[카테고리:] DevOps

  • Load balancer Timeout 오류

    Load balancer Timeout 오류

    AWS Load balancer로 구축된 웹 서버와 API 서버가 있다.

    • A load balancer — Nginx 웹 서버 (instance 3대)
    • B load balancer — API 서버 (instance 3대)

    이렇게 각각 2개의 로드밸런서를 구축하고 아무런 문제 없이 운영하고 있는데 오류가 발생했다.

    오류의 내용은, timeout error 였다.

    2024/11/05 14:40:24 [error] 905#0: *974 upstream timed out (110: Connection timed out) while reading response header from upstream

    이런 내용의 에러 였다.

    구글링을 해보니, 프록시 서버에서의 읽는 시간과 연결 시간이 너무 짧게 설정되어 있어서 해당 오류가 뜬다고 나와있다.

    nginx.conf 파일을 살펴보니 따로 timeout에 대해 설정이 되어 있진 않았다. 설정이 되어있지 않다면 디폴트값은 다음과 같다.

    proxy_connect_timeout: 60초
proxy_read_timeout: 60초
proxy_send_timeout: 60초

    일단 로드밸런서의 서버 리소스는 충분했고, DB 지연시간이나 DB CPU가 많이 먹는 상태는 아니었기 때문에 1순위로 timeout 설정이 잘못되어 졌다고 생각했다.

    오류가 난 서버에 위 설정을 두배정도인 120s 로 설정 했다.

    proxy_connect_timeout 120s;
proxy_read_timeout 120s;
proxy_send_timeout 120s;

    그리고, 한가지 더 의심이 갔던 부분은 로드밸런서를 구성할 때 대상그룹의 상태검사 부분에서 health check 하는 부분이 있다.

    여기서도 timeout — 제한시간이라는 이름으로 응답에 관련한 항목이 있다.

    이 부분도 web 서버의 로드밸런서와 api 서버의 로드밸런서가 서로 시간이 상이했기 때문에 upstream timeout 에러가 났다고 추측했다.

    제한시간 타임을 조금 늘리고, 각각의 로드밸런서의 시간을 동일하게 맞췄다.

    그리고 나서는 따로 오류가 나지 않는 상태.

  • Locky Linux 8 (CentOS7) | WEB 서버 Setting

    Locky Linux 8 (CentOS7) | WEB 서버 Setting

    관련 패키지 및 버전

    nginx — 1.26.2, node.js — 16.20.2, npm — 8.19.4, pm2–5.4.2

    selinux 설정 끄기

    sudo getenforce # enforce 상태 확인.
sudo setenforce 0 # enforce 상태 변경. (끄기)

    📌 selinux 영구적으로 끄는 법

    # 파일 수정.
sudo vi /etc/selinux/config
# 이 항목을 찾는다.
SELINUX=enforcing
# 다음과 같이 변경.
SELINUX=disabled
# 시스템 재부팅.
sudo reboot
# 적용되었는지 확인.
sestatus

    커널 sysctl 수정 (소켓 maxconn 셋팅값 수정.) -> maxconn 값은 상황에 따라 수정 가능

    # maxconn 상태 조회.
sudo sysctl -a | grep net.core.somaxconn
# maxconn 상태 수정.
sudo /sbin/sysctl -w net.core.somaxconn=4096

---
net.core.somaxconn = 65535

    port 체크

    sudo netstat -nltup

    시스템 업데이트 및 필수 패키지 설치

    sudo dnf update -y
sudo dnf install -y curl wget tar gcc-c++ make

    Nginx 셋팅 (version : 1.26.2)

    # 필요한 패키지 설치
sudo dnf install -y gcc pcre-devel zlib-devel make openssl-devel
# Nginx 소스 다운로드
wget https://nginx.org/download/nginx-1.26.2.tar.gz
# 압축 해제 및 설치
tar -zxvf nginx-1.26.2.tar.gz
cd nginx-1.26.2
# Nginx 컴파일 및 설치
./configure
make
sudo make install
# Nginx 실행 확인
/usr/local/nginx/sbin/nginx -v

    Nginx 환경변수 설정

    vi ~/.bashrc # 해당 파일에 아래와 같은 내용 추가.
export PATH=$PATH:/usr/local/nginx/sbin
source ~/.bashrc # 적용.
nginx -v # 확인.

    Nginx 서비스 설정

    root ~ # vi /etc/systemd/system/nginx.service

[Unit]
Description=The NGINX HTTP and reverse proxy server
After=network.target

[Service]
Type=forking
PIDFile=/usr/local/nginx/logs/nginx.pid
ExecStartPre=/usr/local/nginx/sbin/nginx -t
ExecStart=/usr/local/nginx/sbin/nginx
ExecReload=/usr/local/nginx/sbin/nginx -s reload
ExecStop=/usr/local/nginx/sbin/nginx -s stop
PrivateTmp=true

[Install]
WantedBy=multi-user.target

---

systemctl daemon-reload
systemctl status nginx
systemctl start nginx
systemctl enable nginx

    Node.js 16.20.2 설치

    # nvm 설치
curl -o- https://raw.githubusercontent.com/nvm-sh/nvm/v0.39.5/install.sh | bash
source ~/.bashrc
# nvm으로 Node.js 16.20.2 설치
nvm install 16.20.2
nvm use 16.20.2
# 설치된 Node.js 버전 확인
node -v
npm -v

    NPM 8.19.4 설치

    #### 위에서 버전이 나오면 따로 설치 안해도 됨.
npm install -g npm@8.19.4
# 설치된 NPM 버전 확인
npm -v

    PM2 5.4.2 설치

    npm install -g pm2@5.4.2
# PM2 버전 확인
pm2 -v

    PM2 사용법

    # 애플리케이션 시작
pm2 start app.js
# 모든 애플리케이션 목록 확인
pm2 list
# 애플리케이션 로그 확인
pm2 logs
# 애플리케이션 재시작
pm2 restart app
# PM2 상태 저장 (서버 재부팅 시 자동 시작)
pm2 save
pm2 startup

  • Ollama 외부 접속

    Ollama 외부 접속

    ollama를 외부접속하게 만들려고 한다. 그래서 ollama 설치 후, systemd 등록 파일로 프로세스를 띄웠다.

    [Unit]
Description=Ollama Service
After=network.target

[Service]
ExecStart=/usr/local/bin/ollama serve
User=root
Restart=always
RestartSec=3

Environment="OLLAMA_HOST=0.0.0.0"

[Install]
WantedBy=multi-user.target

    default 가 127.0.0.1:11434로 프로세스가 띄워지기 때문에 외부에서 접속할 수 있게 0.0.0.0:11434으로 띄워야 한다. Environment="OLLAMA_HOST=0.0.0.0" 으로 등록하여 anywhere로 접근하게 만들었다.

    하지만, TCP6로만 열리고, TCP4로는 열리지 않았다.

    이런 문제를 해결하기 위해 nginx로 로드밸런서 처리를 하여 외부에서 ollama를 접속할 수 있게 만들었다.

    # /etc/nginx/site-availables/

server {
    listen 11433; # ollama port

    location / {
        proxy_pass http://[::1]:11434;  # Ollama 서버의 IPv6 주소와 포트
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection 'upgrade';
        proxy_set_header Host $host;
        proxy_cache_bypass $http_upgrade;
    }
}

    nginx에서 이렇게 설정하여, nginx에 들어오는 트래픽을 ollama로 들어가게 설정하였다.

    새로운 설정 파일 활성화

    sites-enabled 디렉터리에 올바른 파일이 없기 때문에, 이전에 생성한 ollama 설정 파일을 활성화.

    sudo ln -s /etc/nginx/sites-available/ollama /etc/nginx/sites-enabled/default

    Nginx 설정 다시 확인

    올바른 파일이 활성화되었는지 확인.

    sudo nginx -t

  • Cross-Origin Resource Sharing(CORS) 에러

    Cross-Origin Resource Sharing(CORS) 에러

    Cross-Origin Resource Sharing(CORS) 에러

    🚧 CORS 란.

