05/08/2021

Oracle 계정 생성

오라클에서 계정을 생성해 보자. 오라클에서 계정 생성은 다른 데이터베이스와는 완전히 다른 의미를 갖는다. 보통 데이터베이스의 계정은 데이터베이스에 접속을 하기 위한 목적만 가진다. 하지만 오라클 데이터베이스의 계정은 이와는 다르다.

스키마(Schema)

오라클에서 스키마는 데이터베이스 오브젝트(Object)들의 모음이다. 오브젝트라고 하면 테이블(Table), 뷰(View) 와 같은 것을 말한다.

이론적으로 데이터베이스에 의해서 사용되어지는 메타데이터의 집합이라고도 한다. 하나의 스키마는 테이블, 컬럼, 속성등과 같은 데이터베이스의 애튜리브트(Attribute) 를 정의한다.

그래서 데이터베이스는 이러한 스키마들을 관리해주는 시스템이라고 보면 된다.

스키마의 존재 이유는 데이터의 모음을 그룹화하고 권한 설정을 하는데 있다. 오라클은 관계형 데이터베이스이기 때문에 테이블이나 뷰의 경우에 다른 오브젝트와 간계를 맺고 있어 그룹으로 한데 모아 관리하는게 유리 하다.

데이터베이스에는 다수의 스키마들이 있게 된다.

사용자 계정(Account)

데이터베이스 시스템에 접속하기 위해서 필요한 것이 사용자 계정이다. 계정이 없으면 데이터베이스 시스템에 접속할 수 없다는건 당연한 것이다. 두번째는 데이터베이스 오브젝트에 접근하는 것이다. 오브젝트에 대한 접근은 GRANT 명령어를 사용해서 권한을 할당 받는 방법을 쓴다.

오브젝트는 그룹으로 묶어서 관리하는 스키마(Schema) 가 있기 때문에 이 스키마에 대한 권한을 설정하면 데이터베이스 접속 계정으로 오브젝트들을 만질 수 있게 된다.

오라클 계정과 스키마

오라클을 사용하다보면 은근히 많이 헷깔리는게 사용자 계정과 스키마다. 정확하게는 스키마 생성 = 오라클 계정 생성으로 되기 때문에 스키마가 곧 데이터베이스 계정과 같다는 착각을 하게 된다.

정확하게 말하면, 정확하게는 이론적으로 말하면 데이터베이스 계정과 스키마는 완전히 상관이 없는 내용이다. 앞서 내용을 읽어보면 이해가 될 것이다.

하지만 오라클은 계정을 생성하게되면 기본적으로 계정 ID 와 동일한 스키마가 자동으로 생성된다. 그래서 오라클 공식문서를 읽어봐도 스키마 생성을 위한 명령어는 ‘CREATE USER’ 가 된다. 그리고 관리자에게 권한을 주는 명령어 GRANT 명령어는 당연히 계정과 똑같은 이름으로 생성된 스키마에 부여 된다.

참고로 PostgreSQL 은 사용자 계정과 스키마는 완전히 분리된 구조를 가진다. 사용자 계정은 그야말로 데이터베이스 접속 권한이고 ROLE 를 이용해서 데이터베이스 접근 권한을 부여한다. PostgreSQL 에서 데이터베이스를 생성하면 기본 스키마 Public 이 생성된다. 만일 스키마가 더 필요하다면 특정 데이터베이스에서 스키마를 생성하면 된다. 그러니까 PostgreSQL 은 데이터베이스 내에 스키마를 여러개 가질 수 있으며 이 스키마 별로 사용자 계정에 권한을 부여할 수 있게 된다.

다중테넌트 오라클 데이터베이스 계정 생성

CDB, PDB 구조를 가지게 된 오라클에서 계정 생성은 이전과는 달라졌다. CDB 계정 생성과 non-CDB 계정 생성을 위한 사용자 계정 네이밍 규칙이 생성된 것이다.

CDB 사용자들을 일반 사용자(Common User), PDB 계정들을 로컬 사용자(Local User) 라고 한다.

non-CDB 사용자의 경우에 계정명은 C## 혹은 c## 로 시작되면 안된다. CDB 사용자의 경우에 사용자 계정명의 요구사항은 다음과 같다.

오라클 데이터베이스 12c Release 1 (12.1.0.1), 일반 사용자(Common User) 는 반드시 COMMON_USER_PREFIX 초기화 파라메터에서 정의한 프리픽스로 시작해야 한다. 기본 프리픽스는 C## 이다.
로컬 사용자(Local User) 의 경우에는 COMMON_USER_PREFIX 초기화 파라메터에서 정의한 프리픽스로 시작해서는 안된다. COMMON_USER_PREFIX 와 상관없이 로컬 사용자는 C## 이나 c## 로 시작할 수 없다.

CONTAINER = ALL, CONTAINER = CURRENT

다중테넌트 상황에서 계정 생성시에 CONTAINER 구문을 사용할 수 있다. CONTAINER = ALL 은 반드시 root 사용자여야 하며, CONTAINER=CURRENT 은 반드시 PDB 여야 한다.

PDB 계정 생성

다중테넌트에서 사용자 계정은 PDB 에서 생성을 하게 된다. 이제 계정을 생성해 보자.

]$ sql / as sysdba
SQLcl: Release 19.1 Production on Sat May 08 19:20:45 2021

Copyright (c) 1982, 2021, Oracle.  All rights reserved.

Connected to:
Oracle Database 19c Enterprise Edition Release 19.0.0.0.0 - Production
Version 19.3.0.0.0


SQL> set sqlformat ansiconsole;

]$ sql / as sysdba

SQLcl: Release 19.1 Production on Sat May 08 19:20:45 2021

Connected to:

Oracle Database 19c Enterprise Edition Release 19.0.0.0.0 - Production

Version 19.3.0.0.0

SQL> set sqlformat ansiconsole;

“set sqlformat ansiconsole” 은 출력 포멧을 안시콘솔 형식에 맞추라는 것이다. 나름 출력을 깔끔하게 해준다.

최고관리자로 접속을 하였기 때문에 일반 계정을 생성하기 위해서는 PDB 로 변경해주는 것이 좋다.

SQL> SHOW USER;
USER is "SYS"
SQL> ALTER SESSION SET CONTAINER=pdb1;

Session altered.

SQL> SHOW con_id;
CON_ID 
------------------------------
3
SQL>

SQL> SHOW USER;

USER is "SYS"

SQL> ALTER SESSION SET CONTAINER=pdb1;

Session altered.

SQL> SHOW con_id;

CON_ID

------------------------------

SQL>

이제 일반 사용자를 위한 테이블 스페이스를 할당해야 한다. PDB 를 생성하면서 생성된 기본 테이블스페이스를 사용하돌고 하자. 다음과 같이 PDB 의 테이블스페이스를 조회해 볼 수 있다.

SQL>  SELECT * FROM v$tablespace;

       TS# NAME                           INC BIG FLA ENC     CON_ID
---------- ------------------------------ --- --- --- --- ----------
         0 SYSTEM                         YES NO  YES              3
         1 SYSAUX                         YES NO  YES              3
         2 UNDOTBS1                       YES NO  YES              3
         3 TEMP                           NO  NO  YES              3
         5 USERS                          YES NO  YES              3

SQL> SELECT * FROM v$tablespace;

TS# NAME INC BIG FLA ENC CON_ID

---------- ------------------------------ --- --- --- --- ----------

0 SYSTEM YES NO YES 3

1 SYSAUX YES NO YES 3

2 UNDOTBS1 YES NO YES 3

3 TEMP NO NO YES 3

5 USERS YES NO YES 3

사용자를 위한 테이블스페이스 USERS 를 사용하고, 임시 테이블스페이스는 TEMP 를 이용하면 된다. 필요한 정보는 다 모았으니 다음과 같이 사용자 계정을 생성한다.

SQL> CREATE USER sidney
    IDENTIFIED BY out_standing1
    DEFAULT TABLESPACE USERS
    QUOTA UNLIMITED ON USERS
    TEMPORARY TABLESPACE TEMP
    ACCOUNT UNLOCK
    CONTAINER=CURRENT;

User created.

SQL> CREATE USER sidney

IDENTIFIED BY out_standing1

DEFAULT TABLESPACE USERS

QUOTA UNLIMITED ON USERS

TEMPORARY TABLESPACE TEMP

ACCOUNT UNLOCK

CONTAINER=CURRENT;

User created.

사용자 생성을 완료 했다. 오라클은 사용자 계정을 생성하면 사용자 계정과 똑같은 이름으로 스키마를 함께 생성시켜준다. 그리고 그 스키마에 대한 권한을 사용자 계정이 갖도록 해준다.

오라클은 사용자 계정을 생성했다고 해서 자동으로 로그인이 되도록해주지 않는다. 이 계정은 데이터베이스에 접속하기 위한 계정인데, 로그인 권한을 부여해 줘야 한다. 로그인 권한은 “CREATE SESSION” 이다.

SQL> GRANT CONNECT TO sidney;

Grant succeeded.

SQL>

SQL> GRANT CONNECT TO sidney;

Grant succeeded.

SQL>

계정이 생성이 되었다. 이제 접속이 잘 되는지 다음과 같이 테스트를 진행해 본다.

]$ sql sidney/out_standing1@oradb1.systemv.local:1521/pdb1

SQLcl: Release 19.1 Production on Sat May 08 19:34:12 2021

Copyright (c) 1982, 2021, Oracle.  All rights reserved.

Connected to:
Oracle Database 19c Enterprise Edition Release 19.0.0.0.0 - Production
Version 19.3.0.0.0


SQL>

]$ sql sidney/out_standing1@oradb1.systemv.local:1521/pdb1

SQLcl: Release 19.1 Production on Sat May 08 19:34:12 2021

Connected to:

Oracle Database 19c Enterprise Edition Release 19.0.0.0.0 - Production

Version 19.3.0.0.0

SQL>

접속을 Alias 를 이용하기 위해서는 tnsnames.ora 파일에 다음과 같이 내용을 추가해 준다.

]$ vim $ORACLE_HOME/network/admin/tnsnames.ora
SIDNEY =
  (DESCRIPTION =
    (ADDRESS = (PROTOCOL = TCP)(HOST = oradb1.systemv.local)(PORT = 1521))
    (CONNECT_DATA =
      (SERVER = DEDICATED)
      (SERVICE_NAME = pdb1)
    )
  )
]$ tnslsnr reload

]$ vim $ORACLE_HOME/network/admin/tnsnames.ora

SIDNEY =

(DESCRIPTION =

(ADDRESS = (PROTOCOL = TCP)(HOST = oradb1.systemv.local)(PORT = 1521))

(CONNECT_DATA =

(SERVER = DEDICATED)

(SERVICE_NAME = pdb1)

)

]$ tnslsnr reload

여기서 SERVICE_NAME=pdb1 은 다음과 같이 확인이 가능하다.

SQL>  SELECT name, network_name, con_id from V$ACTIVE_SERVICES;
NAME             NETWORK_NAME     CON_ID 
o19cXDB          o19cXDB               1 
SYS$BACKGROUND                         1 
SYS$USERS                              1 
pdb1             pdb1                  3 
o19c             o19c                  1

SQL> SELECT name, network_name, con_id from V$ACTIVE_SERVICES;

NAME NETWORK_NAME CON_ID

o19cXDB o19cXDB 1

SYS$BACKGROUND 1

SYS$USERS 1

pdb1 pdb1 3

o19c o19c 1

NAME 에 pdb1 이 보인다. CON_ID 가 3이 PDB 임을 말해주고 있다.

다음과 같이 Alias 로 접속이 가능하다.

]$ sql sidney/out_standing1@SIDNEY

SQLcl: Release 19.1 Production on Sat May 08 20:01:23 2021

Copyright (c) 1982, 2021, Oracle.  All rights reserved.

Connected to:
Oracle Database 19c Enterprise Edition Release 19.0.0.0.0 - Production
Version 19.3.0.0.0


SQL>

]$ sql sidney/out_standing1@SIDNEY

SQLcl: Release 19.1 Production on Sat May 08 20:01:23 2021

Connected to:

Oracle Database 19c Enterprise Edition Release 19.0.0.0.0 - Production

Version 19.3.0.0.0

SQL>

05/02/2021

listener.ora, tnsnames.ora 생성하기

오라클 데이터베이스 19c 를 Silent 설치를 하고 나면 listener.ora, tnsnames.ora 가 생성되지 않는다. 어떻게 수동으로 이것을 생성하는지에 대해서 알아보고 차이에 대해서 간단히 설명한다.

신기하게도 오라클 데이터베이스 19c를 Silent 설치하고 난 후에 이것을 생성하지 않는다고 하더라도 원격 클라이언트 접속에는 아무런 문제가 되지 않는다. 하지만 접속 서비스를 할당하고 접속을 쪼개고 싶다면 tnsnames.ora 파일이 반드시 있어야 한다.

Oracle Net Listener

Listener 는 정확하게는 ‘Oracle Net Listener’ 라고 한다. 리스너는 하나 혹은 그 이상의 지원하는 서비스에 대한 정보, 프로토콜 주소들을 리스닝하도록 설정된다. 리스너의 설정 정보는 listener.ora 파일에 저장된다. 모든 설정 파라메터는 디폴트 값을 가지기 때문에 별도의 설정을 하지 않더라도 시작하는데 문제가 없다. 디폴트 리스너는 LISTENER 라는 이름을 가지고 시작시 아무런 서비스를 지원하지 않으며 다음과 같은 TCP/IP 프로토콜 주소만 리스닝한다.

(ADDRESS=(PROTOCOL=tcp)(HOST=host_name)(PORT=1521))

1	(ADDRESS=(PROTOCOL=tcp)(HOST=host_name)(PORT=1521))

리스너는 클라이언트 요청을 지원하는 서비스로 포워드 한다. 이러한 서비스들은 listener.ora 파일에 정적으로 설정되어지거나 리스너로 동적으로 등록되어질 수 있다. 이러한 등록 기능을 서비스 등록(service registration) 이라고 부른다. 등록은 PMON process 에 의해서 실행된다.

참고: Configuring and Administering Oracle Net Listener

생성하기

오라클 데이터베이스 19c 를 Silent 설치하게되면 리스너 설정 파일이 생성되지 않는다. 생성하기 위해서 netca 명령어를 이용할 텐데, 역시나 Silent 모드로 실행을 해준다. 그러기 위해서는 response 파일이 있어야 하는데, 다음과 같은 경로에 있다.

$ ls $ORACLE_HOME/assistants/netca/netca.rsp 
/u01/app/oracle/product/19.3.0/dbhome_1/assistants/netca/netca.rsp

1 2	$ ls $ORACLE_HOME/assistants/netca/netca.rsp /u01/app/oracle/product/19.3.0/dbhome_1/assistants/netca/netca.rsp

파일을 열어보면 좀 복잡해 보이는데, 주석 등을 제거하면 설정된 값은 다음과 같다.

$ cat $ORACLE_HOME/assistants/netca/netca.rsp | grep -v ^$| grep -v ^#
[GENERAL]
RESPONSEFILE_VERSION="19.0"
CREATE_TYPE="CUSTOM"
[oracle.net.ca]
INSTALLED_COMPONENTS={"server","net8","javavm"}
INSTALL_TYPE=""typical""
LISTENER_NUMBER=1
LISTENER_NAMES={"LISTENER"}
LISTENER_PROTOCOLS={"TCP;1521"}
LISTENER_START=""LISTENER""
NAMING_METHODS={"TNSNAMES","ONAMES","HOSTNAME"}
NSN_NUMBER=1
NSN_NAMES={"EXTPROC_CONNECTION_DATA"}
NSN_SERVICE={"PLSExtProc"}
NSN_PROTOCOLS={"TCP;HOSTNAME;1521"}

$ cat $ORACLE_HOME/assistants/netca/netca.rsp | grep -v ^$| grep -v ^#

[GENERAL]

RESPONSEFILE_VERSION="19.0"

CREATE_TYPE="CUSTOM"

[oracle.net.ca]

INSTALLED_COMPONENTS={"server","net8","javavm"}

INSTALL_TYPE=""typical""

LISTENER_NUMBER=1

LISTENER_NAMES={"LISTENER"}

LISTENER_PROTOCOLS={"TCP;1521"}

LISTENER_START=""LISTENER""

NAMING_METHODS={"TNSNAMES","ONAMES","HOSTNAME"}

NSN_NUMBER=1

NSN_NAMES={"EXTPROC_CONNECTION_DATA"}

NSN_SERVICE={"PLSExtProc"}

NSN_PROTOCOLS={"TCP;HOSTNAME;1521"}

내용들은 그냥 디폴트 값을 가지고 있다. 오라클 데이터베이스가 listener.ora 파일이 없이 잘 작동하는 이유가 위 파일의 값을 가지고 작동하기 때문인 것인데, 그렇다면 이것을 가지고 설정 파일을 만들어도 문제가 없다는 것과 같은 의미가 된다.

]$ netca -silent -responsefile $ORACLE_HOME/assistants/netca/netca.rsp
Parsing command line arguments:
    Parameter "silent" = true
    Parameter "responsefile" = /u01/app/oracle/product/19.3.0/dbhome_1/assistants/netca/netca.rsp
Done parsing command line arguments.
Oracle Net Services Configuration:
Profile configuration complete.
Oracle Net Listener Startup:
    Running Listener Control:
      /u01/app/oracle/product/19.3.0/dbhome_1/bin/lsnrctl start LISTENER
    Listener Control complete.
    Listener started successfully.
Listener configuration complete.
Oracle Net Services configuration successful. The exit code is 0

]$ netca -silent -responsefile $ORACLE_HOME/assistants/netca/netca.rsp

Parsing command line arguments:

Parameter "silent" = true

Parameter "responsefile" = /u01/app/oracle/product/19.3.0/dbhome_1/assistants/netca/netca.rsp

Done parsing command line arguments.

Oracle Net Services Configuration:

Profile configuration complete.

Oracle Net Listener Startup:

Running Listener Control:

/u01/app/oracle/product/19.3.0/dbhome_1/bin/lsnrctl start LISTENER

Listener Control complete.

Listener started successfully.

Listener configuration complete.

Oracle Net Services configuration successful. The exit code is 0

실행을 하게되면 listener.ora 파일이 생성되면서 리스너가 시작된다.

여기서 멀티테넌트 데이터베이스 구조일 경우에 PDB 에 따른 별도의 클라이언트 접속 요청을 처리해줄 필요가 있게된다. 리스너가 클라이언트 요청 파라메터에 PDB 의 SID 나 SERVICE 가 포함될 경우에 이를 받아서 처리해줘야 하는데, 그러기 위해서는 SID_LIST_LISTENER 엔트리를 사용해야 한다.

SID_LIST_LISTENER =
  (SID_LIST =
    (SID_DESC =
      (GLOBAL_DBNAME = O19C)
      (SID_NAME = o19c)
    )
    (SID_DESC =
      (GLOBAL_DBNAME = PDB1)
      (SID_NAME = pdb1)
    )
  )

SID_LIST_LISTENER =

(SID_LIST =

(SID_DESC =

(GLOBAL_DBNAME = O19C)

(SID_NAME = o19c)

)

(SID_DESC =

(GLOBAL_DBNAME = PDB1)

(SID_NAME = pdb1)

)

위 내용을 생성한 listener.ora 에 추가해 준다.

주요한 설정 내용은 다음과 같다.

SID_NAME – oracle System IDentifier 초기 설정 파라메터 파일에 INSTANCE_NAME 으로부터 SID 값을 얻을 수 있다.
GLOBAL_DBNAME – 데이터베이스 서비스다. 클라이언트 접속 요청을 처리하는 동안, 리스너는 클라이언트 접속 디스크립터에 SERVICE_NAME 파라메터 값과 이 파라메터의 값을 매치시킬려고 한다. 만약 클라이언트 접속 디스크립터가 SID 파라메터를 사용한다면 리스너는 더 이상 매칭 시도를 하지 않는다. 이 파라메터는 전용 서버에서 다이나믹 설정을 지원하지 않는 Oracle8 데이터베이스 설정을 위한 것이였다. 이 파라메터는 Oracle8i 나 그 이후에 데이터베이스 서비스 사용을 위해 필요할 수도 있다. 이 파라메터 값은 기본적으로 초기화 파라메터 파일에 DB_NAME 과 DB_DOMAIN 파라메터의 조합으로부터 (DB_NAME.DB_DOMAIN) 얻을 수 있다.
ORACLE_HOME – 오라클 인스턴스의 위치. 세팅하지 않으면 오라클 홈 디렉토리으로 가정한다. 리눅스와 유닉스에서 세팅은 옵션이지만 MS Windows 에서는 세팅을 무시하면 레지스트리 값 HKEY_LOCAL_MACHINE\SOFTWARE\ORACLE\HOMEID 를 사용한다.

오라클 데이터베이스의 컨테이너별 서비스를 알기위해서는 다음의 쿼리를 실행하면 된다.

SQL> SELECT name, pdb
    FROM   v$services
    ORDER BY name;

NAME             PDB        
SYS$BACKGROUND   CDB$ROOT   
SYS$USERS        CDB$ROOT   
o19c             CDB$ROOT   
o19cXDB          CDB$ROOT   
pdb1             PDB1

SQL> SELECT name, pdb

FROM v$services

ORDER BY name;

NAME PDB

SYS$BACKGROUND CDB$ROOT

SYS$USERS CDB$ROOT

o19c CDB$ROOT

o19cXDB CDB$ROOT

pdb1 PDB1

Local Naming Prarameters in the tnsnames.ora 파일

tnsnames.ora 파일은 네트워크 서비스 이름을 접속 디스크립트로 매핑하거나, Net 서비스 이름을 리스너 프로토콜 주소로 맵핑을 포함한 설정 파일이다. Net 서비스 이름은 접속 디스크립터를 포함하는 데이터베이스 네트워크 주소와 연결된 별명(Alias) 이다. 접속 드스크립터는 프로토콜 주소를 통한 리스너의 위치와 연결을 위한 데이터베이스 서비스의 이름을 포함한다. 클라이언트와 서버는 애플리케이션에서 연결할대에 Net 서비스 이름을 사용한다.

오라클 멀티테넌트 데이터베이스에서 CDB, PDB 별로 접속을 하기 위해서는 tnsnames.ora 파일을 다음과 같이 생성해 준다.

