해결책:
엔드포인트가 /healthz 엔드포인트에서 HTTP 500을 반환할 때 Kubernetes가 자동으로 포드를 다시 시작하도록 하려면 포드에서 활성 상태 및 준비 상태 프로브를 구성해야 합니다.
먼저, 포드 정의 yaml 파일에 livenessProbe와 readinessProbe를 생성해야 합니다. livenessProbe는 /healthz 엔드포인트를 확인하고, HTTP 500을 반환하면 포드가 재시작됩니다. readinessProbe는 /started 엔드포인트를 확인하고, HTTP 500을 반환하면 포드가 트래픽을 수신하지 않습니다.
다음은 Pod 정의 YAML 파일에서 활성 및 준비 프로브를 구성하는 방법의 예입니다.
api 버전: v1
종류: 포드
메타데이터:
이름: 프로브포드
투기:
컨테이너:
- 이름: 프로브포드
이미지: <이미지 이름>
포트:
- 컨테이너 포트: 8080
라이브니스 프로브:
httpGet:
경로: /healthz
포트: 8080
초기 지연 초: 15
기간초: 10
실패 임계값: 3
준비 프로브:
httpGet:
경로: /started
포트: 8080
초기 지연 초: 15
기간초: 10
실패 임계값: 3
httpGet은 확인할 엔드포인트와 사용할 포트를 지정합니다. initialDelaySeconds는 포드가 프로브를 시작하기 전에 대기하는 시간입니다. periodSeconds는 각 프로브 확인 사이의 시간이며, failureThreshold는 포드가 응답하지 않는 것으로 간주되기 전까지 실패한 프로브 수입니다.
다음 명령을 실행하여 kubectl을 사용하여 Pod를 생성할 수 있습니다.
kubectl apply -f <파일 이름>.yaml
포드가 생성되면 쿠버네티스는 구성된 활성 상태 및 준비 상태 프로브를 사용하여 포드 모니터링을 시작합니다. /healthz 엔드포인트가 HTTP 500을 반환하면 포드가 재시작됩니다. /started 엔드포인트가 HTTP 500을 반환하면 포드는 트래픽을 수신하지 않습니다.
실패 임계값을 3으로 설정한 경우, 프로브가 3번 연속으로 실패하면 실패로 간주된다는 점에 유의하세요.
위의 구성은 애플리케이션이 포트 8080에서 실행되고 엔드포인트가 동일한 포트에서 사용 가능하다고 가정합니다.

단계별 설명과 함께 아래의 솔루션을 확인하세요.
설명:
해결책(단계별) :
I). 배포 YAMI 업데이트:
- '복제본'을 7로 업데이트합니다.
- 'strategy.rollingUpdate' 섹션에서 'maxunavailable: 2' 및 'maxSurge: (Y'를 정의합니다.
- 배포가 업데이트될 때 롤링 업데이트를 트리거하기 위해 'strategy.types'를 'Rollingl_lpdates'로 구성합니다.
- 'spec-template.spec.imagePullPolicy: Always'를 추가하여 포드의 로컬 캐시에 새 이미지가 있는 경우에도 새 이미지를 끌어오도록 보장합니다.

2. 배포 만들기: - 'kubectl apply -f streaming-service-deployment-yamr'을 사용하여 업데이트된 YAML 파일을 적용합니다.3. 배포 확인 - 'kubectl get deployments streaming-service-deployment'를 사용하여 배포 상태를 확인하여 롤아웃과 업데이트된 복제본 수를 확인합니다.4. 자동 업데이트 트리거: - 'streaming/streaming-service:latest' Docker Hub 저장소에 새 이미지를 푸시합니다.5. 배포 모니터링 - 'kubectl get pods -l app=streaming-service'를 사용하여 롤링 업데이트 프로세스 중에 포드 업데이트를 모니터링합니다.한 번에 두 개의 포드가 종료되고 업데이트된 이미지가 있는 두 개의 새 포드가 생성되는 것을 확인할 수 있습니다.6. 업데이트 성공 확인: - 배포가 완료되면 'kubectl describe deployment streaming-service-deployment'를 사용하여 'updatedReplicas' 필드가 'replicas' 필드와 일치하는지 확인하여 업데이트가 성공했음을 나타냅니다.

단계별 설명과 함께 아래의 솔루션을 확인하세요.
설명:
해결책(단계별) :
1. Pod 보안 정책 정의:
- YAML 파일을 사용하여 PSP(Pod 보안 정책) 리소스를 만듭니다.
- 보안 요구 사항에 따라 허용되는 보안 프로필을 정의합니다.
- 다음과 같은 사항을 제한할 수 있습니다.
- 컨테이너 권한(루트 또는 비루트)
- 허용된 기능(예: 'SYS_ADMINS')
- 보안 컨텍스트 제약 조건(예: 읽기 전용 루트 파일 시스템)
- 호스트 리소스(예: 장치, 네트워킹)에 대한 액세스

2. Pod 보안 정책 적용: - 'kubectl apply -f sensitive-data-psp.yamr'을 사용하여 클러스터에 PSP를 적용합니다. 3. PSP를 적용하도록 배포(또는 다른 워크로드)를 수정합니다. - 생성한 PSP를 참조하는 'securitycontext' 필드를 포함하도록 배포(또는 다른 워크로드) YAML 파일을 업데이트합니다. - 컨테이너 이미지와 구성이 PSP에 정의된 제약 조건을 준수하는지 확인합니다.

4. 배포 확인: - 'kubectl get pods -l app=sensitive-data-app'을 사용하여 Pod가 실행 중인지 확인합니다. - 이제 Poo는 PSP에서 정의한 보안 제약 조건을 준수해야 합니다. 5. 적용: - Kubernetes는 PSP에 정의된 제약 조건을 위반하는 Pod의 실행을 차단합니다. - 이는 민감한 애플리케이션에 대한 보안 적용 계층을 제공합니다. 참고: PSP는 Kubernetes 1.25에서 더 이상 지원되지 않으며 Pod Security Admission으로 대체되었습니다. 최신 Kubernetes 버전에서는 Pod Security Admission을 사용하여 이러한 보안 제약 조건을 적용합니다.

해결책:

해결책: