soowim

1. So Waht

Single Sign-on

여러개의 사이트에서 한번의 로그인으로 여러가지 다른 사이트들을 자동적으로 접속하여 이용하는 방법

일반적으로 서로 다른 시스템 및 사이트에서 각각의 사용자 정보를 관리하게되는데, 필요에 따라서 사용자 정보를 연동하여 사용해야 하는 경우도 생긴다.

하나의 사용자정보를 기반으로 여러 시스템을 하나의 통합 인증 사용을 하게함.

시스템에서 인증을 할 경우 타 시스템에서는 인증정보가 있는지 확인하고 있으면, 로그인 처리를 하고, If 없다면 다시 통합 인증을 할 수 있도록 Create

결론 ->  아이디 패스워드 한개의 데이터로 여러 시스템에 접근하게하는 autofs같은? 로그인 인증 솔루션

2. So Why?

회사들의 Grouping 또는 size up 하며 여러 site를 통합 관리가 필요한 경우 sso를 사용한다.

사용자의 편리를 위한 원패스 인증 절차 라는 얘기구나~

3. Composition

A. 사용자 로그인 통합

B. 인증서버

C. 에이전트 ALL - 시스템별 정보 관리

D. LDAP(Lightweight Directory Access Protocol) - 네트워크 필터링? F/W DMZ 같은 느낌.  서버단 인증이아닌 네트워크단의 식별 및 사용자 인허가

4. Skill

인증 : PKI(Public Key Infra structure)

생체 인식, OTP(One Time Password)

쿠키(Cookie)

암호화 통신 : SSL(Secure Socket Layer), IPSec(IP Security Protocol)

관리 : LDAP(Lightweight Directory Access Protocol)

5. SSO Category

1) 인증 대행 모델(Delegation)

- 인증 방식을 변경하기 어려울 경우, 많이 사용

- 시스템 접근 시, 통합 Agent가 인증 작업을 대행

2) 인증 정보 전달 모델(Propagation)

- 웹 기반의 시스템에 주로 사용

- 미리 인증된 토큰(Cookie 기능 이용)을 받아서 각 시스템 접근 시, 자동으로 전달

6. Cookie를 이용한 SSO 구현 시, Cookie 보안 방법

`데이터 기밀 유지(Data Confidentiality) : 토큰은 주요 암호 알고리즘(AES, SEED)과 128bit 이상의 키로 암호화

`데이터 무결성(Data Integrity) : 토큰은 MAC 등을 포함해 데이터의 무결성을 보장

`사용자 주소 제한이나 유효 시간 제한 같은 보안 기술을 사용하여, 토큰을 네트워크에 노출시키지 않아야 함

프로미스 설치가 되었다면  등록만 해주고, 그라파나에서 연동해주면 끄읏

서버에서 prometheus.yml에 호스트를 추가해준다.

group 으로 묶고 서버들을 포함시킬 수 있다.

나는 각 실제 클러스터 노드들로 구성을 테스트 해봤다.

느무 쉽쥬~~ systemctl 퍼미션 error 때문에... 20시간을 날렸다~~~~~~~~~~~

chmod, chown로 해결이 가능한걸 으이그 라는 생각을 했다면... 다시 공부하세요~~~

쿠버네티스? 도커 ?

한줄 이해하기 : 쿠버네티스가 아빠, 도커가 아들님 ->  아빠가 아드님에게 심부름을 시킨다.

사랑은 가슴으로 시킨다~ 

도커는 쿠버네티스가 오케스트레이션하는 컨테이너 런타임으로 사용할 수 있다.

쿠버네티스가 노드에 대해 포드를 예약하면 해당 노드의 kubelet이 지정된 컨테이너를 실행하도록 Docker에 오퍼레이션을 한다.

서론이 길었다. (나도 좀 길고 싶다.)

A. swap 안녕

sudo swapoff -a && sudo sed -i '/swap/s/^/#/' /etc/fstab

B.Docker, containerd 설치

 Docker, containerd 설치 (모든 master, worker node)

Kubernetes 는 컨테이너 기반으로 작동함에 따라 Docker, containerd 를 우선 설치가 필요하다.

containerd 는 OCI 표준에 부합하게 새로 만든 Container Runtime 임네다~

B-a. 패키지 업데이트

레파지토리 업뎃~

sudo apt-get update 

아래 설치 필수~
sudo apt-get install -y \
    ca-certificates \
    curl \
    gnupg \
    lsb-release

Doker 레파지토리 추가~

curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo gpg --dearmor -o /usr/share/keyrings/docker-archive-keyring.gpg

echo \
  "deb [arch=$(dpkg --print-architecture) signed-by=/usr/share/keyrings/docker-archive-keyring.gpg] https://download.docker.com/linux/ubuntu \
  $(lsb_release -cs) stable" | sudo tee /etc/apt/sources.list.d/docker.list > /dev/null

B-c. Docker, containerd 설치

sudo apt-get install -y docker-ce docker-ce-cli containerd.io
sudo docker version

레이니즘 버금가는 귀차니즘.... 한줄로 명령어를 줄줄이 소세지로 날려준다.
(명령어 설명 : os부팅 시, docker 실행해라~ 컨테이너 실행해라~ 지금 시작해라~)

sudo systemctl enable docker;sudo systemctl start docker;sudo systemctl enable containerd;sudo systemctl start containerd;

C. 도커 설정

로그사이즈 지정 및 source 반영하기

sudo mkdir -p /etc/docker
cat <<EOF | sudo tee /etc/docker/daemon.json
{
  "exec-opts": ["native.cgroupdriver=systemd"],
  "log-driver": "json-file",
  "log-opts": {
    "max-size": "100m"
  },
  "storage-driver": "overlay2"
}
EOF

sudo systemctl daemon-reload
sudo systemctl restart docker

끝

이 또한 스크립트로 만들고 싶다.

한방에 설치가 되게... 

-5분 뒤- 

자동 설치 cli~~

wget https://storage.soowim.co.kr/Kubernetes/Docker/Docker_install.sh

sudo chmod ./Docker_install.sh;sh Docker_install;

/etc/crontab

crontab -e

저는 첫번째 방법인 /etc/crontab 파일만 사용합니다.

vi 로 파일을 열어서 수정하면 되고, 띄어쓰기나 탭으로 구분합니다.

구분되는 필드의 의미는 순서대로 

분   시   일   월   요일   유저   실행커멘드.가 됩니다.

분 : 0-59

시 : 0-23

일 : 1-31

월 : 1-12 

요일 : 0-7 (0과 7은 일요일입니다. 1=월요일)

예를 보면 쉽습니다.

매시 17분 : 한시간에 한번 실행.

17 *    * * *   root    cd / && run-parts --report /etc/cron.hourly

매일 06시 25분 : 하루에 한번 실행.

25 6    * * *   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )

매주 일요일 06시 47분 : 일주일에 한번 실행.
47 6    * * 7   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.weekly )