O19C =
  (DESCRIPTION =
    (ADDRESS = (PROTOCOL = TCP)(HOST = oradb1.systemv.local)(PORT = 1521))
    (CONNECT_DATA =
      (SERVER = DEDICATED)
      (SERVICE_NAME = o19c)
    )
  )

PDB1 =
  (DESCRIPTION =
    (ADDRESS = (PROTOCOL = TCP)(HOST = oradb1.systemv.local)(PORT = 1521))
    (CONNECT_DATA =
      (SERVER = DEDICATED)
      (SERVICE_NAME = pdb1)
    )
  )

O19C =

(DESCRIPTION =

(ADDRESS = (PROTOCOL = TCP)(HOST = oradb1.systemv.local)(PORT = 1521))

(CONNECT_DATA =

(SERVER = DEDICATED)

(SERVICE_NAME = o19c)

)

PDB1 =

(DESCRIPTION =

(ADDRESS = (PROTOCOL = TCP)(HOST = oradb1.systemv.local)(PORT = 1521))

(CONNECT_DATA =

(SERVER = DEDICATED)

(SERVICE_NAME = pdb1)

)

참고: Local Naming Parameters in the tnsnames.ora File

listener.ora, tnsnames.ora 차이

접속하는 방법에 차이를 둔다. 원칙적으로 접속하는 방법은 다음과 같다.

]$ sqlplus hr/HrPassword1@oradb1.systemv.local:1521/pdb1

1	]$ sqlplus hr/HrPassword1@oradb1.systemv.local:1521/pdb1

@ 를 기준으로 뒤에 있는 호스트네임:포트/서비스 이다. 이것은 Direct 연결 방법이라고 하는데, 이 연결은 listener.ora 에 정의된 리스너 설정파일에 의해서 접속이 이루어진다.

이것을 짧게 별명만으로 지정할 수 있는데, 그것을 가능하게 하는 것이 tnsnames.ora 이다. pdb1 컨테이너에 접속하기 위해서는 PDB1 별명을 사용하기 때문에 다음과 같이 해도 된다.

]$ sqlplus hr/HrPassword1@PDB1

1	]$ sqlplus hr/HrPassword1@PDB1

PDB1 은 tnsnames.ora 파일에서 별명을 찾아서 접속 디스크립트에 값을 가져다 쓴다. 그리고 연결을 시도하고 이것을 오라클 리스너가 받아서 listener.ora 파일에 파라메터와 매핑해 접속이 이루어지게 된다.

멀티테넌트 데이터베이스 구조에서는 listener.ora 파일에서 SID_LIST_LISTENER 설정을 해줘야지만 PDB 에 접속이 가능해진다.

05/01/2021

오라클 기본 정보 확인

오라클을 설치하고 나면 정보를 확인해야 한다. 오라클은 많은 테이블, 뷰, 동적쿼리등을 지원하는데 워낙 많다보니까 다 알수는 없다. 필요한 정보를 위한 간단한 쿼리들을 소개 한다.

데이터베이스 컴포넌트들의 상태 확인

오라클 데이터베이스는 다양한 컴포넌트들로 구성되는데, 이에 대한 상태를 확인할 수 있다.

SQL> col comp_name for a40
SQL> col version for a15
SQL> col status for a10
SQL> SELECT name, comp_name, version, status FROM v$database, dba_registry;
NAME   COMP_NAME                            VERSION      STATUS       
O19C   Oracle Database Catalog Views        19.0.0.0.0   VALID        
O19C   Oracle Database Packages and Types   19.0.0.0.0   VALID        
O19C   Oracle Real Application Clusters     19.0.0.0.0   OPTION OFF   
O19C   JServer JAVA Virtual Machine         19.0.0.0.0   VALID        
O19C   Oracle XDK                           19.0.0.0.0   VALID        
O19C   Oracle Database Java Packages        19.0.0.0.0   VALID        
O19C   OLAP Analytic Workspace              19.0.0.0.0   VALID        
O19C   Oracle XML Database                  19.0.0.0.0   VALID        
O19C   Oracle Workspace Manager             19.0.0.0.0   VALID        
O19C   Oracle Text                          19.0.0.0.0   VALID        
O19C   Oracle Multimedia                    19.0.0.0.0   VALID        
O19C   Spatial                              19.0.0.0.0   VALID        
O19C   Oracle OLAP API                      19.0.0.0.0   VALID        
O19C   Oracle Label Security                19.0.0.0.0   VALID        

NAME   COMP_NAME               VERSION      STATUS   
O19C   Oracle Database Vault   19.0.0.0.0   VALID    


15 rows selected.

SQL> col comp_name for a40

SQL> col version for a15

SQL> col status for a10

SQL> SELECT name, comp_name, version, status FROM v$database, dba_registry;

NAME COMP_NAME VERSION STATUS

O19C Oracle Database Catalog Views 19.0.0.0.0 VALID

O19C Oracle Database Packages and Types 19.0.0.0.0 VALID

O19C Oracle Real Application Clusters 19.0.0.0.0 OPTION OFF

O19C JServer JAVA Virtual Machine 19.0.0.0.0 VALID

O19C Oracle XDK 19.0.0.0.0 VALID

O19C Oracle Database Java Packages 19.0.0.0.0 VALID

O19C OLAP Analytic Workspace 19.0.0.0.0 VALID

O19C Oracle XML Database 19.0.0.0.0 VALID

O19C Oracle Workspace Manager 19.0.0.0.0 VALID

O19C Oracle Text 19.0.0.0.0 VALID

O19C Oracle Multimedia 19.0.0.0.0 VALID

O19C Spatial 19.0.0.0.0 VALID

O19C Oracle OLAP API 19.0.0.0.0 VALID

O19C Oracle Label Security 19.0.0.0.0 VALID

NAME COMP_NAME VERSION STATUS

O19C Oracle Database Vault 19.0.0.0.0 VALID

15 rows selected.

만일 INVALID 컴포넌트가 있다면 다음과 같이 해준다.

SQL> @?/rdbms/admin/utlrp.sql

1	SQL> @?/rdbms/admin/utlrp.sql

데이터베이스 이름 확인

데이터베이스 이름이 뭔지를 확인할 수 있다.

SQL> SELECT dbid, name, db_unique_name, created, log_mode, open_mode, cdb, con_id FROM v$database;
        DBID NAME   DB_UNIQUE_NAME   CREATED     LOG_MODE       OPEN_MODE    CDB     CON_ID 
  2857479539 O19C   o19c             30-APR-21   NOARCHIVELOG   READ WRITE   YES          0

SQL> SELECT dbid, name, db_unique_name, created, log_mode, open_mode, cdb, con_id FROM v$database;

DBID NAME DB_UNIQUE_NAME CREATED LOG_MODE OPEN_MODE CDB CON_ID

2857479539 O19C o19c 30-APR-21 NOARCHIVELOG READ WRITE YES 0

CDB 가 YES 면 데이터베이스가 CDB 로 생성되었다는 것을 말한다. NO 라면 non-CDB 데이터베이스다.

DB_UNIQUE_NAME 은 쉘 환경변수에도 사용되고 있어 확인해 둘 필요가 있다. 데이터베이스 상태는 READ WRITE 상태여야 정상상태로 본다.

컨테이너 확인

오라클 12c 부터 도입된 개념이 멀티테넌트 컨테이너 데이터베이스다. 어떤 컨테이너들이 있는지 확인해 볼 필요가 있다.

SQL> select con_id, name, open_mode, dbid, con_uid, guid from v$containers;
  CON_ID NAME       OPEN_MODE            DBID      CON_UID GUID                               
       1 CDB$ROOT   READ WRITE     2857479539            1 86B637B62FDF7A65E053F706E80A27CA   
       2 PDB$SEED   READ ONLY      3121618961   3121618961 C1202C7545A136AAE0531D60A8C0E59E   
       3 PDB1       READ WRITE     2824454508   2824454508 C120605562113BC8E0531D60A8C0D56F

SQL> select con_id, name, open_mode, dbid, con_uid, guid from v$containers;

CON_ID NAME OPEN_MODE DBID CON_UID GUID

1 CDB$ROOT READ WRITE 2857479539 1 86B637B62FDF7A65E053F706E80A27CA

2 PDB$SEED READ ONLY 3121618961 3121618961 C1202C7545A136AAE0531D60A8C0E59E

3 PDB1 READ WRITE 2824454508 2824454508 C120605562113BC8E0531D60A8C0D56F

v$containers 뷰는 CDB 안에 root 와 모든 PDB 를 포함한 모든 컨테이너에 대한 정보를 제공한다. 이것으로 PDB 이름을 확인해 볼 수 있다.

모든 CDB 는 다음의 컨테이너를 포함 한다.

정확하기 한개의 root – root 는 오라클이 제공하는 메타데이터와 일반 유저들을 저장한다. 메타데이터는 오라클이 제공하는 PL/SQL 패키지드르이 소스코드 같은 것이다. 일반 유저는 모든 컨테이너가 알아야 하는 데이터베이스 사용자다. root 컨테이너의 이름은 CDB$ROOT 다.
정확히 하나의 시드(seed) PDB – 시드 PDB 는 CDB 가 새로운 PDB를 생성하는데 사용할 수 있도록 하는 시스템이 제공하는 템플릿이다. 시드 PDB 이름은 PDB$SEED 다. PDB$SEED 를 추가하거나 수정할 수 없다.
없거나 하나 이상의 사용자 생성 PDB – PDB는 사용자가 생성한 엔터티로 코드와 데이터를 포함한다. 예를들어, PDB는 인적자원(Human Resources) 나 판매 애플리케이션(Sales application) 과 같은 특정한 애플리케이션을 지원할 수있다. CDB 생성 시점시 PDB는 존재하지 않는다. PDB는 비지니스 요청에 따라 추가 된다.

위 그림은 멀티테넌트 컨테이너 데이터베이스 구조 이다. CDB 안에 PDB 가 존재하는 구조다. PDB 는 Pluggable Database 다.

root 컨테이너와 함께 오라클 데이터베이스는 자동으로 seed PDB(PDB$SEED) 를 생성 한다. 다음 그래프는 새로운 CDB 생성을 보여준다.

연결 상태 보기

CDB, PDB 구조에서 현재 내가 어느 곳에 연결되어 있는지 아는 건 중요 하다. 다음의 명령어로 확인해 볼 수 있다.

SQL> show con_id;
CON_ID 
------------------------------
1
SQL> show con_name;
CON_NAME 
------------------------------
CDB$ROOT

SQL> show con_id;

CON_ID

------------------------------

SQL> show con_name;

CON_NAME

------------------------------

CDB$ROOT

혹은 다음과 같은 쿼리문으로 확인 가능하다.

SQL> select sys_context('USERENV','CON_NAME') CON_NAME,
                sys_context('USERENV','CON_ID') CON_ID,
                sys_context('USERENV','DB_NAME') DB_NAME from DUAL;

CON_NAME   CON_ID   DB_NAME   
CDB$ROOT   1        o19c      


SQL> alter session set container=pdb1;

Session altered.

SQL> select sys_context('USERENV','CON_NAME') CON_NAME,
                sys_context('USERENV','CON_ID') CON_ID,
                sys_context('USERENV','DB_NAME') DB_NAME from DUAL;

CON_NAME   CON_ID   DB_NAME   
PDB1       3        PDB1

SQL> select sys_context('USERENV','CON_NAME') CON_NAME,

sys_context('USERENV','CON_ID') CON_ID,

sys_context('USERENV','DB_NAME') DB_NAME from DUAL;

CON_NAME CON_ID DB_NAME

CDB$ROOT 1 o19c

SQL> alter session set container=pdb1;

Session altered.

SQL> select sys_context('USERENV','CON_NAME') CON_NAME,

sys_context('USERENV','CON_ID') CON_ID,

sys_context('USERENV','DB_NAME') DB_NAME from DUAL;

CON_NAME CON_ID DB_NAME

PDB1 3 PDB1

컨테이너 타입 확인하기

내가 접속한 컨테이너가 CDB 인지, PDB 인지 타입을 확인할 수 있다.

SQL> select decode(sys_context('USERENV', 'CON_NAME'),'CDB$ROOT',sys_context('USERENV', 'DB_NAME'),sys_context('USERENV', 'CON_NAME')) DB_NAME, 
                decode(sys_context('USERENV','CON_ID'),1,'CDB','PDB') TYPE 
           from DUAL;

DB_NAME   TYPE   
o19c      CDB    


SQL> alter session set container=pdb1;

Session altered.

SQL> select decode(sys_context('USERENV', 'CON_NAME'),'CDB$ROOT',sys_context('USERENV', 'DB_NAME'),sys_context('USERENV', 'CON_NAME')) DB_NAME, 
                decode(sys_context('USERENV','CON_ID'),1,'CDB','PDB') TYPE 
           from DUAL;

DB_NAME   TYPE   
PDB1      PDB

SQL> select decode(sys_context('USERENV', 'CON_NAME'),'CDB$ROOT',sys_context('USERENV', 'DB_NAME'),sys_context('USERENV', 'CON_NAME')) DB_NAME,

decode(sys_context('USERENV','CON_ID'),1,'CDB','PDB') TYPE

from DUAL;

DB_NAME TYPE

o19c CDB

SQL> alter session set container=pdb1;

Session altered.

SQL> select decode(sys_context('USERENV', 'CON_NAME'),'CDB$ROOT',sys_context('USERENV', 'DB_NAME'),sys_context('USERENV', 'CON_NAME')) DB_NAME,

decode(sys_context('USERENV','CON_ID'),1,'CDB','PDB') TYPE

from DUAL;

DB_NAME TYPE

PDB1 PDB

컨테이너 연결 세션 변경하기

일반 사용자(common user) 는 CDB, PDB 모두에 걸친 사용자임으로 연결 세션 변경을 통해서 PDB, CDB 를 교체할 수 있다.

SQL> alter session set container=pdb1;

Session altered.

SQL> show con_id;
CON_ID 
------------------------------
3
SQL> show con_name;
CON_NAME 
------------------------------
PDB1

SQL> alter session set container=cdb$root;

Session altered.

SQL> show con_id;
CON_ID 
------------------------------
1
SQL> show con_name;
CON_NAME 
------------------------------
CDB$ROOT

SQL> alter session set container=pdb1;

Session altered.

SQL> show con_id;

CON_ID

------------------------------

SQL> show con_name;

CON_NAME

------------------------------

PDB1

SQL> alter session set container=cdb$root;

Session altered.

SQL> show con_id;

CON_ID

------------------------------

SQL> show con_name;

CON_NAME

------------------------------

CDB$ROOT

CDB 와 연결된 PDB 상태 보기

CDB 와 연결된 PDB 상태는 다음과 같이 조회할 수 있다.

SQL> COLUMN PDB_NAME FORMAT A15
SQL> SELECT PDB_ID, PDB_NAME, STATUS FROM CDB_PDBS ORDER BY PDB_ID;
  PDB_ID PDB_NAME   STATUS   
       2 PDB$SEED   NORMAL   
       3 PDB1       NORMAL

SQL> COLUMN PDB_NAME FORMAT A15

SQL> SELECT PDB_ID, PDB_NAME, STATUS FROM CDB_PDBS ORDER BY PDB_ID;

PDB_ID PDB_NAME STATUS

2 PDB$SEED NORMAL

3 PDB1 NORMAL

STATUS 값을 확인해 상태를 점검할 수 있다.

PDB 의 오픈 모드(Open Mode) 보기

이 쿼리를 통해서 마지막 오픈시간을 확인해 볼 수 있다. root 컨테이너에서는 모든 PDB 에 대한 정보를 보여주며, PDB 에 있다면 오직 하나의 PDB에 대한 정보만 보여준다.

SQL> COLUMN NAME FORMAT A15
SQL> COLUMN RESTRICTED FORMAT A10
SQL> COLUMN OPEN_TIME FORMAT A30
SQL>  
SQL> SELECT NAME, OPEN_MODE, RESTRICTED, OPEN_TIME FROM V$PDBS;
NAME       OPEN_MODE    RESTRICTED   OPEN_TIME                                
PDB$SEED   READ ONLY    NO           01-MAY-21 04.52.38.929000000 PM +09:00   
PDB1       READ WRITE   NO           01-MAY-21 04.52.39.609000000 PM +09:00   

SQL> alter session set container = pdb1;

Session altered.

SQL> SELECT NAME, OPEN_MODE, RESTRICTED, OPEN_TIME FROM V$PDBS;
NAME   OPEN_MODE    RESTRICTED   OPEN_TIME                                
PDB1   READ WRITE   NO           01-MAY-21 04.52.39.609000000 PM +09:00

SQL> COLUMN NAME FORMAT A15

SQL> COLUMN RESTRICTED FORMAT A10

SQL> COLUMN OPEN_TIME FORMAT A30

SQL>

SQL> SELECT NAME, OPEN_MODE, RESTRICTED, OPEN_TIME FROM V$PDBS;

NAME OPEN_MODE RESTRICTED OPEN_TIME

PDB$SEED READ ONLY NO 01-MAY-21 04.52.38.929000000 PM +09:00

PDB1 READ WRITE NO 01-MAY-21 04.52.39.609000000 PM +09:00

SQL> alter session set container = pdb1;

Session altered.

SQL> SELECT NAME, OPEN_MODE, RESTRICTED, OPEN_TIME FROM V$PDBS;

NAME OPEN_MODE RESTRICTED OPEN_TIME

PDB1 READ WRITE NO 01-MAY-21 04.52.39.609000000 PM +09:00

컨테이터 데이터 오브젝트 확인

root 에서(root CDB), 컨테이터 데이터 오브젝트는 root 나 PDB에 포함된 데이터베이스 오브젝트에(테이블 이나 사용자) 대한 정보를 볼 수 있다.

CDB_ 뷰는 컨테이너 데이터 오브젝트들인데, 여기에는 CON_ID 컬럼이 있다. 이 컬럼은 각 PDB 의 컨테이터 ID 를 나타내는 것이며 DBA_PDBS 뷰에 쿼리하면 각 컨테이너 ID 에 대한 PDB 이름을 알 수 있다. 이 두개의 뷰를 조인해서 다음과 같이 데이터 오브젝트 확인이 가능하다.

SQL> COLUMN PDB_NAME FORMAT A15
SQL> COLUMN OWNER FORMAT A15
SQL> COLUMN TABLE_NAME FORMAT A30
 
SQL> SELECT p.PDB_ID, p.PDB_NAME, t.OWNER, t.TABLE_NAME 
  FROM DBA_PDBS p, CDB_TABLES t 
  WHERE p.PDB_ID > 2 AND
        t.OWNER IN('HR','OE') AND
        p.PDB_ID = t.CON_ID
  ORDER BY p.PDB_ID;

  PDB_ID PDB_NAME   OWNER   TABLE_NAME    
       3 PDB1       HR      REGIONS       
       3 PDB1       HR      LOCATIONS     
       3 PDB1       HR      DEPARTMENTS   
       3 PDB1       HR      JOBS          
       3 PDB1       HR      EMPLOYEES     
       3 PDB1       HR      JOB_HISTORY   
       3 PDB1       HR      COUNTRIES     


7 rows selected.

SQL> COLUMN PDB_NAME FORMAT A15

SQL> COLUMN OWNER FORMAT A15

SQL> COLUMN TABLE_NAME FORMAT A30

SQL> SELECT p.PDB_ID, p.PDB_NAME, t.OWNER, t.TABLE_NAME

FROM DBA_PDBS p, CDB_TABLES t

WHERE p.PDB_ID > 2 AND

t.OWNER IN('HR','OE') AND

p.PDB_ID = t.CON_ID

ORDER BY p.PDB_ID;

PDB_ID PDB_NAME OWNER TABLE_NAME

3 PDB1 HR REGIONS

3 PDB1 HR LOCATIONS

3 PDB1 HR DEPARTMENTS

3 PDB1 HR JOBS

3 PDB1 HR EMPLOYEES

3 PDB1 HR JOB_HISTORY

3 PDB1 HR COUNTRIES

7 rows selected.

p.PDB_ID > 2 조건을 준 이유는 root 와 seed 컨테이너를 제외하기 위함이다.

PDBS 에 있는 사용자들 보기

DBA_PDBS 와 CDB_USERS 를 조합하면 각 PDB에 사용자들을 확인해 볼 수 있다.

SQL> COLUMN PDB_NAME FORMAT A15
SQL> COLUMN USERNAME FORMAT A30
 
SQL> SELECT p.PDB_ID, p.PDB_NAME, u.USERNAME 
  FROM DBA_PDBS p, CDB_USERS u
  WHERE p.PDB_ID > 2 AND
        p.PDB_ID = u.CON_ID
  ORDER BY p.PDB_ID;

  PDB_ID PDB_NAME   USERNAME            
       3 PDB1       SYS                 
       3 PDB1       SYSTEM              
       3 PDB1       XS$NULL             
       3 PDB1       LBACSYS             
       3 PDB1       OUTLN               
       3 PDB1       DBSNMP              
       3 PDB1       APPQOSSYS           
       3 PDB1       DBSFWUSER           
       3 PDB1       GGSYS               
       3 PDB1       ANONYMOUS           
       3 PDB1       CTXSYS              
       3 PDB1       DVSYS               
       3 PDB1       DVF                 
       3 PDB1       GSMADMIN_INTERNAL   

  PDB_ID PDB_NAME   USERNAME                 
       3 PDB1       MDSYS                    
       3 PDB1       OLAPSYS                  
       3 PDB1       XDB                      
       3 PDB1       WMSYS                    
       3 PDB1       GSMCATUSER               
       3 PDB1       MDDATA                   
       3 PDB1       SYSBACKUP                
       3 PDB1       REMOTE_SCHEDULER_AGENT   
       3 PDB1       PDBADMIN                 
       3 PDB1       GSMUSER                  
       3 PDB1       SYSRAC                   
       3 PDB1       HR                       
       3 PDB1       OJVMSYS                  
       3 PDB1       SI_INFORMTN_SCHEMA       

  PDB_ID PDB_NAME   USERNAME     
       3 PDB1       AUDSYS       
       3 PDB1       DIP          
       3 PDB1       ORDPLUGINS   
       3 PDB1       SYSKM        
       3 PDB1       ORDDATA      
       3 PDB1       ORACLE_OCM   
       3 PDB1       SYS$UMF      
       3 PDB1       SYSDG        
       3 PDB1       ORDSYS       


37 rows selected.