    CORS (코어스) 는 Cross-Origin-Resource Sharing의 줄임말. “서로 다른 사이트끼리 데이터를 주고 받는 걸 제어하는 웹 보안 규칙”

    쉽게 말해서, “다른 사이트에서는 함부로 내 데이터 보지마!” 라고 통제한다.

    📣 예시

    나는 지금 https://www.food-order.com 라는 사이트(프론트), 주문 정보를 https://api.food-system.com 라는 다른 주소(API 서버)에 요청.

    이렇게 주소가 다르면 “다른 출처(Origin)”이라고 말한다.

    그래서 서버는 반드시 브라우저에게 이렇게 허락을 해줘야 한다.

    Access-Control-Allow-Origin: https://www.food-order.com

    이걸 “CORS 응답 헤더” 라고 부른다.

    ⛔️ CORS 에러는 왜 생기는 걸까?

    서버가 허락을 안해주면, 브라우저는 이렇게 차단한다.

    ❌ “이 서버는 너한테 응답 못해. 보안 때문에 막을거야”

    ✅ 해결방법

    서버에게 정확한 도메인을 허용해주거나, 특정 IP로 허용해주는 설정을 해주면 된다.

    ## 여러개의 IP 등록 할때..

if ($remote_addr = "1.1.1.1") {
    set $cors_origin $http_origin;
}

if ($remote_addr = "2.2.2.2") {
    set $cors_origin $http_origin;
}

if ($http_origin = "허락할도메인") {
    set $cors_origin $http_origin;
}
    location / {
            uwsgi_pass ;

            # 서버가 uwsgi를 쓴다면 필요할 수도..
            uwsgi_hide_header Access-Control-Allow-Origin; 
            uwsgi_hide_header Access-Control-Allow-Methods;
            uwsgi_hide_header Access-Control-Allow-Headers;
            uwsgi_hide_header Access-Control-Allow-Credentials;

            set $cors_origin "";

            if ($remote_addr = "허락할 특정IP") { # 필요없으면 이 블럭 빼면 됨.
                set $cors_origin $http_origin;
            }

            if ($http_origin = "허락할 domain") { # 필요없으면 이 블럭 빼면 됨.
                set $cors_origin $http_origin;
            }

            
            add_header 'Access-Control-Allow-Origin' "$cors_origin" always;
            add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS' always;
            add_header 'Access-Control-Allow-Headers' 'Origin, Content-Type, Accept, Authorization' always;
            add_header 'Access-Control-Allow-Credentials' 'true' always;

            if ($request_method = OPTIONS ) {
                add_header 'Access-Control-Allow-Origin' "$cors_origin" always;
                add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS' always;
                add_header 'Access-Control-Allow-Headers' 'Origin, Content-Type, Accept, Authorization' always;
                add_header 'Access-Control-Allow-Credentials' 'true' always;
                add_header 'Access-Control-Max-Age' 3600;
                add_header 'Content-Length' 0;
                add_header 'Content-Type' text/plain;
                return 204;
            }
        }

        location /route {
            allow ip; # 특정 IP
            deny all; # deny 정책
        }

    ⛺️ 옵션 설명

    🚀 Access-Control-Allow-Origin

    어떤 웹사이트에서 API를 요청할 수 있는지 지정, 이게 없으면 브라우저 차단 당한다.

    🚀 Access-Control-Allow-Methods

    어떤 HTTP 요청 종류를 허용할지 지정

    🚀 Access-Control-Allow-Headers

    브라우저가 보낼 수 있는 요청 헤더를 허용한다. 예를 들어, 클라이언트가 JWT 토큰을 담기 위해 Auth 헤더를 쓸 때, 서버가 이걸 허용해주지 않으면 요청 자체가 막힌다.

