Cloudforet 개발자 문서 - 손쉬운 멀티 클라우드 관리를 위한 안내서

• 1: 소개
• 1.1: Integrations
• 1.2: Release Notes
• 2: 주요 컨셉
• 2.1: Identity
• 2.1.1: Role Based Access Control
• 2.1.1.1: Understanding Policy
• 2.1.1.2: Understanding Role
• 3: 설치 및 운영
• 3.1: Installation
• 3.1.1: AWS
• 3.1.2: On Premise
• 3.2: 설정
• 3.2.1: 플러그인 사설 인증서 설정
• 3.2.2: Change kubernetes namespace
• 3.2.3: Kubernetes imagePullSecrets 설정
• 3.2.4: HTTP Proxy 설정
• 3.2.5: 프라이빗 이미지 저장소 지원
• 3.2.6: 기존 인증서로 Secret 만들기
• 4: 사용 가이드
• 4.1: 시작하기
• 4.2: 권한 체계
• 4.3: 관리자 가이드
• 4.3.1: 시작하기
• 4.3.2: 사용자 관리
• 4.3.3: 앱 관리
• 4.3.4: 역할 관리
• 4.3.5: 워크스페이스 관리
• 4.3.6: 도메인 설정
• 4.3.7: 공지사항 관리
• 4.3.8: 데이터 소스 관리
• 4.3.9: 서비스 어카운트 관리
• 4.3.10: 전체 자원 관리
• 4.3.11: 전체 비용 관리
• 4.3.12: 북마크 관리
• 4.3.13: 워크스페이스 휴면 관리
• 4.4: 프로젝트
• 4.4.1: 프로젝트
• 4.4.2: 멤버
• 4.5: 대시보드
• 4.5.1: 대시보드 생성
• 4.5.2: 데이터 추가 및 위젯 설정
• 4.5.3: 차트 타입별 위젯 세부 설정
• 4.6: 에셋 인벤토리
• 4.6.1: Quick Start
• 4.6.2: 클라우드 서비스
• 4.6.3: 서버
• 4.6.4: 메트릭 분석
• 4.6.5: 컬렉터
• 4.6.6: 서비스 어카운트
• 4.7: 비용 관리
• 4.7.1: 비용 분석
• 4.7.2: 예산
• 4.7.3: 비용 리포트
• 4.8: 얼럿 매니저
• 4.8.1: Quick Start
• 4.8.2: 대시보드
• 4.8.3: 얼럿
• 4.8.4: 웹훅
• 4.8.5: 이벤트 규칙
• 4.8.6: 유지 관리 기간
• 4.8.7: 알림
• 4.8.8: 에스컬레이션 정책
• 4.9: 사용자 및 접근 관리
• 4.9.1: 사용자
• 4.9.2: 앱 관리
• 4.10: 마이페이지
• 4.10.1: 계정 & 프로필
• 4.10.2: 알림 채널
• 4.11: 정보
• 4.11.1: 공지사항
• 4.12: 고급 기능
• 4.12.1: 커스텀 테이블
• 4.12.2: 액셀 내보내기
• 4.12.3: 검색
• 4.13: 플러그인
• 4.13.1: [비용 분석] 데이터 소스
• 4.13.2: [IAM] 인증
• 4.13.3: [얼럿 매니저] 알림
• 4.13.4: [얼럿 매니저] 웹훅
• 4.13.5: [에셋 인벤토리] 컬렉터
• 4.14: 프로바이더별 계정 연동
• 4.14.1: AWS 계정 자동 동기화
• 4.14.2: Azure 계정 자동 동기화
• 4.14.3: GCP 계정 자동 동기화
• 4.14.4: Kubernetes 계정 연동
• 4.14.5: Kubernetes 계정 연동
• 5: 개발 가이드
• 5.1: Frontend
• 5.1.1: Software Architecture
• 5.1.1.1: Frontend Error Handling
• 5.1.1.2: Frontend Authentication
• 5.1.1.3: Config Management
• 5.1.2: 시작하기
• 5.1.3: Coding Convention
• 5.1.4: Commit Convention
• 5.2: Plugins
• 5.2.1: Developer Guide
• 5.2.1.1: gRPC Interface 확인
• 5.2.1.2: Plugin Register
• 5.2.1.3: Plugin Deployment
• 5.3: Design System
• 5.3.1: 시작하기
• 5.4: Contribute
• 5.4.1: Content 가이드
• 5.4.2: Style 가이드 (shortcodes)

1 - 소개

1.1 - Integrations

Overview

SpaceONE은 Plugin Architecture 기반으로 개발되어, 각각의 Core Service를 지원하는 수많은 Eco System을 가지고 있습니다. 아래의 리스트에 포함되지 않은 기술들이 플러그인으로서 지원되야 할 경우, 문의 주세요.

