운영 및 유지보수

< 이전: 노드 라이프사이클 관리 | 목차 | 다음: 베어메탈 서버 OS 설치 >

지원 버전: EKS 1.31+, nodeadm 0.1+ 마지막 업데이트: 2026년 2월 23일

이 문서에서는 EKS Hybrid Nodes 환경의 운영 및 유지보수 절차를 다룹니다.

Harbor 취약점 스캔 자동화

# harbor-scan-cronjob.yaml
apiVersion: batch/v1
kind: CronJob
metadata:
  name: harbor-vulnerability-scan
  namespace: harbor
spec:
  schedule: "0 2 * * *"  # 매일 오전 2시
  jobTemplate:
    spec:
      template:
        spec:
          containers:
          - name: scanner
            image: curlimages/curl:latest
            command:
            - /bin/sh
            - -c
            - |
              # 모든 프로젝트의 이미지 스캔 트리거
              for project in $(curl -sk -u admin:$HARBOR_PASSWORD \
                "https://harbor.internal.company.io/api/v2.0/projects" | \
                jq -r '.[].name'); do

                for repo in $(curl -sk -u admin:$HARBOR_PASSWORD \
                  "https://harbor.internal.company.io/api/v2.0/projects/$project/repositories" | \
                  jq -r '.[].name'); do

                  # 최신 태그 스캔
                  curl -sk -X POST -u admin:$HARBOR_PASSWORD \
                    "https://harbor.internal.company.io/api/v2.0/projects/$project/repositories/${repo#*/}/artifacts/latest/scan"
                done
              done
            env:
            - name: HARBOR_PASSWORD
              valueFrom:
                secretKeyRef:
                  name: harbor-admin-secret
                  key: password
          restartPolicy: OnFailure

데이터베이스 백업 절차

Prometheus 메트릭 수집

Grafana 대시보드 쿼리 예시

Direct Connect 성능 검증

인증서 갱신 관리

Ingress 구성

ALB Ingress (ip target mode)

AWS Load Balancer Controller는 하이브리드 노드에서 target-type: ip 모드로 지원됩니다:

  • 라우팅 가능한 파드 CIDR 필요 (BGP 또는 정적 라우트)

  • 컨트롤러는 클라우드 노드에서만 실행해야 함 (웹훅 요구사항)

Cilium Ingress Controller

Cilium Gateway API

LoadBalancer IPAM (Cilium)

온프레미스 환경에서 LoadBalancer 타입 서비스에 IP를 할당하려면:

로드 밸런싱

NLB (ip target mode)

NLB는 ip target 타입으로 하이브리드 노드를 지원합니다:

  • 타겟은 파드 IP로 등록됨 (라우팅 가능한 파드 CIDR 필요)

  • Service annotation: service.beta.kubernetes.io/aws-load-balancer-nlb-target-type: ip

Cilium LB + BGP

Cilium은 온프레미스 서비스를 위한 LoadBalancer로 작동할 수 있습니다:

  • BGP 광고와 결합하면 외부 IP가 네트워크에서 접근 가능

  • CiliumBGPAdvertisement에서 advertisementType: Service + addresses: [ExternalIP, LoadBalancerIP] 설정

애드온 상세 설정

CloudWatch Observability Agent

CloudWatch 에이전트에서 IRSA 대신 Pod Identity 사용:

EKS Pod Identity Agent

혼합 모드 웹훅 운영

하이브리드 노드와 클라우드 노드가 혼합된 환경에서 웹훅 기반 애드온의 배치 전략입니다.

CoreDNS 배치

topologySpreadConstraints를 사용하여 클라우드와 온프레미스 양쪽에 배치:

애드온별 nodeAffinity 설정 가이드

애드온
권장 배치
이유

AWS Load Balancer Controller

클라우드 노드 전용

웹훅 필요, VPC 통합

CloudWatch Agent

DaemonSet 전체, 웹훅은 클라우드

메트릭 수집은 전체 노드, 웹훅은 클라우드

cert-manager

클라우드 노드 전용

웹훅 필요

Metrics Server

클라우드 노드 권장

라우팅 가능한 파드 CIDR 필요

CoreDNS

양쪽 분산

DNS 복원력

Cilium

하이브리드 노드 전용

온프레미스 CNI

일반적인 문제 해결

ImagePullBackOff 진단

DNS 해석 문제

노드 연결 문제


< 이전: 노드 라이프사이클 관리 | 목차 | 다음: 베어메탈 서버 OS 설치 >

마지막 업데이트