    Content-Type도 없으면 Application/json 같은 것도 막힌다.

    🚀 Access-Control-Allow-Credentials

    “쿠키, 인증정보도 같이 보내도 돼”를 허용

    브라우저에서 withCredentials: true를 사용하는 요청이 있으면 이 설정이 필수다.

    예: 로그인 상태 유지용 쿠키, 토큰 등을 브라우저가 같이 보내려면 이게 있어야 한다.

    🚀 Access-Control-Max-Age

    브라우저가 CORS 체크 결과를 얼마나 오래 기억할지 설정(초 단위)

    브라우저는 1시간 동안은 또 다시 OPTIONS 요청을 보내지 않고, 캐시된 정보를 쓴다.

    🔥 서버 부하를 줄이기 좋음

    🚀 Content-Length 와 Content-Type

    OPTIONS 요청의 응답 내용 설정

    • OPTIONS는 데이터를 주고받지 않기 때문에, 응답 길이는 0
    • 그냥 텍스트로 응답하겠다는 의미
    • 브라우저가 이 응답을 제대로 처리하기 위해 필요함
  • Loki, Promtail 이용한 실시간 로그 모니터링 + Docker

    Loki, Promtail 이용한 실시간 로그 모니터링 + Docker

    구성

    Promtail

    • loki프로젝트에서 제공하는 로그 수집기

    ✅ Promtail 바이너리 다운로드

    # 버전 확인 (예: 2.9.4)
VERSION="2.9.4"

# 바이너리 다운로드 및 압축 해제
wget https://github.com/grafana/loki/releases/download/v${VERSION}/promtail-linux-amd64.zip
unzip promtail-linux-amd64.zip
chmod +x promtail-linux-amd64
sudo mv promtail-linux-amd64 /usr/local/bin/promtail

    ✅ Config 파일 작성

    server:
  http_listen_port: 9080
  grpc_listen_port: 0

positions:
  filename: /var/log/positions.yaml

clients:
  - url: http://localhost:3100/loki/api/v1/push  # Loki 주소로 입력해야 함.

scrape_configs:
  - job_name: system
    static_configs:
      - targets:
          - localhost
        labels:
          job: varlogs # QL 에서 잡을 job 이름.
          __path__: /var/log/*.log # 수집할 로그 파일

    ✅ Systemd 서비스 등록

    ## /etc/systemd/system directory

[Unit]
Description=Promtail Log Collector
After=network.target

[Service]
Type=simple
ExecStart=/usr/local/bin/promtail -config.file=/etc/promtail/config.yaml
Restart=always

[Install]
WantedBy=multi-user.target

---
systemctl daemon-reload

    🐳 Docker로 Promtail Container

    ✅ Promtail config 파일 작성

    # config-promtail.yaml

server:
  http_listen_port: 9080
  grpc_listen_port: 0

positions:
  filename: /tmp/positions.yaml

clients:
  - url: http://loki:3100/loki/api/v1/push  # Loki의 주소에 맞게 수정

scrape_configs:
  - job_name: system
    static_configs:
      - targets:
          - localhost
        labels:
          job: varlogs
          __path__: /var/log/*.log

    🐳 Docker로 Run

    docker run -dit \
  --name promtail \
  -v /var/log:/var/log \ # volume mount
  -v /$(pwd)/config-promtail.yaml:/etc/promtail/config.yaml \
  grafana/promtail:latest \
  -config.file=/etc/promtail/config.yaml

    🐙 Docker-Compose Version

    version : '3'

services:
  promtail:
    image: grafana/promtail:latest
    volumes:
      - /var/log:/var/log
      - ./config-promtail.yaml:/etc/promtail/config.yaml
     command: -config.file=/etc/promtail/config.yaml

---
docker-compose up -d promtail

    네트워크 구성

    🔥 Promtail과 loki 사이 통신 방식은 push. Promtail 에서 loki 쪽으로 데이터를 push 해줌

    Loki

    내가 사용하는 방식의 Loki는 Grafana, Prometheus 등 과 같이 올렸어야 했기 때문에 Docker Container 형식으로 올렸다. 따라서, Docker Container 으로 정리했다.

