxsbGxsbGxsbGxsbGxsbGxsbGxsbGxsbGxsbGxsbGx5eXl5eXl5eXl5eXl5eXl5eXl5eSBsbGxsbGxsbGxsbGxsbG9vb29vb29vb29vb29vb29vb29vb29vb29vb25ubm5ubm5ubm5ubm5ubm5ubm5ubm5ubmdnZ2dnZ2dnZ2dnZ2dnZ2dnZ2cgYXV0aCBrZXlzCg== +type: kubernetes.io/dockerconfigjson +``` + + +`error: no objects passed to create`라는 에러 메시지가 나오면, 그것은 base64 인코딩된 문자열이 유효하지 않다는 것을 뜻한다. +`Secret "myregistrykey" is invalid: data[.dockerconfigjson]: invalid value ...`와 유사한 에러 메시지가 나오면, 그것은 +데이터가 성공적으로 un-base64 인코딩되었지만, `.docker/config.json` 파일로는 파싱될 수 없었음을 의미한다. + +#### 파드의 imagePullSecrets 참조 + +이제, `imagePullSecrets` 섹션을 파드의 정의에 추가함으로써 해당 시크릿을 +참조하는 파드를 생성할 수 있다. + +```yaml +apiVersion: v1 +kind: Pod +metadata: + name: foo + namespace: awesomeapps +spec: + containers: + - name: foo + image: janedoe/awesomeapp:v1 + imagePullSecrets: + - name: myregistrykey +``` + +이것은 프라이빗 레지스트리를 사용하는 각 파드에 대해서 수행될 필요가 있다. + +그러나, 이 필드의 셋팅은 [서비스 어카운트](/docs/user-guide/service-accounts) 리소스에 +imagePullSecrets을 셋팅하여 자동화할 수 있다. +자세한 지침을 위해서는 [서비스 어카운트에 ImagePullSecrets 추가](/docs/tasks/configure-pod-container/configure-service-account/#add-imagepullsecrets-to-a-service-account)를 확인한다. + +이것은 노드 당 `.docker/config.json`와 함께 사용할 수 있다. 자격 증명은 +병합될 것이다. 이 방법은 Google 쿠버네티스 엔진에서 작동될 것이다. + +### 유스케이스 + +프라이빗 레지스트리를 구성하기 위한 많은 솔루션이 있다. 다음은 여러 가지 +일반적인 유스케이스와 제안된 솔루션이다. + +1. 비소유 이미지(예를 들어, 오픈소스)만 실행하는 클러스터의 경우. 이미지를 숨길 필요가 없다. + - Docker hub의 퍼블릭 이미지를 사용한다. + - 설정이 필요 없다. + - GCE 및 Google 쿠버네티스 엔진에서는, 속도와 가용성 향상을 위해서 로컬 미러가 자동적으로 사용된다. +1. 모든 클러스터 사용자에게는 보이지만, 회사 외부에는 숨겨야하는 일부 독점 이미지를 + 실행하는 클러스터의 경우. + - 호스트 된 프라이빗 [Docker 레지스트리](https://docs.docker.com/registry/)를 사용한다. + - 그것은 [Docker Hub](https://hub.docker.com/signup)에 호스트 되어 있거나, 다른 곳에 되어 있을 것이다. + - 위에 설명된 바와 같이 수동으로 .docker/config.json을 구성한다. + - 또는, 방화벽 뒤에서 읽기 접근 권한을 가진 내부 프라이빗 레지스트리를 실행한다. + - 쿠버네티스 구성은 필요 없다. + - 또는, GCE 및 Google 쿠버네티스 엔진에서는, 프로젝트의 Google 컨테이너 레지스트리를 사용한다. + - 그것은 수동 노드 구성에 비해서 클러스터 오토스케일링과 더 잘 동작할 것이다. + - 또는, 노드의 구성 변경이 불편한 클러스터에서는, `imagePullSecrets`를 사용한다. +1. 독점 이미지를 가진 클러스터로, 그 중 일부가 더 엄격한 접근 제어를 필요로 하는 경우. + - [AlwaysPullImages 어드미션 컨트롤러](/docs/reference/access-authn-authz/admission-controllers/#alwayspullimages)가 활성화되어 있는지 확인한다. 그렇지 않으면, 모든 파드가 잠재적으로 모든 이미지에 접근 권한을 가진다. + - 민감한 데이터는 이미지 안에 포장하는 대신, "시크릿" 리소스로 이동한다. +1. 멀티-테넌트 클러스터에서 각 테넌트가 자신의 프라이빗 레지스트리를 필요로 하는 경우. + - [AlwaysPullImages 어드미션 컨트롤러](/docs/reference/access-authn-authz/admission-controllers/#alwayspullimages)가 활성화되어 있는지 확인한다. 그렇지 않으면, 모든 파드가 잠재적으로 모든 이미지에 접근 권한을 가진다. + - 인가가 요구되도록 프라이빗 레지스트리를 실행한다. + - 각 테넌트에 대한 레지스트리 자격 증명을 생성하고, 시크릿에 넣고, 각 테넌트 네임스페이스에 시크릿을 채운다. + - 테넌트는 해당 시크릿을 각 네임스페이스의 imagePullSecrets에 추가한다. + +{{% /capture %}} diff --git a/content/ko/docs/concepts/containers/runtime-class.md b/content/ko/docs/concepts/containers/runtime-class.md new file mode 100644 index 0000000000000..33b2d3cce2d94 --- /dev/null +++ b/content/ko/docs/concepts/containers/runtime-class.md @@ -0,0 +1,116 @@ +--- +title: 런타임 클래스 +content_template: templates/concept +weight: 20 +--- + +{{% capture overview %}} + +{{< feature-state for_k8s_version="v1.12" state="alpha" >}} + +이 페이지는 런타임 클래스 리소스와 런타임 선택 메커니즘에 대해서 설명한다. + +{{% /capture %}} + + +{{% capture body %}} + +## 런타임 클래스 + +런타임 클래스는 파드의 컨테이너를 실행하는데 사용할 컨테이너 런타임 설정을 선택하기 위한 +알파 특징이다. + +### 셋업 + +초기 알파 특징이므로, 런타임 클래스 특징을 사용하기 위해서는 몇 가지 추가 셋업 +단계가 필요하다. + +1. 런타임 클래스 특징 게이트 활성화(apiservers 및 kubelets에 대해서, 버전 1.12+ 필요) +2. 런타임 클래스 CRD 설치 +3. CRI 구현(implementation)을 노드에 설정(런타임에 따라서) +4. 상응하는 런타임 클래스 리소스 생성 + +#### 1. 런타임 클래스 특징 게이트 활성화 + +특징 게이트 활성화에 대한 설명은 [특징 게이트](/docs/reference/command-line-tools-reference/feature-gates/)를 +참고한다. `RuntimeClass` 특징 게이트는 apiservers _및_ kubelets에서 활성화되어야 +한다. + +#### 2. 런타임 클래스 CRD 설치 + +런타임 클래스 [CustomResourceDefinition][] (CRD)는 쿠버네티스 git 저장소의 애드온 디렉터리에서 찾을 수 +있다. [kubernetes/cluster/addons/runtimeclass/runtimeclass_crd.yaml][runtimeclass_crd] + +`kubectl apply -f runtimeclass_crd.yaml`을 통해서 해당 CRD를 설치한다. + +[CustomResourceDefinition]: /docs/tasks/access-kubernetes-api/custom-resources/custom-resource-definitions/ +[runtimeclass_crd]: https://github.com/kubernetes/kubernetes/tree/master/cluster/addons/runtimeclass/runtimeclass_crd.yaml + + +#### 3. CRI 구현을 노드에 설정 + +런타임 클래스와 함께 선택할 설정은 CRI 구현에 의존적이다. 사용자의 CRI +구현에 따른 설정 방법은 연관된 문서를 통해서 확인한다. 이것은 알파 +특징이므로, 아직 모든 CRI가 다중 런타임 클래스를 지원하지는 않는다. + +{{< note >}} +런타임 클래스는 클러스터 전체에 걸쳐 동질의 노드 설정 +(모든 노드가 컨테이너 런타임에 준하는 동일한 방식으로 설정되었음을 의미)을 가정한다. 어떠한 이질성(다양한 +설정)이라도 +스케줄링 특징을 통해서 런타임 클래스와는 독립적으로 관리되어야 한다([파드를 노드에 +할당하기](/docs/concepts/configuration/assign-pod-node/) 참고). +{{< /note >}} + +해당 설정은 상응하는 `RuntimeHandler` 이름을 가지며, 이는 런타임 클래스에 의해서 참조된다. +런타임 핸들러는 유효한 DNS 1123 서브도메인(알파-숫자 + `-`와 `.`문자)을 가져야 한다. + +#### 4. 상응하는 런타임 클래스 리소스 생성 + +3단계에서 셋업 한 설정은 연관된 `RuntimeHandler` 이름을 가져야 하며, 이를 통해서 +설정을 식별할 수 있다. 각 런타임 핸들러(그리고 선택적으로 비어있는 `""` 핸들러)에 대해서, +상응하는 런타임 클래스 오브젝트를 생성한다. + +현재 런타임 클래스 리소스는 런타임 클래스 이름(`metadata.name`)과 런타임 핸들러 +(`spec.runtimeHandler`)로 단 2개의 중요 필드만 가지고 있다. 오브젝트 정의는 다음과 같은 형태이다. + +```yaml +apiVersion: node.k8s.io/v1alpha1 # 런타임 클래스는 node.k8s.io API 그룹에 정의되어 있음 +kind: RuntimeClass +metadata: + name: myclass # 런타임 클래스는 해당 이름을 통해서 참조됨 + # 런타임 클래스는 네임스페이스가 없는 리소스임 +spec: + runtimeHandler: myconfiguration # 상응하는 CRI 설정의 이름임 +``` + + +{{< note >}} +런타임 클래스 쓰기 작업(create/update/patch/delete)은 +클러스터 관리자로 제한할 것을 권장한다. 이것은 일반적으로 기본 설정이다. 더 자세한 정보는 [권한 +개요](https://kubernetes.io/docs/reference/access-authn-authz/authorization/)를 참고한다. +{{< /note >}} + +### 사용 + +클러스터를 위해서 런타임 클래스를 설정하고 나면, 그것을 사용하는 것은 매우 간단하다. 파드 스펙에 +`runtimeClassName`를 명시한다. 예를 들면 다음과 같다. + +```yaml +apiVersion: v1 +kind: Pod +metadata: + name: mypod +spec: + runtimeClassName: myclass + # ... +``` + +이것은 Kubelet이 지명된 런타임 클래스를 사용하여 해당 파드를 실행하도록 지시할 것이다. 