AWS로부터 받은 공지와 관련하여 다음과 같은 몇 가지 질문이 있습니다. “중요한 보안 패치와 중요 업데이트가 포함된 소프트웨어 업데이트가 AWS Fargate에 배포되었습니다. 이 소프트웨어 업데이트 프로세스를 완료하기 위해 EKS Fargate는 [날짜] 이전에 출시된 포드를 제거할 예정입니다.”
Q: AWS에서 AWS Fargate 포드에 패치와 업데이트를 적용할 때 서비스 가동 중지 시간을 방지하려면 어떻게 해야 합니까?
공지에 명시된 기한 전에 Fargate 포드를 재시작하는 것이 가장 좋습니다. 포드가 배포 또는 StatefulSet에 속하는 경우 다음 명령 중 하나를 실행하여 가동 중지 시간 없이 전체 배포 또는 StatefulSet을 정상적으로 다시 시작합니다.
kubectl rollout restart deployment-name -n test-namespace
-또는-
kubectl rollout restart sts-name -n test-namespace
참고: 배포 명령에서 deployment-name을 배포 이름으로 바꾸십시오. StatefulSet 명령에서 sts-name을 StatefulSet의 이름으로 바꾸십시오. 두 명령 모두에서 test-namespace를 네임스페이스의 이름으로 바꾸십시오.
자세한 내용은 Kubernetes 웹사이트의 배포 및 StatefulSets를 참조하십시오.
Pod가 독립형 포드인 경우 다음 단계를 완료하십시오.
- 동일한 사양의 교체용 포드를 생성합니다.
- 필요에 따라 다른 애플리케이션에서 포드의 엔드포인트나 IP 주소를 업데이트합니다.
- 독립형 포드를 삭제합니다.
Q: 공지에 지정된 날짜 이전에 포드를 재시작하지 못하면 어떻게 됩니까?
Amazon Elastic Kubernetes Service(Amazon EKS)는 사용자가 설정한 PDB(Pod Disruption Budgets, 포드 중단 예산)를 기준으로 가용 영역별로 Fargate 포드를 제거합니다. 제거에 성공하면 Amazon EKS는 새 포드에 최신 패치를 적용합니다. 추가 조치를 취할 필요가 없습니다.
Q: 포드 제거 실패 또는 노드 종료에 대한 알림을 받을 수 있습니까?
포드 제거에 실패하면 AWS는 제거 실패에 대한 알림을 보냅니다. 예정된 종료 시간까지 조치를 취하지 않으면 Amazon EKS는 알림 없이 기존 포드 및 기본 노드를 종료합니다. 종료 후에는 새 포드에 최신 패치가 적용됩니다.
Q. Amazon EKS는 PDB로 구성한 애플리케이션 포드의 패치를 어떻게 관리합니까?
Amazon EKS는 Fargate 포드를 패치할 때 PDB로 구성한 포드를 갑자기 종료하지 않습니다. 자세한 내용을 알아보려면 Kubernetes 웹사이트의 포드 중단 예산을 참조하십시오. Amazon EKS는 기본 노드를 업데이트할 때 PDB를 고려합니다. 가동 중지 시간을 방지하려면 포드에 PDB를 구성하는 것이 가장 좋습니다. 그러나 공격적인 PDB는 제거 실패 및 노드 종료를 유발할 수 있습니다.
Q. 가동 중지 시간을 방지하는 조치를 취할 수 없다면 패치 적용이나 제거를 연기할 수 있습니까?
보안을 위해 Amazon EKS는 여러 클러스터에 일괄적으로 패치를 자동으로 적용합니다. 일부 CVE(Common Vulnerabilities and Exposures, 일반적인 취약점 및 노출)는 중요하고 즉각적인 조치가 필요하기 때문에 패치 적용을 연기할 수 없습니다. 예외가 필요한 경우 자세한 근거와 함께 Amazon EKS 팀에 기술 지원 사례를 제출하십시오.
Q. Amazon EKS는 Fargate 노드의 OS를 얼마나 자주 패치합니까?
Amazon EKS는 정기적으로 Fargate 노드의 OS(Operating System, 운영 체제)를 패치합니다. 또한 미리 확인할 수 없는 버그 수정 및 보안 업데이트에 대한 패치도 적용합니다.
Q. 패치가 적용된 정확한 시간과 날짜에 대한 정보는 어디서 찾을 수 있습니까?
Amazon EKS는 패치 프로세스에 대해 미리 알림을 전송합니다. 하지만 패치 적용에는 정해진 날짜와 시간이 없습니다. Amazon EKS에서 패치를 자동으로 적용하기 때문에 알림에 지정된 날짜 또는 그 이후에 언제든지 패치가 발생할 수 있습니다.
Q. Amazon EKS의 보안 업데이트 관련 알림을 어디에서 확인할 수 있습니까?
Amazon EKS는 보안 패치에 대한 이메일 알림을 AWS 계정의 기본 이메일 주소와 AWS Health Dashboard로 보냅니다. Amazon EventBridge를 사용하여 이러한 알림을 다른 AWS 서비스 또는 타사 도구에 전달할 수 있습니다.