SQL> COLUMN PDB_NAME FORMAT A15

SQL> COLUMN USERNAME FORMAT A30

SQL> SELECT p.PDB_ID, p.PDB_NAME, u.USERNAME

FROM DBA_PDBS p, CDB_USERS u

WHERE p.PDB_ID > 2 AND

p.PDB_ID = u.CON_ID

ORDER BY p.PDB_ID;

PDB_ID PDB_NAME USERNAME

3 PDB1 SYS

3 PDB1 SYSTEM

3 PDB1 XS$NULL

3 PDB1 LBACSYS

3 PDB1 OUTLN

3 PDB1 DBSNMP

3 PDB1 APPQOSSYS

3 PDB1 DBSFWUSER

3 PDB1 GGSYS

3 PDB1 ANONYMOUS

3 PDB1 CTXSYS

3 PDB1 DVSYS

3 PDB1 DVF

3 PDB1 GSMADMIN_INTERNAL

PDB_ID PDB_NAME USERNAME

3 PDB1 MDSYS

3 PDB1 OLAPSYS

3 PDB1 XDB

3 PDB1 WMSYS

3 PDB1 GSMCATUSER

3 PDB1 MDDATA

3 PDB1 SYSBACKUP

3 PDB1 REMOTE_SCHEDULER_AGENT

3 PDB1 PDBADMIN

3 PDB1 GSMUSER

3 PDB1 SYSRAC

3 PDB1 HR

3 PDB1 OJVMSYS

3 PDB1 SI_INFORMTN_SCHEMA

PDB_ID PDB_NAME USERNAME

3 PDB1 AUDSYS

3 PDB1 DIP

3 PDB1 ORDPLUGINS

3 PDB1 SYSKM

3 PDB1 ORDDATA

3 PDB1 ORACLE_OCM

3 PDB1 SYS$UMF

3 PDB1 SYSDG

3 PDB1 ORDSYS

37 rows selected.

p.PDB_ID > 2 조건을 준 이유는 root 와 seed 컨테이너를 제외하기 위함이다.

각 PDB 의 데이터 파일 보기

DBA_PDBS 와 CDB_DATA_FILES 뷰를 조합하면 데이터 파일들을 확인할 수 있다.

SQL> COLUMN PDB_ID FORMAT 999
SQL> COLUMN PDB_NAME FORMAT A8
SQL> COLUMN FILE_ID FORMAT 9999
SQL> COLUMN TABLESPACE_NAME FORMAT A10
SQL> COLUMN FILE_NAME FORMAT A45
SQL> 
SQL> SELECT p.PDB_ID, p.PDB_NAME, d.FILE_ID, d.TABLESPACE_NAME, d.FILE_NAME
      FROM DBA_PDBS p, CDB_DATA_FILES d
     WHERE p.PDB_ID = d.CON_ID
     ORDER BY p.PDB_ID;

  PDB_ID PDB_NAME     FILE_ID TABLESPACE_NAME   FILE_NAME                              
       3 PDB1               9 SYSTEM            /u02/oradata/O19C/pdb1/system01.dbf    
       3 PDB1              10 SYSAUX            /u02/oradata/O19C/pdb1/sysaux01.dbf    
       3 PDB1              11 UNDOTBS1          /u02/oradata/O19C/pdb1/undotbs01.dbf   
       3 PDB1              12 USERS             /u02/oradata/O19C/pdb1/users01.dbf

SQL> COLUMN PDB_ID FORMAT 999

SQL> COLUMN PDB_NAME FORMAT A8

SQL> COLUMN FILE_ID FORMAT 9999

SQL> COLUMN TABLESPACE_NAME FORMAT A10

SQL> COLUMN FILE_NAME FORMAT A45

SQL>

SQL> SELECT p.PDB_ID, p.PDB_NAME, d.FILE_ID, d.TABLESPACE_NAME, d.FILE_NAME

FROM DBA_PDBS p, CDB_DATA_FILES d

WHERE p.PDB_ID = d.CON_ID

ORDER BY p.PDB_ID;

PDB_ID PDB_NAME FILE_ID TABLESPACE_NAME FILE_NAME

3 PDB1 9 SYSTEM /u02/oradata/O19C/pdb1/system01.dbf

3 PDB1 10 SYSAUX /u02/oradata/O19C/pdb1/sysaux01.dbf

3 PDB1 11 UNDOTBS1 /u02/oradata/O19C/pdb1/undotbs01.dbf

3 PDB1 12 USERS /u02/oradata/O19C/pdb1/users01.dbf

혹은 다음과 같이 확인해 볼 수 있다.

SQL> SELECT c.name DB_NAME, a.name TABLESPACE_NAME, b.name DATA_FILE_NAME, b.bytes/1024/1024 SIZE_MB, b.status
     -- c.name DB_NAME, a.con_id, a.ts#, a.name TABLESPACE_NAME, b.name DATA_FILE_NAME, b.file#, b.blocks, b.bytes/1024/1024 SIZE_MB, b.status, b.enabled, b.creation_time
     FROM v$tablespace a, v$datafile b, v$containers c
     WHERE a.con_id = b.con_id
     AND a.con_id = c.con_id
     AND a.ts# = b.ts#
     ORDER BY a.con_id, a.TS#;

DB_NAME    TABLESPACE_NAME   DATA_FILE_NAME                              SIZE_MB STATUS   
CDB$ROOT   SYSTEM            /u02/oradata/O19C/system01.dbf                  910 SYSTEM   
CDB$ROOT   SYSAUX            /u02/oradata/O19C/sysaux01.dbf                  580 ONLINE   
CDB$ROOT   UNDOTBS1          /u02/oradata/O19C/undotbs01.dbf                 330 ONLINE   
CDB$ROOT   USERS             /u02/oradata/O19C/users01.dbf                     5 ONLINE   
PDB$SEED   SYSTEM            /u02/oradata/O19C/pdbseed/system01.dbf          270 SYSTEM   
PDB$SEED   SYSAUX            /u02/oradata/O19C/pdbseed/sysaux01.dbf          330 ONLINE   
PDB$SEED   UNDOTBS1          /u02/oradata/O19C/pdbseed/undotbs01.dbf         100 ONLINE   
PDB1       SYSTEM            /u02/oradata/O19C/pdb1/system01.dbf             280 SYSTEM   
PDB1       SYSAUX            /u02/oradata/O19C/pdb1/sysaux01.dbf             350 ONLINE   
PDB1       UNDOTBS1          /u02/oradata/O19C/pdb1/undotbs01.dbf            100 ONLINE   
PDB1       USERS             /u02/oradata/O19C/pdb1/users01.dbf                5 ONLINE   


11 rows selected.

SQL> SELECT c.name DB_NAME, a.name TABLESPACE_NAME, b.name DATA_FILE_NAME, b.bytes/1024/1024 SIZE_MB, b.status

-- c.name DB_NAME, a.con_id, a.ts#, a.name TABLESPACE_NAME, b.name DATA_FILE_NAME, b.file#, b.blocks, b.bytes/1024/1024 SIZE_MB, b.status, b.enabled, b.creation_time

FROM v$tablespace a, v$datafile b, v$containers c

WHERE a.con_id = b.con_id

AND a.con_id = c.con_id

AND a.ts# = b.ts#

ORDER BY a.con_id, a.TS#;

DB_NAME TABLESPACE_NAME DATA_FILE_NAME SIZE_MB STATUS

CDB$ROOT SYSTEM /u02/oradata/O19C/system01.dbf 910 SYSTEM

CDB$ROOT SYSAUX /u02/oradata/O19C/sysaux01.dbf 580 ONLINE

CDB$ROOT UNDOTBS1 /u02/oradata/O19C/undotbs01.dbf 330 ONLINE

CDB$ROOT USERS /u02/oradata/O19C/users01.dbf 5 ONLINE

PDB$SEED SYSTEM /u02/oradata/O19C/pdbseed/system01.dbf 270 SYSTEM

PDB$SEED SYSAUX /u02/oradata/O19C/pdbseed/sysaux01.dbf 330 ONLINE

PDB$SEED UNDOTBS1 /u02/oradata/O19C/pdbseed/undotbs01.dbf 100 ONLINE

PDB1 SYSTEM /u02/oradata/O19C/pdb1/system01.dbf 280 SYSTEM

PDB1 SYSAUX /u02/oradata/O19C/pdb1/sysaux01.dbf 350 ONLINE

PDB1 UNDOTBS1 /u02/oradata/O19C/pdb1/undotbs01.dbf 100 ONLINE

PDB1 USERS /u02/oradata/O19C/pdb1/users01.dbf 5 ONLINE

11 rows selected.

CDB 에 임시 파일들 보기

CDB_TEMP_FILES 뷰를 활용하면 CDB 에 각 임시 파일 이름과 위치를 확인할 수 있다.

SQL> COLUMN CON_ID FORMAT 999
SQL> COLUMN FILE_ID FORMAT 9999
SQL> COLUMN TABLESPACE_NAME FORMAT A15
SQL> COLUMN FILE_NAME FORMAT A45
SQL> 
SQL> SELECT CON_ID, FILE_ID, TABLESPACE_NAME, FILE_NAME
      FROM CDB_TEMP_FILES
      ORDER BY CON_ID;

  CON_ID   FILE_ID TABLESPACE_NAME   FILE_NAME                           
       3         3 TEMP              /u02/oradata/O19C/pdb1/temp01.dbf

SQL> COLUMN CON_ID FORMAT 999

SQL> COLUMN FILE_ID FORMAT 9999

SQL> COLUMN TABLESPACE_NAME FORMAT A15

SQL> COLUMN FILE_NAME FORMAT A45

SQL>

SQL> SELECT CON_ID, FILE_ID, TABLESPACE_NAME, FILE_NAME

FROM CDB_TEMP_FILES

ORDER BY CON_ID;

CON_ID FILE_ID TABLESPACE_NAME FILE_NAME

3 3 TEMP /u02/oradata/O19C/pdb1/temp01.dbf

컨트롤 파일 확인

다음과 같이 컨트롤 파일들을 확인할 수 있다.

SQL> show parameter control_files;
NAME          TYPE   VALUE                                                            
------------- ------ ---------------------------------------------------------------- 
control_files string /u02/oradata/O19C/control01.ctl, /u02/oradata/O19C/control02.ctl

SQL> show parameter control_files;

NAME TYPE VALUE

------------- ------ ----------------------------------------------------------------

control_files string /u02/oradata/O19C/control01.ctl, /u02/oradata/O19C/control02.ctl

Redo Log 파일 확인

다음과 같이 RedoLog 파일을 확인할 수 있다.

SQL> col member for a50;
SQL> SELECT a.group#, a.members, a.bytes/1024/1024 SIZE_MB, a.status, b.member
  2   FROM v$log a, v$logfile b
  3   WHERE a.group# = b.group#;
  GROUP#   MEMBERS   SIZE_MB STATUS     MEMBER                         
       3         1        50 CURRENT    /u02/oradata/O19C/redo03.log   
       2         1        50 INACTIVE   /u02/oradata/O19C/redo02.log   
       1         1        50 INACTIVE   /u02/oradata/O19C/redo01.log

SQL> col member for a50;

SQL> SELECT a.group#, a.members, a.bytes/1024/1024 SIZE_MB, a.status, b.member

2 FROM v$log a, v$logfile b

3 WHERE a.group# = b.group#;

GROUP# MEMBERS SIZE_MB STATUS MEMBER

3 1 50 CURRENT /u02/oradata/O19C/redo03.log

2 1 50 INACTIVE /u02/oradata/O19C/redo02.log

1 1 50 INACTIVE /u02/oradata/O19C/redo01.log

PDB에 연결된 서비스 보기

CDB_SERVICES 뷰를 통해서 PDB 이름, 네트워크 이름, 컨테이너 ID 등을 확인해 볼 수 있다.

SQL> COLUMN NETWORK_NAME FORMAT A30
SQL> COLUMN PDB FORMAT A15
SQL> COLUMN CON_ID FORMAT 999
SQL> 
SQL> SELECT PDB, NETWORK_NAME, CON_ID FROM CDB_SERVICES
      WHERE PDB IS NOT NULL AND
            CON_ID > 2
      ORDER BY PDB;

PDB    NETWORK_NAME     CON_ID 
PDB1   PDB1                  3

SQL> COLUMN NETWORK_NAME FORMAT A30

SQL> COLUMN PDB FORMAT A15

SQL> COLUMN CON_ID FORMAT 999

SQL>

SQL> SELECT PDB, NETWORK_NAME, CON_ID FROM CDB_SERVICES

WHERE PDB IS NOT NULL AND

CON_ID > 2

ORDER BY PDB;

PDB NETWORK_NAME CON_ID

PDB1 PDB1 3

PDB 의 히스토리 보기

CDB_PDB_HISTORY 뷰는 PDB의 생성된 시간과 여러 히스토리 정보들을 보여준다.

SQL> COLUMN DB_NAME FORMAT A10
SQL> COLUMN CON_ID FORMAT 999
SQL> COLUMN PDB_NAME FORMAT A15
SQL> COLUMN OPERATION FORMAT A16
SQL> COLUMN OP_TIMESTAMP FORMAT A10
SQL> COLUMN CLONED_FROM_PDB_NAME FORMAT A15
SQL>  
SQL> SELECT DB_NAME, CON_ID, PDB_NAME, OPERATION, OP_TIMESTAMP, CLONED_FROM_PDB_NAME
      FROM CDB_PDB_HISTORY
      WHERE CON_ID > 2
      ORDER BY CON_ID;

DB_NAME      CON_ID PDB_NAME   OPERATION   OP_TIMESTAMP   CLONED_FROM_PDB_NAME   
SEEDDATA          3 PDB$SEED   UNPLUG      17-APR-19                             
O19C              3 PDB$SEED   PLUG        30-APR-21      PDB$SEED               
O19C              3 PDB1       CREATE      30-APR-21      PDB$SEED

SQL> COLUMN DB_NAME FORMAT A10

SQL> COLUMN CON_ID FORMAT 999

SQL> COLUMN PDB_NAME FORMAT A15

SQL> COLUMN OPERATION FORMAT A16

SQL> COLUMN OP_TIMESTAMP FORMAT A10

SQL> COLUMN CLONED_FROM_PDB_NAME FORMAT A15

SQL>

SQL> SELECT DB_NAME, CON_ID, PDB_NAME, OPERATION, OP_TIMESTAMP, CLONED_FROM_PDB_NAME

FROM CDB_PDB_HISTORY

WHERE CON_ID > 2

ORDER BY CON_ID;

DB_NAME CON_ID PDB_NAME OPERATION OP_TIMESTAMP CLONED_FROM_PDB_NAME

SEEDDATA 3 PDB$SEED UNPLUG 17-APR-19

O19C 3 PDB$SEED PLUG 30-APR-21 PDB$SEED

O19C 3 PDB1 CREATE 30-APR-21 PDB$SEED

05/01/2021

오라클 데이터베이스 19c 샘플 스키마 생성

오라클 데이터베이스 19c 를 Silent 설치를 할 경우에 대부분 데이터베이스를 생성하고 끝나게 된다. 하지만 오라클은 샘플 스키마를 제공하고 있는데, HR 관련 된 내용의 샘플 스키마를 제공 한다. 이것을 설치해보자.

SQLcl 활용

SQL Plus 에 기능을 더한 SQLcl 를 활용할 것이다. SQLcl 은 $ORACLE_HOME/sqldeveloper/sqldeveloper/bin 디렉토리가 있다. 여기에 sql 스크립트가 존재하는데 이것이 SQLcl 이다.

]$ cd $ORACLE_HOME
]$ cd sqldeveloper/sqldeveloper/bin
]$ chmod +x sql
]$ ./sql 

SQLcl: Release 19.1 Production on Fri Apr 30 23:23:46 2021

Copyright (c) 1982, 2021, Oracle.  All rights reserved.

Username? (''?) sys as sysdba
Password? (**********?) ************
Connected to:
Oracle Database 19c Enterprise Edition Release 19.0.0.0.0 - Production
Version 19.3.0.0.0

SQL> set sqlformat ansiconsole;
SQL>

]$ cd $ORACLE_HOME

]$ cd sqldeveloper/sqldeveloper/bin

]$ chmod +x sql

]$ ./sql

SQLcl: Release 19.1 Production on Fri Apr 30 23:23:46 2021

Username? (''?) sys as sysdba

Password? (**********?) ************

Connected to:

Oracle Database 19c Enterprise Edition Release 19.0.0.0.0 - Production

Version 19.3.0.0.0

SQL> set sqlformat ansiconsole;

SQL>

“set sqlformat ansiconsole” 를 할 경우에 결과를 보다 보기 좋게 해준다.

PDB 로 세션 변경

오라클 데이터베이스 19c 의 경우에 CDB, PDB 개념이 존재한다. 실제 사용자 데이터베이스는 PDB 에 생성된다. 세션을 PDB 로 변경해준다.

SQL> select name, open_mode, restricted from v$pdbs;
NAME       OPEN_MODE    RESTRICTED   
PDB$SEED   READ ONLY    NO           
PDB1       READ WRITE   NO

SQL> alter session set container = pdb1;

Session altered.

SQL> select dbid, con_id, name from v$pdbs;
        DBID   CON_ID NAME   
  2824454508        3 PDB1

SQL> show pdbs;
  CON_ID CON_NAME   OPEN MODE    RESTRICTED   
       3 PDB1       READ WRITE   NO

SQL> select name, open_mode, restricted from v$pdbs;

NAME OPEN_MODE RESTRICTED

PDB$SEED READ ONLY NO

PDB1 READ WRITE NO

SQL> alter session set container = pdb1;

Session altered.

SQL> select dbid, con_id, name from v$pdbs;

DBID CON_ID NAME

2824454508 3 PDB1

SQL> show pdbs;

CON_ID CON_NAME OPEN MODE RESTRICTED

3 PDB1 READ WRITE NO

HR 스키마 설치

HR 스키마는 오라클 데이터베이스에 있다. 경로는 다음과 같다.

]$ ls $ORACLE_HOME/demo/schema/human_resources
hr_analz.sql  hr_code.sql  hr_comnt.sql  hr_cre.sql  hr_drop_new.sql  hr_drop.sql  hr_idx.sql  hr_main_new.sql  hr_main.sql  hr_popul.sql

1 2	]$ ls $ORACLE_HOME/demo/schema/human_resources hr_analz.sql hr_code.sql hr_comnt.sql hr_cre.sql hr_drop_new.sql hr_drop.sql hr_idx.sql hr_main_new.sql hr_main.sql hr_popul.sql

hr_main.sql 를 실행하면 설치가 진행되는데, 사용자들로부터 다음과 같은 값을 입력 받는다.

HR 스키마 사용자의 패스워드
HR 스키마에 기본 테이블스페이스
HR 를 위한 임시 테이블스페이스
로그 경로

기본 테이블스페이스, 임시 테이블스페이스를 만들어도 되지만 pdb1 에 있는 것을 가져다 써도 된다. 테이블스페이스 이름을 알아야 한다.

SQL> select tablespace_name from user_tablespaces;
TABLESPACE_NAME   
SYSTEM            
SYSAUX            
UNDOTBS1          
TEMP              
USERS

SQL> select tablespace_name from user_tablespaces;

TABLESPACE_NAME

SYSTEM

SYSAUX

UNDOTBS1

TEMP

USERS

USERS 는 기본 테이블스페이스, TEMP 를 임시 테이블스페이스로 사용하면 될 듯 하다. 이제 설치를 해보자.

SQL> @/u01/app/oracle/product/19.3.0/dbhome_1/demo/schema/human_resources/hr_main.sql

specify password for HR as parameter 1:
Enter value for 1: HrPassword1

specify default tablespeace for HR as parameter 2:
Enter value for 2: USERS

specify temporary tablespace for HR as parameter 3:
Enter value for 3: TEMP

specify log path as parameter 4:
Enter value for 4: /u01/app/oracle/product/19.3.0/dbhome_1/demo/schema/log

SQL> @/u01/app/oracle/product/19.3.0/dbhome_1/demo/schema/human_resources/hr_main.sql

specify password for HR as parameter 1:

Enter value for 1: HrPassword1

specify default tablespeace for HR as parameter 2:

Enter value for 2: USERS

specify temporary tablespace for HR as parameter 3:

Enter value for 3: TEMP

specify log path as parameter 4:

Enter value for 4: /u01/app/oracle/product/19.3.0/dbhome_1/demo/schema/log

log 경로는 demo/schema 디렉토리에 log 디렉토리를 활용했다.

hr 계정 패스워드 설정 및 UNLOCK

계정을 생성하면 기본적으로 계정은 LOCKED 상태가 되어서 사용할 수 없다. UNLOCK 을 해줘야 한다.

SQL> ALTER USER hr ACCOUNT UNLOCK;
SQL> ALTER USER hr IDENTIFIED BY HrPassword1;

1 2	SQL> ALTER USER hr ACCOUNT UNLOCK; SQL> ALTER USER hr IDENTIFIED BY HrPassword1;

04/30/2021

Oracle Database 19c 설치

오라클 데이터베이스 19c (Oracle Database 19c) 설치에 대한 문서다. 설치는 Slient Mode 로 설치되었으면 PDB 를 기반으로 하였다. PDB, CDB 에 대한 설명은 오라클 문서를 참고.

환경

Oracle Linux 8.3
Kernel: 5.4.17-2102.200.13.el8uek.x86_64
Memory: 7.7Gib
Swap: 12Gi
Root Partition: 32GB

호스트 네임 변경

]# hostnamectl set-hostname oradb1.systemv.local
]# vim /etc/hosts
192.168.96.29   oradb1.systemv.local    oradb1

]# hostnamectl set-hostname oradb1.systemv.local

]# vim /etc/hosts

192.168.96.29 oradb1.systemv.local oradb1

Selinux 를 Permissive 로 변경

]# setenforce Permissive
]# sed -i 's/^SELINUX=enforcing$/SELINUX=Permissive/' /etc/selinux/config

1 2	]# setenforce Permissive ]# sed -i 's/^SELINUX=enforcing$/SELINUX=Permissive/' /etc/selinux/config

HugePages 비활성화.

오라클은 HugePages 를 비활성화할 것을 권장하고 있다.

]# cat /sys/kernel/mm/transparent_hugepage/enabled
[always] madvise never
]# vim /etc/default/grub
- GRUB_CMDLINE_LINUX="crashkernel=auto resume=UUID=e17bf72e-de7f-49a6-9d37-4c61864a4ba3"
+ GRUB_CMDLINE_LINUX="crashkernel=auto resume=UUID=e17bf72e-de7f-49a6-9d37-4c61864a4ba3 transparent_hugepage=never"
]# systemctl reboot

]# cat /sys/kernel/mm/transparent_hugepage/enabled

[always] madvise never

]# vim /etc/default/grub

- GRUB_CMDLINE_LINUX="crashkernel=auto resume=UUID=e17bf72e-de7f-49a6-9d37-4c61864a4ba3"

+ GRUB_CMDLINE_LINUX="crashkernel=auto resume=UUID=e17bf72e-de7f-49a6-9d37-4c61864a4ba3 transparent_hugepage=never"

]# systemctl reboot

PreInstallation RPM 설치

오라클은 시스템 계정, 설치 디렉토리, 시스템 리소스 설정등을 필요로 하는데 PreInstallation RPM 은 이것을 자동으로 해준다.

