VPC 통합
•
쿠버네티스 클러스터에서는 파드 네트워크로 데이터 플레인의 네트워크와는 다른 자체 네트워크 체계를 배치함.
◦
따라서 클러스터 외부에서 파드에 명시적으로 엔드포인트를 생성하지 않으면 통신이 불가능 함.
•
EKS는 Amazon VPC 통합 네트워킹을 지원하고 있어 파드에서 VPC 내부 주소 대역을 사용할 수 있고, 클러스터 외부와의 통신을 Seamless 하게 구현할 수 있다.
◦
서비스 접근을 단순하게 하는 것 혹은 복잡한 기술이나 기능을 설명하지 않아도 서비스 기능을 직관적으로 구현하는 것을 뜻함
◦
엄밀히, 기본 설정으로는 통신이 불가능하고 SNAT 기능을 비활성화하여 구현할 수 있다.
IAM을 통한 인증과 인가
•
Authentication : 쿠버네티스 클러스터에 kubectl 사용시 조작이 허가된 사용자에 의한 것임을 올바르게 인증해야한다.
•
Authorization : 인증된 사용자에게 어떤 조작을 허가할 것인지에 대한 인가구조도 필요.
1.
kubectl 로 EKS 조작시 AWS Identity를 사용하여 요청
2.
EKS는 AWS IAM에 Identity에 대한 인증 질의
3.
EKS는 RBAC를 통해 필요한 조작에 관한 인가를 줌.
4.
EKS에 실행된 조작 결과에 대한 응답 (허가 / 거부)
ELB와 연계
•
쿠버네티스 클러스터 외부에서 접속할 때 서비스를 사용해 엔드포인트를 생성할 필요가 있다.
◦
가장 전형적인 엔드포인트가 로드벨런서.
EKS에서는 쿠버네티스의 서비스 타입 중 하나인 LoadBalancer 를 설정하면 자동적으로 AWS의 로드밸런서 서비스인 ELB가 생성된다. 이것으로 HTTPS나 경로 기반 라우팅 등의 L7 로드밸런서 기능을 AWS 서비스로 구현할 수 있다.
데이터 플레인 선택
•
Managed Node Groups: EKS 클러스터의 유지 관리나 버전을 업그레이드할 때 필요한 가상 머신 설정을 쉽게 해줌
•
Fargate : 처음부터 가상 머신을 의식하지 않고 파드를 배포할 수 있는 서비스
◦
파게이트 유형은 데이터 플레인 관리가 필요 없는 만큼 파드가 배포되는 호스트에 사용자 접근도 제한되며 제약도 있다.