만약 지명된 +런타임 클래스가 없거나, CRI가 상응하는 핸들러를 실행할 수 없는 경우, 파드는 +`Failed` 터미널 [단계](/ko/docs/concepts/workloads/pods/pod-lifecycle/#파드의-단계-phase)로 들어간다. 에러 +메시지를 위해서는 상응하는 [이벤트](/docs/tasks/debug-application-cluster/debug-application-introspection/)를 +확인한다. + +만약 명시된 `runtimeClassName`가 없다면, 기본 런타임 핸들러가 사용될 것이다. 기본 런타임 핸들러는 런타임 클래스 특징이 비활성화되었을 때와 동일하게 동작한다. + +{{% /capture %}} diff --git a/content/ko/docs/concepts/overview/kubernetes-api.md b/content/ko/docs/concepts/overview/kubernetes-api.md index 33703bba05074..860cdc003b0b2 100644 --- a/content/ko/docs/concepts/overview/kubernetes-api.md +++ b/content/ko/docs/concepts/overview/kubernetes-api.md @@ -13,7 +13,7 @@ API 엔드포인트, 리소스 타입과 샘플은 [API Reference](/docs/referen API에 원격 접속하는 방법은 [Controlling API Access doc](/docs/reference/access-authn-authz/controlling-access/)에서 논의되었다. 쿠버네티스 API는 시스템을 위한 선언적 설정 스키마를 위한 기초가 되기도 한다. -[kubectl](/docs/reference/kubectl/overview/) 명령줄 도구를 사용해서 API 오브젝트를 생성, 업데이트, 삭제 및 조회할 수 있다. +[kubectl](/docs/reference/kubectl/overview/) 커맨드라인 툴을 사용해서 API 오브젝트를 생성, 업데이트, 삭제 및 조회할 수 있다. 쿠버네티스는 또한 API 리소스에 대해 직렬화된 상태를 (현재는 [etcd](https://coreos.com/docs/distributed-configuration/getting-started-with-etcd/)에) 저장한다. @@ -33,10 +33,9 @@ API에 원격 접속하는 방법은 [Controlling API Access doc](/docs/referenc ## OpenAPI 및 Swagger 정의 -완전한 API 상세 내용은 [Swagger v1.2](http://swagger.io/) 및 [OpenAPI](https://www.openapis.org/)를 활용해서 문서화했다. ("마스터"로 알려진) 쿠버네티스 apiserver는 `/swaggerapi`에서 Swagger v1.2 쿠버네티스 API 규격을 조회할 수 있는 API를 노출한다. - -쿠버네티스 1.10부터, OpenAPI 규격은 `/openapi/v2` 엔드포인트에서만 제공된다. 형식이 구분된 엔드포인트(`/swagger.json`, `/swagger-2.0.0.json`, `/swagger-2.0.0.pb-v1`, `/swagger-2.0.0.pb-v1.gz`)는 더 이상 사용하지 않고(deprecated) 쿠버네티스 1.14에서 제거될 예정이다. +완전한 API 상세 내용은 [OpenAPI](https://www.openapis.org/)를 활용해서 문서화했다. +쿠버네티스 1.10부터, OpenAPI 규격은 `/openapi/v2` 엔드포인트에서만 제공된다. 요청 형식은 HTTP 헤더에 명시해서 설정할 수 있다. 헤더 | 가능한 값 @@ -44,7 +43,9 @@ API에 원격 접속하는 방법은 [Controlling API Access doc](/docs/referenc Accept | `application/json`, `application/com.github.proto-openapi.spec.v2@v1.0+protobuf` (기본 content-type은 `*/*`에 대해 `application/json`이거나 이 헤더를 전달하지 않음) Accept-Encoding | `gzip` (이 헤더를 전달하지 않아도 됨) -**OpenAPI 규격을 조회하는 예제**: +1.14 이전 버전에서 형식이 구분된 엔드포인트(`/swagger.json`, `/swagger-2.0.0.json`, `/swagger-2.0.0.pb-v1`, `/swagger-2.0.0.pb-v1.gz`)는 OpenAPI 스펙을 다른 포맷으로 제공한다. 이러한 엔드포인트는 사용 중단되었으며, 쿠버네티스 1.14에서 제거될 예정이다. + +**OpenAPI 규격을 조회하는 예제** 1.10 이전 | 쿠버네티스 1.10 이상 ----------- | ----------------------------- @@ -52,9 +53,12 @@ GET /swagger.json | GET /openapi/v2 **Accept**: application/json GET /swagger-2.0.0.pb-v1 | GET /openapi/v2 **Accept**: application/com.github.proto-openapi.spec.v2@v1.0+protobuf GET /swagger-2.0.0.pb-v1.gz | GET /openapi/v2 **Accept**: application/com.github.proto-openapi.spec.v2@v1.0+protobuf **Accept-Encoding**: gzip - 쿠버네티스는 주로 클러스터 내부 통신용 API를 위해 대안적인 Protobuf에 기반한 직렬화 형식을 구현한다. 해당 API는 [design proposal](https://github.com/kubernetes/community/blob/master/contributors/design-proposals/api-machinery/protobuf.md) 문서와 IDL 파일에 문서화되어 있고 각각의 스키마를 담고 있는 IDL 파일은 API 오브젝트를 정의하는 Go 패키지에 들어있다. +1.14 이전 버전에서 쿠버네티스 apiserver는 `/swaggerapi`에서 [Swagger v1.2](http://swagger.io/) +쿠버네티스 API 스펙을 검색하는데 사용할 수 있는 API도 제공한다. +이러한 엔드포인트는 사용 중단되었으며, 쿠버네티스 1.14에서 제거될 예정이다. + ## API 버전 규칙 필드를 없애거나 리소스 표현을 재구성하기 쉽도록, 쿠버네티스는 `/api/v1`이나 diff --git a/content/ko/docs/concepts/overview/what-is-kubernetes.md b/content/ko/docs/concepts/overview/what-is-kubernetes.md index 39afd4c517be6..e507e8540e0f2 100644 --- a/content/ko/docs/concepts/overview/what-is-kubernetes.md +++ b/content/ko/docs/concepts/overview/what-is-kubernetes.md @@ -51,7 +51,7 @@ Infrastructure as a Service (IaaS)의 유연함을 더해 주며, 인프라스 추가로, [쿠버네티스 컨트롤 플레인](/docs/concepts/overview/components/)은 개발자와 사용자가 공통으로 사용할 수 있는 [API](/docs/reference/using-api/api-overview/)를 -기반으로 하고 있다. 사용자는 범용의 [명령줄 도구]((/docs/user-guide/kubectl-overview/))를 +기반으로 하고 있다. 사용자는 범용의 [커맨드라인 툴]((/docs/user-guide/kubectl-overview/))을 대상으로 하는 [자체 API](/docs/concepts/api-extension/custom-resources/)를 가진 [스케줄러](https://github.com/kubernetes/community/blob/{{< param "githubbranch" >}}/contributors/devel/scheduler.md)와 같은 사용자만의 컨트롤러를 작성할 수 있다. diff --git a/content/ko/docs/concepts/workloads/pods/podpreset.md b/content/ko/docs/concepts/workloads/pods/podpreset.md index 71436db4933e7..8f2134a686eda 100644 --- a/content/ko/docs/concepts/workloads/pods/podpreset.md +++ b/content/ko/docs/concepts/workloads/pods/podpreset.md @@ -64,11 +64,14 @@ weight: 50 클러스터에서 파드 프리셋을 사용하기 위해서는 다음 사항이 반드시 이행되어야 한다. -1. API 타입 `settings.k8s.io/v1alpha1/podpreset`을 활성화하였다. 예를 - 들면, 이것은 API 서버의 `--runtime-config` 옵션에 `settings.k8s.io/v1alpha1=true`을 - 포함하여 완료할 수 있다. +1. API 타입 `settings.k8s.io/v1alpha1/podpreset`을 활성화하였다. + 예를 들면, 이것은 API 서버의 `--runtime-config` 옵션에 `settings.k8s.io/v1alpha1=true`을 포함하여 완료할 수 있다. + minikube에서는 클러스터가 시작할 때 `--extra-config=apiserver.runtime-config=settings.k8s.io/v1alpha1=true` + 플래그를 추가한다. 1. 어드미션 컨트롤러 `PodPreset`을 활성화하였다. 이것을 이루는 방법 중 하나는 API 서버를 위해서 명시된 `--enable-admission-plugins` 옵션에 `PodPreset`을 포함하는 것이다. + minikube에서는 클러스터가 시작할 때 `--extra-config=apiserver.enable-admission-plugins=Initializers,NamespaceLifecycle,LimitRanger,ServiceAccount,DefaultStorageClass,DefaultTolerationSeconds,NodeRestriction,MutatingAdmissionWebhook,ValidatingAdmissionWebhook,ResourceQuota,PodPreset` + 플래그를 추가한다. 1. 