Inventory

Inventory.Collector Type의 Plugin은 SpaceONE의 Asset 관리 기능의 핵심 역할을 수행합니다. 다양한 리전에 숨어있는 여러 Provider의 Cloud Resource를 자동으로 탐색하여 체계적으로 분류하여 줍니다.

AWS Cloud Service Plugin

수백개 이상의 AWS 에서 주로 사용되는 Cloud Resource를 자동으로 탐색하여 분류 합니다.

MS Azure Cloud Service Plugin

Azure에서 주로 사용되는 Cloud Resource를 자동으로 탐색하여 분류 합니다.

Google Cloud Service Plugin

Google Cloud 에서 주로 사용되는 Cloud Resource를 자동으로 탐색하여 분류 합니다.

Oracle Cloud Service Plugin

Oracle Cloud 에서 주로 사용되는 Cloud Resource를 자동으로 탐색하여 분류 합니다.

Alibaba Cloud Service Plugin

Alibaba Cloud 에서 주로 사용되는 Cloud Resource를 자동으로 탐색하여 분류 합니다.

Identity

Identity.auth Type의 Plugin은 SpaceONE User의 인증 관리 역할을 수행합니다. Plugin을 통해 사용자의 회사 계정과 SSO를 유지할 수 있습니다.

Google oAuth Identity Plugin

KeyCloak Identity Plugin

Monitoring

DataSource

AWS CloudWatch DataSource Plugin

Azure Monitor DataSource Plugin

Google Cloud Monitor DataSource Plugin

Webhook

AWS Simple Notification Webhook Plugin

Zabbix Webhook Plugin

Grafana Webhook Plugin

Notification

API Direct Connect Protocol Plugin

AWS SNS Protocol Plugin

Slack Protocol Plugin

Telegram Protocol Plugin

Email Protocol Plugin

Billing

Megazone Hyperbilling Billing Service

Power Scheduler

AWS Power Controller Plugin

Google Power Controller Plugin

1.2 - Release Notes

2 - 주요 컨셉

2.1 - Identity

2.1.1 - Role Based Access Control

How RBAC Works

SpaceONE의 RBAC(Role Based Access Control)을 통해 누가(who), **어떠한 조직(project or domain)**에 어떠한(what) 접근을 할 수 있는지를 정의 합니다.

예를 들어, Project Admin Role은 지정된 Project 내의 모든 자원을 조회(Read) 몇 변경(Update/Delete)할 수 있습니다. Domain Viewer Role은 지정된 Domain 내의 모든 자원을 조회(Read)할 수 있습니다. 여기서 자원이란, SpaceONE 내에 생성한 사용자, Project/Project Group 및 개별 클라우드 리소스까지 모든것을 포함 합니다.

모든 사용자는 하나 이상의 역할을 가지고 있으며, 이것은 직접 역할을 부여하거나 프로젝트 내에서 상속될 수도 있습니다. 이를 통해 복잡한 프로젝트 관계 속에서 사용자의 역할관리를 손쉽게 관리할 수 있습니다.

Role은 Policy를 통해 대상이 지정된 자원에 대해 어떠한 Action을 할 수 있는지 정의 합니다. 또한 Role은 각각의 사용자에 바인딩 됩니다. 아래의 다이어그램은 RBAC를 구성하는 사용자와 Role 및 Project 간의 관계를 나타냅니다.

이러한 역할 관리 모델은 크게 3가지 구성 요소로 구분 됩니다.

• Role. 각 사용자별 부여할 수 있는 접근권한 정책의 모음 입니다. 모든 Role은 하나의 Policy를 반드시 필요로 합니다. 더 상세한 설명은 Understanding Role를 참고해주세요

• Project. 권한이 적용되는 프로젝트 혹은 프로젝트 그룹 입니다.

• User. 사용자는 콘솔에 로그인하여 UI를 이용하는 사용자와 API 사용자, SYSTEM 사용자를 모두 포함 합니다. 각 사용자들은 RoleBinding 절차를 통해 복수의 Role과 연결 됩니다. 이를 통해 적절한 권한을 받아 SpaceONE의 다양한 자원들에 접근이 가능합니다.