]# dnf install oracle-database-preinstall-19c

1	]# dnf install oracle-database-preinstall-19c

이것은 자동으로 필요로하는 시스템 설정을 해준다. 이것을 하고 난후에 변경된 시스템 설정들은 다음과 같다.

시스템 그룹 생성

다음과 같은 시스템 그룹이 생성되었다.

]# groupadd -g 54321 oinstall
]# groupadd -g 54322 dba
]# groupadd -g 54323 oper
]# groupadd -g 54324 backupdba
]# groupadd -g 54325 dgdba
]# groupadd -g 54326 kmdba
]# groupadd -g 54330 racdba

]# groupadd -g 54321 oinstall

]# groupadd -g 54322 dba

]# groupadd -g 54323 oper

]# groupadd -g 54324 backupdba

]# groupadd -g 54325 dgdba

]# groupadd -g 54326 kmdba

]# groupadd -g 54330 racdba

oracle 계정 생성 및 소속 그룹 변경

oracle 계정이 생성되는데 기본 소속 그룹은 oinstall 이며 dba,oper,backupdba,dgdba,kmdba,racdba 그룹에도 속해야 한다.

]# useradd -u 54321 -g oinstall -G dba,oper,backupdba,dgdba,kmdba,racdba oracle
]# echo "oracle" | passwd oracle --stdin
Changing password for user oracle.
passwd: all authentication tokens updated successfully.

]# useradd -u 54321 -g oinstall -G dba,oper,backupdba,dgdba,kmdba,racdba oracle

]# echo "oracle" | passwd oracle --stdin

Changing password for user oracle.

passwd: all authentication tokens updated successfully.

oracle 시스템 계정에 대한 시스템 자원 제한 설정.

파일, 메모리, 프로세스 등에 대한 자원 사용에 대해서 oracle 계정에 제한을 둔다. 이것은 /etc/security/limits.d 디렉토리에 파일을 생성해 설정한다.

]# vim /etc/security/limits.d/oracle-database-19c.conf
# oracle database 19c setting for nofile soft limit is 1024
oracle   soft   nofile    1024

# oracle database 19c setting for nofile hard limit is 65536
oracle   hard   nofile    65536

# oracle database 19c setting for nproc soft limit is 16384
# refer orabug15971421 for more info.
oracle   soft   nproc    16384

# oracle database 19c setting for nproc hard limit is 16384
oracle   hard   nproc    16384

# oracle database 19c setting for stack soft limit is 10240KB
oracle   soft   stack    10240

# oracle database 19c setting for stack hard limit is 32768KB
oracle   hard   stack    32768

# oracle database 19c setting for memlock hard limit is maximum of 128GB on x86_64 or 3GB on x86 OR 90 % of RAM
oracle   hard   memlock    134217728

# oracle database 19c setting for memlock soft limit is maximum of 128GB on x86_64 or 3GB on x86 OR 90% of RAM
oracle   soft   memlock    134217728

# oracle database 19c setting for data soft limit is 'unlimited'
oracle   soft   data    unlimited

# oracle database 19c setting for data hard limit is 'unlimited'
oracle   hard   data    unlimited

]# vim /etc/security/limits.d/oracle-database-19c.conf

# oracle database 19c setting for nofile soft limit is 1024

oracle soft nofile 1024

# oracle database 19c setting for nofile hard limit is 65536

oracle hard nofile 65536

# oracle database 19c setting for nproc soft limit is 16384

# refer orabug15971421 for more info.

oracle soft nproc 16384

# oracle database 19c setting for nproc hard limit is 16384

oracle hard nproc 16384

# oracle database 19c setting for stack soft limit is 10240KB

oracle soft stack 10240

# oracle database 19c setting for stack hard limit is 32768KB

oracle hard stack 32768

# oracle database 19c setting for memlock hard limit is maximum of 128GB on x86_64 or 3GB on x86 OR 90 % of RAM

oracle hard memlock 134217728

# oracle database 19c setting for memlock soft limit is maximum of 128GB on x86_64 or 3GB on x86 OR 90% of RAM

oracle soft memlock 134217728

# oracle database 19c setting for data soft limit is 'unlimited'

oracle soft data unlimited

# oracle database 19c setting for data hard limit is 'unlimited'

oracle hard data unlimited

memlock 부분을 조정해 줄 필요가 있다. 전체 물리 메모리가 128GB 이하라면 약 90%를 할당을 권장하고 있다.

커널 파라메터 수정.

커널 파라메터는 sysctl 명령어로 조정이 되는데, 이것은 /etc/sysctl.d 디렉토리에 파일을 생성해 적용해 준다.

]# vim /etc/systctl.d/97-oracle-database-19c.conf
# sysctl settings are defined through files in
# /usr/lib/sysctl.d/, /run/sysctl.d/, and /etc/sysctl.d/.
#
# Vendors settings live in /usr/lib/sysctl.d/.
# To override a whole file, create a new file with the same in
# /etc/sysctl.d/ and put new settings there. To override
# only specific settings, add a file with a lexically later
# name in /etc/sysctl.d/ and put new settings there.
#
# For more information, see sysctl.conf(5) and sysctl.d(5).

# oracle database 19c setting for fs.file-max is 6815744
fs.file-max = 6815744

# oracle database 19c setting for kernel.sem is '250 32000 100 128'
kernel.sem = 250 32000 100 128

# oracle database 19c setting for kernel.shmmni is 4096
kernel.shmmni = 4096

# oracle database 19c setting for kernel.shmall is 1073741824 on x86_64
kernel.shmall = 1073741824

# oracle database 19c setting for kernel.shmmax is 4398046511104 on x86_64
kernel.shmmax = 4398046511104

# oracle database 19c setting for kernel.panic_on_oops is 1 per Orabug 19212317
kernel.panic_on_oops = 1

# oracle database 19c setting for net.core.rmem_default is 262144
net.core.rmem_default = 262144

# oracle database 19c setting for net.core.rmem_max is 4194304
net.core.rmem_max = 4194304

# oracle database 19c setting for net.core.wmem_default is 262144
net.core.wmem_default = 262144

# oracle database 19c setting for net.core.wmem_max is 1048576
net.core.wmem_max = 1048576

# oracle database 19c setting for net.ipv4.conf.all.rp_filter is 2
net.ipv4.conf.all.rp_filter = 2

# oracle database 19c setting for net.ipv4.conf.default.rp_filter is 2
net.ipv4.conf.default.rp_filter = 2

# oracle database 19c setting for fs.aio-max-nr is 1048576
fs.aio-max-nr = 1048576

# oracle database 19c setting for net.ipv4.ip_local_port_range is 9000 65500
net.ipv4.ip_local_port_range = 9000 6550
]# sysctl --system

]# vim /etc/systctl.d/97-oracle-database-19c.conf

# sysctl settings are defined through files in

# /usr/lib/sysctl.d/, /run/sysctl.d/, and /etc/sysctl.d/.

# Vendors settings live in /usr/lib/sysctl.d/.

# To override a whole file, create a new file with the same in

# /etc/sysctl.d/ and put new settings there. To override

# only specific settings, add a file with a lexically later

# name in /etc/sysctl.d/ and put new settings there.

# For more information, see sysctl.conf(5) and sysctl.d(5).

# oracle database 19c setting for fs.file-max is 6815744

fs.file-max = 6815744

# oracle database 19c setting for kernel.sem is '250 32000 100 128'

kernel.sem = 250 32000 100 128

# oracle database 19c setting for kernel.shmmni is 4096

kernel.shmmni = 4096

# oracle database 19c setting for kernel.shmall is 1073741824 on x86_64

kernel.shmall = 1073741824

# oracle database 19c setting for kernel.shmmax is 4398046511104 on x86_64

kernel.shmmax = 4398046511104

# oracle database 19c setting for kernel.panic_on_oops is 1 per Orabug 19212317

kernel.panic_on_oops = 1

# oracle database 19c setting for net.core.rmem_default is 262144

net.core.rmem_default = 262144

# oracle database 19c setting for net.core.rmem_max is 4194304

net.core.rmem_max = 4194304

# oracle database 19c setting for net.core.wmem_default is 262144

net.core.wmem_default = 262144

# oracle database 19c setting for net.core.wmem_max is 1048576

net.core.wmem_max = 1048576

# oracle database 19c setting for net.ipv4.conf.all.rp_filter is 2

net.ipv4.conf.all.rp_filter = 2

# oracle database 19c setting for net.ipv4.conf.default.rp_filter is 2

net.ipv4.conf.default.rp_filter = 2

# oracle database 19c setting for fs.aio-max-nr is 1048576

fs.aio-max-nr = 1048576

# oracle database 19c setting for net.ipv4.ip_local_port_range is 9000 65500

net.ipv4.ip_local_port_range = 9000 6550

]# sysctl --system

Firewalld 설정

Oracle SQL* NET Listener 포트인 1521/tcp 를 열어준다.

]# firewall-cmd --permanent --add-port=1521/tcp
success
]# firewall-cmd --reload
success

]# firewall-cmd --permanent --add-port=1521/tcp

success

]# firewall-cmd --reload

success

Oracle Universal Installer (OUI)

OUI 설치는 터미널에 명령행으로 설치를 진행할 수 있도록 해준다. 이를 위해서 필요한 작업이 있다.

디렉토리 생성

다음과 같이 디렉토리를 생성해 준다.

]# mkdir -p /u01/app/oracle/product/19.3.0/dbhome_1
]# mkdir -p /u01/app/oraInventory
]# mkdir -p /u02/oradata
]#
]# mkdir -p /u01/software
]#
]# chown -R oracle:oinstall /u01 /u02
]# chmod -R 775 /u01 /u02

]# mkdir -p /u01/app/oracle/product/19.3.0/dbhome_1

]# mkdir -p /u01/app/oraInventory

]# mkdir -p /u02/oradata

]# mkdir -p /u01/software

]# chown -R oracle:oinstall /u01 /u02

]# chmod -R 775 /u01 /u02

/u01/software 는 Oracle database 19c 설치파일들을 압축해제해 넣을 디렉토리다.

.bashrc 파일 설정

설치를 하기 위해서 환경변수를 설정해 준다. 이것은 oracle 계정에 .bashrc 파일에 해주면 된다.

# Oracle Settings
export TMP=/tmp
export TMPDIR=$TMP

export ORACLE_HOSTNAME=oradb1.systemv.local
export ORACLE_UNQNAME=o19c
export ORACLE_BASE=/u01/app/oracle
export ORACLE_HOME=$ORACLE_BASE/product/19.3.0/dbhome_1
export ORA_INVENTORY=/u01/app/oraInventory
export ORACLE_SID=o19c
export PDB_NAME=pdb1
export DATA_DIR=/u02/oradata

export PATH=$ORACLE_HOME/bin:$PATH

export LD_LIBRARY_PATH=$ORACLE_HOME/lib:/lib:/usr/lib
export CLASSPATH=$ORACLE_HOME/jlib:$ORACLE_HOME/rdbms/jlib

# Oracle Settings

export TMP=/tmp

export TMPDIR=$TMP

export ORACLE_HOSTNAME=oradb1.systemv.local

export ORACLE_UNQNAME=o19c

export ORACLE_BASE=/u01/app/oracle

export ORACLE_HOME=$ORACLE_BASE/product/19.3.0/dbhome_1

export ORA_INVENTORY=/u01/app/oraInventory

export ORACLE_SID=o19c

export PDB_NAME=pdb1

export DATA_DIR=/u02/oradata

export PATH=$ORACLE_HOME/bin:$PATH

export LD_LIBRARY_PATH=$ORACLE_HOME/lib:/lib:/usr/lib

export CLASSPATH=$ORACLE_HOME/jlib:$ORACLE_HOME/rdbms/jlib

설치

이제 설치를 진행 해준다.

먼저, 오라클 데이터베이스 19c 에 설치 프로그램을 압축 해제해 준다.

]$ export SOFTWARE_DIR=/u01/software
]$ export DB_SOFTWARE=LINUX.X64_193000_db_home.zip
]$ # Unzip the media
]$ mkdir -p ${ORACLE_HOME}
]$ cd ${ORACLE_HOME}
]$ unzip -oq ${SOFTWARE_DIR}/${DB_SOFTWARE}

]$ export SOFTWARE_DIR=/u01/software

]$ export DB_SOFTWARE=LINUX.X64_193000_db_home.zip

]$ # Unzip the media

]$ mkdir -p ${ORACLE_HOME}

]$ cd ${ORACLE_HOME}

]$ unzip -oq ${SOFTWARE_DIR}/${DB_SOFTWARE}

이제 Silent 설치를 위한 쉘 스크립트 파일을 작성해 준다.

]# vim ora_19c_install.sh
#!/bin/bash
  
source $HOME/.bashrc

export CV_ASSUME_DISTID=RHEL8.0

${ORACLE_HOME}/runInstaller \
-ignorePrereq -waitforcompletion -showProgress -silent \
-responseFile ${ORACLE_HOME}/install/response/db_install.rsp \
oracle.install.option=INSTALL_DB_SWONLY \
UNIX_GROUP_NAME=oinstall \
ORACLE_HOSTNAME=${ORACLE_HOSTNAME} \
UNIX_GROUP_NAME=oinstall \
INVENTORY_LOCATION=${ORA_INVENTORY} \
SELECTED_LANGUAGES=en \
ORACLE_HOME=${ORACLE_HOME} \
ORACLE_BASE=${ORACLE_BASE} \
oracle.install.db.InstallEdition=EE \
oracle.install.db.OSDBA_GROUP=dba \
oracle.install.db.OSBACKUPDBA_GROUP=dba \
oracle.install.db.OSDGDBA_GROUP=dba \
oracle.install.db.OSKMDBA_GROUP=dba \
oracle.install.db.OSRACDBA_GROUP=dba \
SECURITY_UPDATES_VIA_MYORACLESUPPORT=false \
DECLINE_SECURITY_UPDATES=true
]# chmod +x ora_19c_install.sh

]# vim ora_19c_install.sh

#!/bin/bash

source $HOME/.bashrc

export CV_ASSUME_DISTID=RHEL8.0

${ORACLE_HOME}/runInstaller \

-ignorePrereq -waitforcompletion -showProgress -silent \

-responseFile ${ORACLE_HOME}/install/response/db_install.rsp \

oracle.install.option=INSTALL_DB_SWONLY \

UNIX_GROUP_NAME=oinstall \

ORACLE_HOSTNAME=${ORACLE_HOSTNAME} \

UNIX_GROUP_NAME=oinstall \

INVENTORY_LOCATION=${ORA_INVENTORY} \

SELECTED_LANGUAGES=en \

ORACLE_HOME=${ORACLE_HOME} \

ORACLE_BASE=${ORACLE_BASE} \

oracle.install.db.InstallEdition=EE \

oracle.install.db.OSDBA_GROUP=dba \

oracle.install.db.OSBACKUPDBA_GROUP=dba \

oracle.install.db.OSDGDBA_GROUP=dba \

oracle.install.db.OSKMDBA_GROUP=dba \

oracle.install.db.OSRACDBA_GROUP=dba \

SECURITY_UPDATES_VIA_MYORACLESUPPORT=false \

DECLINE_SECURITY_UPDATES=true

]# chmod +x ora_19c_install.sh

“export CV_ASSUME_DISTID=RHEL8.0” 는 설치 오류를 피하기 위한 것이다. 이제 실행해준다.

]# ./ora_19c_install.sh
Launching Oracle Database Setup Wizard...

The response file for this session can be found at:
 /u01/app/oracle/product/19.3.0/dbhome_1/install/response/db_2021-04-30_00-53-34AM.rsp

You can find the log of this install session at:
 /tmp/InstallActions2021-04-30_00-53-34AM/installActions2021-04-30_00-53-34AM.log


As a root user, execute the following script(s):
        1. /u01/app/oraInventory/orainstRoot.sh
        2. /u01/app/oracle/product/19.3.0/dbhome_1/root.sh

Execute /u01/app/oraInventory/orainstRoot.sh on the following nodes: 
[oradb1]
Execute /u01/app/oracle/product/19.3.0/dbhome_1/root.sh on the following nodes: 
[oradb1]


Successfully Setup Software.
Moved the install session logs to:
 /u01/app/oraInventory/logs/InstallActions2021-04-30_00-53-34AM

]# ./ora_19c_install.sh

Launching Oracle Database Setup Wizard...

The response file for this session can be found at:

/u01/app/oracle/product/19.3.0/dbhome_1/install/response/db_2021-04-30_00-53-34AM.rsp

You can find the log of this install session at:

/tmp/InstallActions2021-04-30_00-53-34AM/installActions2021-04-30_00-53-34AM.log

As a root user, execute the following script(s):

1. /u01/app/oraInventory/orainstRoot.sh

2. /u01/app/oracle/product/19.3.0/dbhome_1/root.sh

Execute /u01/app/oraInventory/orainstRoot.sh on the following nodes:

[oradb1]

Execute /u01/app/oracle/product/19.3.0/dbhome_1/root.sh on the following nodes:

[oradb1]

Successfully Setup Software.

Moved the install session logs to:

/u01/app/oraInventory/logs/InstallActions2021-04-30_00-53-34AM

출력 결과 안내대로 실행해 준다.

]# /u01/app/oraInventory/orainstRoot.sh
Changing permissions of /u01/app/oraInventory.
Adding read,write permissions for group.
Removing read,write,execute permissions for world.

Changing groupname of /u01/app/oraInventory to oinstall.
The execution of the script is complete.
]# /u01/app/oracle/product/19.3.0/dbhome_1/root.sh
Check /u01/app/oracle/product/19.3.0/dbhome_1/install/root_oradb1.systemv.local_2021-04-30_00-59-09-117429191.log for the output of root script

]# /u01/app/oraInventory/orainstRoot.sh

Changing permissions of /u01/app/oraInventory.

Adding read,write permissions for group.

Removing read,write,execute permissions for world.

Changing groupname of /u01/app/oraInventory to oinstall.

The execution of the script is complete.

]# /u01/app/oracle/product/19.3.0/dbhome_1/root.sh

Check /u01/app/oracle/product/19.3.0/dbhome_1/install/root_oradb1.systemv.local_2021-04-30_00-59-09-117429191.log for the output of root script

멀티테넌트 데이터베이스 생성하기

오라클 12c 로 넘어오면서 CDB, PDB 라는 개념을 도입했는데 이것이 멀티테넌트 데이터베이스 개념이라 간략히 말할 수 있다. 먼저 데이터베이스를 설치하기 위해서는 오라클 리스너(Oracle Listener) 를 실행 시켜준다.

$ lsnrctl start
LSNRCTL for Linux: Version 19.0.0.0.0 - Production on 30-APR-2021 01:25:23

Copyright (c) 1991, 2019, Oracle.  All rights reserved.

Starting /u01/app/oracle/product/19.3.0/dbhome_1/bin/tnslsnr: please wait...

TNSLSNR for Linux: Version 19.0.0.0.0 - Production
Log messages written to /u01/app/oracle/diag/tnslsnr/oradb1/listener/alert/log.xml
Listening on: (DESCRIPTION=(ADDRESS=(PROTOCOL=tcp)(HOST=oradb1.systemv.local)(PORT=1521)))

Connecting to (ADDRESS=(PROTOCOL=tcp)(HOST=)(PORT=1521))
STATUS of the LISTENER
------------------------
Alias                     LISTENER
Version                   TNSLSNR for Linux: Version 19.0.0.0.0 - Production
Start Date                30-APR-2021 01:25:27
Uptime                    0 days 0 hr. 0 min. 4 sec
Trace Level               off
Security                  ON: Local OS Authentication
SNMP                      OFF
Listener Log File         /u01/app/oracle/diag/tnslsnr/oradb1/listener/alert/log.xml
Listening Endpoints Summary...
  (DESCRIPTION=(ADDRESS=(PROTOCOL=tcp)(HOST=oradb1.systemv.local)(PORT=1521)))
The listener supports no services
The command completed successfully

$ lsnrctl start

LSNRCTL for Linux: Version 19.0.0.0.0 - Production on 30-APR-2021 01:25:23

Starting /u01/app/oracle/product/19.3.0/dbhome_1/bin/tnslsnr: please wait...

TNSLSNR for Linux: Version 19.0.0.0.0 - Production

Log messages written to /u01/app/oracle/diag/tnslsnr/oradb1/listener/alert/log.xml

Listening on: (DESCRIPTION=(ADDRESS=(PROTOCOL=tcp)(HOST=oradb1.systemv.local)(PORT=1521)))

Connecting to (ADDRESS=(PROTOCOL=tcp)(HOST=)(PORT=1521))

STATUS of the LISTENER

------------------------

Alias LISTENER

Version TNSLSNR for Linux: Version 19.0.0.0.0 - Production

Start Date 30-APR-2021 01:25:27

Uptime 0 days 0 hr. 0 min. 4 sec

Trace Level off

Security ON: Local OS Authentication

SNMP OFF

Listener Log File /u01/app/oracle/diag/tnslsnr/oradb1/listener/alert/log.xml

Listening Endpoints Summary...

(DESCRIPTION=(ADDRESS=(PROTOCOL=tcp)(HOST=oradb1.systemv.local)(PORT=1521)))

The listener supports no services

The command completed successfully

이제 멀티테넌트 데이터베이스를 생성해 준다.

$ dbca -silent -createDatabase \
> -templateName General_Purpose.dbc \
> -gdbname ${ORACLE_SID} -sid  ${ORACLE_SID} \
> -responseFile NO_VALUE \
> -characterSet AL32UTF8 \
> -sysPassword SysPassword1 \
> -systemPassword SysPassword1 \
> -createAsContainerDatabase true \
> -numberOfPDBs 1 \
> -pdbName ${PDB_NAME} \
> -pdbAdminPassword PdbPassword1 \
> -databaseType MULTIPURPOSE \
> -automaticMemoryManagement false \
> -totalMemory 4000 \
> -storageType FS \
> -datafileDestination "${DATA_DIR}" \
> -redoLogFileSize 50 \
> -emConfiguration NONE \
> -ignorePreReqs
Prepare for db operation
8% complete
Copying database files
31% complete
Creating and starting Oracle instance
32% complete
36% complete
40% complete
43% complete
46% complete
Completing Database Creation
51% complete
53% complete
54% complete
Creating Pluggable Databases
58% complete
77% complete
Executing Post Configuration Actions
100% complete
Database creation complete. For details check the logfiles at:
 /u01/app/oracle/cfgtoollogs/dbca/o19c.
Database Information:
Global Database Name:o19c
System Identifier(SID):o19c
Look at the log file "/u01/app/oracle/cfgtoollogs/dbca/o19c/o19c.log" for further details.