사용할 네임스페이스 안에서 `PodPreset` 오브젝트를 생성하여 파드 프리셋을 정의하였다. diff --git a/content/ko/docs/contribute/_index.md b/content/ko/docs/contribute/_index.md new file mode 100644 index 0000000000000..1059c7bed1244 --- /dev/null +++ b/content/ko/docs/contribute/_index.md @@ -0,0 +1,73 @@ +--- +content_template: templates/concept +title: 쿠버네티스 문서에 기여하기 +linktitle: 기여 +main_menu: true +weight: 80 +--- + +{{% capture overview %}} + +If you would like to help contribute to the Kubernetes documentation or website, +we're happy to have your help! Anyone can contribute, whether you're new to the +project or you've been around a long time, and whether you self-identify as a +developer, an end user, or someone who just can't stand seeing typos. + +For more ways to get involved in the Kubernetes community or to learn about us, visit the [Kubernetes community site](/community/). +For information on the Kubernetes documentation style guide, see the [style guide](/docs/contribute/style/style-guide/). + +{{% capture body %}} + +## Types of contributors + +- A _member_ of the Kubernetes organization who has [signed the CLA](/docs/contribute/start#sign-the-cla) + and contributed some time and effort to the project. See + [Community membership](https://github.com/kubernetes/community/blob/master/community-membership.md) + for specific criteria for membership. +- A SIG Docs _reviewer_ is a member of the Kubernetes organization who has + expressed interest in reviewing documentation pull requests and who has been + added to the appropriate Github group and `OWNERS` files in the Github + repository, by a SIG Docs Approver. +- A SIG Docs _approver_ is a member in good standing who has shown a continued + commitment to the project. An approver can merge pull requests + and publish content on behalf of the Kubernetes organization. + Approvers can also represent SIG Docs in the larger Kubernetes community. + Some of the duties of a SIG Docs approver, such as coordinating a release, + require a significant time commitment. + +## Ways to contribute + +This list is divided into things anyone can do, things Kubernetes organization +members can do, and things that require a higher level of access and familiarity +with SIG Docs processes. Contributing consistently over time can help you +understand some of the tooling and organizational decisions that have already +been made. + +This is not an exhaustive list of ways you can contribute to the Kubernetes +documentation, but it should help you get started. + +- [Anyone](/docs/contribute/start/) + - File actionable bugs +- [Member](/docs/contribute/start/) + - Improve existing docs + - Bring up ideas for improvement on [Slack](http://slack.k8s.io/) or the [SIG docs mailing list](https://groups.google.com/forum/#!forum/kubernetes-sig-docs) + - Improve docs accessibility + - Provide non-binding feedback on PRs + - Write a blog post or case study +- [Reviewer](/docs/contribute/intermediate/) + - Document new features + - Triage and categorize issues + - Review PRs + - Create diagrams, graphics assets, and embeddable screencasts / videos + - Localization + - Contribute to other repos as a docs representative + - Edit user-facing strings in code + - Improve code comments, Godoc +- [Approver](/docs/contribute/advanced/) + - Publish contributor content by approving and merging PRs + - Participate in a Kubernetes release team as a docs representative + - Propose improvements to the style guide + - Propose improvements to docs tests + - Propose improvements to the Kubernetes website or other tooling + +{{% /capture %}} diff --git a/content/ko/docs/contribute/localization_ko.md b/content/ko/docs/contribute/localization_ko.md new file mode 100644 index 0000000000000..b4e64f0fce616 --- /dev/null +++ b/content/ko/docs/contribute/localization_ko.md @@ -0,0 +1,96 @@ +--- +title: 쿠버네티스 문서 한글화 가이드 +content_template: templates/concept +--- + +{{% capture overview %}} + +쿠버네티스 문서 한글화를 위한 가이드 + +{{% /capture %}} + + +{{% capture body %}} + +## 문체 + +### 높임말 + +평어체 사용을 원칙으로 하나, 일부 페이지(예: [https://kubernetes.io/ko](https://kubernetes.io/ko))에 한해 예외적으로 +높임말을 사용한다. + +### 번역체 지양 + +우리글로서 자연스럽고 무리가 없도록 번역한다. + +번역체 | 자연스러운 문장 +--- | --- +-되어지다 (이중 피동 표현) | -되다 +짧은 다리를 가진 돼지 | 다리가 짧은 돼지 +그는 그의 손으로 숟가락을 들어 그의 밥을 먹었다 | 그는 손으로 숟가락을 들어 밥을 먹었다 +접시를 씻고 | 설거지를 하고 +가게에 배들, 사과들, 복숭아들이 있다 (과다한 복수형) | 가게에 배, 사과, 복숭아들이 있다 + +## 문서 코딩 가이드 + +### 가로폭은 원문을 따름 + +유지보수의 편의를 위해서 원문의 가로폭을 따른다. + +즉, 원문이 한 문단을 줄바꿈하지 않고 한 행에 길게 기술했다면 한글화 시에도 한 행에 길게 기술하고, 원문이 한 문단을 +줄바꿈해서 여러 행으로 기술한 경우에는 한글화 시에도 가로폭을 원문과 비슷하게 유지한다. + +### 리뷰어 삭제 + +일반적으로 원문 페이지의 리뷰어가 한글 페이지를 리뷰하기 어려우므로 다음과 같이 리소스 메타데이터에서 리뷰어를 +삭제한다. + +```diff +--- +- reviews: +- - reviewer1 +- - reviewer2 +- title: Kubernetes Components ++ title: 쿠버네티스 컴포넌트 +content_template: templates/concept +weight: 10 +--- +``` + +## 용어 + +용어 선택은 다음의 우선 순위를 따르나, 자연스럽지 않은 용어를 무리하게 선택하지는 않는다. + + +* 한글 단어 + * 순 우리말 단어 + * 한자어 (예: 운영 체제), 외래어 (예: 쿠버네티스, 파드) +* 한영 병기 (예: 훅(hook)) +* 영어 단어 (예: Kubelet) + +단, 자연스러움을 판단하는 기준은 주관적이므로 문서 한글화팀이 공동으로 관리하는 +[한글화팀 용어집](https://goo.gl/BDNeJ1)과 기존에 번역된 문서를 참고한다. + +{{% note %}} +API 오브젝트는 원 단어를 +[국립국어원 외래어 표기법](http://www.korean.go.kr/front/page/pageView.do?page_id=P000104&mn_id=97)에 +따라 한글화 한다. 예를 들면 다음과 같다. + +원 단어 | 외래어 +--- | --- +Deployment | 디플로이먼트 +Pod | 파드 +Service | 서비스 +{{% /note %}} + +{{% note %}} +API 오브젝트의 필드 이름, 파일 이름, 경로 이름과 같은 내용은 주로 코드 스타일로 기술된다. 이는 독자가 구성 파일이나 +커맨드라인에서 그대로 사용할 가능성이 높으므로 한글로 옮기지 않고 원문을 유지한다. 단, 주석은 한글로 옮길 수 있다. +{{% /note %}} + +{{% note %}} +한영 병기는 페이지 내에서 해당 용어가 처음 사용되는 경우에만 적용하고 이후 부터는 한글만 표기한다. +{{% /note %}} + +{{% /capture %}} + diff --git a/content/ko/docs/home/_index.md b/content/ko/docs/home/_index.md index 2725cd32cb3fd..7954f0b05828d 100644 --- a/content/ko/docs/home/_index.md +++ b/content/ko/docs/home/_index.md @@ -1,11 +1,8 @@ --- title: 쿠버네티스 문서 +noedit: true +cid: docsHome layout: docsportal_home -noedit: true -cid: userJourneys -css: /css/style_user_journeys.css -js: /js/user-journeys/home.js, https://use.fontawesome.com/4bcc658a89.js -display_browse_numbers: true linkTitle: "홈" main_menu: true weight: 10 @@ -15,5 +12,5 @@ menu: title: "문서" weight: 20 post: > -

Learn how to use Kubernetes with the use of walkthroughs, samples, and reference documentation. You can even help contribute to the docs!

