분류 전체보기 (703) 썸네일형 리스트형 도커 이미지 매니페스트 및 레이어 구조 이해 1. 정의도커 이미지는 단일 파일이 아닌 Union Mount File System을 기반으로 한 여러 개의 읽기 전용(Read-only) 레이어의 집합이며, 이에 대한 메타데이터는 Manifest 파일과 Config 파일에 정의되어 있다.2. Union Mount File System과 GraphDriver 구조도커는 GraphDriver(주로 overlay2)를 통해 여러 계층의 파일 시스템을 하나의 통합된 뷰(View)로 제공한다. docker inspect 명령어를 통해 해당 컨테이너의 파일 시스템 경로를 확인할 수 있으며, 구조는 다음과 같다.Lower Directory (LowerDir):이미지의 레이어들이 위치하는 곳.모든 레이어는 Read-only(읽기 전용)이다.여러 개의 레이어가 존재할.. 도커 라이프사이클 및 이미지/컨테이너 명령어 정리 1. 정의도커(Docker)의 라이프사이클은 **이미지(Image)**를 기반으로 **컨테이너(Container)**를 생성, 실행, 정지, 삭제 및 저장하는 일련의 과정을 의미한다. 2. 이미지 및 레지스트리 관리 (Image & Registry)이미지는 컨테이너 실행에 필요한 파일과 설정값을 포함한 불변의 템플릿이다.레지스트리(Registry): 도커 이미지를 저장하고 배포하는 공간(예: Docker Hub).Pull & Push:pull: 원격 레지스트리에서 로컬로 이미지를 다운로드함.push: 로컬에 생성된 이미지를 원격 레지스트리에 업로드함.rmi: 로컬에 저장된 도커 이미지를 삭제(Remove Image)함. 컨테이너가 해당 이미지를 참조 중일 경우 삭제가 불가능함.3. 컨테이너 생명주기 (C.. Fuzzy Hashing이란? Fuzzy Hashing이란 무엇인가Fuzzy Hashing은 전통적인 해시 함수(MD5, SHA-1 등)와 달리 파일 간 유사도를 비교할 수 있는 해싱 기술입니다. 단순히 파일이 동일한지 여부를 판단하는 것이 아니라, 일부가 변경된 변형 파일이라도 기존 파일과 얼마나 비슷한지를 평가할 수 있습니다. 주로 악성코드 분석, 침해사고 대응, 파일 변조 탐지에 활용됩니다.1. 전통 해시 vs Fuzzy Hash항목MD5/SHA-1Fuzzy Hash비교 목적정확한 동일성유사성변경 허용0% 변경만 동일일부 변경 가능, 유사도 수치 제공주요 활용파일 무결성 검증악성코드 변종 탐지, 로그/파일 비교2. 대표 기술 및 알고리즘ssdeep: 가장 널리 쓰이는 Fuzzy Hash 도구. 파일을 블록 단위로 쪼개고 ro.. 보안 관점에서 punycode Punycode란 무엇인가Punycode는 국제화 도메인 이름(Internationalized Domain Name, IDN)을 ASCII 문자로 변환하기 위한 인코딩 방식입니다. 인터넷의 도메인 시스템(DNS)은 원래 영어 알파벳(A-Z), 숫자(0-9), 하이픈(-)만 인식합니다. 그러나 한글, 일본어, 중국어 등 비ASCII 문자를 사용하려면 이를 DNS가 이해할 수 있는 형태로 변환해야 합니다. 이때 사용되는 표준 인코딩 규칙이 바로 Punycode입니다.1. 기본 개념예를 들어, 사용자가 한글 도메인 “도메인.한국”을 입력하면, 브라우저는 이를 Punycode로 변환하여 DNS에 질의합니다. 변환된 결과는 다음과 같습니다.도메인.한국 → xn--hq1bm8jm9l.xn--3e0b707e즉, xn.. Fast Flux 기법이란? Fast Flux 기법이란 무엇인가Fast Flux는 악성 도메인 탐지를 회피하기 위해 공격자가 IP 주소를 빠르게 변경하는 기법입니다. 주로 피싱, 스팸, C&C(Command and Control) 서버 운영에 사용되며, DNS 인프라를 악용해 봇넷의 생존성을 극대화합니다.1. 동작 원리일반적인 웹사이트는 하나의 도메인이 고정된 IP 주소를 가리킵니다. 반면 Fast Flux는 짧은 TTL(Time To Live) 값을 이용해, 도메인이 짧은 주기로 서로 다른 IP 주소를 가리키도록 설정합니다. 이 IP들은 전 세계에 분산된 감염된 좀비 PC(bot)들입니다.예시 동작 과정은 다음과 같습니다.