TechnicalArchitect merin

[AKS] “방화벽 때문인 것 같은데…”에서 멈추지 않기: AKS Outbound 장애를 증거로 쪼개서 푸는 방법 (feat. 회사 방화벽 이슈)

요즘 회사에서 AKS 운영을 하다 보면, 장애의 많은 부분이 결국 네트워크/방화벽으로 모입니다.특히 “나가는 트래픽(Outbound)”은 서비스 내부 코드가 멀쩡해도, 보안 정책 한 줄 때문에 갑자기 Connection reset by peer로 터지기도 하죠.문제는 여기서부터예요.개발자는 “쿠버네티스가 뭔가 잘못된 거 아니냐”보안/네트워크는 “우리 방화벽은 문제 없다(로그 없다)”운영자는 “어딘가에서 끊기는 건 확실한데… 어디지?”이 글은 딱 그 고민을 담아서, “방화벽 이슈 같다” → “증거 기반으로 레이어를 분해” → “해결 경로(누구에게 무엇을 요청할지)까지 정리한 기록입니다.⚠️ 보안상 도메인/리소스/구독ID/IP 등은 일부 마스킹하거나 샘플로 치환해서 작성하는 걸 권장합니다. (아래 예시는 실..

[AKS] Outbound(Egress) 경로 설계: outboundType부터 UDR(Azure Firewall)까지 (운영 체크리스트 + Test Command)

AKS를 운영하다 보면 인바운드(들어오는 트래픽)보다 아웃바운드(나가는 트래픽) 때문에 더 자주 막힙니다. 외부 API allowlist(고정 출구 IP), 보안팀의 방화벽 강제 경유, 프록시/SSL inspection, Private Endpoint 중심의 격리 전략까지… 전부 “AKS에서 밖으로 어떻게 나가느냐” 문제로 수렴하거든요. 이 글은 그 출발점인 networkProfile.outboundType(= outboundType) 을 기준으로, 각 타입이 의미하는 바와 설계 순서, 그리고 우리가 선택한 UDR(userDefinedRouting) 기준의 구현/테스트 템플릿까지 블로그용으로 정리한 글입니다.(공식 문서 기준: https://learn.microsoft.com/en-us/azure/aks..

AWS 기반 AI 플랫폼 아키텍처(Bedrock·RAG·GitOps 통합형 AI 에이전트) 설계

최근 AWS를 활용하여 엔터프라이즈급 AI 플랫폼을 설계하고 구축하는 기회가 있었습니다. 본 포스트에서는 다이어그램을 통해 설계한 아키텍처의 주요 구성 요소와 설계 의도를 공유하고자 합니다.1. 전체 아키텍처 개요1.1 멀티 계정 전략 (PRD/DEV 분리)이 아키텍처의 목표는 엔터프라이즈 금융권 환경에서 AI Agent 기반 서비스를 안정적으로 운영하는 것이었습니다.이를 위해 아래 네 가지 축을 중심으로 설계했습니다. 프로덕션과 개발 환경을 완전히 분리하여 운영의 안정성과 보안성을 확보했습니다. 멀티 계정 + 멀티 AZ 인프라 PRD / DEV 계정 분리, 각 계정 내에서 2개 AZ 활용 VPC, 서브넷, 보안 정책까지 환경별 완전 분리 EKS 기반 컨테이너 런타임 ..

Private AKS 내부망에서 Harbor OCI Registry를 활용한 Container 환경 구성

퍼블릭 의존성 제거부터 복제 정책, ArgoCD 연동까지 실전 가이드이 문서는 aks 클러스터에서 Harbor OCI Registry를 구축하고, 내부망(Egress 제한) 환경에서 독립적인 컨테이너 생태계를 구축하는 방법을 다룹니다.목차아키텍처 및 개요현재 구축된 Harbor 환경Helm 차트 내부화 전략컨테이너 이미지 미러링복제 정책 및 수명주기 관리CI/CD 파이프라인 자동화보안 및 거버넌스모니터링 및 운영실전 배포 예시트러블슈팅 및 베스트 프랙티스아키텍처 및 개요목표퍼블릭 Helm 레포지토리/이미지 의존성 제거내부망(Egress 제한)에서 Harbor(OCI)만을 소스로 하는 배포 파이프라인 구축OpenTelemetry, Prometheus, Grafana, Fluent Bit, Tempo 등 독..

kubeadm 기반 바닐라 Kubernetes 클러스터를 Terraform + Cloud-init 자동화로 설치/운영

목적Azure VM 위에 kubeadm 기반 바닐라 Kubernetes 클러스터를 Terraform + Cloud-init 자동화로 설치/운영하기 위한 표준 절차 정리구축 요약컨트롤 플레인(마스터): vm-dev-mvpu-k8smaster-01 (10.25.0.15)워커: vm-dev-mvpu-k8sworker-01 (10.25.0.5), vm-dev-mvpu-k8sworker-02 (10.25.0.6)상태: 모든 노드 ReadyKubernetes: v1.30.14 (패키지 버전 고정)Container Runtime: containerd (SystemdCgroup=true)CNI: Calico(기본, 192.168.0.0/16) / Cilium(옵션, kube-proxy 제거) / Kubenet(학습용)..

ArgoCD Multi Cluster Setup Guide (GitOps 기반 자동 배포)

개요이 문서는 하나의 ArgoCD 서버(com 클러스터)를 통해 여러 AKS 클러스터(dev, prod)에 GitOps 방식으로 애플리케이션을 자동 배포하는 환경을 구축하는 과정을 설명합니다. 목표com 클러스터: ArgoCD 서버를 호스팅하는 중심 클러스터dev 클러스터: 개발 환경 배포 대상prod 클러스터: 운영 환경 배포 대상GitOps 기반 자동화: Git 저장소 변경 시 자동으로 각 클러스터에 배포아키텍처설정 단계1. ArgoCD 설치 (com 클러스터)argocd 네임스페이스에 Helm으로 배포agentpool: infrapools 노드에 스케줄링cluster-secrets.yaml에 다른 클러스터 인증정보를 설정2. 클러스터 자격증명 수집Dev/Prod 클러스터에 argocd-manager..

Grafana Entra ID OAuth 설정 가이드

개요Microsoft Entra ID (구 Azure Active Directory)를 통해 Grafana에 OAuth 로그인을 연동함으로써, 조직의 통합 인증 환경을 구성할 수 있습니다. 본 가이드는 Helm 기반 Grafana 배포에 Entra ID OAuth를 적용하는 과정을 단계별로 설명합니다.구성 요소 및 사전 요구 사항Grafana 버전11.4.0배포 방식Helm + Kustomize인증 방식Entra ID (OAuth 2.0, Authorization Code Grant)리디렉션 URIhttps:///login/generic_oauthSecret 방식Kubernetes Secret + __file 방식설정 단계1. Azure Portal에서 앱 등록Azure Portal 접속: https:/..