웹 페이지를 개설했다면, 그리고 외부에서 접근가능하려면 어떻게 해야할까?
이를 위해 많은 분들이 Service와 Ingress를 혼동한다. 그래서 이에 대해 짧게 알아보도록 하자.
NodePort type의 Service를 통해 포트를 정의해줘서 외부로부터 접근이 가능하게 만들 수 있다.
그리고, 포트를 외우기 귀찮으니(원래는 http://my-online-store.com:38080으로로 접근)
proxy server를 이용함으로써 URL을 통해 접근 가능하게 한다.
만약 GCP등의 Cloud platform을 사용한다면 LoadBalancer Type의 service를 사용하면 된다.
그럼 K8s가 알아서 포트, 외부 ip등을 다 할당해준다.
자, 그런데 비즈니스가 잘 되어서 /watch라는 또 다른 app을 만든다고 치자.
그럼 기존 my-online-store.com은 my-online-store.com/wear로 바꾸어야할 것이다.
그럼 동일한 클러스터 내 오른쪽 노란색 표기와 같이 새로운 인스턴스들을 만든다.
그럼, wear app에 접근 또는 video 앱에 각각 접근하기 위해 어떻게 해야할까?
가장 상단에 새로운 service를 만들어서 이 두개 app에 대한 정의를 해야하고, SSL enable도 시켜야 한다.
그런데 이건, app level과 다른 level이다.
그런데, app이 더 늘어날 경우?
계속 파일을 수정해줘야하고 SSL도 처리해야하고, 경로와 포트등을 계속 만들어줘야 한다.
그래서 Ingress라는 개념이 나왔다.
Ingress는 K8s에 built-in된 7계층 LoadBalancer로,
하나의 외부 URL을 이용해서 클러스터 내 다른 서비스로 라우팅을 시켜줄 수 있고, SSL Security또한 실행해줄 수 있다.
하지만, 이 또한 외부에서 클러스터로 접근하기 위해
node port 또는 cloud native LB를 사용해서 외부로 노출시켜줘야 한다.
다만, 이건 단 한번만 하면 된다.
1. Deploy = Ingress controller
Ingress를 위한 solution으로는 nginx, haproxy, traefik 등을 사용하면 된다.
이렇게 deploy하게되는 솔루션들을 ingress controller라고 부르고,
2. Configure = Ingress resources
설정하는 rule들을 ingress resource라고 부른다.
이건 기존 우리가 생성했던 pod deploy처럼 definition file을 이용해서 생성된다.
그런데, ingress controller는 defualt로 built-in 되어있지 않다.
그래서 이걸 무조건 deploy 해줘야 하는데, 어떤 걸 deploy 해줘야할까?
위와 같이 많은 종류의 사용 가능한 솔루션이 있다.
이 강의에서는 nginx를 예시로 사용하고 있고, 이건 기존에 사용하던 LB나 nginx 서버와는 다르다.
Ingress controller에서 LB 컴포넌트는 단지 일부일뿐이고, K8s 클러스터를 모니터링 할 수 있는 기능이 포함되어 있다.
Controller는 다른 deployment와 동일한 방식으로 deploy 되는데, definition file을 한번 확인해보자.
nginx program은 /nginx-ingress-controller라는 경로에 저장되어 있는데,
keep-alive threshold, ssl setting, session timeout 등을 설정하기 위해 별도의 ConfigMap을 만든다.
그래서 configmap에 대한 정의 또한 args에 포함한다.
그리고, pod와 pod의 namespace 또한 env로 포함해줘야하고,
ingress controller에 의해 사용되는 ports 또한 추가한다.
그리고, ingress controller를 외부 세상에 노출하기 위해 service가 필요하다.
그래서 NodePort 타입의 service를 생성하고, label-selector를 이용해서 deployment와 링크시킨다.
그리고, 아까 언급했듯 ingress는 k8s 클러스터를 모니터링하는 추가적인 기능들을 갖고 있다.
그래서 어떤 설정이 변경되었을 때, 그것들을 nginx 서버에 설정할 수 있는데, 이를 위해 service account가 필요하다.
이 service account에는 맞는 퍼미션이 필요한데, 그를 위해 roles과 roles binding이 필요하다.
즉, 정리하자면
ingress를 위해서는 최소한으로 Deployment file, service file, configmap, Auth(ServiceAccount)가 필요하다.
ingress resource는 ingress controller에 적용되는 rules과 configurations들의 세트인데,
첫 번째 그림과 같이 모든 incomming traffic에 대해 single application으로 route할 수도 있고,
두 번째 그림과 같이 URL을 기반으로 다른 app들로 라우팅을 분배할 수도 있다.
그럼 이것들을 어떻게 설정하는지 알아보자.
ingress resource는 위의 오른쪽과 같이 파일을 정의해주는데, pod에게 direct로 가는 게 아니라, service로 보내준다.
그리고, 다른 조건에 따라 traffic을 분리하고 싶을 때 rules을 사용할 수도 있는데,
위와 같이 www.my-online-store.com // www.wear.my-online-store.com/ 등으로 분리할 수 있다.
아래에서 하나씩 설정을 확인해보자.
위와 같이, 각 호스트의 top level로부터 rule을 생성할 수도 있고,
URL을 기반으로 라우팅 패스를 다르게 설정할 수도 있다.
어떻게 설정할까?
처음엔 Ingress-wear.yaml를 사용했지만,
지금은 두 개의 app으로 나뉘므로, ingress-wear-watch.yaml 파일에서 각각의 path와 service를 정의해줘야 한다.
이후 yaml파일을 apply로 생성하면, 위와 같이 ingress를 조회해볼 수 있다.
2가지 path가 생긴 것을 확인할 수 있는데, 위의 Default backend는 무엇일까?
유저가 접근을 시도하는 URL이 없을 때(어떤 Rule도 match되지 않을 때) 보여주는 page를 정의하는 것이다.
위의 oops 404 페이지처럼 말이다.
자, 그럼 3번째 설정 타입으로는 domain name 또는 host name을 이용하는 것을 알아보자.
이전 설정에선 host를 정의하지 않았는데, host를 정의하지 않으면
hostname matching 없이 특정 rule에 따라 incoming traffic이 허용된다.
이전에 만든 것과 비교해보면(왼쪽), rule에 hostname이 추가되었을 뿐이다. (오른쪽)
출처: Udemy 사이트의 Certified Kubernetes Administrator (CKA) with Practice Tests 강의
'직장생활 > Kubernetes(K8s), Docker' 카테고리의 다른 글
| Certified Kubernetes Administrator (CKA) - 10 Troubleshooting (ft. Udemy) (0) | 2021.11.01 |
|---|---|
| K8s - LVM 설정 적용 (0) | 2021.10.27 |
| Certified Kubernetes Administrator (CKA) - 8 Storage (ft. Udemy) (0) | 2021.10.18 |
| Certified Kubernetes Administrator (CKA) - 7-11 Network Policy (ft. Udemy) (0) | 2021.10.18 |
| Certified Kubernetes Administrator (CKA) - 7-10 Cluster Role binding (ft. Udemy) (0) | 2021.10.17 |
