엊그제 CKA (Certified Kubenetes Administrator) 자격을 취득했습니다. AWS Solutinos Architect Associate 취득이 거의 3년전이었으니 3년만에 또 하나의 자격증을 추가하는 <게으름>을 선보였습니다 ㅎㅎ
CKA 취득후 좀 쉴까 했더니, AWS SAA 자격이 11월 만료라고 갱신하라는 알람이 똬악... 그래서 부랴부랴 유데미 Udemy 에서 강의를 검색해 봤습니다. SAA 취득할때는 Ryan 님의 강의로 도움을 많이 받았는데, Ryan님의 회사 Cloud Guru가 다른 회사에 인수되면서 강의가 다 내려갔습니다 ㅜㅜ
고심끝에 고른 강의는 Neal Davis님의 SAP 강의 일단 20시간 VOD라 짧고 굵게 공부할 수 있을 것 같고 본인이 운영하는 Digital Cloud Training 이라는 서비스에서 실습할 수 있는 환경을 제공해 주는 것 같아 과감히 선택했습니다.
가격도 정가 49000원 대비 추석 맞이 할인 71% 적용중이라 14000원으로 아주아주 착해서... 과감히 결제했습니다 ㅋ 이제 11월까지 한번 또 달려봐야겠습니다!
그나저나 이거 공부하면 또... 번역 작업은 언제하나 싶은 생각이 듭니다. 아직 챕터 1도 안끝났는데... 역시 잠을 줄여야 합니다 ㅜㅜ 강의를 자세히 살펴보려면 아래 링크로~ 샘플 강의 몇 가지를 들어볼 수 있습니다.
CKA는 Certified Kuberneted Administrator 의 약자로 DevOps 엔지니어나 Infra Engineer를 위한 Administrator 역량 시험이라 보면 되겠습니다. 클라우드 네이티브 환경에서의 개발 보다는 아케텍쳐 설계와 운영, 관리에 촛점이 맞춰져 있습니다.
CKA도 일타강사는 뭄샤드 형님!
2만원 정도로 할인 판매할 때 샀던 강의인데 역시 연초라 12,000원에 Unlimited 강의 수강이 열려 있습니다. CKAD 와 마찬가지로 Kode Kloud 강의가 같이 제공됩니다.
2021년 마지막 날까지 열심히 CKA 강의를 들었습니다. 진도율 100% 채우고 이제 Kode Kloud 에서 랩 실습과 함께 모의 시험을 가지고 연습하는 중입니다.
1월중으로 CKA를 먼저 취득하고 곧 CKAD 까지 2월내에 취득해 보도록 해야겠습니다!
(추가. 2022.09) 참고로, 추천해드린 뭄샤드 형님의 CKA 강의를 듣고 2022년 9월 시험에 합격했습니다. 시험 합격 후기와 시험 꿀팁, 가상 시험 환경에 대한 이야기는 다음의 포스팅에서 간략하게 정리를 해보았습니다. 시험을 준비하고 계시다면 조금이나마 도움이 될 것 같습니다!
CKA (Certified Kubenetes Administrator) 시험을 꽤 실무적인 시험으로 알려져 있습니다. 단답형 지식을 묻는 질문이 주류를 이루고 있어 스펙을 많이 기억해야 하는 다른 시험과 달리 실제 터미널 환경에서 쿠버네티스에 대한 컨트롤을 얼마나 잘 하고 이해하고 있는지를 확인하는 시험입니다. 네, 아직 취득한건 아닙니다 ㅎㅎ
원격으로 감독관이 컴퓨터 환경을 감시(?)하며 시험이 진행된다고 알려져 있어서 따로 정리한 레퍼런스를 활용하는 것이 어렵다고 합니다. 따라서 유용한 커맨드들을 기억해 두고 시험에 임하면 좋다고 하네요. 듣고 있는 강의에서 정리해준 몇 가지 커맨드를 잊지 않기 위해 정리해 봅니다.
예제 시험문제를 몇 가지 풀다보니 손으로 Yaml 파일을 구성해야 하는 시나리오가 종종 나오는 것 같습니다. 시행착오를 줄이고 시간을 단축하기 위해, 위의 명령들로 템플릿을 생성해서 변경하는 방식이 아무래도 시험 볼 때 마음을 편안하게 해주겠죠? 기초적인 명령들이지만 익숙하지 않다보니... 일단 여기까지!
AWS 를 사용하면서 만나는 Global 서비스들이 여럿 있습니다. CDN 제품인 CloudFront 가 가장 대표적인 Global 서비스이고 CF 에서 사용할 수 있는 WAF (Web Application Firewall) 역시 Global 서비스 입니다. 이런 제품들의 특징은 사용자에게 가까운 곳에서 동작해야 효과가 좋다(?)는 점이죠.
최근 WAF 는 Version 2 를 출시하면서 기존의 WAF 는 WAF Classic 으로 부르기 시작했습니다. 몇 가지 변화들이 있지만 그 이야기를 하려는 것은 아니구요, 새로운 버전이 출시되면서 IAM Policy 에도 WAF v2 에 대응하는 부분이 추가되었고 Console 접근을 하려다 보니 생겼던 에피소드를 IAM Policy 를 살펴보면서 간단히 이야기 해볼까 합니다.
IAM 에서 미리 정의하여 제공되는 Policy 중 WAF 와 관련된 것은 두가지가 있습니다. 하나는 AWSWAFFullAccess 이고 다른 하나는 AWSWAFConsoleFullAccess 입니다. 이들 Policy 를 사용하여 권한을 부여해 두었다면 Action 항목에 "wafv2:*" 가 자동으로 추가, 적용이 되었고 WAFv2 의 사용에 문제가 없어야 합니다. 개별 정책을 JSON 으로 정의했다면 명시적으로 "wafv2" 를 넣어줘야 합니다.
문제는 기존 WAF Classic 은 화면 진입은 잘 되면서 에러 메세지가 눈에 안 띄는 곳에 나오면서 콘솔 진입시 위 정책이 충분치 않다는 것을 인지하기가 조금 어려웠습니다. 그런데 WAF v2 에서는 Unauthorized 메세지가 대박 크게 나오면서 마치 wafv2 정책이 제대로 들어가지 않은 것처럼 보이는 제보가 들어왔던 것이지요. 결론을 먼저 말하면 위 정책으로는 WAF Classic 이든 WAFv2 든 제대로 동작하지 않는게 정상입니다.
AWSWAFConsoleFullAccess 정책을 살펴보면 AWSWAFFullAccess 에 있는 정책들이 모두 들어가 있습니다. 추가로 WAF 적용의 주된 대상이 되는 API Gateway, CloudFront, ELB 관련한 항목들이 추가된 것이 보이는데요, 이들 정책이 있어야 AWS Console 화면 구성에 필요한 정보들을 가져올 수 있고 화면 접근시 Authorization 에러가 발생하지 않게 되는 것으로 생각됩니다. 한참을 헤메다 요 정책을 그룹에 추가해 주고나서 문제를 해소할 수 있었습니다.
AWS 를 쓰다보면 IAM 에서 적절하고 충분한 권한을 주는 문제에 종종 부딪히게 됩니다. 적용된 정책을 확인하는 페이지도 제공하고 있긴 하지만 실제로 사용자들이 API 호출이나 Console 액세스시에 겪게 되는 문제와 연결고리를 찾기 힘든 경우도 종종 생깁니다. 결국은 경험치가 있어야 하는 것인가 하는 고민에 빠지게 되는 5월의 어느날입니다.
