◈ 이 책에서 다루는 내용 ◈

◆ KinD를 이용한 다중 노드 쿠버네티스 클러스터 생성
◆ 인그레스, MetalLB, 외부-DNS 및 새로운 샌드박스 프로젝트 쿠버네티스 글로벌 밸런서 (K8GB) 구현
◆ OIDC 및 가장(impersonation)을 이용한 클러스터 구성
◆ Istio 서비스 메시에 모놀리식 애플리케이션 배포
◆ 엔터프라이즈 인증을 쿠버네티스에 매핑
◆ OPA 및 게이트키퍼를 사용한 클러스터 보안
◆ Falco, 데브옵스 AI, ECK를 통한 감사 기능 강화
◆ 재해 복구 및 클러스터 마이그레이션을 위한 워크로드 백업
◆ Tekton, 깃랩 및 ArgoCD를 이용한 깃옵스 플랫폼 배포

◈ 이 책의 대상 독자 ◈

여러 엔터프라이즈 환경에서 클러스터를 이용해 수년간 작업한 저자들의 경험을 바탕으로 데브옵스 팀이 쿠버네티스의 기초 이상으로 기술을 확장할 수 있도록 돕기 위해 이 책을 만들었다.
쿠버네티스와 클러스터 설치, 배포 생성, 쿠버네티스 개체 사용의 기본 사항을 소개하는 책이 많다. 우리의 계획은 기본 클러스터를 넘어서는 책을 만드는 것이었고 책의 분량을 적절한 수준으로 유지하기 위해 쿠버네티스의 기본 사항을 다시 살펴보진 않기 때문에 어느 정도 쿠버네티스에 대한 경험이 있는 독자가 읽기에 적합하다.
주요 초점은 엔터프라이즈 기능으로 클러스터를 확장하는 것이지만, 책의 첫 번째 장에서는 도커 핵심 주제와 쿠버네티스 객체를 다시 살펴볼 것이다. 고급 주제들을 다루는 장들을 최대한 활용하려면 쿠버네티스 객체를 확실하게 이해하는 것이 중요하다.