Basic Concepts

사용자가 조직 내의 자원에 접근 하고자 할때, 관리자는 각 사용자에게 대상 프로젝트 혹은 도메인의 역할(Role)을 부여 합니다. SpaceONE Identity Service는 각 사용자에게 부여된 Role/Policy를 확인하여 각 사용자가 자원에 접근할 수 있도록 합니다.

Resource

만약 사용자가 특정한 SpaceONE 프로젝트 내의 자원에 접근 하고자 한다면, 해당 사용자에게 적합한 Role을 부여한 후 대상 프로젝트에 멤버로 추가하여 접근 가능할게 할 수 있습니다. 이러한 자원의 예는 Server, Project, Alert 입니다.

SpaceONE내에서 관리되는 자원들을 각 서비스별로 편리하게 이용할 수 있게 하기 위해, 사전에 정의된 Role/Policy를 게시하고 있습니다. 회사 내부적으로 자체 접근범위를 정의하고 싶을 경우 Custom Policy/Custom Role을 생성하여 내부 조직에 적용할 수도 있습니다.

이것에 대한 상세할 설명은 Understanding Role 를 참고 해 주세요.

Policy

정책은 permission의 모음 입니다. permission에는 스페이스원의 각 자원에 대해 허용되는 접근 범위가 정의 되어 있습니다. 정책은 Role을 통해, 각 사용자에게 부여될 수 있습니다. 정책은 Marketplace에 게시하여 다른사용자들이 사용할 수도 있고, 특정 도메인만을 위해 Private 하게 게시될 수도 있습니다.

이 Permission은 아래와 같은 형태로 표현됩니다. {service}.{resource}.{verb} 예를 들자면 inventory.Server.list 와 같은 형태 입니다.

Permission은 SpaceONE API Method에 대응 되기도 합니다. 이것은 각각의 SpaceONE내의 microservice 각각의 노출된 API method과 긴밀하게 연관 되어 있기 때문 입니다. 그러므로, API를 호출하는 사용자가 method를 호출시 대응하는 permission을 필요로 합니다.

예를 들어, Inventory 서비스의 Server 리스트를 보기 위해 inventory.Server.list를 호출 하고자 한다면 사용자는 대응되는 inventory.Server.list permission을 role에 포함하고 있어야 합니다.

Permission은 사용자에게 직접적으로 부여할 수 없습니다. 대신에 적절한 permission의 모음을 Policy로 정의하여, 사용자에게 Role을 통해 할당할 수 있습니다. 자세한 설명은 Understanding Policy를 참고 해주세요.

Roles

Role은 접근 대상과 Policy의 조합으로 구성되어 있습니다. 사용자에게 Permission을 직접 부여할 수는 없고, Role의 형태로 부여할 수 있습니다. 또한, SpaceONE 내의 모든 자원들은 모두 Project 에 소속 되어 있습니다. 각 사용자들의 자원 접근 대상을 DOMAIN, PROJECT 으로 구분해서 관리 할 수 있습니다.

예를 들어, Domain에 대한 전체 관리자를 위해 Domain Admin Role 를 제공하고, Alert Manager의 이벤트 관리를 위해 Alert Manager Operator Role 을 제공 합니다.

Members

SpaceONE 내에서 관리하는 클라우드 자원들은 모두 프로젝트 단위로 관리 됩니다. 그러므로, 각 사용자에게 역할을 부여하고 프로젝트 멤버로 추가하여, 자원에 접근 할 수 있도록 제어할 수 있습니다.

Role 타입에 따라 사용자는 도메인내의 전체 자원에 접근 하거나, 지정된 Project 내의 자원에 Access 할 수 있습니다.

• Domain : 도메인내의 전체 자원에 접근 할 수 있습니다.
• Project : 지정된 Project 내의 자원에 접근 할 수 있습니다.

Project 타입의 사용자는 특정 Project의 Member로 추가 됨으로서 해당 프로젝트 내의 자원에 접근이 가능 합니다.

Project Group의 Member로 추가하면, 하위 모든 프로젝트 자원에 접근할 수 있는 권한이 승계 됩니다.

Organization

SpaceONE내의 모든 자원들은 아래와 같은 조직 구조를 통한 계층적인 관리가 가능합니다.