    🐙 Docker-Compose Version

    • loki-config.yaml
    auth_enabled: false

server:
  http_listen_port: 3100
  log_level: info

ingester:
  lifecycler:
    ring:
      kvstore:
        store: inmemory
      replication_factor: 1
  chunk_idle_period: 3m
  max_chunk_age: 1h

schema_config:
  configs:
    - from: 2022-01-01
      store: boltdb-shipper
      object_store: filesystem
      schema: v11
      index:
        prefix: index_
        period: 24h

storage_config:
  boltdb_shipper:
    active_index_directory: /tmp/loki/index
    cache_location: /tmp/loki/boltdb-cache
  filesystem:
    directory: /tmp/loki/chunks

limits_config:
  allow_structured_metadata: false  # 이 항목이 없으면 최신 Loki에서 기동 실패

common:
  path_prefix: /tmp/loki  # compactor 등 여러 모듈이 이 경로를 사용

compactor:
  working_directory: /tmp/loki/compactor  # 필수

ruler:
  alertmanager_url: http://alertmanager:9093
  enable_alertmanager_v2: true
  enable_api: true
  rule_path: /tmp/loki/rules-temp
  storage:
    type: local
    local:
      directory: /tmp/loki/rules
    loki:
  image: grafana/loki:latest # docker 제공 공식 image
  container_name: loki
  ports:
    - "3100:3100"
  command: -config.file=/etc/loki/config.yaml
  volumes:
    - /home/rocky/grafana/loki/loki-cfg.yaml:/etc/loki/config.yaml
    - /home/rocky/grafana/loki/loki-data/rules:/tmp/loki/rules
    - /home/rocky/grafana/loki/loki-data/rules-temp:/tmp/loki/rules-temp
    - /home/rocky/grafana/loki/loki-data/index:/tmp/loki/index
    - /home/rocky/grafana/loki/loki-data/chunks:/tmp/loki/chunks
    - /home/rocky/grafana/loki/loki-data/boltdb-cache:/tmp/loki/boltdb-cache
    - /home/rocky/grafana/loki/loki-data/compactor:/tmp/loki/compactor
    - /home/rocky/grafana/loki/loki-data/wal:/tmp/loki/wal
  restart: always


  networks: # 네트워크는 기존 docker-compose에서 Grafana와 같은 네트워크로 설정해주면 된다.(난 따로 설정 안함.)
    - grafana_default
    - /home/rocky/grafana/loki/loki-cfg.yaml:/etc/loki/config.yaml
    - /home/rocky/grafana/loki/loki-data/rules:/tmp/loki/rules
    - /home/rocky/grafana/loki/loki-data/rules-temp:/tmp/loki/rules-temp
    - /home/rocky/grafana/loki/loki-data/index:/tmp/loki/index
    - /home/rocky/grafana/loki/loki-data/chunks:/tmp/loki/chunks
    - /home/rocky/grafana/loki/loki-data/boltdb-cache:/tmp/loki/boltdb-cache
    - /home/rocky/grafana/loki/loki-data/compactor:/tmp/loki/compactor
    - /home/rocky/grafana/loki/loki-data/wal:/tmp/loki/wal

    위의 Volume mount한 디렉토리를 생성하지 않으면 Container가 실행되지 않는다.

    mkdir -p /home/rocky/grafana/loki/loki-data
mkdir -p /home/rocky/grafana/loki/loki-data/{rules,rules-temp,index,chunks,boltdb-cache,compactor,wal}

    이렇게 먼저 디렉토리 먼저 생성

    퍼미션 부여

    chown -R 10001:10001 /home/rocky/grafana/loki/loki-data
chmod -R 777 /home/rocky/grafana/loki/loki-data

    위에 처럼 설정을 다 완료하고, 컨테이너가 다 문제 없이 돌고 있다면, Grafana 에서 loki Data source를 등록해주면 된다.