◈ 이 책의 구성 ◈

1장, ‘도커 및 컨테이너 기초’에서는 개발자가 해결해야 할 도커와 쿠버네티스의 문제를 다룬다. 도커 데몬, 데이터, 설치 및 도커 CLI 사용을 포함해 도커의 기초 개념을 소개한다.
2장, ‘KinD를 이용한 쿠버네티스 배포’에서는 단일 노드 클러스터에서 다중 노드 클러스터까지 쿠버네티스 클러스터를 생성할 수 있는 강력한 도구인 KinD를 다룬다. 기본 KinD 클러스터와 사용 방법을 설명한다.
3장, ‘쿠버네티스 부트캠프’에서는 쿠버네티스 기본을 다시 살펴보며, 쿠버네티스를 처음 접하는 경우 클러스터를 포함한 대부분의 객체를 다룰 것이다. 각 객체의 기능과 클러스터에서의 기능에 대한 설명과 함께 각 객체를 설명한다. 이는 객체에 대한 복습 또는 "포켓 가이드"를 의미한다. 각 객체에 대한 모든 세부 정보가 포함돼 있진 않다.
4장, ‘서비스, 로드 밸런서, ExternalDNS 그리고 글로벌 밸런싱’에서는 서비스를 이용해 쿠버네티스 배포를 노출하는 방법을 소개한다. 각 서비스 유형은 예제와 함께 설명되며 레이어 7 및 레이어 4 로드 밸런서를 모두 사용해 서비스 유형을 노출하는 방법을 배우게 된다. Ingress 컨트롤러의 기본 사항을 넘어 MetalLB를 설치해 서비스에 대한 레이어 4 액세스를 제공하는 방법을 설명한다. 또한 기본 쿠버네티스 글로벌 로드 밸런싱을 제공하는 MetalLB 및 K8GB에 의해 노출되는 서비스에 대한 동적 이름 확인 기능을 제공하기 위해 external-dns라는 인큐베이터 프로젝트를 설치해 엔터프라이즈 클러스터에 도움이 되는 두 가지 추가 기능에 대해 알아본다.
5장, ‘클러스터 인증 연동’에서는 "클러스터가 구축되면 사용자가 어떻게 클러스터에 액세스하는가?"라는 질문에 답할 수 있도록 한다. 특히 OpenID Connect의 작동 방식과 이를 이용해 클러스터에 액세스해야 하는 이유를 자세히 살펴본다. 또한 파이프라인에 인증하는 방법을 배우고 마지막으로 피해야 할 몇 가지 안티 패턴을 다루고 이 이유를 설명한다.
6장, ‘롤 기반 액세스 제어 정책 및 감사’에서는 사용자가 클러스터에 액세스할 수 있게 되면 액세스를 제한하는 방법을 알아야 한다고 설명한다. 사용자에게 전체 클러스터를 제공하는지 네임스페이스만 제공하는지에 상관없이 쿠버네티스가 역할 기반 액세스 제어(RBAC) 시스템을 통해 액세스 권한을 부여하는 방법을 알아야 한다. RBAC 정책을 설계하는 방법, 디버깅하는 방법 및 멀티 테넌시를 위한 다양한 전략을 소개한다.
7장, ‘안전한 쿠버네티스 대시보드 배포’에서는 클러스터가 실행되면 사용자가 가장 먼저 보게 되는 쿠버네티스 대시보드를 다룬다. 보안에 대해서는 많은 신화가 있다. 클러스터는 네트워크 대시보드, 로깅 시스템, 모니터링 대시보드와 같은 다른 웹 애플리케이션들로 구성된다. 대시보드가 어떻게 구성돼 있는지, 대시보드를 적절하게 보호하는 방법, 대시보드를 배포하지 않는 방법의 예를 자세히 살펴보고 그 이유에 대해 자세히 설명한다.
8장, ‘Open Policy Agent(OPA)를 사용한 보안 확장’에서는 RBAC를 이용해 구현할 수 없는 정책을 활성화하기 위해 Open Policy Agent 및 게이트키퍼를 배포하는 데 필요한 지침을 제공한다. 게이트키퍼를 배포하는 방법, Rego에서 정책을 작성하는 방법, OPA에 내장된 테스트 프레임워크를 사용해 정책을 테스트하는 방법을 다룬다.
9장, ‘게이트키퍼로 노드 보안 구현’에서는 파드를 실행하는 노드의 보안을 다룬다. 컨테이너를 안전하게 설계하는 방법과 컨테이너가 필요하지 않은 리소스에 액세스하지 못하도록 제한하는 게이트키퍼를 이용해서 정책을 구축하는 방법에 대해 논의한다.
10장, ‘Falco, DevOps AI, ECK를 통한 감사’에서는 쿠버네티스에 API 액세스를 위한 이벤트 로깅이 포함돼 있지만 컨테이너 런타임 이벤트를 캡처하는 기능은 없다는 점을 설명한다. 이러한 제한 사항을 해결하기 위해 우리는 Sysdig가 CNCF에 기부한 Falco라는 프로젝트를 설치할 것이다. Falco를 이용하면 Kubeless 기능을 사용해 Falco에서 캡처한 이벤트를 기반으로 작업을 트리거하는 방법과 FalcoSideKick을 이용해서 Falco에서 캡처한 데이터를 표시해 FalcoSidekick-UI 및 ECK(Elastic Cloud on Kubernetes) 스택에 이벤트를 전달하는 방법을 알아본다.
11장, ‘워크로드 백업’에서는 Velero를 사용해서 재해 복구 또는 클러스터 마이그레이션을 위해 클러스터 워크로드의 백업을 생성하는 방법을 설명한다. 워크로드 예제의 백업을 생성하고 클러스터 마이그레이션을 시뮬레이션하기 위해 백업을 새로운 클러스터로 복원하기 위해 MinIO를 사용하여 S3 호환 스토리지 위치를 직접 생성한다.
12장, ‘Istio 소개’에서는 많은 기업이 보안, 트래픽 라우팅, 인증, 추적, 관측성과 같은 고급 기능을 클러스터에 제공하기 위해 이용하는 서비스 메시를 설명한다. 널리 사용되는 오픈 소스 서비스 메시인 Istio와 해당 아키텍처 그리고 가장 일반적으로 사용되는 리소스를 소개한다. 애플리케이션 예제를 이용해서 Istio를 KinD 클러스터에 배포하고 Kiali라는 도구를 활용해 애플리케이션의 동작을 모니터링하는 방법을 알아본다.
13장에서는 Istio 애플리케이션 빌드 및 배포를 다룬다. Istio를 배포한 후에 이를 이용하는 애플리케이션을 개발하고 배포하고 싶을 것이다. 모놀리스와 마이크로서비스의 차이점과 배포 방법을 살펴보는 것으로 시작한다. 아울러 Istio에서 실행할 마이크로서비스 구축을 단계별로 진행하고 서비스에 대한 인증, 권한 부여, 서비스 간 인증과 같은 고급 주제를 살펴본다. 또한 OIDC 공급자와 JSON 웹 토큰을 사용해 쿠버네티스의 기존 역할을 활용해 Kiali 액세스를 보호하는 방법도 알아본다.
14장, ‘플랫폼 프로비저닝’에서는 GitLab, Tekton, ArgoCD, 게이트키퍼 및 오픈유니슨을 이용해 다중 테넌트 클러스터를 자동화하기 위한 플랫폼을 구축하는 방법을 설명한다. 파이프라인을 구축하는 방법과 파이프라인 생성을 자동화하는 방법을 살펴본다. 파이프라인을 구동하는 데 사용하는 개체들이 서로 어떻게 관련돼 있는지, 시스템 간 관계를 구축하는 방법, 마지막으로 파이프라인 배포 자동화를 위한 셀프 서비스 워크플로우를 만드는 방법을 알아본다.