$ dbca -silent -createDatabase \

> -templateName General_Purpose.dbc \

> -gdbname ${ORACLE_SID} -sid ${ORACLE_SID} \

> -responseFile NO_VALUE \

> -characterSet AL32UTF8 \

> -sysPassword SysPassword1 \

> -systemPassword SysPassword1 \

> -createAsContainerDatabase true \

> -numberOfPDBs 1 \

> -pdbName ${PDB_NAME} \

> -pdbAdminPassword PdbPassword1 \

> -databaseType MULTIPURPOSE \

> -automaticMemoryManagement false \

> -totalMemory 4000 \

> -storageType FS \

> -datafileDestination "${DATA_DIR}" \

> -redoLogFileSize 50 \

> -emConfiguration NONE \

> -ignorePreReqs

Prepare for db operation

8% complete

Copying database files

31% complete

Creating and starting Oracle instance

32% complete

36% complete

40% complete

43% complete

46% complete

Completing Database Creation

51% complete

53% complete

54% complete

Creating Pluggable Databases

58% complete

77% complete

Executing Post Configuration Actions

100% complete

Database creation complete. For details check the logfiles at:

/u01/app/oracle/cfgtoollogs/dbca/o19c.

Database Information:

Global Database Name:o19c

System Identifier(SID):o19c

Look at the log file "/u01/app/oracle/cfgtoollogs/dbca/o19c/o19c.log" for further details.

이렇게하면 하나의 CDB, PDB 가 생성된다. CDB 의 이름은 O19C, PDB 의 이름은 pdb1 이다.

]$ pwd
/u02/oradata/O19C
[oracle@oradb1 O19C]$ ls -lh
total 1.9G
-rw-r-----. 1 oracle oinstall  18M Apr 30 02:01 control01.ctl
-rw-r-----. 1 oracle oinstall  18M Apr 30 02:01 control02.ctl
drwxr-x---. 2 oracle oinstall  104 Apr 30 01:56 pdb1
drwxr-x---. 2 oracle oinstall  111 Apr 30 01:41 pdbseed
-rw-r-----. 1 oracle oinstall  51M Apr 30 02:01 redo01.log
-rw-r-----. 1 oracle oinstall  51M Apr 30 01:56 redo02.log
-rw-r-----. 1 oracle oinstall  51M Apr 30 01:56 redo03.log
-rw-r-----. 1 oracle oinstall 511M Apr 30 02:01 sysaux01.dbf
-rw-r-----. 1 oracle oinstall 901M Apr 30 02:01 system01.dbf
-rw-r-----. 1 oracle oinstall  33M Apr 30 01:45 temp01.dbf
-rw-r-----. 1 oracle oinstall 331M Apr 30 02:01 undotbs01.dbf
-rw-r-----. 1 oracle oinstall 5.1M Apr 30 01:56 users01.dbf

]$ pwd

/u02/oradata/O19C

[oracle@oradb1 O19C]$ ls -lh

total 1.9G

-rw-r-----. 1 oracle oinstall 18M Apr 30 02:01 control01.ctl

-rw-r-----. 1 oracle oinstall 18M Apr 30 02:01 control02.ctl

drwxr-x---. 2 oracle oinstall 104 Apr 30 01:56 pdb1

drwxr-x---. 2 oracle oinstall 111 Apr 30 01:41 pdbseed

-rw-r-----. 1 oracle oinstall 51M Apr 30 02:01 redo01.log

-rw-r-----. 1 oracle oinstall 51M Apr 30 01:56 redo02.log

-rw-r-----. 1 oracle oinstall 51M Apr 30 01:56 redo03.log

-rw-r-----. 1 oracle oinstall 511M Apr 30 02:01 sysaux01.dbf

-rw-r-----. 1 oracle oinstall 901M Apr 30 02:01 system01.dbf

-rw-r-----. 1 oracle oinstall 33M Apr 30 01:45 temp01.dbf

-rw-r-----. 1 oracle oinstall 331M Apr 30 02:01 undotbs01.dbf

-rw-r-----. 1 oracle oinstall 5.1M Apr 30 01:56 users01.dbf

필요한 데이터 파일들이 CDB 디렉토리 아래에 모두 자동으로 생성 되었다. 수동으로 생성할 수도 있는데, 이것은 추후 논의 한다.

루트(root) 사용자로 oratab 설정을 변경해 준다. 이것은 오라클 데이터베이스를 자동 시작을 활성화 해준다.

]# sed -i 's/:N$/:Y/g' /etc/oratab

1	]# sed -i 's/:N$/:Y/g' /etc/oratab

이제 SQL Shell 을 실행하고 Oracle Managed File 를 활성화, CDB 시작시 PDB도 자동시작 활성화를 해준다.

]$ sqlplus / as sysdba

SQL*Plus: Release 19.0.0.0.0 - Production on Fri Apr 30 02:08:18 2021
Version 19.3.0.0.0

Copyright (c) 1982, 2019, Oracle.  All rights reserved.


Connected to:
Oracle Database 19c Enterprise Edition Release 19.0.0.0.0 - Production
Version 19.3.0.0.0

SQL> ALTER SYSTEM SET DB_CREATE_FILE_DEST='/u02/oradata' SCOPE=BOTH;

System altered.

SQL> ALTER PLUGGABLE DATABASE pdb1 SAVE STATE;

Pluggable database altered.

SQL>

]$ sqlplus / as sysdba

SQL*Plus: Release 19.0.0.0.0 - Production on Fri Apr 30 02:08:18 2021

Version 19.3.0.0.0

Connected to:

Oracle Database 19c Enterprise Edition Release 19.0.0.0.0 - Production

Version 19.3.0.0.0

SQL> ALTER SYSTEM SET DB_CREATE_FILE_DEST='/u02/oradata' SCOPE=BOTH;

System altered.

SQL> ALTER PLUGGABLE DATABASE pdb1 SAVE STATE;

Pluggable database altered.

SQL>

시작/중지.

오라클 데이터베이스 시작/중지는 다음과 같다.

]$ /u01/app/oracle/product/19.3.0/dbhome_1/bin/dbstart /u01/app/oracle/product/19.3.0/dbhome_1 # 시작
]$ /u01/app/oracle/product/19.3.0/dbhome_1/bin/dbshut /u01/app/oracle/product/19.3.0/dbhome_1 # 중지

1 2	]$ /u01/app/oracle/product/19.3.0/dbhome_1/bin/dbstart /u01/app/oracle/product/19.3.0/dbhome_1 # 시작 ]$ /u01/app/oracle/product/19.3.0/dbhome_1/bin/dbshut /u01/app/oracle/product/19.3.0/dbhome_1 # 중지

04/29/2021

Docker, Kubernetes 네트워크

인터넷 검색을 하다보면 Docker, Kubernetes 네트워크에 관한 글이 많이 보인다. 기본적인 이론에서부터 응용까지 잘 설명된 글들이 꽤 많은데, 나는 눈에 보이는 상태를 한번 살펴보기로 했다.

Docker 네트워크

Docker 를 처음 설치하면 어떤 상태일까? 먼저 Docker 를 설치한 리눅스 시스템의 네트워크 상태는 다음과 같다.

$ ip -c -br link 
lo               UNKNOWN        00:00:00:00:00:00 <LOOPBACK,UP,LOWER_UP> 
enp0s3           UP             08:00:27:e3:f6:8b <BROADCAST,MULTICAST,UP,LOWER_UP> 
docker0          DOWN           02:42:be:90:93:52 <NO-CARRIER,BROADCAST,MULTICAST,UP>

$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 08:00:27:e3:f6:8b brd ff:ff:ff:ff:ff:ff
    inet 192.168.96.39/20 brd 192.168.111.255 scope global dynamic noprefixroute enp0s3
       valid_lft 4524sec preferred_lft 4524sec
    inet6 fe80::d52d:e84a:d820:3cf/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever
3: docker0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default 
    link/ether 02:42:be:90:93:52 brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.1/16 brd 172.17.255.255 scope global docker0
       valid_lft forever preferred_lft forever

$ ip -c -br link

lo UNKNOWN 00:00:00:00:00:00 <LOOPBACK,UP,LOWER_UP>

enp0s3 UP 08:00:27:e3:f6:8b <BROADCAST,MULTICAST,UP,LOWER_UP>

docker0 DOWN 02:42:be:90:93:52 <NO-CARRIER,BROADCAST,MULTICAST,UP>

$ ip a

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000

link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

inet 127.0.0.1/8 scope host lo

valid_lft forever preferred_lft forever

inet6 ::1/128 scope host

valid_lft forever preferred_lft forever

2: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000

link/ether 08:00:27:e3:f6:8b brd ff:ff:ff:ff:ff:ff

inet 192.168.96.39/20 brd 192.168.111.255 scope global dynamic noprefixroute enp0s3

valid_lft 4524sec preferred_lft 4524sec

inet6 fe80::d52d:e84a:d820:3cf/64 scope link noprefixroute

valid_lft forever preferred_lft forever

3: docker0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default

link/ether 02:42:be:90:93:52 brd ff:ff:ff:ff:ff:ff

inet 172.17.0.1/16 brd 172.17.255.255 scope global docker0

valid_lft forever preferred_lft forever

docker0 라는 네트워크 인터페이스가 생성되면서 172.17.0.1/16 아이피가 할당되었다. 그리고 이 인터페이스는 Bridge 다.하지만 인터페이스는 DOWN 상태다. Docker 를 막 설치하고 난 후에 이런 모습이다.

Bridge 상태는 다음의 명령으로 확인이 가능하다.

$ nmcli connection show --active
NAME     UUID                                  TYPE      DEVICE  
enp0s3   9d696977-82ab-4f36-b2be-fccaf5bcee5c  ethernet  enp0s3  
docker0  fd2e456f-93ea-43cf-8fd7-46aefe11a4a4  bridge    docker0
$ bridge link show
$

$ nmcli connection show --active

NAME UUID TYPE DEVICE

enp0s3 9d696977-82ab-4f36-b2be-fccaf5bcee5c ethernet enp0s3

docker0 fd2e456f-93ea-43cf-8fd7-46aefe11a4a4 bridge docker0

$ bridge link show

nmcli 를 보면 TYPE 에 bridge 라고 나온다. 그리고 이 docker0 인터페이스는 docker 네트워크에서 Bridge 네트워크에 해당한다고 다음과 같이 확인해 볼수 있다.

$ sudo docker network ls
NETWORK ID     NAME      DRIVER    SCOPE
11c5b343044e   bridge    bridge    local
7019c2852833   host      host      local
11786973bc6f   none      null      local
$ sudo docker network inspect bridge
[
    {
        "Name": "bridge",
        "Id": "11c5b343044e1c1e84a1e0cd241b580bdae8e5cfffcce4428931f4fe553aa188",
        "Created": "2021-04-28T20:38:11.485806876+09:00",
        "Scope": "local",
        "Driver": "bridge",
        "EnableIPv6": false,
        "IPAM": {
            "Driver": "default",
            "Options": null,
            "Config": [
                {
                    "Subnet": "172.17.0.0/16",
                    "Gateway": "172.17.0.1"
                }
            ]
        },
        "Internal": false,
        "Attachable": false,
        "Ingress": false,
        "ConfigFrom": {
            "Network": ""
        },
        "ConfigOnly": false,
        "Containers": {
            "6d93a395f09203085ae7789d9b38825c4cbcfaa7b92cbcdeca1c567f1aa2fb74": {
                "Name": "doc1",
                "EndpointID": "15227e807ea614fd2adfa752470b776f8783157a48a738422a018fbb80de8342",
                "MacAddress": "02:42:ac:11:00:02",
                "IPv4Address": "172.17.0.2/16",
                "IPv6Address": ""
            }
        },
        "Options": {
            "com.docker.network.bridge.default_bridge": "true",
            "com.docker.network.bridge.enable_icc": "true",
            "com.docker.network.bridge.enable_ip_masquerade": "true",
            "com.docker.network.bridge.host_binding_ipv4": "0.0.0.0",
            "com.docker.network.bridge.name": "docker0",
            "com.docker.network.driver.mtu": "1500"
        },
        "Labels": {}
    }
]

$ sudo docker network ls

NETWORK ID NAME DRIVER SCOPE

11c5b343044e bridge bridge local

7019c2852833 host host local

11786973bc6f none null local

$ sudo docker network inspect bridge

[

{

"Name": "bridge",

"Id": "11c5b343044e1c1e84a1e0cd241b580bdae8e5cfffcce4428931f4fe553aa188",

"Created": "2021-04-28T20:38:11.485806876+09:00",

"Scope": "local",

"Driver": "bridge",

"EnableIPv6": false,

"IPAM": {

"Driver": "default",

"Options": null,

"Config": [

{

"Subnet": "172.17.0.0/16",

"Gateway": "172.17.0.1"

}

]

"Internal": false,

"Attachable": false,

"Ingress": false,

"ConfigFrom": {

"Network": ""

"ConfigOnly": false,

"Containers": {

"6d93a395f09203085ae7789d9b38825c4cbcfaa7b92cbcdeca1c567f1aa2fb74": {

"Name": "doc1",

"EndpointID": "15227e807ea614fd2adfa752470b776f8783157a48a738422a018fbb80de8342",

"MacAddress": "02:42:ac:11:00:02",

"IPv4Address": "172.17.0.2/16",

"IPv6Address": ""

}

"Options": {

"com.docker.network.bridge.default_bridge": "true",

"com.docker.network.bridge.enable_icc": "true",

"com.docker.network.bridge.enable_ip_masquerade": "true",

"com.docker.network.bridge.host_binding_ipv4": "0.0.0.0",

"com.docker.network.bridge.name": "docker0",

"com.docker.network.driver.mtu": "1500"

"Labels": {}

}

]

“com.docker.network.bridge.name”: “docker0” 로 Docker Bridge 가 docker0 호스트 네트워크 인터페이스라는 걸 말해주고 있으며 여기에 붙은 Container 인 doc1 에 대한 정보를 보여주고 있다. doc1 컨테이너의 IP 는 172.17.0.2/16 이다.

bridge 명령어에서는 아무것도 안나온다. 이제 Docker 컨테이너를 하나 실행해 본다.

$ docker pull alpine
$ docker run -dit --name doc1 alpine ash
6d93a395f09203085ae7789d9b38825c4cbcfaa7b92cbcdeca1c567f1aa2fb74
$ sudo docker ps -a
CONTAINER ID   IMAGE     COMMAND   CREATED         STATUS         PORTS     NAMES
6d93a395f092   alpine    "ash"     9 seconds ago   Up 7 seconds             doc1

$ docker pull alpine

$ docker run -dit --name doc1 alpine ash

6d93a395f09203085ae7789d9b38825c4cbcfaa7b92cbcdeca1c567f1aa2fb74

$ sudo docker ps -a

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES

6d93a395f092 alpine "ash" 9 seconds ago Up 7 seconds doc1

이렇게 Docker 컨테이너를 하나 생성하면 docker0 브릿지 인터페이스는 Down -> Up 상태로 변경되며 여기에 veth 가상의 인터페이스가 하나 붙는다.

]$ ip -c a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 08:00:27:e3:f6:8b brd ff:ff:ff:ff:ff:ff
    inet 192.168.96.39/20 brd 192.168.111.255 scope global dynamic noprefixroute enp0s3
       valid_lft 1577sec preferred_lft 1577sec
    inet6 fe80::d52d:e84a:d820:3cf/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever
3: docker0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default 
    link/ether 02:42:be:90:93:52 brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.1/16 brd 172.17.255.255 scope global docker0
       valid_lft forever preferred_lft forever
    inet6 fe80::42:beff:fe90:9352/64 scope link 
       valid_lft forever preferred_lft forever
9: veth46d3de6@if8: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master docker0 state UP group default 
    link/ether 3a:59:a3:03:e4:a9 brd ff:ff:ff:ff:ff:ff link-netnsid 0
    inet6 fe80::3859:a3ff:fe03:e4a9/64 scope link 
       valid_lft forever preferred_lft forever

]$ ip -c a

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000

link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

inet 127.0.0.1/8 scope host lo

valid_lft forever preferred_lft forever

inet6 ::1/128 scope host

valid_lft forever preferred_lft forever

2: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000

link/ether 08:00:27:e3:f6:8b brd ff:ff:ff:ff:ff:ff

inet 192.168.96.39/20 brd 192.168.111.255 scope global dynamic noprefixroute enp0s3

valid_lft 1577sec preferred_lft 1577sec

inet6 fe80::d52d:e84a:d820:3cf/64 scope link noprefixroute

valid_lft forever preferred_lft forever

3: docker0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default

link/ether 02:42:be:90:93:52 brd ff:ff:ff:ff:ff:ff

inet 172.17.0.1/16 brd 172.17.255.255 scope global docker0

valid_lft forever preferred_lft forever

inet6 fe80::42:beff:fe90:9352/64 scope link

valid_lft forever preferred_lft forever

9: veth46d3de6@if8: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master docker0 state UP group default

link/ether 3a:59:a3:03:e4:a9 brd ff:ff:ff:ff:ff:ff link-netnsid 0

inet6 fe80::3859:a3ff:fe03:e4a9/64 scope link

valid_lft forever preferred_lft forever

“veth46d3de6@if8” 가 보인다. 이것은 필시 doc1 컨테이너가 실행되면서 생성되었을게 분명하다. 이것과 doc1 과는 무슨 상관일까?

$ sudo docker exec 6d93a395f092 ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
8: eth0@if9: <BROADCAST,MULTICAST,UP,LOWER_UP,M-DOWN> mtu 1500 qdisc noqueue state UP 
    link/ether 02:42:ac:11:00:02 brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.2/16 brd 172.17.255.255 scope global eth0
       valid_lft forever preferred_lft forever
$ ip -c a
9: veth46d3de6@if8: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master docker0 state UP group default 
    link/ether 3a:59:a3:03:e4:a9 brd ff:ff:ff:ff:ff:ff link-netnsid 0
    inet6 fe80::3859:a3ff:fe03:e4a9/64 scope link 
       valid_lft forever preferred_lft forever

$ sudo docker exec 6d93a395f092 ip a

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN qlen 1000

link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

inet 127.0.0.1/8 scope host lo

valid_lft forever preferred_lft forever

8: eth0@if9: <BROADCAST,MULTICAST,UP,LOWER_UP,M-DOWN> mtu 1500 qdisc noqueue state UP

link/ether 02:42:ac:11:00:02 brd ff:ff:ff:ff:ff:ff

inet 172.17.0.2/16 brd 172.17.255.255 scope global eth0

valid_lft forever preferred_lft forever

$ ip -c a

9: veth46d3de6@if8: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master docker0 state UP group default

link/ether 3a:59:a3:03:e4:a9 brd ff:ff:ff:ff:ff:ff link-netnsid 0

inet6 fe80::3859:a3ff:fe03:e4a9/64 scope link

valid_lft forever preferred_lft forever

doc1 컨테이너의 네트워크 인터페이스 eth0 는 8번이다. 그리고 if9 로 인터페이스 9번을 가리키고 있다고 명시하고 있다. 아래 호스트 네트워크 인터페이스를 보면 veth 라고 나오는데, if8 로 인터페이스 8번을 가리고 있다. 인터페이스 8번은 doc1 컨테이너의 네트워크 인터페이스를 말한다.

$ sudo docker exec 6d93a395f092 route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         172.17.0.1      0.0.0.0         UG    0      0        0 eth0
172.17.0.0      *               255.255.0.0     U     0      0        0 eth0

$ sudo docker exec 6d93a395f092 route

Kernel IP routing table

Destination Gateway Genmask Flags Metric Ref Use Iface

default 172.17.0.1 0.0.0.0 UG 0 0 0 eth0

172.17.0.0 * 255.255.0.0 U 0 0 0 eth0

그러니까 네트워크 인터페이스에 번호로 서로 연관성을 보여주고 있다는 걸 알수 있다.

$ ip -c link show type veth
9: veth46d3de6@if8: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master docker0 state UP mode DEFAULT group default 
    link/ether 3a:59:a3:03:e4:a9 brd ff:ff:ff:ff:ff:ff link-netnsid 0

$ ip -c link show type veth

9: veth46d3de6@if8: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master docker0 state UP mode DEFAULT group default

link/ether 3a:59:a3:03:e4:a9 brd ff:ff:ff:ff:ff:ff link-netnsid 0

ip 명령어를 통해서 veth 인터페이스만 뽑아 볼 수 있다. veth 는 가상 이더넷(Virtual Ethernet) 인데, Docker 컨테이너가 생성될때마다 가상 이더넷 카드가 호스트에 하나 생성되고 이런 가상 이더넷은 Docker 컨테이너의 기본 네트워크 인터페이스 카드와 연결된다.

docker0 는 Docker 에 기본 Bridge 인터페이스이며 Docker 컨테이너가 하나도 없으면 DOWN 상태가 되며 단 하나의 컨테이너가 실행될 경우에 UP 상태로 변경되고 가상 이더넷을 생성하고 Bridge 에 붙이게 된다.

Kubernetes 네트워크

Kubernetes 를 설치하고 난후에 상태는 Docker 만 설치한 것과 동일하다. Kubernetes 는 CNI 를 설치를 해줘야 한다. CNI 는 Kubernetes 에 네트워크를 담당할 기능을 붙이기 위한 인터페이스로 다양한 네트워크 기능들을 제공하는 프로그램들이 있다.

Flannel, Weave, Calico 등등이 자주 쓰인다.

한가지 의문(?) 혹은 문제는 이 쿠버네티스 CNI 들은 구조가 모두 다르다. 테스트를 위해서 Flannel 을 사용했다.