+

Learn how to use Kubernetes with conceptual, tutorial, and reference documentation. You can even help contribute to the docs!

--- diff --git a/content/ko/docs/setup/certificates.md b/content/ko/docs/setup/certificates.md new file mode 100644 index 0000000000000..8dd327a0b9eb1 --- /dev/null +++ b/content/ko/docs/setup/certificates.md @@ -0,0 +1,142 @@ +--- +title: PKI 인증서 및 요구 조건 +content_template: templates/concept +--- + +{{% capture overview %}} + +쿠버네티스는 TLS 위에 인증을 위해 PKI 인증서가 필요하다. +만약 [kubeadm](/docs/reference/setup-tools/kubeadm/kubeadm/)으로 쿠버네티스를 설치했다면, 클러스터에 필요한 인증서는 자동으로 생성된다. +또한 더 안전하게 자신이 소유한 인증서를 생성할 수 있다. 이를 테면, 개인키를 API 서버에 저장하지 않으므로 더 안전하게 보관할 수 있다. +이 페이지는 클러스터에 필요한 인증서를 설명한다. + +{{% /capture %}} + +{{% capture body %}} + +## 클러스터에서 인증서는 어떻게 이용되나? + +쿠버네티스는 다음 작업에서 PKI가 필요하다. + +* kubelet에서 API 서버 인증서를 인증시 사용하는 클라이언트 인증서 +* API 서버 엔드포인트를 위한 서버 인증서 +* API 서버에 클러스터 관리자 인증을 위한 클라이언트 인증서 +* API 서버에서 kubelet과 통신을 위한 클라이언트 인증서 +* API 서버에서 etcd 간의 통신을 위한 클라이언트 인증서 +* 컨트롤러 매니저와 API 서버 간의 통신을 위한 클라이언트 인증서/kubeconfig +* 스케줄러와 API 서버간 통신을 위한 클라이언트 인증서/kubeconfig +* [front-proxy][proxy]를 위한 클라이언트와 서버 인증서 + +{{< note >}} +`front-proxy` 인증서는 kube-proxy에서 [API 서버 확장](/docs/tasks/access-kubernetes-api/setup-extension-api-server/)을 지원할 때만 kube-proxy에서 필요하다. +{{< /note >}} + +etcd 역시 클라이언트와 피어 간에 상호 TLS 인증을 구현한다. + +## 인증서를 저장하는 위치 + +만약 쿠버네티스를 kubeadm으로 설치했다면 인증서는 `/etc/kubernets/pki`에 저장된다. 이 문서에 언급된 모든 파일 경로는 그 디렉토리에 상대적이다. + +## 인증서 수동 설정 + +필요한 인증서를 kubeadm으로 생성하기 싫다면 다음 방법 중 하나로 생성할 수 있다. + +### 단일 루트 CA + +관리자에 의해 제어되는 단일 루트 CA를 만들 수 있다. 이 루트 CA는 여러 중간 CA를 생성할 수 있고, 모든 추가 생성에 관해서도 쿠버네티스 자체에 위임할 수 있다. + +필요 CA: + +| 경로 | 기본 CN | 설명 | +|------------------------|---------------------------|----------------------------------| +| ca.crt,key | kubernetes-ca | 쿠버네티스 일반 CA | +| etcd/ca.crt,key | etcd-ca | 모든 etcd 관련 기능을 위해서 | +| front-proxy-ca.crt,key | kubernetes-front-proxy-ca | [front-end proxy][proxy] 위해서 | + +### 모든 인증서 + +이런 개인키를 API 서버에 복사하기 원치 않는다면, 모든 인증서를 스스로 생성할 수 있다. + +필요한 인증서: + +| 기본 CN | 부모 CA | O (주체에서) | 종류 | 호스트 (SAN) | +|-------------------------------|---------------------------|----------------|----------------------------------------|---------------------------------------------| +| kube-etcd | etcd-ca | | server, client [1][etcdbug] | `localhost`, `127.0.0.1` | +| kube-etcd-peer | etcd-ca | | server, client | ``, ``, `localhost`, `127.0.0.1` | +| kube-etcd-healthcheck-client | etcd-ca | | client | | +| kube-apiserver-etcd-client | etcd-ca | system:masters | client | | +| kube-apiserver | kubernetes-ca | | server | ``, ``, ``, `[1]` | +| kube-apiserver-kubelet-client | kubernetes-ca | system:masters | client | | +| front-proxy-client | kubernetes-front-proxy-ca | | client | | + +[1]: `kubernetes`, `kubernetes.default`, `kubernetes.default.svc`, `kubernetes.default.svc.cluster`, `kubernetes.default.svc.cluster.local` + +`kind`는 하나 이상의 [x509 키 사용][usage] 종류를 가진다. + +| 종류 | 키 사용 | +|--------|---------------------------------------------------------------------------------| +| server | digital signature, key encipherment, server auth | +| client | digital signature, key encipherment, client auth | + +### 인증서 파일 경로 + +인증서는 권고하는 파일 경로에 존재해야 한다([kubeadm][kubeadm]에서 사용되는 것처럼). 경로는 위치에 관계없이 주어진 파라미터를 사용하여 지정되야 한다. + +| 기본 CN | 권고하는 키 파일 경로 | 권고하는 인증서 파일 경로 | 명령어 | 키 파라미터 | 인증서 파라미터 | +|------------------------------|------------------------------|-----------------------------|----------------|------------------------------|-------------------------------------------| +| etcd-ca | | etcd/ca.crt | kube-apiserver | | --etcd-cafile | +| etcd-client | apiserver-etcd-client.key | apiserver-etcd-client.crt | kube-apiserver | --etcd-keyfile | --etcd-certfile | +| kubernetes-ca | | ca.crt | kube-apiserver | | --client-ca-file | +| kube-apiserver | apiserver.key | apiserver.crt | kube-apiserver | --tls-private-key-file | --tls-cert-file | +| apiserver-kubelet-client | | apiserver-kubelet-client.crt| kube-apiserver | | --kubelet-client-certificate | +| front-proxy-ca | | front-proxy-ca.crt | kube-apiserver | | --requestheader-client-ca-file | +| front-proxy-client | front-proxy-client.key | front-proxy-client.crt | kube-apiserver | --proxy-client-key-file | --proxy-client-cert-file | +| | | | | | | +| etcd-ca | | etcd/ca.crt | etcd | | --trusted-ca-file, --peer-trusted-ca-file | +| kube-etcd | etcd/server.key | etcd/server.crt | etcd | --key-file | --cert-file | +| kube-etcd-peer | etcd/peer.key | etcd/peer.crt | etcd | --peer-key-file | --peer-cert-file | +| etcd-ca | | etcd/ca.crt | etcdctl[2] | | --cacert | +| kube-etcd-healthcheck-client | etcd/healthcheck-client.key | etcd/healthcheck-client.crt | etcdctl[2] | --key | --cert | + +[2]: 셀프 호스팅시, 생존신호(liveness probe)를 위해 + +## 각 사용자 계정을 위한 인증서 설정하기 + +반드시 이런 관리자 계정과 서비스 계정을 설정해야 한다. + +| 파일명 | 자격증명 이름 | 기본 CN | O (주체에서) | +|-------------------------|----------------------------|--------------------------------|----------------| +| admin.conf | default-admin | kubernetes-admin | system:masters | +| kubelet.conf | default-auth | system:node:`` (note를 보자) | system:nodes | +| controller-manager.conf | default-controller-manager | system:kube-controller-manager | | +| scheduler.conf | default-manager | system:kube-scheduler | | + +{{< note >}} +`kubelet.conf`을 위한 ``값은 API 서버에 등록된 것처럼 kubelet에 제공되는 노드 이름 값과 **반드시** 정확히 일치해야 한다. 더 자세한 내용은 [노드 인증](/docs/reference/access-authn-authz/node/)을 살펴보자. +{{< /note >}} + +1. 각 환경 설정에 대해 주어진 CN과 O를 이용하여 x509 인증서와 키쌍을 생성한다. + +1. 