◈ 옮긴이의 말 ◈

쿠버네티스는 매력적인 서비스입니다. 무척 빠르게 발전하고 있으며 특히 클라우드와 함께 사용할 때의 가능성은 엄청나다고 생각합니다. 물론 지금 이 책이 최신의 기술 트렌드를 모두 반영하고 있진 않지만, 이렇게 정리된 정보가 이제 시작하려는 분이나 쿠버네티스를 좀 더 활용하고자 하는 분께 조금이나마 도움을 드릴 수 있길 바랍니다. 마지막으로 같이 번역에 참여해준 훌륭한 동료들과 이 책의 저자, 출판사에게도 감사를 드립니다.
-강세용

쿠버네티스를 사용해 기업은 유연성과 확장성을 누릴 수 있지만, 동시에 보안 정책, 모니터링, 감사 등을 직접 구현해야 합니다. 도커와 쿠버네티스의 기본 개념부터 시작해서 RBAC, Falco, OPA, Istio와 같은 오픈소스 도구를 사용한 확장에 대해 실습 위주로 안내하기 때문에 엔터프라이즈에서는 어떤 방향으로 쿠버네티스를 다뤄야 하는지에 대한 조언을 얻을 수 있을거라 생각합니다.
-김진웅

2014년부터 AWS Korea에서 솔루션즈 아키텍트와 클라우드 아키텍트로 일하고 있습니다. 쿠버네티스는 최근 컨테이너와 관련한 기술들 가운데 가장 뜨거운 주제 가운데 하나입니다. 아울러 글로벌 회사 가운데 약 17년가량 일하면서 계속 컨테이너와 관련한 일을 하고 있어서 이번 책 번역을 같이 할 수 있어서 매우 기쁩니다. 또한 AWS의 다양한 팀원과 함께 번역과 기부 활동에 동참해 "Strive to be Earth’s Best Employer’ 아마존 리더십 원칙을 실천할 수 있게 기회를 주신 에이콘출판사 여러분께도 감사드립니다.
-김상필

온프레미스에서 이기종 장비들에 컨테이너를 활용해 쉽게 배포를 성공했을 때의 감동이 아직도 생생합니다. 쿠버네티스만큼 역동적이고 빠르게 발전하는 오픈 소스는 많지 않다고 생각합니다. 최근엔 스타트업에서 엔터프라이즈에 이르기까지 많은 기업이 쿠버네티스를 도입하고 있습니다. 쿠버네티스를 활용하고자 하는 분들께 좀 더 빠른 길을 안내하고자 이렇게 번역에 참여하게 됐습니다. 아울러 이렇게 훌륭한 동료들과 멋진 기술에 대한 번역에 참여하게 돼 영광으로 생각합니다.
-박진우

AWS의 테크니컬 트레이너로서 쿠버네티스 기술에 많은 관심을 갖고 있습니다. 요즘 가장 핫한 기술 중 하나인 쿠버네티스 책의 번역을 같이할 수 있도록 기회를 만들어주신 든든한 동료들과 에이콘출판사에 감사드립니다. 쿠버네티스가 한국에 잘 알려지고 많이 사용할 수 있는 데 조금이라도 도움이 되기를 바랍니다.
-최진영