모든 사용자는 조직에 연결(RoleBinding) 되는 방식으로 접근 대상을 지정 할 수 있습니다.

• Domain : 가장 상위 레벨의 조직 입니다. 모든 프로젝트와 프로젝트 그룹을 포괄 합니다.
• PROJECT GROUP : 복수의 Project를 통합하여 관리 할 수 있는 조직 입니다.
• Projects : SpaceONE내의 가장 작은 조직 단위 입니다. 모든 클라우드의 자원들은 프로젝트에 소속 됩니다.

2.1.1.1 - Understanding Policy

Policy

Policy는 SpaceONE 자원에 대해 특정한 동작을 수행할 수 있도록 정의된 permissions의 set 입니다. Permission은 Cloud Resource에 대해 관리할 수 있는 범위를 정의 합니다. 권한관리 체계에 대한 전반적인 설명은 Role Based Access Control을 참고 해주세요.

Policy Type

한번 정의된 Policy는 다른 도메인의 Role에서 사용할 수 있도록 공유 할 수 있습니다. 이것의 가능 여부에 따라 Policy는 두 가지 타입으로 구분 됩니다.

• MANAGED : Repository 서비스에 Global하게 정의된 Policy로서, Policy를 전체 시스템 Admin이 직접 관리 하여 공유합니다. 대부분의 사용자들이 활용하기 편리한 공통 policy 입니다.
• CUSTOM : 도메인별로 Permission을 자체 정의한 Policy를 사용할 수 있습니다. 각 도메인별로 세부적인 permission을 관리 하기에 유용합니다.

Policy는 Permission Scope에 따라 아래와 같이 구분 가능 합니다.

• Basic : SpaceONE내의 모든 자원에 대해 전반적인 permission을 포함하고 있습니다.
• Predefined : 특정한 서비스(alert manager, billing 등)에 대한 세분화된 permission을 포함 합니다.

Managed Policy

아래의 Policy는 SpaceONE 팀에 의해 관리되는 Managed Policy의 전체 리스트 입니다. 상세 Permission은 필요시 자동으로 업데이트 됩니다. Policy는 조직내의 주요 역할에 따라 분류하여 생성 하였습니다.

Custom Policy

도메인 자체적 으로 Policy를 관리 하고자 할 경우, Custom Policy 관리하기 문서를 참고 해 주세요.

2.1.1.2 - Understanding Role

Role structure

Role은 아래와 같이 자원에 대한 접근 범위를 지정하는 Role Type과 권한이 적용되는 조직(프로젝트 or 프로젝트 그룹)으로 구성 됩니다. 사용자는 RoleBinding을 통해 각 SpaceONE내에 접근할 수 있는 권한을 정의할 수 있습니다.

Role Example

Example: Alert Operator Role

---
results:
  - created_at: '2021-11-15T05:12:31.060Z'
    domain_id: domain-xxx
    name: Alert Manager Operator
    policies:
      - policy_id: policy-managed-alert-manager-operator
        policy_type: MANAGED
    role_id: role-f18c7d2a9398
    role_type: PROJECT
    tags: {}

Example : Domain Viewer Role

---
results:
- created_at: '2021-11-15T05:12:28.865Z'
  domain_id: domain-xxx
  name: Domain Viewer
  policies:
  - policy_id: policy-managed-domain-viewer
    policy_type: MANAGED
  role_id: role-242f9851eee7
  role_type: DOMAIN
  tags: {}

Role Type

Role Type은 도메인내의 접근 가능한 자원의 범위를 지정 합니다.

• DOMAIN : Domain내의 모든 자원에 Access 가능 합니다.
• PROJECT : Member로 추가된 Project내의 모든 자원에 Access 가능 합니다.

Project내의 Member로 추가하는 방법은 Project의 Member로 추가 를 참고 해 주세요.

Add Member

SpaceONE내의 모든 자원들은 아래와 같이 계층적으로 관리 됩니다. 도메인의 관리자는 각 Project에 Member를 추가하여 사용자를 프로젝트내의 자원에 Access 할 수 있도록 관리할 수 있습니다. 여러 Project에 대한 Access가 필요한 사용자의 경우는 상위 Project Group에 Member로 추가하여 하위 계층에 소속된 모든 Project에 대한 Access할 수 있습니다.
Project Group의 Member로 추가하는 방법은 Project Group의 Member로 추가를 참고 해주세요.