각 환경 설정에 대해 다음과 같이 `kubectl`를 실행한다. + +```shell +KUBECONFIG= kubectl config set-cluster default-cluster --server=https://:6443 --certificate-authority --embed-certs +KUBECONFIG= kubectl config set-credentials --client-key .pem --client-certificate .pem --embed-certs +KUBECONFIG= kubectl config set-context default-system --cluster default-cluster --user +KUBECONFIG= kubectl config use-context default-system +``` + +이 파일들은 다음과 같이 사용된다. + +| 파일명 | 명령어 | 설명 | +|-------------------------|-------------------------|-----------------------------------------------------------------------| +| admin.conf | kubectl | 클러스터 관리자를 설정한다. | +| kubelet.conf | kubelet | 클러스터 각 노드를 위해 필요하다. | +| controller-manager.conf | kube-controller-manager | 반드시 매니페스트를 `manifests/kube-controller-manager.yaml`에 추가해야한다. | +| scheduler.conf | kube-scheduler | 반드시 매니페스트를 `manifests/kube-scheduler.yaml`에 추가해야한다. | + +[usage]: https://godoc.org/k8s.io/api/certificates/v1beta1#KeyUsage +[kubeadm]: /docs/reference/setup-tools/kubeadm/kubeadm/ +[proxy]: /docs/tasks/access-kubernetes-api/configure-aggregation-layer/ + +{{% /capture %}} diff --git a/content/ko/docs/setup/cri.md b/content/ko/docs/setup/cri.md index 0fc2f41b04e15..e8f7fa7677af9 100644 --- a/content/ko/docs/setup/cri.md +++ b/content/ko/docs/setup/cri.md @@ -218,8 +218,8 @@ tar --no-overwrite-dir -C / -xzf cri-containerd-${CONTAINERD_VERSION}.linux-amd6 systemctl start containerd ``` -## 다른 CRI 런타임: rktlet과 frakti +## 다른 CRI 런타임: frakti -자세한 정보는 [Frakti 빠른 시작 가이드](https://github.com/kubernetes/frakti#quickstart) 및 [Rktlet 시작하기 가이드](https://github.com/kubernetes-incubator/rktlet/blob/master/docs/getting-started-guide.md)를 참고한다. +자세한 정보는 [Frakti 빠른 시작 가이드](https://github.com/kubernetes/frakti#quickstart)를 참고한다. {{% /capture %}} diff --git a/content/ko/docs/setup/minikube.md b/content/ko/docs/setup/minikube.md index ca501a7f2cf00..d443d9959dd66 100644 --- a/content/ko/docs/setup/minikube.md +++ b/content/ko/docs/setup/minikube.md @@ -38,10 +38,9 @@ VM 드라이버를 바꾸기 원하면 적절한 `--vm-driver=xxx` 플래그를 * kvm ([driver installation](https://git.k8s.io/minikube/docs/drivers.md#kvm-driver)) * hyperkit ([driver installation](https://git.k8s.io/minikube/docs/drivers.md#hyperkit-driver)) * xhyve ([driver installation](https://git.k8s.io/minikube/docs/drivers.md#xhyve-driver)) (deprecated) - +* hyperv ([driver installation](https://github.com/kubernetes/minikube/blob/master/docs/drivers.md#hyperv-driver)) 아래 나오는 IP 주소는 동적이므로 바뀔 수 있다. `minikube ip`를 하면 알 수 있다. - ```shell $ minikube start Starting local Kubernetes cluster... diff --git a/content/ko/docs/setup/pick-right-solution.md b/content/ko/docs/setup/pick-right-solution.md index 2484badf986d3..e1443cc5794d2 100644 --- a/content/ko/docs/setup/pick-right-solution.md +++ b/content/ko/docs/setup/pick-right-solution.md @@ -29,9 +29,14 @@ content_template: templates/concept * [Minikube](/docs/setup/minikube/)는 개발과 테스트를 위한 단일 노드 쿠버네티스 클러스터를 로컬에 생성하기 위한 하나의 방법이다. 설치는 완전히 자동화 되어 있고, 클라우드 공급자 계정 정보가 필요하지 않다. +* [Docker Desktop](https://www.docker.com/products/docker-desktop)는 +Mac 또는 Windows 환경에서 쉽게 설치 가능한 애플리케이션이다. +수 분 내에 단일 노드 쿠버네티스 클러스터에서 컨테이너로 코딩과 배포를 +시작할 수 있게 해준다. + * [Minishift](https://docs.okd.io/latest/minishift/)는 커뮤니티 버전의 쿠버네티스 엔터프라이즈 플랫폼 OpenShift를 로컬 개발과 테스트 용으로 설치한다. Windows, macOS와 리눅스를 위한 All-In-One VM (`minishift start`)과 컨테이너 기반의 `oc cluster up` (리눅스 전용)을 지원하고 [쉬운 설치가 가능한 몇 가지 애드온도 포함](https://github.com/minishift/minishift-addons/tree/master/add-ons)한다. -* [microk8s](https://microk8s.io/)는 개발과 테스트를 위한 쿠버네티스 최신 버전을 단일 명령어로 로컬 머신 상의 설치를 제공한다. 설치는 신속하고 빠르며(~30초) 단일 명령어로 Istio를 포함한 많은 플러그인을 지원한다. +* [Microk8s](https://microk8s.io/)는 개발과 테스트를 위한 쿠버네티스 최신 버전을 단일 명령어로 로컬 머신 상의 설치를 제공한다. 설치는 신속하고 빠르며(~30초) 단일 명령어로 Istio를 포함한 많은 플러그인을 지원한다. * [IBM Cloud Private-CE (Community Edition)](https://github.com/IBM/deploy-ibm-cloud-private)는 개발과 테스트 시나리오를 위해 1개 또는 더 많은 VM에 쿠버네티스를 배포하기 위해서 머신의 VirtualBox를 사용할 수 있다. 이는 전체 멀티 노드 클러스터로 확장할 수 있다. @@ -67,6 +72,8 @@ content_template: templates/concept * [Madcore.Ai](https://madcore.ai)는 AWS에서 쿠버네티스 인프라를 배포하기 위한 devops 중심의 CLI 도구이다. 또한 마스터, 스팟 인스턴스 그룹 노드 오토-스케일링, ingress-ssl-lego, Heapster, Grafana를 지원한다. +* [Nutanix Karbon](https://www.nutanix.com/products/karbon/)는 다중 클러스터의 고 가용성 쿠버네티스 관리 운영 플랫폼으로, 쿠버네티스의 프로비저닝, 운영 및 라이프 사이클 관리를 단순화해준다. + * [OpenShift Dedicated](https://www.openshift.com/dedicated/)는 OpenShift의 관리형 쿠버네티스 클러스터를 제공한다. * [OpenShift Online](https://www.openshift.com/features/)은 쿠버네티스 애플리케이션을 위해 호스트 된 무료 접근을 제공한다. @@ -93,7 +100,9 @@ content_template: templates/concept * [CenturyLink Cloud](/docs/setup/turnkey/clc/) * [Conjure-up Kubernetes with Ubuntu on AWS, Azure, Google Cloud, Oracle Cloud](/docs/getting-started-guides/ubuntu/) * [Containership](https://containership.io/containership-platform) +* [Docker Enterprise](https://www.docker.com/products/docker-enterprise) * [Gardener](https://gardener.cloud/) +* [Giant Swarm](https://giantswarm.io) * [Google Compute Engine (GCE)](/docs/setup/turnkey/gce/) * [IBM Cloud](https://github.com/patrocinio/kubernetes-softlayer) * [Kontena Pharos](https://kontena.io/pharos/) @@ -101,12 +110,13 @@ content_template: templates/concept * [Kublr](https://kublr.com/) * [Madcore.Ai](https://madcore.ai/) * [Nirmata](https://nirmata.com/) +* [Nutanix Karbon](https://www.nutanix.com/products/karbon/) * [Oracle Container Engine for K8s](https://docs.us-phoenix-1.oraclecloud.com/Content/ContEng/Concepts/contengprerequisites.htm) * [Pivotal Container Service](https://pivotal.io/platform/pivotal-container-service) -* [Giant