    Grafana > ⚙️ Settings > Data Sources > loki

    URL이 다음 중 하나여야 한다.

    • http://loki:3100 ← Grafana와 Loki가 같은 도커 네트워크일 때 (보통 Compose 환경)
    • http://localhost:3100 ← Grafana가 호스트에 설치되어 있고 Loki도 호스트에서 도는 경우

    이렇게 설정해주면 쿼리를 날려 데이터가 잘 나오는지 확인하면 된다.

  • Grafana, Prometheus를 이용한 서버 모니터링

    Grafana, Prometheus를 이용한 서버 모니터링

    ⚙️ 동기

    가용되는 서버들이 많아 서버들의 리소스 확인 및 서버다운 확인 필요성을 느꼈다.

    서버들의 CPU, RAM, DISK를 모니터링을 하면서 CPU, RAM, DISK 각각 일정 %를 넘으면 알림을 주고, 서버가 다운이 되면 알림을 주도록 구현.

    🛠️ 사용한 Tools.

    서버모니터링 | Grafana
    메트릭 정보 저장 | Prometheus
    서버 CPU, Memory, Disk 정보 제공 | node exporter
    알림 제공 | alertmanager(Prometheus, Telegram)

    
sudo yum install -y https://dl.grafana.com/oss/release/grafana-11.0.0-1.x86_64.rpm

    Grafana 방화벽 열기

    3000 port 방화벽 open
# firewall-cmd --zone=public --permanent --add-port=3000/tcp
# firewall-cmd --reload
# firewall-cmd --zone=public --list-all

    Grafana 접속

    http://localhost:3000/login에 접속하면 Grafana에 접속할 수 있다.

    prometheus 설치

    prometheus 설치

    wget https://github.com/prometheus/prometheus/releases/download/v2.42.0/prometheus-2.42.0.linux-amd64.tar.gz

    prometheus 압축풀기

    tar -xzvf prometheus-2.42.0.linux-amd64.tar.gz

    prometheus 실행

    ./prometheus --config.file=/파일경로/prometheus.yml

    prometheus 접속

    프로메테우스 default 포트 : 9090
    http://localhost:9090

    prometheus.yml 파일설정

    # my global config
global:
  scrape_interval: 15s # Set the scrape interval to every 15 seconds. Default is every 1 minute.
  evaluation_interval: 15s # Evaluate rules every 15 seconds. The default is every 1 minute.
  # scrape_timeout is set to the global default (10s).

# Alertmanager configuration
alerting:
  alertmanagers:
    - static_configs:
        - targets: ["localhost:9093"]
          # - alertmanager:9093
# Load rules once and periodically evaluate them according to the global 'evaluation_interval'.
rule_files: ["alert.rules.yml"]
  # - "first_rules.yml"
  # - "second_rules.yml"
# A scrape configuration containing exactly one endpoint to scrape:
# Here it's Prometheus itself.
scrape_configs:
  # The job name is added as a label `job=<job_name>` to any timeseries scraped from this config.
  - job_name: "node"
    # metrics_path defaults to '/metrics'
    # scheme defaults to 'http'.
    static_configs:
     - targets: ["ip:9100"]

    node exporter 설치 및 압축풀기

    # node_exporter 설치.
wget https://github.com/prometheus/node_exporter/releases/download/v1.7.0/node_exporter-1.7.0.linux-amd64.tar.gz

# 파일 압출 풀기.
tar xzvf node_exporter-1.7.0.linux-amd64.tar.gz

    node_exporter 실행

    ./node_exporter

# 백그라운드 실행
./node_exporter &

    🧱 Grafana를 이용해서 서버 리소스 알림

    이렇게 Grafana에 접속한 후,

    alerting에 들어간다.

    alerting에 3가지가 나오는데, 먼저 alert rules를 작성해야 한다.

    나는 CPU, Disk, RAM 이렇게 3가지를 모니터링을 할 것이다.