$ kubectl apply -f https://raw.githubusercontent.com/flannel-io/flannel/master/Documentation/kube-flannel.yml
Warning: policy/v1beta1 PodSecurityPolicy is deprecated in v1.21+, unavailable in v1.25+
podsecuritypolicy.policy/psp.flannel.unprivileged created
clusterrole.rbac.authorization.k8s.io/flannel created
clusterrolebinding.rbac.authorization.k8s.io/flannel created
serviceaccount/flannel created
configmap/kube-flannel-cfg created
daemonset.apps/kube-flannel-ds created
$ kubectl get pod -o wide -A
NAMESPACE     NAME                             READY   STATUS    RESTARTS   AGE    IP              NODE     NOMINATED NODE   READINESS GATES
kube-system   coredns-558bd4d5db-5hhxr         1/1     Running   0          138m   10.31.0.2       ubuntu   <none>           <none>
kube-system   coredns-558bd4d5db-g97bd         1/1     Running   0          138m   10.31.0.3       ubuntu   <none>           <none>
kube-system   etcd-ubuntu                      1/1     Running   0          138m   192.168.96.37   ubuntu   <none>           <none>
kube-system   kube-apiserver-ubuntu            1/1     Running   0          138m   192.168.96.37   ubuntu   <none>           <none>
kube-system   kube-controller-manager-ubuntu   1/1     Running   0          138m   192.168.96.37   ubuntu   <none>           <none>
kube-system   kube-flannel-ds-6bl8f            1/1     Running   0          16m    192.168.96.39   vknode   <none>           <none>
kube-system   kube-flannel-ds-k9cpz            1/1     Running   0          16m    192.168.96.37   ubuntu   <none>           <none>
kube-system   kube-proxy-6lz88                 1/1     Running   0          138m   192.168.96.37   ubuntu   <none>           <none>
kube-system   kube-proxy-md4s7                 1/1     Running   0          133m   192.168.96.39   vknode   <none>           <none>
kube-system   kube-scheduler-ubuntu            1/1     Running   0          138m   192.168.96.37   ubuntu   <none>           <none>

$ kubectl apply -f https://raw.githubusercontent.com/flannel-io/flannel/master/Documentation/kube-flannel.yml

Warning: policy/v1beta1 PodSecurityPolicy is deprecated in v1.21+, unavailable in v1.25+

podsecuritypolicy.policy/psp.flannel.unprivileged created

clusterrole.rbac.authorization.k8s.io/flannel created

clusterrolebinding.rbac.authorization.k8s.io/flannel created

serviceaccount/flannel created

configmap/kube-flannel-cfg created

daemonset.apps/kube-flannel-ds created

$ kubectl get pod -o wide -A

NAMESPACE NAME READY STATUS RESTARTS AGE IP NODE NOMINATED NODE READINESS GATES

kube-system coredns-558bd4d5db-5hhxr 1/1 Running 0 138m 10.31.0.2 ubuntu <none> <none>

kube-system coredns-558bd4d5db-g97bd 1/1 Running 0 138m 10.31.0.3 ubuntu <none> <none>

kube-system etcd-ubuntu 1/1 Running 0 138m 192.168.96.37 ubuntu <none> <none>

kube-system kube-apiserver-ubuntu 1/1 Running 0 138m 192.168.96.37 ubuntu <none> <none>

kube-system kube-controller-manager-ubuntu 1/1 Running 0 138m 192.168.96.37 ubuntu <none> <none>

kube-system kube-flannel-ds-6bl8f 1/1 Running 0 16m 192.168.96.39 vknode <none> <none>

kube-system kube-flannel-ds-k9cpz 1/1 Running 0 16m 192.168.96.37 ubuntu <none> <none>

kube-system kube-proxy-6lz88 1/1 Running 0 138m 192.168.96.37 ubuntu <none> <none>

kube-system kube-proxy-md4s7 1/1 Running 0 133m 192.168.96.39 vknode <none> <none>

kube-system kube-scheduler-ubuntu 1/1 Running 0 138m 192.168.96.37 ubuntu <none> <none>

정상적으로 설치되었다면 Flannel 이 Pod 로 올라온다. 더불어서 CoreDNS 도 정상으로 나온다.

한가지 쿠버네티스에 대해서 짚고 넘어가야 할게 있는데, 쿠버네티스는 마스터 노드라 불리는 Controller 와 워커 노드로 나뉜다. 적어도 2대의 호스트 서버가 필요하고 여기에 설치가 진행 된다.

Flannel 을 설치하고 nginx 파드(pod) 를 생성한 후에 워커 노드 상태다.

ip -c a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 08:00:27:e3:f6:8b brd ff:ff:ff:ff:ff:ff
    inet 192.168.96.39/20 brd 192.168.111.255 scope global dynamic noprefixroute enp0s3
       valid_lft 5059sec preferred_lft 5059sec
    inet6 fe80::d52d:e84a:d820:3cf/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever
3: docker0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default 
    link/ether 02:42:e4:22:b1:58 brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.1/16 brd 172.17.255.255 scope global docker0
       valid_lft forever preferred_lft forever
4: flannel.1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1450 qdisc noqueue state UNKNOWN group default 
    link/ether 82:14:e6:a1:21:43 brd ff:ff:ff:ff:ff:ff
    inet 10.31.1.0/32 brd 10.31.1.0 scope global flannel.1
       valid_lft forever preferred_lft forever
    inet6 fe80::8014:e6ff:fea1:2143/64 scope link 
       valid_lft forever preferred_lft forever
5: cni0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1450 qdisc noqueue state UP group default qlen 1000
    link/ether 56:a6:dd:5f:19:b3 brd ff:ff:ff:ff:ff:ff
    inet 10.31.1.1/24 brd 10.31.1.255 scope global cni0
       valid_lft forever preferred_lft forever
    inet6 fe80::54a6:ddff:fe5f:19b3/64 scope link 
       valid_lft forever preferred_lft forever
6: veth2b86d0e3@if3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1450 qdisc noqueue master cni0 state UP group default 
    link/ether 92:07:4d:10:b7:9b brd ff:ff:ff:ff:ff:ff link-netnsid 0
    inet6 fe80::9007:4dff:fe10:b79b/64 scope link 
       valid_lft forever preferred_lft forever

ip -c a

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000

link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

inet 127.0.0.1/8 scope host lo

valid_lft forever preferred_lft forever

inet6 ::1/128 scope host

valid_lft forever preferred_lft forever

2: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000

link/ether 08:00:27:e3:f6:8b brd ff:ff:ff:ff:ff:ff

inet 192.168.96.39/20 brd 192.168.111.255 scope global dynamic noprefixroute enp0s3

valid_lft 5059sec preferred_lft 5059sec

inet6 fe80::d52d:e84a:d820:3cf/64 scope link noprefixroute

valid_lft forever preferred_lft forever

3: docker0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default

link/ether 02:42:e4:22:b1:58 brd ff:ff:ff:ff:ff:ff

inet 172.17.0.1/16 brd 172.17.255.255 scope global docker0

valid_lft forever preferred_lft forever

4: flannel.1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1450 qdisc noqueue state UNKNOWN group default

link/ether 82:14:e6:a1:21:43 brd ff:ff:ff:ff:ff:ff

inet 10.31.1.0/32 brd 10.31.1.0 scope global flannel.1

valid_lft forever preferred_lft forever

inet6 fe80::8014:e6ff:fea1:2143/64 scope link

valid_lft forever preferred_lft forever

5: cni0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1450 qdisc noqueue state UP group default qlen 1000

link/ether 56:a6:dd:5f:19:b3 brd ff:ff:ff:ff:ff:ff

inet 10.31.1.1/24 brd 10.31.1.255 scope global cni0

valid_lft forever preferred_lft forever

inet6 fe80::54a6:ddff:fe5f:19b3/64 scope link

valid_lft forever preferred_lft forever

6: veth2b86d0e3@if3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1450 qdisc noqueue master cni0 state UP group default

link/ether 92:07:4d:10:b7:9b brd ff:ff:ff:ff:ff:ff link-netnsid 0

inet6 fe80::9007:4dff:fe10:b79b/64 scope link

valid_lft forever preferred_lft forever

위 상태를 보면, cni0 네트워크 인터페이스가 보인다. 이는 Flannel 에서 생성한 것으로 Bridge 다.

$ ip -c link show type bridge
ip -c link show type bridge
3: docker0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN mode DEFAULT group default 
    link/ether 02:42:e4:22:b1:58 brd ff:ff:ff:ff:ff:ff
5: cni0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1450 qdisc noqueue state UP mode DEFAULT group default qlen 1000
    link/ether 56:a6:dd:5f:19:b3 brd ff:ff:ff:ff:ff:ff

$ ip -c link show type bridge

ip -c link show type bridge

3: docker0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN mode DEFAULT group default

link/ether 02:42:e4:22:b1:58 brd ff:ff:ff:ff:ff:ff

5: cni0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1450 qdisc noqueue state UP mode DEFAULT group default qlen 1000

link/ether 56:a6:dd:5f:19:b3 brd ff:ff:ff:ff:ff:ff

위에 보면 Bridge 네트워크 인터페이스를 볼 수 있는데, Docker0 는 DOWN 이며 cni0 는 UP 상태다. 이 cni0 에 연결된 네트워크 인터페이스는 다음과 같이 확인할 수 있다.

$ ip -c link show master cni0
6: veth2b86d0e3@if3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1450 qdisc noqueue master cni0 state UP mode DEFAULT group default 
    link/ether 92:07:4d:10:b7:9b brd ff:ff:ff:ff:ff:ff link-netnsid 0

$ ip -c link show master cni0

6: veth2b86d0e3@if3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1450 qdisc noqueue master cni0 state UP mode DEFAULT group default

link/ether 92:07:4d:10:b7:9b brd ff:ff:ff:ff:ff:ff link-netnsid 0

이 인터페이스는 필히 nginx 파드에 것이다. master 브릿지로 cni0 를 사용하고 있다.

그러면, flannel.1 인터페이스는 대체 무엇일까? 다음의 명령어로 확인해 보자.

ip -c -d link show flannel.1
4: flannel.1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1450 qdisc noqueue state UNKNOWN mode DEFAULT group default 
    link/ether 82:14:e6:a1:21:43 brd ff:ff:ff:ff:ff:ff promiscuity 0 minmtu 68 maxmtu 65535 
    vxlan id 1 local 192.168.96.39 dev enp0s3 srcport 0 0 dstport 8472 nolearning ttl auto ageing 300 udpcsum noudp6zerocsumtx noudp6zerocsumrx addrgenmode eui64 numtxqueues 1 numrxqueues 1 gso_max_size 65536 gso_max_segs 65535

ip -c -d link show flannel.1

4: flannel.1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1450 qdisc noqueue state UNKNOWN mode DEFAULT group default

link/ether 82:14:e6:a1:21:43 brd ff:ff:ff:ff:ff:ff promiscuity 0 minmtu 68 maxmtu 65535

vxlan id 1 local 192.168.96.39 dev enp0s3 srcport 0 0 dstport 8472 nolearning ttl auto ageing 300 udpcsum noudp6zerocsumtx noudp6zerocsumrx addrgenmode eui64 numtxqueues 1 numrxqueues 1 gso_max_size 65536 gso_max_segs 65535

“vxlan id 1 local 192.168.96.39 dev enp0s3” 로컬 호스트의 enp0s3 에 연결된 vxlan 이라고 나온다.

Flannel 은 VXLAN 기반으로 호스트가 서로 다른 파드에 대한 연결을 만들어주게 되어 있다. 마스터 노드에서 다음의 명령어를 실행해 보자.

$ kubectl describe node vknode | grep -A3 Annotations
Annotations:        flannel.alpha.coreos.com/backend-data: {"VNI":1,"VtepMAC":"82:14:e6:a1:21:43"}
                    flannel.alpha.coreos.com/backend-type: vxlan
                    flannel.alpha.coreos.com/kube-subnet-manager: true
                    flannel.alpha.coreos.com/public-ip: 192.168.96.39

$ kubectl describe node vknode | grep -A3 Annotations

Annotations: flannel.alpha.coreos.com/backend-data: {"VNI":1,"VtepMAC":"82:14:e6:a1:21:43"}

flannel.alpha.coreos.com/backend-type: vxlan

flannel.alpha.coreos.com/kube-subnet-manager: true

flannel.alpha.coreos.com/public-ip: 192.168.96.39

backend-type: vxlan 이라고 나오고 있으며 VTEP 도 보인다. 이 장치에 대한 Mac 주소도 나오는데, 이것은 flannel.1 에 있는것과 같다.

파드의 네트워크는 veth 장치를 통해서 패킷이 나가고 이것을 cni0 브릿지가 받는다. 그리고 flannel 이 이것을 flannel.1 장치로 보내게 된다.

이렇게 하는 이유가 있는데, Flannel 은 L2 Layer 스위치다. L2 Layer 스위치는 ARP 라우팅만 가능하다. 파드(Pod) 가 같은 호스트에 있는 경우에는 ARP 라우팅만으로 서로 통신이 가능하겠지만 호스트가 다를 경우, IP 대역이 변경될 경우에는 원격 호스트에 있는 파드를 ARP 라우팅만으로 찾을 수 없다.

그래서 Flannel 은 L3 Layer 계층의 가상의 스위칭 장비를 만들고, 이렇게 만들어진 각 호스트의 가상의 스위칭을 하나로 연결하는데 이것이 바로 VXLAN 이다. 가상의 스위칭 장비가 flannel.1 네트워크 인터페이스 이다. 이때, cni0 에서 올라온 데이터는 L2 Layer 에서 만든 프레임(Frame)으로 이것을 UDP 패킷형태로 IP 를 붙여 캡슐화 한다. 그리면 flannel.1 인터페이스는 다른 호스트와 연결된 또 다른 flannel.1 인터페이스로 브로드캐스팅을 한다.

다른 호스트로 받은 UDP 패킷은 flannel.1 장치에 의해서 까지고(디캡슐화) 자신의 네트워크 대역과 비교하는데, 맞으면 받은 프레임에 destination mac address 를 자신의 mac address 로 넣고 다시 UDP로 캡슐화해 돌려보낸다. 이렇게 함으로써 호스트가 다른 파드의 이더넷 주소(맥주소)를 얻게되어 연결이 이루어지는데, 이게 VXLAN 의 동작 방법이다.

VXLAN 는 L2 Layer 프레임을 UDP L3 Layer 로 캡슐화해 브로드캐스팅하고 목적지 맥주소를 얻는데 있다.

Flannel 은 이렇게 작동하지만 Calico 는 또 다르다. Calico 는 BGP 연결을 통해서 아예 L3 Layer 를 구현 한다. 완전한 Pure L3 Switch 기능을 제공하기 때문에 처음부터 IP 라우팅이 가능해진다. Calico 는 Tunnel.0 인터페이스를 통해서 서로 다른 호스트와 Peer to Peer 연결되어 있어서 IP 라우팅만으로 대상 호스트의 파드를 알아낼 수 있다. 그래서 동작 방법은 (Flannel 보다) 훨씬 간단하다.

04/24/2021

메트릭 서버(Metric Server) 설치에 관한 오류들…

다양한 메트릭 서버 설치에 관한 오류들을 알아보자.

kubectl top node Error from server (ServiceUnavailable): the server is currently unable to handle the request (get nodes.metrics.k8s.io)

$ kubectl top pod
Error from server (ServiceUnavailable): the server is currently unable to handle the request (get pods.metrics.k8s.io)

1 2	$ kubectl top pod Error from server (ServiceUnavailable): the server is currently unable to handle the request (get pods.metrics.k8s.io)

메트릭 서버(Metric Server) 의 파드(Pod)가 정상적으로 Running 상태라 하더라도 이와같은 오류 메시지를 만날 수 있다. 이 오류는 kube-apiserver 의 로그에 다음과 같이 관련 오류가 나온다.

Apr 23 15:49:33 kmaster1.systemv.local kube-apiserver[4598]: E0423 15:49:33.330967    4598 available_controller.go:508] v1beta1.metrics.k8s.io failed with: Operation cannot be fulfilled on apiservices.apir>Apr 23 15:49:38 kmaster1.systemv.local kube-apiserver[4598]: E0423 15:49:38.332227    4598 available_controller.go:508] v1beta1.metrics.k8s.io failed with: failing or missing response from https://10.32.0.>Apr 23 15:49:43 kmaster1.systemv.local kube-apiserver[4598]: E0423 15:49:43.333609    4598 available_controller.go:508] v1beta1.metrics.k8s.io failed with: failing or missing response from https://10.32.0.

Apr 23 15:49:33 kmaster1.systemv.local kube-apiserver[4598]: E0423 15:49:33.330967 4598 available_controller.go:508] v1beta1.metrics.k8s.io failed with: Operation cannot be fulfilled on apiservices.apir>Apr 23 15:49:38 kmaster1.systemv.local kube-apiserver[4598]: E0423 15:49:38.332227 4598 available_controller.go:508] v1beta1.metrics.k8s.io failed with: failing or missing response from https://10.32.0.>Apr 23 15:49:43 kmaster1.systemv.local kube-apiserver[4598]: E0423 15:49:43.333609 4598 available_controller.go:508] v1beta1.metrics.k8s.io failed with: failing or missing response from https://10.32.0.

뒤쪽에 삭제된 부분은 “net/http: request canceled while waiting for connection (Client.Timeout exceeded while awaiting headers)” 이다. 응답커넥션을 맺다가 안되서 timeout 으로 끝난 것이다.

이것은 kube-apiserver 다음의 커맨드 파라메터를 추가해줘야 한다.

–enable-aggregator-routing=true

메트릭 서버의 0.4.3 버전부터는 쿠버네티스의 Aggregator Layer 를 이용한다. API 서버가 실행중인 호스트에 kube-proxy 가 없을 경우에 위 파라메터를 추가해줘야 한다.

워커 노드 메트릭 수집 안됨

$ kubectl top nodes
NAME                     CPU(cores)   CPU%   MEMORY(bytes)   MEMORY%     
kworker1.systemv.local   <unknown>          <unknown>     <unknown>           <unknown>         
kworker2.systemv.local   <unknown>          <unknown>     <unknown>           <unknown>         
kworker3.systemv.local   <unknown>          <unknown>     <unknown>           <unknown>

$ kubectl top nodes

NAME CPU(cores) CPU% MEMORY(bytes) MEMORY%

kworker1.systemv.local <unknown> <unknown> <unknown> <unknown>

kworker2.systemv.local <unknown> <unknown> <unknown> <unknown>

kworker3.systemv.local <unknown> <unknown> <unknown> <unknown>

쿠버네티스의 Deployments.apps 리소스에 배포된 Metric Server 메니페스트를 다음과 같이 수정해 줘야 한다.

$ kubectl edit deployment.apps/metrics-server -n kube-system
      dnsPolicy: ClusterFirst
      hostNetwork: true
      nodeSelector:

$ kubectl edit deployment.apps/metrics-server -n kube-system

dnsPolicy: ClusterFirst

hostNetwork: true

nodeSelector:

hostNetwork: true 를 추가해줘야 한다.

04/24/2021

extension-apiserver 란?

쿠버네티스(Kubernetes)가 발전에 따라서 많은 변화를 겪었다. 최신의 버전에서 extension apiserver 라는 것을 필요로하는 경우가 많다. 이것은 쿠버네티스 문서에서는 aggregation layer 라고 설명하고 있다.

Configuring the aggregation layer allows the Kubernetes apiserver to be extended with additional APIs, which are not part of the core Kubernetes APIs
애그리게이션 레이어 설정은 쿠버네티스 API 코어의 일부가 아닌 추가적인 API를 가지고 확장될 수 있는 쿠버네티스 apiserver 를 가능하게 한다.
Configure the Aggregarion Layer

최근에 구축한 쿠버네티스 서버에 메트릭 서버(Metric Server) 를 설치했는데 제대로 작동되지 않아 왜 그런가 봤더니 바로 이 문제였다. 메트릭 서버 파드(Pod) 에 로그는 다음과 같다.

$ kubectl logs metrics-server-57b8795b4c-hgnlt -n kube-system
E0423 10:51:25.342066       1 configmap_cafile_content.go:243] kube-system/extension-apiserver-authentication failed with : missing content for CA bundle "client-ca::kube-system::extension-apiserver-authentication::requestheader-client-ca-file"
E0423 10:51:25.342153       1 configmap_cafile_content.go:243] key failed with : missing content for CA bundle "client-ca::kube-system::extension-apiserver-authentication::requestheader-client-ca-file"
E0423 10:51:25.347263       1 configmap_cafile_content.go:243] kube-system/extension-apiserver-authentication failed with : missing content for CA bundle "client-ca::kube-system::extension-apiserver-authentication::requestheader-client-ca-file"

$ kubectl logs metrics-server-57b8795b4c-hgnlt -n kube-system

E0423 10:51:25.342066 1 configmap_cafile_content.go:243] kube-system/extension-apiserver-authentication failed with : missing content for CA bundle "client-ca::kube-system::extension-apiserver-authentication::requestheader-client-ca-file"

E0423 10:51:25.342153 1 configmap_cafile_content.go:243] key failed with : missing content for CA bundle "client-ca::kube-system::extension-apiserver-authentication::requestheader-client-ca-file"

E0423 10:51:25.347263 1 configmap_cafile_content.go:243] kube-system/extension-apiserver-authentication failed with : missing content for CA bundle "client-ca::kube-system::extension-apiserver-authentication::requestheader-client-ca-file"

메시지를 보면 extension-apiserver-authentication 등의 메시지를 볼 수 있다. 문제는 이런 로그가 남는다고 해서 메트릭 서버 파드의 상태가 Running 으로 된다는 것이다. 파트 상태가 Running 이라고 해서 메트릭 서버가 정상으로 작동되는 것은 아닌게 문제의 핵심이다.

이 문제를 해결하기 위해서는 extension-apiserver 기능을 apiserver 가 가지도록 해야 한다. 이것은 kube-apiserver 에 커맨드 파라메터를 다음과 같이 추가 해주고 재시작 해줘야 한다.

--requestheader-client-ca-file=<path to="" aggregator="" ca="" cert="">
--requestheader-allowed-names=front-proxy-client
--requestheader-extra-headers-prefix=X-Remote-Extra-
--requestheader-group-headers=X-Remote-Group
--requestheader-username-headers=X-Remote-User
--proxy-client-cert-file=<path to="" aggregator="" proxy="" cert="">
--proxy-client-key-file=<path to="" aggregator="" proxy="" key="">

--requestheader-client-ca-file=<path to="" aggregator="" ca="" cert="">

--requestheader-allowed-names=front-proxy-client

--requestheader-extra-headers-prefix=X-Remote-Extra-

--requestheader-group-headers=X-Remote-Group

--requestheader-username-headers=X-Remote-User

--proxy-client-cert-file=<path to="" aggregator="" proxy="" cert="">

--proxy-client-key-file=<path to="" aggregator="" proxy="" key="">

요구사항을 보면 인증서가 필요하다는 것을 알게 된다. 인증서 제작은 Kubernetes Hard Way 문서에 잘 정리되어 있다. 필자는 쿠버네티스 하드 웨이 방법을 구축한 서버이기에 이 과정을 진행해 볼 수 있었다.

extension apiserver 를 위한 인증서 작성

인증서 작성은 다음과같이 CSR 파일을 작성함으로서 시작된다.