Swarm](https://giantswarm.io) * [Rancher 2.0](https://rancher.com/docs/rancher/v2.x/en/) * [Stackpoint.io](/docs/setup/turnkey/stackpoint/) * [Tectonic by CoreOS](https://coreos.com/tectonic) +* [VMware Cloud PKS](https://cloud.vmware.com/vmware-cloud-pks) ## 온-프레미스 턴키 클라우드 솔루션 @@ -114,15 +124,17 @@ content_template: templates/concept * [Agile Stacks](https://www.agilestacks.com/products/kubernetes) * [APPUiO](https://appuio.ch) +* [Docker Enterprise](https://www.docker.com/products/docker-enterprise) +* [Giant Swarm](https://giantswarm.io) * [GKE On-Prem | Google Cloud](https://cloud.google.com/gke-on-prem/) * [IBM Cloud Private](https://www.ibm.com/cloud-computing/products/ibm-cloud-private/) * [Kontena Pharos](https://kontena.io/pharos/) * [Kubermatic](https://www.loodse.com) * [Kublr](https://kublr.com/) +* [Mirantis Cloud Platform](https://www.mirantis.com/software/kubernetes/) * [Nirmata](https://nirmata.com/) * [OpenShift Container Platform](https://www.openshift.com/products/container-platform/) (OCP) by [Red Hat](https://www.redhat.com) * [Pivotal Container Service](https://pivotal.io/platform/pivotal-container-service) -* [Giant Swarm](https://giantswarm.io) * [Rancher 2.0](https://rancher.com/docs/rancher/v2.x/en/) * [SUSE CaaS Platform](https://www.suse.com/products/caas-platform) * [SUSE Cloud Application Platform](https://www.suse.com/products/cloud-application-platform/) @@ -145,6 +157,7 @@ content_template: templates/concept 다음 솔루션은 위의 솔루션에서 다루지 않는 클라우드 공급자와 운영체제의 조합이다. +* [Cloud Foundry Container Runtime (CFCR)](https://docs-cfcr.cfapps.io/) * [CoreOS on AWS or GCE](/docs/setup/custom-cloud/coreos/) * [Gardener](https://gardener.cloud/) * [Kublr](https://kublr.com/) @@ -154,8 +167,10 @@ content_template: templates/concept ### 온-프레미스 VM +* [Cloud Foundry Container Runtime (CFCR)](https://docs-cfcr.cfapps.io/) * [CloudStack](/docs/setup/on-premises-vm/cloudstack/) (Ansible, CoreOS와 flannel를 사용) * [Fedora (Multi Node)](/docs/getting-started-guides/fedora/flannel_multi_node_cluster/) (Fedora와 flannel를 사용) +* [Nutanix AHV](https://www.nutanix.com/products/acropolis/virtualization/) * [OpenShift Container Platform](https://www.openshift.com/products/container-platform/) (OCP) Kubernetes platform by [Red Hat](https://www.redhat.com) * [oVirt](/docs/setup/on-premises-vm/ovirt/) * [Vagrant](/docs/setup/custom-cloud/coreos/) (CoreOS와 flannel를 사용) @@ -167,6 +182,7 @@ content_template: templates/concept * [CoreOS](/docs/setup/custom-cloud/coreos/) * [Digital Rebar](/docs/setup/on-premises-metal/krib/) +* [Docker Enterprise](https://www.docker.com/products/docker-enterprise) * [Fedora (Single Node)](/docs/getting-started-guides/fedora/fedora_manual_config/) * [Fedora (Multi Node)](/docs/getting-started-guides/fedora/flannel_multi_node_cluster/) * [Kubernetes on Ubuntu](/docs/getting-started-guides/ubuntu/) @@ -188,6 +204,7 @@ IaaS 공급자 | 구성 관리 | OS | 네트워킹 | 문서 -------------------- | ------------ | ------ | ---------- | --------------------------------------------- | ---------------------------- any | any | multi-support | any CNI | [docs](/docs/setup/independent/create-cluster-kubeadm/) | Project ([SIG-cluster-lifecycle](https://git.k8s.io/community/sig-cluster-lifecycle)) Google Kubernetes Engine | | | GCE | [docs](https://cloud.google.com/kubernetes-engine/docs/) | Commercial +Docker Enterprise | custom | [multi-support](https://success.docker.com/article/compatibility-matrix) | [multi-support](https://docs.docker.com/ee/ucp/kubernetes/install-cni-plugin/) | [docs](https://docs.docker.com/ee/) | Commercial Red Hat OpenShift | Ansible & CoreOS | RHEL & CoreOS | [multi-support](https://docs.openshift.com/container-platform/3.11/architecture/networking/network_plugins.html) | [docs](https://docs.openshift.com/container-platform/3.11/welcome/index.html) | Commercial Stackpoint.io | | multi-support | multi-support | [docs](https://stackpoint.io/) | Commercial AppsCode.com | Saltstack | Debian | multi-support | [docs](https://appscode.com/products/cloud-deployment/) | Commercial @@ -232,6 +249,7 @@ Agile Stacks | Terraform | CoreOS | multi-support | [docs](https://www.a IBM Cloud Kubernetes Service | | Ubuntu | calico | [docs](https://console.bluemix.net/docs/containers/container_index.html) | Commercial Digital Rebar | kubeadm | any | metal | [docs](/docs/setup/on-premises-metal/krib/) | Community ([@digitalrebar](https://github.com/digitalrebar)) VMware Cloud PKS | | Photon OS | Canal | [docs](https://docs.vmware.com/en/VMware-Kubernetes-Engine/index.html) | Commercial +Mirantis Cloud Platform | Salt | Ubuntu | multi-support | [docs](https://docs.mirantis.com/mcp/) | Commercial {{< note >}} 위의 표는 버전 테스트/사용된 노드의 지원 레벨을 기준으로 정렬된다. diff --git a/content/ko/docs/tasks/_index.md b/content/ko/docs/tasks/_index.md index 1dc8e65b5bdef..4289d0544dbe4 100644 --- a/content/ko/docs/tasks/_index.md +++ b/content/ko/docs/tasks/_index.md @@ -21,9 +21,9 @@ content_template: templates/concept 쿠버네티스 클러스터에서 컨테이너화 된 애플리케이션을 관리 및 모니터하는 것을 돕기 위해서 대시보드 웹 유저 인터페이스를 디플로이하고 접속한다. -## kubectl 명령줄 사용하기 +## kubectl 커맨드라인 사용하기 -쿠버네티스 클러스터를 직접 관리하기 위해서 사용되는 `kubectl` 명령줄 도구를 설치 및 설정한다. +쿠버네티스 클러스터를 직접 관리하기 위해서 사용되는 `kubectl` 커맨드라인 툴을 설치 및 설정한다. ## 파드 및 컨테이너 구성하기 diff --git a/content/ko/docs/tasks/run-application/horizontal-pod-autoscale.md b/content/ko/docs/tasks/run-application/horizontal-pod-autoscale.md new file mode 100644 index 0000000000000..a587db5ec199b --- /dev/null +++ b/content/ko/docs/tasks/run-application/horizontal-pod-autoscale.md @@ -0,0 +1,175 @@ +--- +title: Horizontal Pod Autoscaler +feature: + title: Horizontal 스케일링 + description: > + 간단한 명령어, UI를 통해 또는 CPU 사용량에 따라 자동으로 어플리케이션을 스케일 업과 다운을 한다. + +content_template: templates/concept +weight: 90 +--- + +{{% capture overview %}} + + +Horizontal Pod Autoscaler는 CPU 사용량(또는 [사용자 정의 메트릭](https://git.k8s.io/community/contributors/design-proposals/instrumentation/custom-metrics-api.md), 아니면 다른 애플리케이션 지원 메트릭)을 관찰하여 레플리케이션 컨트롤러, 디플로이먼트 또는 레플리카 셋의 파드 개수를 자동으로 스케일한다. Horizontal Pod Autoscaler는 크기를 조정할 수 없는 오브젝트(예: 데몬 셋)에는 적용되지 않는다. + +Horizontal Pod Autoscaler는 쿠버네티스 API 리소스 및 컨트롤러로 구현된다. +리소스는 컨트롤러의 동작을 결정한다. +컨트롤러는 관찰된 평균 CPU 사용률이 사용자가 지정한 대상과 일치하도록 레플리케이션 컨트롤러 또는 디플로이먼트에서 레플리카 개수를 주기적으로 조정한다. + + +{{% /capture %}} + + +{{% capture body %}} + +## Horizontal Pod Autoscaler는 어떻게 작동하는가? + +![Horizontal Pod Autoscaler 다이어그램](/images/docs/horizontal-pod-autoscaler.svg) + + +Horizontal Pod Autoscaler는 컨트롤러 관리자의 `--horizontal-pod-autoscaler-sync-period` 플래그(기본값은 30 초)에 의해 제어되는 주기를 가진 컨트롤 루프로 구현된다. + +각 주기 동안 컨트롤러 관리자는 각 HorizontalPodAutoscaler 정의에 지정된 메트릭에 대해 리소스 사용률을 질의한다. 컨트롤러 관리자는 리소스 메트릭 API(파드 단위 리소스 메트릭 용) 또는 사용자 지정 메트릭 API(다른 모든 메트릭 용)에서 메트릭을 가져온다. + + +* 파드 단위 리소스 메트릭(예 : CPU)의 경우 컨트롤러는 HorizontalPodAutoscaler가 대상으로하는 각 파드에 대한 리소스 메트릭 API에서 메트릭을 가져온다. 그런 다음, 목표 사용률 값이 설정되면, 컨트롤러는 각 파드의 컨테이너에 대한 동등한 자원 요청을 퍼센트 단위로 하여 사용률 값을 계산한다. 대상 원시 값이 설정된 경우 원시 메트릭 값이 직접 사용된다. 그리고, 컨트롤러는 모든 대상 파드에서 사용된 사용률의 평균 또는 원시 값(지정된 대상 유형에 따라 다름)을 가져와서 원하는 레플리카의 개수를 스케일하는데 사용되는 비율을 생성한다. + +파드의 컨테이너 중 일부에 적절한 리소스 요청이 설정되지 않은 경우, 파드의 CPU 사용률은 정의되지 않으며, 따라서 오토스케일러는 해당 메트릭에 대해 아무런 조치도 취하지 않는다. 오토스케일링 알고리즘의 작동 방식에 대한 자세한 내용은 아래 [알고리즘 세부 정보](#알고리즘-세부-정보) 섹션을 참조하기 바란다. + +* 파드 단위 사용자 정의 메트릭의 경우, 컨트롤러는 사용률 값이 아닌 원시 값을 사용한다는 점을 제외하고는 파드 단위 리소스 메트릭과 유사하게 작동한다. + +* 오브젝트 메트릭 및 외부 메트릭의 경우, 문제의 오브젝트를 표현하는 단일 메트릭을 가져온다. 이 메트릭은 목표 값과 비교되어 위와 같은 비율을 생성한다. `autoscaling/v2beta2` API 버전에서는, 비교가 이루어지기 전에 해당 값을 파드의 개수로 선택적으로 나눌 수 있다. + +HorizontalPodAutoscaler는 보통 일련의 API 집합(`metrics.k8s.io`, `custom.metrics.k8s.io`, `external.metrics.k8s.io`)에서 메트릭을 가져온다. +`metrics.k8s.io` API는 대개 별도로 시작해야 하는 메트릭-서버에 의해 제공된다. 가이드는 [메트릭-서버](https://kubernetes.io/docs/tasks/debug-application-cluster/core-metrics-pipeline/#metrics-server)를 참조한다. HorizontalPodAutoscaler는 힙스터(Heapster)에서 직접 메트릭을 가져올 수도 있다. + +{{< note >}} +{{< feature-state state="deprecated" for_k8s_version="1.11" >}} +힙스터에서 메트릭 가져오기는 Kubernetes 1.11에서 사용 중단(deprecated)됨. +{{< /note >}} + +자세한 사항은 [메트릭 API를 위한 지원](#메트릭-API를-위한-지원)을 참조하라. + +오토스케일러는 스케일 하위 리소스를 사용하여 상응하는 확장 가능 컨트롤러(예: 레플리케이션 컨트롤러, 디플로이먼트, 레플리케이션 셋)에 접근한다. +스케일은 레플리카의 개수를 동적으로 설정하고 각 현재 상태를 검사 할 수 있게 해주는 인터페이스이다. +하위 리소스 스케일에 대한 자세한 내용은 [여기](https://git.k8s.io/community/contributors/design-proposals/autoscaling/horizontal-pod-autoscaler.md#scale-subresource)에서 확인할 수 있다. + +### 알고리즘 세부 정보 + +가장 기본적인 관점에서, Horizontal Pod Autoscaler 컨트롤러는 원하는(desired) 메트릭 값과 현재(current) 메트릭 값 사이의 비율로 작동한다. + +``` +원하는 레플리카 수 = ceil[현재 레플리카 수 * ( 현재 메트릭 값 / 원하는 메트릭 값 )] +``` + +예를 들어 현재 메트릭 값이 `200m`이고 원하는 값이 `100m`인 경우 `200.0 / 100.0 == 2.0`이므로 복제본 수가 두 배가 된다. +만약 현재 값이 `50m` 이면, `50.0 / 100.0 == 0.5` 이므로 복제본 수를 반으로 줄일 것이다. 비율이 1.0(0.1을 기본값으로 사용하는 `-horizontal-pod-autoscaler-tolerance` 플래그를 사용하여 전역적으로 구성 가능한 허용 오차 내)에 충분히 가깝다면 스케일링을 건너 뛸 것이다. + +`targetAverageValue` 또는 `targetAverageUtilization`가 지정되면, `currentMetricValue`는 HorizontalPodAutoscaler의 스케일 목표 안에 있는 모든 파드에서 주어진 메트릭의 평균을 취하여 계산된다. 허용치를 확인하고 최종 값을 결정하기 전에, 파드 준비 상태와 누락된 메트릭을 고려한다. + +삭제 타임 스탬프가 설정된 모든 파드(즉, 종료 중인 파드) 및 실패한 파드는 모두 폐기된다. + +특정 파드에 메트릭이 누락된 경우, 나중을 위해 처리를 미뤄두는데, 이와 같이 누락된 메트릭이 있는 모든 파드는 최종 스케일 량을 조정하는데 사용된다. + +CPU를 스케일할 때, 어떤 파드라도 아직 준비가 안되었거나 (즉, 여전히 초기화 중인 경우) * 또는 * 파드의 최신 메트릭 포인트가 준비되기 전이라면, 마찬가지로 해당 파드는 나중에 처리된다. + + +기술적 제약으로 인해, HorizontalPodAutoscaler 컨트롤러는 특정 CPU 메트릭을 나중에 사용할지 말지 결정할 때, 파드가 준비되는 시작 시간을 정확하게 알 수 없다. + +대신, 파드가 아직 준비되지 않았고 시작 이후 짧은 시간 내에 파드가 준비되지 않은 상태로 전환된다면, 해당 파드를 "아직 준비되지 않음(not yet ready)"으로 간주한다. + +이 값은 `--horizontal-pod-autoscaler-initial-readiness-delay` 플래그로 설정되며, 기본값은 30초이다. 일단 파드가 준비되고 시작된 후 구성 가능한 시간 이내이면, 준비를 위한 어떠한 전환이라도 이를 시작 시간으로 간주한다. 이 값은 `--horizontal-pod-autoscaler-cpu-initialization-period` 플래그로 설정되며 기본값은 5분이다. + +`현재 메트릭 값 / 원하는 메트릭 값` 기본 스케일 비율은 나중에 사용하기로 되어 있거나 위에서 폐기되지 않은 남아있는 파드를 사용하여 계산된다. + +누락된 메트릭이 있는 경우, 파드가 스케일 다운의 경우 원하는 값의 100%를 소비하고 스케일 업의 경우 0%를 소비한다고 가정하여 평균을 보다 보수적으로 재계산한다. 이것은 잠재적인 스케일의 크기를 약화시킨다. + +또한 아직-준비되지-않은 파드가 있는 경우 누락된 메트릭이나 아직-준비되지-않은 파드를 고려하지 않고 스케일 업했을 경우, 아직-준비되지-않은 파드가 원하는 메트릭의 0%를 소비한다고 보수적으로 가정하고 스케일 확장의 크기를 약화시킨다. + +아직-준비되지-않은 파드나 누락된 메트릭을 고려한 후에 사용 비율을 다시 계산한다. 새 비율이 스케일 방향을 바꾸거나, 허용 오차 내에 있으면 스케일링을 건너뛴다. 그렇지 않으면, 새 비율을 사용하여 스케일한다. + +평균 사용량에 대한 *원래* 값은 새로운 사용 비율이 사용되는 경우에도 아직-준비되지-않은 파드 또는 누락된 메트릭에 대한 고려없이 HorizontalPodAutoscaler 상태를 통해 다시 보고된다. HorizontalPodAutoscaler에 여러 메트릭이 지정된 경우, 이 계산은 각 메트릭에 대해 수행된 다음 원하는 레플리카 수 중 가장 큰 값이 선택된다. + +이러한 메트릭 중 어떠한 것도 원하는 레플리카 수로 변환할 수 없는 경우(예 : 메트릭 API에서 메트릭을 가져오는 중 오류 발생) 스케일을 건너뛴다. + +마지막으로, HPA가 목표를 스케일하기 직전에 스케일 권장 사항이 기록된다. 컨트롤러는 구성 가능한 창(window) 내에서 가장 높은 권장 사항을 선택하도록 해당 창 내의 모든 권장 사항을 고려한다. 이 값은 `--horizontal-pod-autoscaler-downscale-stabilization-window` 플래그를 사용하여 설정할 수 있고, 기본 값은 5분이다. 