    CPU 설정법

    CPU

    DISK 설정법

    RAM 설정법

    나머지는 CPU 설정법과 동일하다. 이미지 보고 참고 바란다.

    contact Points 에서 Telegram 사용

    이렇게 텔레그램으로 알림을 줄 수 있게 만들어 주면 된다.

    Notification Templates 설정

    template 제목

    monitoring-templete

    template 코드

    {{ define "monitoring-template" }}
*********** {{ .Status }} ***********

{{ range $key, $value := .CommonLabels }}
  {{$key}}: {{$value}}
{{ end }}
{{ range .Alerts.Firing }}
  {{ if gt (len .Annotations) 0 }}
    {{ index .Annotations.Values 0 }}
  {{ end }}
{{ end }}
{{ end }}

# 자신의 쓸 알람 스타일에 맞게 변형해서 쓰면 된다.

    alertmanager 설치 및 실행

    • (port : 9093)

    Alertmanager는 Prometheus의 오픈 소스 알림 관리 시스템

    telegram_config를 사용하려면 버전을 0.27.0버전 이상 사용해야 함.

    prometheus — alertmanager 참고 사이트

    1. alertmanager 설치.
wget https://github.com/prometheus/alertmanager/releases/download/v0.27.0/alertmanager-0.27.0.linux-amd64.tar.gz

2. 압축 풀기.
tar -xzf alertmanager-0.27.0.linux-amd64.tar.gz

    alert.rules.yml 설정

    instance 서버가 다운이 되면 알림을 주는 녀석이다.

    이 파일은 Prometheus 디렉토리에 저장하면 된다.

    groups:
- name: server_down
  rules:
  - alert: InstanceDown
    expr: up == 0
    for: 1m
    labels:
      severity: critical
    annotations:
      summary: "Instance {{ $labels.instance }} down"
      description: "{{ $labels.instance }} of job {{ $labels.job }} is down."

    alertmanager.yml 설정

    # 디폴트 내용

#route:
#  group_by: ['alertname']
#  group_wait: 30s
#  group_interval: 5m
#  repeat_interval: 1h
#  receiver: 'web.hook'
#receivers:
#  - name: 'web.hook'
#    webhook_configs:
#      - url: 'http://127.0.0.1:5001/'
#inhibit_rules:
#  - source_match:
#      severity: 'critical'
#    target_match:
#      severity: 'warning'
#    equal: ['alertname', 'dev', 'instance']
    # 텔레그램 설정

global:
  resolve_timeout: 5m
route:
  group_by: ['alertname', 'instanceDown']
  group_wait: 20s
  group_interval: 2m
  repeat_interval: 1m
  receiver: 'telegram'
receivers:
- name: 'telegram'
  telegram_configs:
  - bot_token: '텔레그램 봇 토큰'
    chat_id: 챗 ID

    alertmanager 재시작

    ./alertmanager &

  • K8s 에서 Container Registry 접근하기 위한 설정 가이드

    K8s 에서 Container Registry 접근하기 위한 설정 가이드

    환경구성

    • Docker 설치
    • K8s 설치
      • CNI 설치
    kubectl create secret docker-registry registry-name \
  --docker-server=REGISTRY-URL \
  --docker-username= \
  --docker-password= \
  --docker-email=example@example.com # 이메일은 아무거나 넣어도 상관없다

  • K8s Rocky Linux 8 설치가이드

    K8s Rocky Linux 8 설치가이드

    설치

    먼저, docker를 먼저 설치하고, k8s 설치 바람.