$ cat > proxy-client-csr.json <<EOF
{
  "CN": "front-proxy-client",
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "US",
      "L": "Portland",
      "O": "system:masters",
      "OU": "Kubernetes The Hard Way",
      "ST": "Oregon"
    }
  ]
}
EOF

$ cat > proxy-client-csr.json <<EOF

{

"CN": "front-proxy-client",

"key": {

"algo": "rsa",

"size": 2048

"names": [

{

"C": "US",

"L": "Portland",

"O": "system:masters",

"OU": "Kubernetes The Hard Way",

"ST": "Oregon"

}

]

}

EOF

여기서 주의해야 할 것이 조직(O) 를 system:masters 로 해야 하며, CN 은 –requestheader-allowed-names 파라메터의 값과 동일해야 한다. 이제 다음과 같이 인증서를 제작한다.

$ cfssl gencert \
  -ca=ca.pem \
  -ca-key=ca-key.pem \
  -config=ca-config.json \
  -profile=kubernetes \
  proxy-client-csr.json | cfssljson -bare proxy-client
2021/04/23 14:54:09 [INFO] generate received request
2021/04/23 14:54:09 [INFO] received CSR
2021/04/23 14:54:09 [INFO] generating key: rsa-2048
2021/04/23 14:54:09 [INFO] encoded CSR
2021/04/23 14:54:09 [INFO] signed certificate with serial number 534282701421151901323513822674041149219991213452
2021/04/23 14:54:09 [WARNING] This certificate lacks a "hosts" field. This makes it unsuitable for
websites. For more information see the Baseline Requirements for the Issuance and Management
of Publicly-Trusted Certificates, v.1.1.6, from the CA/Browser Forum (https://cabforum.org);
specifically, section 10.2.3 ("Information Requirements").
$ ls proxy-client*
proxy-client.csr  proxy-client-csr.json  proxy-client-key.pem  proxy-client.pem

$ cfssl gencert \

-ca=ca.pem \

-ca-key=ca-key.pem \

-config=ca-config.json \

-profile=kubernetes \

proxy-client-csr.json | cfssljson -bare proxy-client

2021/04/23 14:54:09 [INFO] generate received request

2021/04/23 14:54:09 [INFO] received CSR

2021/04/23 14:54:09 [INFO] generating key: rsa-2048

2021/04/23 14:54:09 [INFO] encoded CSR

2021/04/23 14:54:09 [INFO] signed certificate with serial number 534282701421151901323513822674041149219991213452

2021/04/23 14:54:09 [WARNING] This certificate lacks a "hosts" field. This makes it unsuitable for

websites. For more information see the Baseline Requirements for the Issuance and Management

of Publicly-Trusted Certificates, v.1.1.6, from the CA/Browser Forum (https://cabforum.org);

specifically, section 10.2.3 ("Information Requirements").

$ ls proxy-client*

proxy-client.csr proxy-client-csr.json proxy-client-key.pem proxy-client.pem

이제 이것을 각 master 서버에 배포를 해준다.

$ sudo cp proxy-client*.pem /var/lib/kubernetes/
$ scp proxy-client*.pem systemv@kmaster2.systemv.local:./
$ scp proxy-client*.pem systemv@kmaster3.systemv.local:./

$ sudo cp proxy-client*.pem /var/lib/kubernetes/

$ scp proxy-client*.pem systemv@kmaster2.systemv.local:./

$ scp proxy-client*.pem systemv@kmaster3.systemv.local:./

kube-apiserver 커맨드 파라메터 수정

배포를 모두 했다면, 이제 kube-apiserver 에 커맨드 파라메터를 수정해 줘야 한다. systemd 에 kube-apiservere 를 등록했기 때문에 유닛 파일을 수정해주면 된다.

$ sudo vim /etc/systemd/system/kube-apiserver.service
  --requestheader-client-ca-file=/var/lib/kubernetes/ca.pem \
  --requestheader-allowed-names=front-proxy-client \
  --requestheader-extra-headers-prefix=X-Remote-Extra- \
  --requestheader-group-headers=X-Remote-Group \
  --requestheader-username-headers=X-Remote-User \
  --proxy-client-cert-file=/var/lib/kubernetes/proxy-client.pem \
  --proxy-client-key-file=/var/lib/kubernetes/proxy-client-key.pem \
  --enable-aggregator-routing=true \
$ sudo systemctl daemon-reload
$ sudo systemctl restart kube-apiserver

$ sudo vim /etc/systemd/system/kube-apiserver.service

--requestheader-client-ca-file=/var/lib/kubernetes/ca.pem \

--requestheader-allowed-names=front-proxy-client \

--requestheader-extra-headers-prefix=X-Remote-Extra- \

--requestheader-group-headers=X-Remote-Group \

--requestheader-username-headers=X-Remote-User \

--proxy-client-cert-file=/var/lib/kubernetes/proxy-client.pem \

--proxy-client-key-file=/var/lib/kubernetes/proxy-client-key.pem \

--enable-aggregator-routing=true \

$ sudo systemctl daemon-reload

$ sudo systemctl restart kube-apiserver

정상적으로 구동이 되었다면 이제 메트릭 서버를 재설치하면 정상적으로 작동 된다.

$ kubectl logs metrics-server-57b8795b4c-cn8x5 -n kube-system
I0423 15:24:40.014008       1 serving.go:325] Generated self-signed cert (/tmp/apiserver.crt, /tmp/apiserver.key)
I0423 15:24:40.367149       1 requestheader_controller.go:169] Starting RequestHeaderAuthRequestController
I0423 15:24:40.367169       1 shared_informer.go:240] Waiting for caches to sync for RequestHeaderAuthRequestController
I0423 15:24:40.367192       1 configmap_cafile_content.go:202] Starting client-ca::kube-system::extension-apiserver-authentication::client-ca-file
I0423 15:24:40.367196       1 shared_informer.go:240] Waiting for caches to sync for client-ca::kube-system::extension-apiserver-authentication::client-ca-file
I0423 15:24:40.367205       1 configmap_cafile_content.go:202] Starting client-ca::kube-system::extension-apiserver-authentication::requestheader-client-ca-file
I0423 15:24:40.367208       1 shared_informer.go:240] Waiting for caches to sync for client-ca::kube-system::extension-apiserver-authentication::requestheader-client-ca-file
I0423 15:24:40.367785       1 secure_serving.go:197] Serving securely on [::]:4443
I0423 15:24:40.368038       1 dynamic_serving_content.go:130] Starting serving-cert::/tmp/apiserver.crt::/tmp/apiserver.key
I0423 15:24:40.368072       1 tlsconfig.go:240] Starting DynamicServingCertificateController
I0423 15:24:40.467350       1 shared_informer.go:247] Caches are synced for client-ca::kube-system::extension-apiserver-authentication::requestheader-client-ca-file 
I0423 15:24:40.467480       1 shared_informer.go:247] Caches are synced for client-ca::kube-system::extension-apiserver-authentication::client-ca-file 
I0423 15:24:40.467636       1 shared_informer.go:247] Caches are synced for RequestHeaderAuthRequestController

$ kubectl logs metrics-server-57b8795b4c-cn8x5 -n kube-system

I0423 15:24:40.014008 1 serving.go:325] Generated self-signed cert (/tmp/apiserver.crt, /tmp/apiserver.key)

I0423 15:24:40.367149 1 requestheader_controller.go:169] Starting RequestHeaderAuthRequestController

I0423 15:24:40.367169 1 shared_informer.go:240] Waiting for caches to sync for RequestHeaderAuthRequestController

I0423 15:24:40.367192 1 configmap_cafile_content.go:202] Starting client-ca::kube-system::extension-apiserver-authentication::client-ca-file

I0423 15:24:40.367196 1 shared_informer.go:240] Waiting for caches to sync for client-ca::kube-system::extension-apiserver-authentication::client-ca-file

I0423 15:24:40.367205 1 configmap_cafile_content.go:202] Starting client-ca::kube-system::extension-apiserver-authentication::requestheader-client-ca-file

I0423 15:24:40.367208 1 shared_informer.go:240] Waiting for caches to sync for client-ca::kube-system::extension-apiserver-authentication::requestheader-client-ca-file

I0423 15:24:40.367785 1 secure_serving.go:197] Serving securely on [::]:4443

I0423 15:24:40.368038 1 dynamic_serving_content.go:130] Starting serving-cert::/tmp/apiserver.crt::/tmp/apiserver.key

I0423 15:24:40.368072 1 tlsconfig.go:240] Starting DynamicServingCertificateController

I0423 15:24:40.467350 1 shared_informer.go:247] Caches are synced for client-ca::kube-system::extension-apiserver-authentication::requestheader-client-ca-file

I0423 15:24:40.467480 1 shared_informer.go:247] Caches are synced for client-ca::kube-system::extension-apiserver-authentication::client-ca-file

I0423 15:24:40.467636 1 shared_informer.go:247] Caches are synced for RequestHeaderAuthRequestController

03/28/2021

AWS CloudFormation 보안 모범 사례

이 문서는 다음의 내용을 번역한 것입니다.

AWS CloudFormation Security Best Practices

AWS CloudFormation을 사용하면 개발자와 시스템 관리자가 AWS와 연관된 리소스 모음을 질서있고 예측 가능한 방식으로 프로비저닝하고 업데이트하여 쉽게 생성하고 관리 할 수 있다. 우리의 많은 고객들은 그들의 AWS 환경에서 변경사항을 간단하게 캡쳐하고 버전 제어를 실행하고 인프라에서 다른 작업 중에서도 비용을 관리하는 등에 모든 리소스를 제어하기 위해 CloudFormation 을 사용한다.

고객들은 자주 어떻게 CloudFormation 스택에 허가권을 제어하는 우리에게 묻는다. 이 글에서, 우리는 CloudFormation 에 대한 AWS Identity 와 IAM 정책을 사용, CloudFormation 에 특화된 IAM 조건 그리고 CloudFormation 스택 정책들을 포함하는 몇가지 모범사례를 공유한다. 대부분의 CloudFormation 배포는 AWS CLI 나 SDK 를 통해서 이루어지기 때문에 우리는 모범 사례를 어떻게 구현하는지 보여주기 위해서 AWS CLI 와 SDK 사용에 포커스를 둘 것이다.

IAM 을 통한 CloudFormation 스택 접근 제한

IAM 을 통해서, 여러분은 정책이나 사용자 혹은 롤(role) 을 사용함으로써 AWS 서비스나 리소스 접근을 보안적으로 통제할 수 있다. CloudFormation 은 fine-grained(세분화된) 액세스 제어를 제공하기 위해서 IAM 을 지렛대로 사용한다.

모범사례를 통해서, 우리는 최소 권한 원칙을 적용된 IAM 정책들을 통해 AWS 서비스 및 자원 접근을 제한하기 권한다. 이것을 하는 가장 단순한 방법은 CloudFormation 에 특정 API 콜을 제한하는 것이다. 예를들어, 여러분은 특정 IAM 유저나 롤이 CloudFormation 스택을 삭제하거나 업데이트하길 원하지 않을 것이다. 다음의 단수한 정책들은 모든 CloudFormation API 접근을 허용하지만 여러분의 프로덕트 스택의 UpdateStack 과 DeleteStack API 접근은 거부한다.

{
    "Version":"2012-10-17",
    "Statement":[{
        "Effect":"Allow",
        "Action":[        
            "cloudformation:*"
        ],
        "Resource":"*"
    },
    {
        "Effect":"Deny",
        "Action":[        
            "cloudformation:UpdateStack",
            "cloudformation:DeleteStack"
        ],
        "Resource":"arn:aws:cloudformation:us-east-1:123456789012:stack/MyProductionStack/*"
    }]
}

{

"Version":"2012-10-17",

"Statement":[{

"Effect":"Allow",

"Action":[

"cloudformation:*"

"Resource":"*"

{

"Effect":"Deny",

"Action":[

"cloudformation:UpdateStack",

"cloudformation:DeleteStack"

"Resource":"arn:aws:cloudformation:us-east-1:123456789012:stack/MyProductionStack/*"

}]

}

IAM 정책은 종종 특정 리소스를 생성할 수 있도록 허용해야 하지만 이러한 리소스를 CloudFormation의 일부로 생성하지 않을 수 있다. 이것이 CloudFormation 의 IAM 조건 지원이 제공된다.

CloudFormation 을 위한 IAM 조건

다음은 여러분의 IAM 정책에 추가할 수 있는 세가지 CloudFormation 특화된 IAM 조건들이다.

cloudformation:TemplateURL
cloudformation:ResourceTypes
cloudformation:StackPolicyURL

이러한 세가지 조건을 통해서, 여러분은 특정리소스 생성, 업데이트, 특정 템프릿 사용등과 같은 스택 작업을 API 로 가능해지거나 스택 업데이트 중에 의도하지 않게 업데이트나 삭제가 될수 있는 스택 리소스를 방지하는 스택 정책을 사용해 특정 리소스를 제한할 수 있다.

Condition: TemplateURL

첫째 조건, Condition: TemplateURL, 생성, 업데이트, reside 등과 같은 스택 작업에 대해 CloudFormation 템플릿을 지정하도록 하고 그것만 사용하도록 강제한다. IAM 정책에서, 다음과 같다.

{
    "Version":"2012-10-17",
    "Statement":[{
        "Effect": "Deny",
        "Action": [
            "cloudformation:CreateStack",
            “cloudformation:UpdateStack”
        ],
        "Resource": "*",
        "Condition": {
            "StringNotEquals": {
                "cloudformation:TemplateURL": [
                    "https://s3.amazonaws.com/cloudformation-templates-us-east-1/IAM_Users_Groups_and_Policies.template"
                ]
            }
        }
    },
    {
        "Effect": "Deny",
        "Action": [
            "cloudformation:CreateStack",
            "cloudformation:UpdateStack"
        ],
        "Resource": "*",
        "Condition": {
            "Null": {
                "cloudformation:TemplateURL": "true"
            }
        }
    }]
}

{

"Version":"2012-10-17",

"Statement":[{

"Effect": "Deny",

"Action": [

"cloudformation:CreateStack",

“cloudformation:UpdateStack”

"Resource": "*",

"Condition": {

"StringNotEquals": {

"cloudformation:TemplateURL": [

"https://s3.amazonaws.com/cloudformation-templates-us-east-1/IAM_Users_Groups_and_Policies.template"

]

}

{

"Effect": "Deny",

"Action": [

"cloudformation:CreateStack",

"cloudformation:UpdateStack"

"Resource": "*",

"Condition": {

"Null": {

"cloudformation:TemplateURL": "true"

}

}]

}

첫번째 구분은 지정된 템플릿에 한해서 모든 CreateStack 과 UpdateStack API 콜을 활성화 한다. 두번째 구분에서 모든 CreateStack 이나 UpdateStack API 콜들은 TemplateURL 파라메터를 반드시 포함하도록 한다. CLI 에서 여러분의 호출들은 –template-url 파라메터를 포함해야 한다.

aws cloudformation create-stack –stack-name cloudformation-demo –template-url https://s3.amazonaws.com/cloudformation-templates-us-east-1/IAM_Users_Groups_and_Policies.template

1	aws cloudformation create-stack –stack-name cloudformation-demo –template-url https://s3.amazonaws.com/cloudformation-templates-us-east-1/IAM_Users_Groups_and_Policies.template

Condition: ResourceTypes

CloudFormation 은 IAM 정책을 통해서 템플릿 생성, 업데이트에 리소스 타입을 제어할 수 있도록 해준다. CloudFormation API는 ResourceTypes 파라메터를 받는다. API 호출에서, 생성이나 업데이트할 수 있는 리소스 유형을 지정할 수 있다. 하지만, 새로운 ResourceTypes 파라메터를 사용하기 위해서는 다음과 같이 컨디션 조건을 추가함으로서 특정한 파라메터 사용이 가능하도록 IAM 정책을 수정할 필요가 있다.

{
    "Version":"2012-10-17",
    "Statement":[{
        "Effect": "Deny",
        "Action": [
            "cloudformation:CreateStack",
            "cloudformation:UpdateStack"
        ],
        "Resource": "*",
        "Condition": {
            "ForAllValues:StringLike": {
                "cloudformation:ResourceTypes": [
                    "AWS::IAM::*"
                ]
            }
        }
    },
    {
        "Effect": "Deny",
        "Action": [
            "cloudformation:CreateStack",
            "cloudformation:UpdateStack"
        ],
        "Resource": "*",
        "Condition": {
            "Null": {
                "cloudformation:ResourceTypes": "true"
            }
        }
    }]
}

{

"Version":"2012-10-17",

"Statement":[{

"Effect": "Deny",

"Action": [

"cloudformation:CreateStack",

"cloudformation:UpdateStack"

"Resource": "*",

"Condition": {

"ForAllValues:StringLike": {

"cloudformation:ResourceTypes": [

"AWS::IAM::*"

]

}

{

"Effect": "Deny",

"Action": [

"cloudformation:CreateStack",

"cloudformation:UpdateStack"

"Resource": "*",

"Condition": {

"Null": {

"cloudformation:ResourceTypes": "true"

}

}]

}

CLI 에서, 여러분의 호출은 –resource-types 파라메터 포함할 필요가 있다. 여러분의 스택을 업데이트하기 위한 호출은 다음과 같다.

aws cloudformation create-stack –stack-name cloudformation-demo –template-url https://s3.amazonaws.com/cloudformation-templates-us-east-1/IAM_Users_Groups_and_Policies.template –resource-types="[AWS::IAM::Group, AWS::IAM::User]"

1	aws cloudformation create-stack –stack-name cloudformation-demo –template-url https://s3.amazonaws.com/cloudformation-templates-us-east-1/IAM_Users_Groups_and_Policies.template –resource-types="[AWS::IAM::Group, AWS::IAM::User]"

쉘(Shell)에 따라서 명령어는 쌍따옴표를 사용해야할 수도 있다. 그렇지 않으면 “No JSON object could be decoded” 에러를 보게 될 것이다.

aws cloudformation create-stack –stack-name cloudformation-demo –template-url https://s3.amazonaws.com/cloudformation-templates-us-east-1/IAM_Users_Groups_and_Policies.template –resource-types='["AWS::IAM::Group", "AWS::IAM::User"]'

1	aws cloudformation create-stack –stack-name cloudformation-demo –template-url https://s3.amazonaws.com/cloudformation-templates-us-east-1/IAM_Users_Groups_and_Policies.template –resource-types='["AWS::IAM::Group", "AWS::IAM::User"]'

ResourceTypes 조건은 CLI 나 API 호출을 통해서 CloudFormation 이 올바른 리소스 타입과 템플릿을 생성, 업데이트 하도록 합니다. 첫번째 예제에서, 우리의 IAM 정책은 AWS::IAM 리소스를 포함한 예제였기 때문에 API 호출을 차단했을 것이다. 만약 우리의 템플릿이 오직 AWS::EC2::Instance 자원만 포함한다면, CLI 명령어는 다음과 같을 것이며 성공할 것입니다.

aws cloudformation create-stack –stack-name cloudformation-demo –template-url https://s3.amazonaws.com/cloudformation-templates-us-east-1/IAM_Users_Groups_and_Policies.template –resource-types='["AWS::EC2::Instance"]'

1	aws cloudformation create-stack –stack-name cloudformation-demo –template-url https://s3.amazonaws.com/cloudformation-templates-us-east-1/IAM_Users_Groups_and_Policies.template –resource-types='["AWS::EC2::Instance"]'

세번째 조건은 StackPolicyURL 조건이다. 어떻게 동작하는지 설명하기 전에, 우리는 스택 정책에 대해 몇가지 추가적인 컨텍스트를 제공할 필요가 있다.

Stack Policies

가끔, 최악의 운영 중단은 의도되지 않은 리소스에 변경으로 발생 된다. 이 리스크를 완화하는데 도움이 되기 위해, CloudFormation 은 스택 정책들을 제공는데 이것은 스택 업데이트 중에 의도치않은 업데이트나 삭제로부터 스택 리소스들을 보호해준다. IAM 과 함께 사용할 경우, 스택 정책들은 스택 리소스에 대해 악의적이고 의도치않은 변경 모두에 대해 두번째 방어 계층을 제공 한다.

CloudFormation 스택 정책은 스택 업데이트 작업의 일부로 업데이트할 수 있는 항목을 정의하는 JSON 문서다. 정책을 지정하거나 업데이트하기 위해서, 여러분의 IAM 사용자 혹은 롤(Role)은 반드시 우선적으로 Cloudformation::SetStackPolicy 액션을 호출 할 수 있어야 한다.

여러분 스택에 직접 스택 정책을 적용한다. 주의해야할 것은 이것은 IAM 정책이 아니다. 기본적으로, 스택 정책 설정은 명시적으로 Allow 지정하지 않는 한 업데이트를 거부하기 위해 Deny 를 사용해 모든 스택 리소스들을 보호한다. 이것은 만약 오직 몇가지 리소스들만 제한 하길 원한다면, 리소스 “*” 를 사용해 Allow 를 포함으로써 모든 업데이트를 반드시 명시적으로 허용해야 하며 특정 리소스를 Deny 해야 한다.

예를들면, 스택 정책은 라이브로 진행되는 데이터를 포함하고 있기 때문에 프로덕션 데이터베이스를 보호하는 데 종종 사용된다. 변경중인 필드에 따라 업데이트중에 전체 데이터베이스를 교체할 수 있는 경우가 있다. 다음의 예제는, 스택 정책은 명시적으로 프로덕션 데이터베이스 업데이트 시도를 거부한다.

{
  "Statement" : [
    {
      "Effect" : "Deny",
      "Action" : "Update:*",
      "Principal": "*",
      "Resource" : "LogicalResourceId/ProductionDB_logical_ID"
    },
    {
      "Effect" : "Allow",
      "Action" : "Update:*",
      "Principal": "*",
      "Resource" : "*"
    }
  ]
}

{

"Statement" : [

{

"Effect" : "Deny",

"Action" : "Update:*",

"Principal": "*",

"Resource" : "LogicalResourceId/ProductionDB_logical_ID"

{

"Effect" : "Allow",

"Action" : "Update:*",

"Principal": "*",

"Resource" : "*"

}

]

}

여러분은 모든 RDS DB 인스턴스나 주어진 ResourceType 을 포함하도록 여러분의 스택 정책을 일반화 할 수 있다. 이것을 얻기 위해서는 컨디션 사용한다. 그러나, 우리의 예제는 와일드카드를 사용했기 때문에, condition 은 반드시 “StringEquals” 이 아닌 “StringLike” condition 을 사용해야 한다.