Role Hierarchy

사용자가 계층적인 Project 구조내에서 복합적인 Rolebinding을 가질 경우 Role은 아래와 같은 규칙으로 적용 됩니다.

예를 들어, 아래의 그림과 같이 stark@example.com 사용자가 상위 Project Group에 Project Admin Role로 Binding이 되어 있고, 하위 레벨의 프로젝트인 APAC 에 Project Viewer Role로 Binding되어 있는 경우 아래와 같은 방식으로 프로젝트별 Role이 적용 됩니다.

• 직접 RoleBinding 하지 않은 하위 프로젝트/프로젝트 그룹에는 상위 프로젝트의 Role이 적용됨
• 명시적으로 RoleBinding 한 하위 프로젝트에는 해당 Role이 적용됨(상위레벨의 Role을 Overwriting함)

Default Roles

모든 스페이스원 도메인은 생성시 Default Role 을 자동으로 포함합니다. 아래는 그 리스트 입니다.

Managing Roles

spacectl을 통해 도메인 자체적 으로 Role을 관리할 수 있습니다. Role 관리하기 문서를 참고 해 주세요.

3 - 설치 및 운영

3.1 - Installation

3.1.1 - AWS

Cloudforet Helm Charts

Cloudforet 1.12의 Helm Chart 입니다.

준비사항

• Kubernetes 1.21+
• Helm 3.2.0+
• Service Domain & SSL Certificate (optional)
  • Console: console.example.com
  • REST API: *.api.example.com
  • gRPC API: *.grpc.example.com
  • Webhook: webhook.example.com
• MongoDB 5.0+ (optional)

Cloudforet Architecture

설치

아래의 단계들을 통해서 Cloudforet을 설치할 수 있습니다.

1) Helm Repository 추가

helm repo add cloudforet https://cloudforet-io.github.io/charts
helm repo update
helm search repo cloudforet

2) Namespaces 생성

kubectl create ns spaceone
kubectl create ns spaceone-plugin

만약 하나의 namespace만 사용하기를 원한다며, spaceone-plugin namespace는 생성하지 마세요.

3) Role and RoleBinding 생성

우선, rbac.yaml 파일을 다운로드 합니다.

wget https://raw.githubusercontent.com/cloudforet-io/charts/master/examples/rbac.yaml -O rbac.yaml

그리고, 아래 명령어를 실행합니다.

kubectl apply -f rbac.yaml -n spaceone-plugin

or

kubectl apply -f https://raw.githubusercontent.com/cloudforet-io/charts/master/examples/rbac.yaml -n spaceone-plugin

4) Cloudforet Chart로 설치하기

helm install cloudforet cloudforet/spaceone -n spaceone

아래 명령어를 실행한 뒤, pod의 상태를 체크하세요.

kubectl get pod -n spaceone

NAME                                       READY   STATUS             RESTARTS      AGE
board-64f468ccd6-v8wx4                     1/1     Running            0             4m16s
config-6748dc8cf9-4rbz7                    1/1     Running            0             4m14s
console-767d787489-wmhvp                   1/1     Running            0             4m15s
console-api-846867dc59-rst4k               2/2     Running            0             4m16s
console-api-v2-rest-79f8f6fb59-7zcb2       2/2     Running            0             4m16s
cost-analysis-5654566c95-rlpkz             1/1     Running            0             4m13s
cost-analysis-scheduler-69d77598f7-hh8qt   0/1     CrashLoopBackOff   3 (39s ago)   4m13s
cost-analysis-worker-68755f48bf-6vkfv      1/1     Running            0             4m15s
cost-analysis-worker-68755f48bf-7sj5j      1/1     Running            0             4m15s
cost-analysis-worker-68755f48bf-fd65m      1/1     Running            0             4m16s
cost-analysis-worker-68755f48bf-k6r99      1/1     Running            0             4m15s
dashboard-68f65776df-8s4lr                 1/1     Running            0             4m12s
file-manager-5555876d89-slqwg              1/1     Running            0             4m16s
identity-6455d6f4b7-bwgf7                  1/1     Running            0             4m14s
inventory-fc6585898-kjmwx                  1/1     Running            0             4m13s
inventory-scheduler-6dd9f6787f-k9sff       0/1     CrashLoopBackOff   4 (21s ago)   4m15s
inventory-worker-7f6d479d88-59lxs          1/1     Running            0             4m12s
mongodb-6b78c74d49-vjxsf                   1/1     Running            0             4m14s
monitoring-77d9bd8955-hv6vp                1/1     Running            0             4m15s
monitoring-rest-75cd56bc4f-wfh2m           2/2     Running            0             4m16s
monitoring-scheduler-858d876884-b67tc      0/1     Error              3 (33s ago)   4m12s
monitoring-worker-66b875cf75-9gkg9         1/1     Running            0             4m12s
notification-659c66cd4d-hxnwz              1/1     Running            0             4m13s
notification-scheduler-6c9696f96-m9vlr     1/1     Running            0             4m14s
notification-worker-77865457c9-b4dl5       1/1     Running            0             4m16s
plugin-558f9c7b9-r6zw7                     1/1     Running            0             4m13s
plugin-scheduler-695b869bc-d9zch           0/1     Error              4 (59s ago)   4m15s
plugin-worker-5f674c49df-qldw9             1/1     Running            0             4m16s
redis-566869f55-zznmt                      1/1     Running            0             4m16s
repository-8659578dfd-wsl97                1/1     Running            0             4m14s
secret-69985cfb7f-ds52j                    1/1     Running            0             4m12s
statistics-98fc4c955-9xtbp                 1/1     Running            0             4m16s
statistics-scheduler-5b6646d666-jwhdw      0/1     CrashLoopBackOff   3 (27s ago)   4m13s
statistics-worker-5f9994d85d-ftpwf         1/1     Running            0             4m12s
supervisor-scheduler-74c84646f5-rw4zf      2/2     Running            0             4m16s