    쿠버네티스 버전 1.24.0 이전이면, 도커와 쿠버네티스가 연동되는 dockershim이 있었지만, 1.24.0 버전 이후에는 따로 설정을 해줘야 함.

    docker를 설치한 후,

    도커 데몬 설정

    #/etc/docker 디렉토리 없을 경우 생성
sudo mkdir /etc/docker

#daemon.json 파일 추가
sudo cat <<EOF | sudo tee /etc/docker/daemon.json
{
  "exec-opts": ["native.cgroupdriver=systemd"],
  "log-driver": "json-file",
  "log-opts": {
    "max-size": "100m"
  },
  "storage-driver": "overlay2"
}
EOF

    cgroup(runc) 옵션 설정

    #containerd 구성 파일 생성
sudo mkdir -p /etc/containerd

#containerd 기본 설정값으로 config.toml 생성
sudo containerd config default | sudo tee /etc/containerd/config.toml

#config.toml 파일 수정
vi /etc/containerd/config.toml

# cgroup driver(runc) 사용하기 설정
[plugins."io.containerd.grpc.v1.cri".containerd.runtimes.runc.options]
  SystemdCgroup = true

#수정사항 적용 및 재실행
sudo systemctl restart containerd

    docker 재시작

    #도커 재시작
sudo service docker restart

#도커 상태 조회
sudo service docker status

    CentOS

    1) Swap disabled
swapoff -a && sed -i '/swap/s/^/#/' /etc/fstab

2) Letting iptables see bridged traffic
# cat <<EOF > /etc/sysctl.d/k8s.conf
net.bridge.bridge-nf-call-ip6tables = 1
net.bridge.bridge-nf-call-iptables = 1
EOF
# sysctl --system

3) Disable firewall
# systemctl stop firewalld 
# systemctl disable firewalld

4) Set SELinux in permissive mode (effectively disabling it)
# setenforce 0
# sed -i 's/^SELINUX=enforcing$/SELINUX=permissive/' /etc/selinux/config

5) kubeadm, kubelet, kubectl 설치.
cat <<EOF | sudo tee /etc/yum.repos.d/kubernetes.repo
[kubernetes]
name=Kubernetes
baseurl=https://pkgs.k8s.io/core:/stable:/v1.27/rpm/
enabled=1
gpgcheck=1
gpgkey=https://pkgs.k8s.io/core:/stable:/v1.27/rpm/repodata/repomd.xml.key
exclude=kubelet kubeadm kubectl cri-tools kubernetes-cni
EOF

6) install.
sudo yum install -y kubelet kubeadm kubectl --disableexcludes=kubernetes
sudo systemctl enable --now kubelet

    master node에서만 실행

    kubeadm init

    여기서 error동작 없으면, 정상임.

    mkdir -p $HOME/.kube
  sudo cp -i /etc/kubernetes/admin.conf $HOME/.kube/config
  sudo chown $(id -u):$(id -g) $HOME/.kube/config

    입력 후, kubectl get nodes 실행

    관리자 계정으로 실행하려면..

    $ mkdir -p $HOME/.kube
$ sudo cp -i /etc/kubernetes/admin.conf $HOME/.kube/config
$ sudo chown $(id -u):$(id -g) $HOME/.kube/config
  • K8s CNI(Container Network Interface) 설정

    K8s CNI(Container Network Interface) 설정

    CNI(Container Network Interface) 설정

    컨테이너 간의 네트워크를 제어할 수 있는 플러그인으로 컨테이너 런타임에서 컨테이너의 네트워크를 사용하게 해주는 인터페이스이다.

    쿠버네티스에서 사용되는 Pod들은 기본적으로 오버레이 네트워크 방식을 적용하여 엔드포인트 간의 네트워크 구조를 추상화하여 네트워크 통신 경로를 단순화한다. 이때 사용되는 플러그인 마다 설정 방법이 다르다.

    master-node 에만,

    curl https://calico-v3-25.netlify.app/archive/v3.25/manifests/calico.yaml -O

    yaml 파일 다운 받은 후, 적용

    kubectl apply -f calico.yaml
  • Kubernetes 워커 노드 설정

    Kubernetes 워커 노드 설정

    🧱 worker node 구성

    마스터 노드에서 kubeadm init 을 통해 생성한 join 명령어를 이용하여 워커 노드 등록

    sudo kubeadm join [ip]:6443 --token [토큰명] --discovery-token-ca-cert-hash [hashkey]