- 인쇄
- PDF
PaaS-TA on Ncloud 사용 준비
- 인쇄
- PDF
VPC 환경에서 이용 가능합니다.
PaaS-TA on Ncloud의 원활한 이용을 위한 준비 사항 및 요금 등을 설명합니다.
클라우드 환경 준비 사항
PaaS-TA on Ncloud를 이용하기 위해 클라우드 환경에서 준비해야 하는 사항은 다음과 같습니다.
Ncloud Kubernetes Service 생성
Kubernetes 기반 PaaS-TA on Ncloud를 이용하려면 Kubernetes 클러스터를 구성해야 합니다.
Ncloud Kubernetes Service 생성하기를 참조해 클러스터를 생성해 주십시오.
PaaS-TA on Ncloud 리소스 생성 단계에서 아래 스펙에 해당하는 클러스터만 선택할 수 있습니다.
- CPU: 4 cores, Memory: 16 GB 이상의 서버 스펙을 가진 워커노드 5대 이상
- CNI Plugin:
cilium
Kubernetes 1.25 이상인 경우 Pod Security Policy를 지원하지 않아 Kyverno 1.10 이상 설치 후 이용하실 수 있습니다.
PaaS-TA 배포 이후, Kyverno를 제거하는 것은 보안에 취약하여 권장하지 않습니다.
DB 서브넷, NAT 게이트웨이 생성
VPC, 서브넷 - 코어, 서비스 영역은 Ncloud Kubernetes Service 클러스터에 설정된 VPC, 서브넷을 사용합니다.
1. DB 서브넷 생성
DB 서브넷은 PaaS-TA를 설치할 Ncloud Kubernetes Service 클러스터의 VPC 내에서 생성해야 합니다.
Subnet 생성하기와 아래 표의 예시를 참조하여 서브넷을 생성해 주십시오.
- Internet Gateway 전용 여부을 N으로 하여 Private 서브넷으로 생성해 주십시오.
네트워크 레이어 | 설명 | 이름 예시 | CIDR 예시 |
---|---|---|---|
PaaS-TA DB Service Subnet | PaaS-TA DB용 서브넷 | paasta-db-subnet | 192.168.3.0/24 |
2. NAT 게이트웨이 생성
NAT Gateway를 참조하여 NAT 게이트웨이를 생성한 후 생성한 NAT 게이트웨이로의 라우트 규칙을 *-default-private-table
Route Table에 추가해 주십시오.
연동 서비스 생성
PaaS-TA on Ncloud를 이용하기 위해서 아래 서비스를 생성해 주십시오.
항목 | 설명 |
---|---|
Global DNS | 시스템/Workloads 도메인 등록에 필요한 DNS 서비스 |
Certificate Manager | 시스템/Workloads Wildcard 도메인 SSL 인증서 등록에 필요한 인증서 관리 서비스 |
Cloud DB for MySQL | PaaS-TA 관리용 데이터베이스 |
Object Storage | App Package, Buildpack, Droplet, Resource 데이터 저장소 |
Container Registry | PaaS-TA 관리용 컨테이너 레지스트리 |
- Cloud DB for MySQL
- PaaS-TA DB 서브넷으로 생성된 서비스만 선택할 수 있습니다.
- DB 엔진 버전 선택 시
mysql 5.7.x
버전을 사용해 주십시오. - Subnet 선택 시 사용 준비 단계에서 생성한
PaaS-TA DB Service Subnet
을 선택해 주십시오. - PaaS-TA 생성 과정에서 생성한 Cloud DB for MySQL에
cf
Prefix 이름을 가진 User와 Database가 추가됩니다. 삭제되지 않도록 주의해 주십시오.
- Object Storage
- App Package, Buildpack, Droplet, Resource 파일을 저장하기 위한 Object Storage 버킷을 생성해 주십시오.
- 버킷 이름 예시
- App Package paasta-app-package
- Buildpack paasta-buildpack
- Droplet paasta-droplet
- Resource paasta-resource
Let's encrypt 인증서를 사용하는 경우 Certificate Manager 등록 방법
SSL 인증서가 없다면 Let's encrypt를 이용해서 인증서를 생성할 수 있습니다.
아래 가이드를 참고하여 Let's encrypt로 생성한 인증서를 Certificate Manager에 등록하여 사용해 주십시오.
- ISRG Root X1 루트 인증서를 다운로드해 주십시오.
- Chain 내에 Root CA가 포함되어 있지 않아 인증서 검증 오류가 발생하기 때문에 Certificate Manager에 그대로 등록할 수 없습니다.
# 1) Root CA pem 파일 다운로드
$ wget https://kr.object.gov-ncloudstorage.com/vpaasta/traefik.me/isrgrootx1.pem
- 아래 명령어를 입력해 Root CA를 포함한
fullca.pem
파일을 생성해 주십시오.- fullchain 내의 3번째 인증서 정보는 삭제 후 다운로드한 Root 인증서를 추가합니다.
fullchain 내의 3번째 인증서 정보는 만료된 DST Root CA X3, Digital Signature Trust Co.가 Issuer로 등록된 인증서이기 때문에 제거해야 유효성 검사를 통과할 수 있습니다.
# 2) Root CA + chain 인증서 생성
$ cat isrgrootx1.pem fullchain.pem > fullca.pem
- 아래 명령어를 입력해 인증서 검증 오류가 발생하지 않는지 확인해 주십시오.
$ openssl verify -CAfile fullca.pem cert.pem
cert.pem: OK
- Certificate Manager 사용 가이드를 참조해 인증서를 등록해 주십시오.
- Private Key:
privkey.pem
파일 내용을 복사해서 입력 - Certificate Body:
cert.pem
파일 내용을 복사해서 입력 - Certification Chain:
fullca.pem
파일 내용을 복사해서 입력
- Private Key:
이용 요금
PaaS-TA on Ncloud는 종량 요금제로 서비스하고 있습니다.
자세한 요금 기준은 포털 > 서비스 > PaaS-TA on Ncloud 의 요금 탭을 참고해 주십시오.