공격자는 봇넷의 일부 호스트를 프록시로 구성DNS 서버에 해당 도메인의 A 레코드를 다수 등록TTL 값을 수 .. Kubernetes Rolling Update 시 Readiness Probe, Graceful Shutdown, Termination Grace Period Kubernetes Rolling Update. Readiness Probe, Graceful Shutdown, Termination Grace PeriodPod 롤링 업데이트의 무중단을 결정하는 핵심 세 가지입니다. Readiness Probe는 트래픽 유입 여부를 판단합니다. Graceful Shutdown은 종료 시 커넥션 드레인을 보장합니다. TerminationGracePeriodSeconds는 강제 종료까지 허용 시간을 정의합니다.1. Readiness Probe. 트래픽 유입 결정역할. 컨테이너가 요청을 안전하게 처리할 준비가 되었는지 판별합니다. 실패 시 해당 Pod는 Service 대상에서 제외됩니다.권장. 외부 의존성까지 포함한 실제 처리 가능 상태를 검사합니다. 예시는 DB 연결, 큐.. AWS Security Group for Pods AWS Security Group for Pods 정리Amazon EKS에서는 AWS VPC CNI의 확장 기능을 통해 Pod 단위로 Security Group을 직접 할당할 수 있습니다. 이를 Security Group for Pods (SGP)라고 하며, 기존에는 노드 단위로만 보안 그룹을 적용할 수 있었던 제약을 보완합니다. 즉, 워크로드(Pod)마다 네트워크 경계를 분리해 더 세밀한 보안 제어가 가능합니다.1. 동작 원리Pod ENI 할당. VPC CNI가 Pod에 ENI를 직접 붙여주고, 해당 ENI에 보안 그룹을 매핑IAM Role for Service Account(IRSA). Pod에 할당할 보안 그룹 권한 부여를 위해 IRSA를 사용Security Group Policy CRD. Kube.. Amazon VPC CNI와 Kubernetes Network Policy Amazon VPC CNI와 Kubernetes Network PolicyAmazon EKS에서 기본적으로 사용되는 Amazon VPC CNI(Container Network Interface) 플러그인은 Pod에 직접 VPC의 ENI(Elastic Network Interface)와 IP를 할당하는 구조를 사용합니다. 이로 인해 Pod가 클러스터 내부 전용 IP가 아닌 VPC 네이티브 IP를 가지게 되며, AWS 보안 그룹(Security Group) 및 VPC 네트워크 제어와 자연스럽게 연계되는 장점이 있습니다. 하지만 순수 Kubernetes Network Policy 지원은 제한적이며, CNI 구성에 따라 별도의 구현이 필요합니다.1. VPC CNI의 기본 동작Pod IP = VPC IP. Pod.. Kubernetes Network Policy 보안 관점 정리 Kubernetes Network Policy 보안 관점 정리Kubernetes Network Policy는 Pod 간 트래픽을 제어하기 위한 보안 기능입니다. 기본적으로 Kubernetes는 모든 Pod 간 통신을 허용하기 때문에, 민감한 워크로드를 보호하려면 네트워크 정책을 명시적으로 정의해야 합니다. 보안 관점에서 Network Policy는 제로 트러스트 네트워킹(Zero Trust Networking)의 핵심 도구로 활용됩니다.1. 기본 개념기본 동작. 네트워크 정책이 없으면 모든 Ingress(들어오는 트래픽)와 Egress(나가는 트래픽)가 허용됩니다.정책 적용. 특정 네임스페이스에 배포된 Pod에만 정책이 적용됩니다.선언적 제어. 허용 규칙(allow rule)만 정의할 수 있으며, 정의하.. EKS Fully Private에서 ENI별 Security Group 베스트 프랙티스 EKS Fully Private에서 ENI별 Security Group 베스트 프랙티스완전 프라이빗 EKS 아키텍처에서 EKS-owned ENI, Worker Node ENI, VPC Endpoint ENI, 운영용 호스트 ENI(myeks-host)에 적용할 Security Group(SG) 규칙을 정리합니다. 원칙은 최소 권한, 보안그룹 참조 기반, 인터넷 무노출입니다.요약 테이블대상 ENI부착 SG주요 Inbound주요 Outbound비고EKS-owned ENI(컨트롤플레인 ENI)sg-eks-controlplane443/TCP. 소스 sg-eks-nodes, sg-myeks-host10250/TCP. 대상 sg-eks-nodes443/TCP. 대상 sg-eks-nodes, sg-vpce-*API .. 이전 1 2 3 4 ··· 71 다음