ㅡ.ㅡ

사용자가 정의한 정책에 따라 리소스 사용량, 우선순위, 예약 제약 조건 등을 고려하여 Pod를 재배치하거나 종료하여 클러스터의 자원 활용을 최적화하고 안정성과 성능을 향상시키는 도구 deschedulerPolicy Pod를 리스케줄링할 정책을 담당한다. evictSystemCriticalPods 크리티컬 파드(priorityClassName이 system-cluster-critical 또는 system-node-critical)는 미 삭제, true 설정시 삭제 가능(aws-node와 같은 파드가 삭제될 수 있음) evictFailedBarePods 재 생성되지 않는 파드(Deployment, StatefulSet, Job을 제외한 단일 pod 등)는 미 삭제, true 설정시 삭제 가능 evictLoc..

EKS는 클러스터 생성자의 IAM에 API Server를 통해 자원에 접근 할 수 있는 system:master 권한(Role)을 자동으로 부여합니다.(실제 계정과 어떻게 연결되어 있는지는 안보이네요.... 찾으면 추가해놓겠슴다) 타 Iam User/Role로 API Server를 통해 자원에 접근 시 정상적인 인증 단계(kube config)가 통과되어도 리소스에 접근할 권한이 없어 에러가 발생합니다. Kubernetes 공식 문서를 확인해보면 최상위 권한인 ClusterRole(cluster-admin)을 통해 클러스터와 모든 네임스페이스의 리소스에 접근할 수 잇는걸 확인할 수 있습니다. Role RoleBinding : Role이 생성된 네임스페이스 내 리소스만 접근 가능 ClusterRole Cl..

1. Privileged 가장 넓은 수준의 권한을 제공하는 정책으로 알려진 권한 상승을 허용 2. Baseline 알려진 권한 상승을 방지하는 최소 제한 정책으로 지정된 구성만을 허용 2-1. HostProcess Windows Pod는 Windows노드에 엑세스를 가능하게하는 HostProcess 컨테이너를 실행할수 있는 기능을 기본적으로 제공하여 노드에 엑세스를 가능함 Restricted Fields spec.securityContext.windowsOptions.hostProcess spec.containers[*].securityContext.windowsOptions.hostProcess spec.initContainers[*].securityContext.windowsOptions.hostPr..