{
  "Statement" : [
    {
      "Effect" : "Deny",
      "Action" : "Update:*",
      "Principal": "*",
      "Resource" : "*",
      "Condition" : {
        "StringLike" : {
          "ResourceType" : ["AWS::RDS::DBInstance", "AWS::AutoScaling::*"]
        }
      }
    },
    {
      "Effect" : "Allow",
      "Action" : "Update:*",
      "Principal": "*",
      "Resource" : "*"
    }
  ]
}

{

"Statement" : [

{

"Effect" : "Deny",

"Action" : "Update:*",

"Principal": "*",

"Resource" : "*",

"Condition" : {

"StringLike" : {

"ResourceType" : ["AWS::RDS::DBInstance", "AWS::AutoScaling::*"]

}

{

"Effect" : "Allow",

"Action" : "Update:*",

"Principal": "*",

"Resource" : "*"

}

]

}

스택 정책에 대한 보다 많은 정보는 Prevent Updates to Stack Resources 참고하라.

마지막으로, 여러분의 모든 스택에 알맞은 미리 정의된 스택 정책을 가지고 있는지를 확인해라. 이것을 해결할려면 IAM 정책을 봐야 한다.

Condition:StackPolicyURL

여러분의 IAM 정책 내에서, 여러분은 모든 CloudFormation 스택이 StackPolicyURL 조건을 가지고 생성된 것과 연결된 스택 정책을 가지는지를 확인할 수 있다.

{
    "Version":"2012-10-17",
    "Statement":[
    {
            "Effect": "Deny",
            "Action": [
                "cloudformation:SetStackPolicy"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringNotEquals": {
                    "cloudformation:StackPolicyUrl": [
                        "https://s3.amazonaws.com/samplebucket/sampleallowpolicy.json"
                    ]
                }
            }
        },    
       {
        "Effect": "Deny",
        "Action": [
            "cloudformation:CreateStack",
            "cloudformation:UpdateStack"
        ],
        "Resource": "*",
        "Condition": {
            "ForAnyValue:StringNotEquals": {
                "cloudformation:StackPolicyUrl": [
                    “https://s3.amazonaws.com/samplebucket/sampledenypolicy.json”
                ]
            }
        }
    },
    {
        "Effect": "Deny",
        "Action": [
            "cloudformation:CreateStack",
            "cloudformation:UpdateStack",
            “cloudformation:SetStackPolicy”
        ],
        "Resource": "*",
        "Condition": {
            "Null": {
                "cloudformation:StackPolicyUrl": "true"
            }
        }
    }]
}

{

"Version":"2012-10-17",

"Statement":[

{

"Effect": "Deny",

"Action": [

"cloudformation:SetStackPolicy"

"Resource": "*",

"Condition": {

"ForAnyValue:StringNotEquals": {

"cloudformation:StackPolicyUrl": [

"https://s3.amazonaws.com/samplebucket/sampleallowpolicy.json"

]

}

{

"Effect": "Deny",

"Action": [

"cloudformation:CreateStack",

"cloudformation:UpdateStack"

"Resource": "*",

"Condition": {

"ForAnyValue:StringNotEquals": {

"cloudformation:StackPolicyUrl": [

“https://s3.amazonaws.com/samplebucket/sampledenypolicy.json”

]

}

{

"Effect": "Deny",

"Action": [

"cloudformation:CreateStack",

"cloudformation:UpdateStack",

“cloudformation:SetStackPolicy”

"Resource": "*",

"Condition": {

"Null": {

"cloudformation:StackPolicyUrl": "true"

}

}]

}

이 정책은 SetStackPolicy 가 호출될때마다 반드시 스택 정책 URL 이 지정되어 있는지 확인한다. 이 경우에, URL 은 https://s3.amazonaws.com/samplebucket/sampleallowpolicy.json 다. 유사하게, 모든 생성과 업데이트 스택 연산에서, 이 정책은 StackPolicyURL 은 S3 에 sampledenypolicy.json 문서로 지정되었고, StackPolicyURL 은 항상 지정된다. CLI 에서 create-stack 명령어는 다음과 같다.

aws cloudformation create-stack –stack-name cloudformation-demo –parameters ParameterKey=Password,ParameterValue=CloudFormationDemo –capabilities CAPABILITY_IAM –template-url https://s3.amazonaws.com/cloudformation-templates-us-east-1/IAM_Users_Groups_and_Policies.template –stack-policy-url https://s3-us-east-1.amazonaws.com/samplebucket/sampledenypolicy.json

aws cloudformation create-stack –stack-name cloudformation-demo –parameters ParameterKey=Password,ParameterValue=CloudFormationDemo –capabilities CAPABILITY_IAM –template-url https://s3.amazonaws.com/cloudformation-templates-us-east-1/IAM_Users_Groups_and_Policies.template –stack-policy-url https://s3-us-east-1.amazonaws.com/samplebucket/sampledenypolicy.json

주의해야 할 것은 만약 스택 업데이트에 새로운 스택 정책을 지정한다면, CloudFormation 은 이미 있는 스택 정책을 사용한다. 새로운 정책은 오직 이후 업데이트에만 새 정책을 사용한다. 예를들어, 현재 정책이 모든 업데이트를 거부하도록 지정되어 있다면, 딱 한개 업데이트를 허용하기 위해서 스택정책을 변경할려면 반드시 SetStackPolicy 명령어를 실행해야 한다. 그리고 여러분은 스택에 대해서 업데이트 명령어를 실행할 수 있다. 이미 생성된 스택 업데이트를 위해서 다음과 같이 실행 할 수 있다.

aws cloudformation set-stack-policy –stack-name cloudformation-demo –stack-policy-url https://s3-us-east-1.amazonaws.com/samplebucket/sampleallowpolicy.json

1	aws cloudformation set-stack-policy –stack-name cloudformation-demo –stack-policy-url https://s3-us-east-1.amazonaws.com/samplebucket/sampleallowpolicy.json

그리고 업데이트를 실행할 수 있다.

aws cloudformation update-stack –stack-name cloudformation-demo –parameters ParameterKey=Password,ParameterValue=NewPassword –capabilities CAPABILITY_IAM –template-url https://s3.amazonaws.com/cloudformation-templates-us-east-1/IAM_Users_Groups_and_Policies.template –stack-policy-url https://s3-us-west-2.amazonaws.com/awshubfiles/sampledenypolicy.json

aws cloudformation update-stack –stack-name cloudformation-demo –parameters ParameterKey=Password,ParameterValue=NewPassword –capabilities CAPABILITY_IAM –template-url https://s3.amazonaws.com/cloudformation-templates-us-east-1/IAM_Users_Groups_and_Policies.template –stack-policy-url https://s3-us-west-2.amazonaws.com/awshubfiles/sampledenypolicy.json

우리가 사용하는 IAM 정책은 스택이 생성 혹은 업데이트 될때마다 스택에 적용되어질 특정한 스택 정책을 보장한다.

Conclusion

CloudFormation 은 연관된 AWS 리소스를 생성, 관리하는 반복적인 방법을 제공한다. IAM 정책, 사용자, 롤, CloudFormation-specific IAM condition, 스택 정책을 조합해 사용함으로써, 여러분은 CloudFormation 스택을 의도한데로 사용하고 잘못된 업데이트, 삭제를 최소할 수 있다.

You can learn more about this topic and other CloudFormation best practices in the recording of our re:Invent 2015 session, (DVO304) AWS CloudFormation Best Practices, and in our documentation.

03/22/2021

AWS EKS 클러스터 셋업

How to setup

AWS 의 EKS Cluster 를 셋업할 수 있는 방법에는 다음과 같다.

AWS Management Console
eksctl utility provided by AWS
IaC (Terrform, Ansible)

여기서는 AWS Management Console 를 이용한 방법을 사용할 것이다.

Prerequirement

AWS 를 사용하기 위해서는 권한이 있어야 한다. 다음과 같은 권한이 일단 필요하다.

AWS Account with Admin Privileges
AWS Cli Access to use Kubectl utility
Instance (To manage cluster by using Kubectl)

AWS 계정은 될수 있는한 관리자 권한이 필요하다.

Create IAM role for EKS Cluster

EKS Cluster 를 위한 IAM를 생성해야 한다. 이것은 IAM 서비스에서 역할(Role) 을 이용해서 생성한다.

각각의 허가권(Permission) 을 설정할 필요 없이 사용사례선택에서 EKS – Cluster 를 선택하고 Role 이름을 설정하면 끝나게 된다.

다음으로 일반 사용자가 이 Role 을 위임받을 수 있도록 신뢰관계를 맺어준다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "eks.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    },
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::1111111111111111:user/systemv"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

{

"Version": "2012-10-17",

"Statement": [

{

"Effect": "Allow",

"Principal": {

"Service": "eks.amazonaws.com"

"Action": "sts:AssumeRole"

{

"Effect": "Allow",

"Principal": {

"AWS": "arn:aws:iam::1111111111111111:user/systemv"

"Action": "sts:AssumeRole"

}

]

}

systemv 사용자에 대해서 신뢰관계를 만들어 줬다.

Create Dedicated VPC for the EKS Cluster

VPC 를 생성해야 하는데, 하나하나 생성할 수도 있다. 하지만, EKS 를 위해서 AWS 는 CloudFormation 템플릿을 제공하고 있다. 이 정보는 다음의 링크를 통해서 확인할 수 있다.

Amazon EKS 클러스터용 VPC 생성

위 내용을 보면 S3 에 CloudFormation 용 템플릿을 제공한다. 이를 이용하면 손쉽게 VPC 를 생성할 수 있는데 생성되는 리소스는 대략 다음과 같다.

퍼블릭 서브넷 2개, 모든 서브넷에는 로드밸런서 할당을 위해 태그가 지정된다.
엘라스틱 IP 할당.
프라이빗 서브넷 2개, 모든 서브넷에는 내부 로드밸러서 할당을 위해 태그가 지정된다.
NAT 게이트웨이 1개
모든 인바운드 트래픽을 차단하고 아웃바운드 트래픽을 허용하는 보안그룹.

AWS EKS 는 Master Node, Worker Node 로 구성되는데, Master Node 는 Managed 서비스이며 이것은 퍼블릭 서브넷이 필요하게 된다. Worker Node 는 EC2 인스턴스에 Docker 가 설치되며 EKS 에 의해서 제어된다. 이것은 프라이빗 서브넷이 필요하게 된다.

모든 인바운드 트래픽은 차단되고 아웃바운드 트래픽을 허용하기 위해서 NAT 게이트웨이가 설치가 된다.

CloudFormation 을 이용해 이런 제반사항들을 손쉽게 만들 수 있다.

AWS EKS 생성을 위한 CloudFormation 스택 이름 변수 정하기

스택이름만 쓰고 나머지는 그냥 기본적으로 제공하는 값을 사용해도 된다. 다음화면에서 태그나 기타 필요 옵션등을 선택할 수 있는데, 아무것도 안하고 넘어가도 된다.

생성된 자원들을 보면 어떤 것을 생성했고 어떻게 연결을 했는지도 눈에 보인다. SecurityGroup 은 ControllPlane 에 접근을 위해서 만들어졌다.

Login AWS Account for creating Cluster

앞에 CloudFormation 작업은 AWS Root 계정으로 진행 된다. 어짜피 네트워크 작업이며 이를 제어하기 위한 퍼미션만 사용자가 가지고 있어도 되기 때문이다. 하지만 서비스는 다르다. 서비스는 Role 기반으로 작동되는 경우가 많아 반드시 일반 계정으로 생성을 해야 한다.

만일 AWS Root 계정으로 EKS Cluster 를 생성할 경웨 피고한 경우가 생길 수 있다. 따라서 반드시 일반 계정으로 로그인을 해준다. 그 계정에 다음과 같은 정책을 생성해 준다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "iam:CreateInstanceProfile",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:DescribeRegions",
                "autoscaling:DescribeLaunchConfigurations",
                "iam:CreateRole",
                "iam:AttachRolePolicy",
                "iam:AddRoleToInstanceProfile",
                "iam:PassRole",
                "autoscaling:DescribeScalingActivities",
                "ec2:CreateSecurityGroup",
                "ec2:RevokeSecurityGroupEgress",
                "autoscaling:DescribeAutoScalingGroups",
                "iam:ListAttachedRolePolicies",
                "autoscaling:UpdateAutoScalingGroup",
                "ec2:DescribeKeyPairs",
                "ec2:AuthorizeSecurityGroupEgress",
                "iam:GetRole",
                "ec2:CreateTags",
                "iam:ListRoles",
                "ssm:GetParameters",
                "ec2:DescribeSecurityGroups",
                "cloudformation:DescribeStacks",
                "ec2:RevokeSecurityGroupIngress",
                "ec2:DescribeImages",
                "autoscaling:CreateLaunchConfiguration",
                "iam:CreateServiceLinkedRole",
                "cloudformation:CreateStack",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "eks:*",
                "autoscaling:CreateAutoScalingGroup"
            ],
            "Resource": "*"
        }
    ]
}

{

"Version": "2012-10-17",

"Statement": [

{

"Sid": "VisualEditor0",

"Effect": "Allow",

"Action": [

"iam:CreateInstanceProfile",

"ec2:AuthorizeSecurityGroupIngress",

"ec2:DescribeRegions",

"autoscaling:DescribeLaunchConfigurations",

"iam:CreateRole",

"iam:AttachRolePolicy",

"iam:AddRoleToInstanceProfile",

"iam:PassRole",

"autoscaling:DescribeScalingActivities",

"ec2:CreateSecurityGroup",

"ec2:RevokeSecurityGroupEgress",

"autoscaling:DescribeAutoScalingGroups",

"iam:ListAttachedRolePolicies",

"autoscaling:UpdateAutoScalingGroup",

"ec2:DescribeKeyPairs",

"ec2:AuthorizeSecurityGroupEgress",

"iam:GetRole",

"ec2:CreateTags",

"iam:ListRoles",

"ssm:GetParameters",

"ec2:DescribeSecurityGroups",

"cloudformation:DescribeStacks",

"ec2:RevokeSecurityGroupIngress",

"ec2:DescribeImages",

"autoscaling:CreateLaunchConfiguration",

"iam:CreateServiceLinkedRole",

"cloudformation:CreateStack",

"ec2:DescribeVpcs",

"ec2:DescribeSubnets",

"eks:*",

"autoscaling:CreateAutoScalingGroup"

"Resource": "*"

}

]

}

EKS Cluster 를 위한 권한이 대부분 다 들어 있다.

Create EKS Cluster

이제 네트워크 환경이 모두 구성됐으니 EKS Cluster 를 만들어야 한다. AWS 콘솔에서 EKS 를 검색해 서비스로 이동하면 된다.

Kubernetes 버전은 최신버전으로 했지만, 실제 서비스 운영은 기본값을 사용하길 권장한다. 클러스터 서비스 역할에는 맨처음에 만들었던 역할을 지정해 주면 된다.

네트워킹은 CloudFormation 으로 생성한 네트워크를 지정해 줘야 한다.

클러스터 엔드포이트 액세스는 퍼블릭 및 프라이빗으로 선택한다. 그리고 Amazon VPC CNI 는 최신버전으로 선택.

CloudWatch Logs 는 비활성화해서 넘어간다. 단, 실제 서비스를 운영할때는 활성화를 해준다. 적어도 Authenticator 정도는 해준다.

Install & Setup IAM Authenticator and Kubectl Utility

설치 aws-iam-authenticator 문서를 보고 authenticator 를 설치해 준다.

]$ 
$ curl -o aws-iam-authenticator https://amazon-eks.s3.us-west-2.amazonaws.com/1.18.9/2020-11-02/bin/linux/amd64/aws-iam-authenticator
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100 33.6M  100 33.6M    0     0  2763k      0  0:00:12  0:00:12 --:--:-- 3229k
$ chmod +x ./aws-iam-authenticator
$ mv -vv aws-iam-authenticator ~/.local/bin/
renamed 'aws-iam-authenticator' -> '/home/sbhyun/.local/bin/aws-iam-authenticator'

$ curl -o aws-iam-authenticator https://amazon-eks.s3.us-west-2.amazonaws.com/1.18.9/2020-11-02/bin/linux/amd64/aws-iam-authenticator

% Total % Received % Xferd Average Speed Time Time Time Current

Dload Upload Total Spent Left Speed

100 33.6M 100 33.6M 0 0 2763k 0 0:00:12 0:00:12 --:--:-- 3229k

$ chmod +x ./aws-iam-authenticator

$ mv -vv aws-iam-authenticator ~/.local/bin/

renamed 'aws-iam-authenticator' -> '/home/sbhyun/.local/bin/aws-iam-authenticator'

AWS EKS 를 위한 kubectl 명령어를 다운로드 받는다.

]$ 
$ curl -o kubectl https://amazon-eks.s3.us-west-2.amazonaws.com/1.19.6/2021-01-05/bin/linux/amd64/kubectl
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100 57.4M  100 57.4M    0     0  3116k      0  0:00:18  0:00:18 --:--:-- 6107k
$ chmod +x kubectl
$ mv -vv kubectl ~/.local/bin/
renamed 'kubectl' -> '/home/sbhyun/.local/bin/kubectl'
$ kubectl version --short --client
Client Version: v1.19.6-eks-49a6c0

$ curl -o kubectl https://amazon-eks.s3.us-west-2.amazonaws.com/1.19.6/2021-01-05/bin/linux/amd64/kubectl

% Total % Received % Xferd Average Speed Time Time Time Current

Dload Upload Total Spent Left Speed

100 57.4M 100 57.4M 0 0 3116k 0 0:00:18 0:00:18 --:--:-- 6107k

$ chmod +x kubectl

$ mv -vv kubectl ~/.local/bin/

renamed 'kubectl' -> '/home/sbhyun/.local/bin/kubectl'

$ kubectl version --short --client

Client Version: v1.19.6-eks-49a6c0

설치된 Client 버전과 AWS EKS 에서 버전이 같은지 확인한다.

이제 kubectl 명령어가 사용되는지를 확인해 본다.

]$ 
]$ kubectl get svc
The connection to the server localhost:8080 was refused - did you specify the right host or port?

]$ kubectl get svc

The connection to the server localhost:8080 was refused - did you specify the right host or port?

접속을 위한 아무런 정보가 없기 에 localhost 에 접속을 시도했다.

]$ 
]$ aws eks --region ap-northeast-2 update-kubeconfig --name eks-cluster
Added new context arn:aws:eks:ap-northeast-2:1111111111111:cluster/eks-cluster to /home/systemv/.kube/config

]$ aws eks --region ap-northeast-2 update-kubeconfig --name eks-cluster

Added new context arn:aws:eks:ap-northeast-2:1111111111111:cluster/eks-cluster to /home/systemv/.kube/config

접속을 위한 정보를 받아서 $HOME 에 .kube/config 에 저장이 된다. 이제 잘되는지 다음과 같이 확인해 보자.

]$  kubectl get svc
NAME         TYPE        CLUSTER-IP   EXTERNAL-IP   PORT(S)   AGE
kubernetes   ClusterIP   10.100.0.1   <none>        443/TCP   6m49s

]$ kubectl get svc

NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE

kubernetes ClusterIP 10.100.0.1 <none> 443/TCP 6m49s

위와같이 나오면 정상이다. 만일 위와같이 나오지 않는다면 Role 를 지정해줄 수도 있다.

aws eks --region ap-northeast-2 update-kubeconfig --name eks-cluster --role-arn arn:aws:iam::11111111111111:role/systemv-ekscluster-role

1	aws eks --region ap-northeast-2 update-kubeconfig --name eks-cluster --role-arn arn:aws:iam::11111111111111:role/systemv-ekscluster-role

이렇게 했는데도 안된다면 다음의 링크가 도움이 될지 모른다.

정상적으로 작동한다면 다음과 같이 Node 는 아무것도 안나올 것이고 Namespace 는 나올 것이다.

$ kubectl get nodes
No resources found
$ kubectl get ns
NAME              STATUS   AGE
default           Active   20m
kube-node-lease   Active   20m
kube-public       Active   20m
kube-system       Active   20m

$ kubectl get nodes

No resources found

$ kubectl get ns

NAME STATUS AGE

default Active 20m

kube-node-lease Active 20m

kube-public Active 20m

kube-system Active 20m

Create IAM Role for EKS Worker Nodes

EKS Cluster 는 Kubernetes 에서는 Master 작업이 끝난것이라고 보면 된다. 아직은 Work Node 가 없다. Work Node 는 NodeGroup 으로 묶여서 생성되고 Work Node 를 위한 Role 이 필요하다.

이와 더블어서 ssm.amazonaws.com, eks.amazonaws.com 을 신뢰관계에 추가 해준다.

많은게 필요가 없다. 이제 worknode 를 위한 group 를 생성해 보자.

AWS EKS WorkGroup 생성하기 - 기본정보 입력 — AWS EKS WorkGroup 생성하기 – 기본정보 입력

이름과 역할을 지정해준다. 역할은 앞에서 생성한 역할이 자동으로 나올 것이다.

AWS EKS Workgroups 생성하기 - 컴퓨터 자원 생성 — AWS EKS Workgroups 생성하기 – 컴퓨터 자원 생성

서비스 운영을 위한 시스템 자원을 선택해 준다. 이 시스템 작원은 물리적인 하드웨어를 선택하는 것이다. 이 자원 위에서 Docker 를 기반으로 Micro Service 가 돌아가게 된다.

AWS EKS Workgroups 설치하기 - 네트워크 설정 — AWS EKS Workgroups 설치하기 – 네트워크 설정

서브넷은 AWS EKS 를 위한 서브넷을 선택되어 있어야 한다. 노드에 대한 액세스가 필요할 경우에 해주면 되고 보안 그룹은 기본보안 그룹(22 port 만 열려 있다)을 선택해 줬다. 서비스를 운영할때에는 적절하게 바꿔준다.

생성이 완료되면 다음과 같이 Node 가 나오게 된다.

$ kubectl get nodes
NAME                                                 STATUS   ROLES    AGE     VERSION
ip-192-168-187-113.ap-northeast-2.compute.internal   Ready    <none>   7m51s   v1.19.6-eks-49a6c0
ip-192-168-246-188.ap-northeast-2.compute.internal   Ready    <none>   8m      v1.19.6-eks-49a6c0

$ kubectl get nodes

NAME STATUS ROLES AGE VERSION

ip-192-168-187-113.ap-northeast-2.compute.internal Ready <none> 7m51s v1.19.6-eks-49a6c0

ip-192-168-246-188.ap-northeast-2.compute.internal Ready <none> 8m v1.19.6-eks-49a6c0

이것이 Kubernetes 에서 Master, Work node 작업이 완료된것과 같은 AWS EKS Cluster 가 세팅이 완료가 된 것이다.

이 글은 초기버전이다. 큰 틀에서 대충 이렇게 한다는 것을 보여주는 것 외에는 깊이가 없다.