즉, 스케일 다운이 점진적으로 발생하여 급격히 변동하는 메트릭 값의 영향을 완만하게 한다. + + +## API 오브젝트 + +Horizontal Pod Autoscaler는 쿠버네티스 `autoscaling` API 그룹의 API 리소스이다. CPU에 대한 오토스케일링 지원만 포함하는 안정된 버전은 `autoscaling/v1` API 버전에서 찾을 수 있다. + +메모리 및 사용자 정의 메트릭에 대한 스케일링 지원을 포함하는 베타 버전은 `autoscaling/v2beta2`에서 확인할 수 있다. `autoscaling/v2beta2`에서 소개된 새로운 필드는 `autoscaling/v1`로 작업할 때 어노테이션으로 보존된다. + +API 오브젝트에 대한 자세한 내용은 [HorizontalPodAutoscaler 오브젝트](https://git.k8s.io/community/contributors/design-proposals/autoscaling/horizontal-pod-autoscaler.md#horizontalpodautoscaler-object)에서 찾을 수 있다. + + +## kubectl에서 Horizontal Pod Autoscaler 지원 + +Horizontal Pod Autoscaler는 모든 API 리소스와 마찬가지로 `kubectl`에 의해 표준 방식으로 지원된다. `kubectl create` 커맨드를 사용하여 새로운 오토스케일러를 만들 수 있다. `kubectl get hpa`로 오토스케일러 목록을 조회할 수 있고, `kubectl describe hpa`로 세부 사항을 확인할 수 있다. 마지막으로 `kubectl delete hpa`를 사용하여 오토스케일러를 삭제할 수 있다. + +또한 Horizontal Pod Autoscaler를 쉽게 생성 할 수 있는 `kubectl autoscale`이라는 특별한 명령이 있다. 예를 들어 `kubectl autoscale rs foo --min=2 --max=5 --cpu-percent=80`을 실행하면 레플리케이션 셋 *foo* 에 대한 오토스케일러가 생성되고, 목표 CPU 사용률은 `80 %`, 그리고 2와 5 사이의 레플리카 개수로 설정된다. `kubectl autoscale`에 대한 자세한 문서는 [여기](/docs/reference/generated/kubectl/kubectl-commands/#autoscale)에서 찾을 수 있다. + +## 롤링 업데이트 중 오토스케일링 + +현재 쿠버네티스에서는 레플리케이션 컨트롤러를 직접 관리하거나, 기본 레플리카 셋를 관리하는 디플로이먼트 오브젝트를 사용하여 [롤링 업데이트](/docs/tasks/run-application/rolling-update-replication-controller/)를 수행 할 수 있다. Horizontal Pod Autoscaler는 후자의 방법을 지원한다. Horizontal Pod Autoscaler는 디플로이먼트 오브젝트에 바인딩되고, 디플로이먼트 오브젝트를 위한 크기를 설정하며, 디플로이먼트는 기본 레플리카 셋의 크기를 결정한다. + +Horizontal Pod Autoscaler는 레플리케이션 컨트롤러를 직접 조작하는 롤링 업데이트에서 작동하지 않는다. 즉, Horizontal Pod Autoscaler를 레플리케이션 컨트롤러에 바인딩하고 롤링 업데이트를 수행할 수 없다. (예 : `kubectl rolling-update`) +작동하지 않는 이유는 롤링 업데이트에서 새 레플리케이션 컨트롤러를 만들 때, Horizontal Pod Autoscaler가 새 레플리케이션 컨트롤러에 바인딩되지 않기 때문이다. + +## 쿨-다운 / 지연에 대한 지원 + +Horizontal Pod Autoscaler를 사용하여 레플리카 그룹의 스케일을 관리할 때, 평가된 메트릭의 동적인 특징 때문에 레플리카 수가 자주 변동할 수 있다. 이것은 때로는 *스래싱 (thrashing)* 이라고도 한다. + +v1.6부터 클러스터 운영자는 `kube-controller-manager` 구성 요소의 플래그로 노출된 글로벌 HPA 설정을 조정하여 이 문제를 완화할 수 있다. + +v1.12부터는 새로운 알고리즘 업데이트가 업스케일 지연에 대한 필요성을 제거하였다. + +- `--horizontal-pod-autoscaler-downscale-delay` : 이 옵션 값은 오토스케일러가 현재의 작업이 완료된 후에 다른 다운스케일 작업을 수행하기까지 기다려야 하는 시간을 지정하는 지속 시간이다. 기본값은 5분(`5m0s`)이다. + +{{< note >}} +이러한 파라미터 값을 조정할 때 클러스터 운영자는 가능한 결과를 알아야 한다. 지연(쿨-다운) 값이 너무 길면, Horizontal Pod Autoscaler가 워크로드 변경에 반응하지 않는다는 불만이 있을 수 있다. 그러나 지연 값을 너무 짧게 설정하면, 레플리카 셋의 크기가 평소와 같이 계속 스래싱될 수 있다. +{{< /note >}} + +## 멀티 메트릭을 위한 지원 + +Kubernetes 1.6은 멀티 메트릭을 기반으로 스케일링을 지원한다. + +`autoscaling/v2beta2` API 버전을 사용하여 Horizontal Pod Autoscaler가 스케일을 조정할 멀티 메트릭을 지정할 수 있다. 그런 다음 Horizontal Pod Autoscaler 컨트롤러가 각 메트릭을 평가하고, 해당 메트릭을 기반으로 새 스케일을 제안한다. 제안된 스케일 중 가장 큰 것이 새로운 스케일로 사용된다. + +## 사용자 정의 메트릭을 위한 지원 + +{{< note >}} +쿠버네티스 1.2는 특수 어노테이션을 사용하여 애플리케이션 관련 메트릭을 기반으로 하는 스케일의 알파 지원을 추가했다. 쿠버네티스 1.6에서는 이러한 어노테이션 지원이 제거되고 새로운 오토스케일링 API가 추가되었다. 이전 사용자 정의 메트릭 수집 방법을 계속 사용할 수는 있지만, Horizontal Pod Autoscaler에서는 이 메트릭을 사용할 수 없다. 그리고 Horizontal Pod Autoscaler 컨트롤러에서는 더 이상 스케일 할 사용자 정의 메트릭을 지정하는 이전 어노테이션을 사용할 수 없다. +{{< /note >}} + +쿠버네티스 1.6에서는 Horizontal Pod Autoscaler에서 사용자 정의 메트릭을 사용할 수 있도록 지원한다. +`autoscaling/v2beta2` API에서 사용할 Horizontal Pod Autoscaler에 대한 사용자 정의 메트릭을 추가 할 수 있다. 그리고 쿠버네티스는 새 사용자 정의 메트릭 API에 질의하여 적절한 사용자 정의 메트릭의 값을 가져온다. + +요구 사항은 [메트릭을 위한 지원](#메트릭-API를-위한-지원)을 참조한다. + +## 메트릭 API를 위한 지원 + +기본적으로 HorizontalPodAutoscaler 컨트롤러는 일련의 API에서 메트릭을 검색한다. 이러한 API에 접속하려면 클러스터 관리자는 다음을 확인해야 한다. + +* [API 집합 레이어](/docs/tasks/access-kubernetes-api/configure-aggregation-layer/) 활성화 +* 해당 API 등록: + * 리소스 메트릭의 경우, 일반적으로 이것은 [메트릭-서버](https://github.com/kubernetes-incubator/metrics-server)가 제공하는 `metrics.k8s.io` API이다. 클러스터 애드온으로 시작할 수 있다. + + * 사용자 정의 메트릭의 경우, 이것은 `custom.metrics.k8s.io` API이다. 메트릭 솔루션 공급 업체에서 제공하는 "어댑터" API 서버에서 제공한다. 메트릭 파이프라인 또는 [알려진 솔루션 목록](https://github.com/kubernetes/metrics/blob/master/IMPLEMENTATIONS.md#custom-metrics-api)으로 확인한다. 직접 작성하고 싶다면 [샘플](https://github.com/kubernetes-incubator/custom-metrics-apiserver)을 확인하라. + + * 외부 메트릭의 경우, 이것은 `external.metrics.k8s.io` API이다. 위에 제공된 사용자 정의 메트릭 어댑터에서 제공될 수 있다. + +* `--horizontal-pod-autoscaler-use-rest-clients`는 `true`이거나 설정되지 않음. 이것을 false로 설정하면 더 이상 사용되지 않는 힙스터 기반 오토스케일링으로 전환된다. + +{{% /capture %}} + +{{% capture whatsnext %}} + +* 디자인 문서: [Horizontal Pod Autoscaling](https://git.k8s.io/community/contributors/design-proposals/autoscaling/horizontal-pod-autoscaler.md). +* kubectl 오토스케일 커맨드: [kubectl autoscale](/docs/reference/generated/kubectl/kubectl-commands/#autoscale). +* [Horizontal Pod Autoscaler](/ko/docs/tasks/run-application/horizontal-pod-autoscale-walkthrough/)의 사용 예제. + +{{% /capture %}} diff --git a/content/ko/docs/tasks/tools/install-minikube.md b/content/ko/docs/tasks/tools/install-minikube.md index bc8a8d0a56c17..305a2ab350fc5 100644 --- a/content/ko/docs/tasks/tools/install-minikube.md +++ b/content/ko/docs/tasks/tools/install-minikube.md @@ -12,7 +12,11 @@ weight: 20 {{% capture prerequisites %}} -컴퓨터의 바이오스에서 VT-x 또는 AMD-v 가상화가 필수적으로 활성화되어 있어야 한다. +컴퓨터의 바이오스에서 VT-x 또는 AMD-v 가상화가 필수적으로 활성화되어 있어야 한다. 이를 확인하려면 리눅스 상에서 아래의 명령을 실행하고, +출력이 비어있지 않은지 확인한다. +```shell +egrep --color 'vmx|svm' /proc/cpuinfo +``` {{% /capture %}} diff --git a/content/ko/docs/tutorials/hello-minikube.md b/content/ko/docs/tutorials/hello-minikube.md index 0909d4cb9aa80..3f02fa6df9bc9 100644 --- a/content/ko/docs/tutorials/hello-minikube.md +++ b/content/ko/docs/tutorials/hello-minikube.md @@ -153,9 +153,9 @@ Katacode는 무료로 브라우저에서 쿠버네티스 환경을 제공한다. 4. Katacoda 환경에서만: 플러스를 클릭한 후에 **Select port to view on Host 1** 를 클릭. -5. Katacoda 환경에서만: 포트 번호를 `8080`로 입력하고, **Display Port** 클릭. +5. Katacoda 환경에서만: 포트 번호를 `30369`로 입력하고(서비스 출력 `8080`과 반대편의 포트를 참조), **Display Port** 클릭. - 이렇게 하면 당신의 앱을 서비스하는 브라우저 윈도우를 띄우고 Hellow World" 메시지를 보여준다. + 이렇게 하면 당신의 앱을 서비스하는 브라우저 윈도우를 띄우고 "Hello World" 메시지를 보여준다. ## 애드온 사용하기