Scheduler pod들은 CrashLoopBackOff 상태 이거나 Error상태 입니다. 아직 설정이 완료되지 않았기 때문입니다.

5) 구성 초기화

첫 번째로, initializer.yaml 파일을 다운로드 합니다.

wget https://raw.githubusercontent.com/cloudforet-io/charts/master/examples/initializer.yaml -O initializer.yaml

그리고 아래 명령어로 실행합니다.

helm install cloudforet-initializer cloudforet/spaceone-initializer -n spaceone -f initializer.yaml

or

helm install cloudforet-initializer cloudforet/spaceone-initializer -n spaceone -f https://raw.githubusercontent.com/cloudforet-io/charts/master/examples/initializer.yaml

Initializer에 대한 자세한 설명은, 다음을 참고하세요. spaceone-initializer

6) Helm Value값 들을 설정하고 Chart Upgrade 하기

초기화과 완료되면, initializer pod의 로그에서 시스템 token 값을 얻을 수 있습니다.

# check pod name
kubectl logs initialize-spaceone-xxxx-xxxxx -n spaceone

...
TASK [Print Admin API Key] *********************************************************************************************
"{TOKEN}"

FINISHED [ ok=23, skipped=0 ] ******************************************************************************************

FINISH SPACEONE INITIALIZE

일단 이 TOKEN 값을 복사고, values.yaml 파일을 만들어서 TOKEN에 붙여 넣습니다.

console:
  production_json:
    # If you don't have a service domain, you refer to the following 'No Domain & IP Access' example.
    CONSOLE_API:
      ENDPOINT: https://console.api.example.com       # Change the endpoint
    CONSOLE_API_V2:
      ENDPOINT: https://console-v2.api.example.com    # Change the endpoint

global:
  shared_conf:
    TOKEN: '{TOKEN}'                                    # Change the system token

더 많은 advanced 설정들은 아래 링크드를 참고하세요.

• Documents
  • Parameters
• Examples
  • Default Values

values.yaml파일을 수정하고 helm chart를 upgrade합니다.

helm upgrade cloudforet cloudforet/spaceone -n spaceone -f values.yaml
kubectl delete po -n spaceone -l app.kubernetes.io/instance=cloudforet

7) Pods 상태 확인

kubectl get pod -n spaceone

만약, 모든 pod들이 Running 상태이면 설정이 완료된 것입니다.

8) Ingress와 AWS Load Balancer

Kubernetes에서 Ingress는 cluster의 Services에 access할 수 있도록 부하가 분산된 외부 IP 주소를 제공하는 API 객체입니다. 계층 7 (HTTP/HTTPS) 리버스 프록시 역할을 하며 요청된 호스트 및 URL 경로를 기반으로 트래픽을 다른 서비스로 라우팅할 수 있습니다.

AWS EKS에서는 ingress를 생성할 때 애플리케이션 트래픽을 로드 밸런싱하는 AWS Application Load Balancer(ALB)가 프로비저닝 됩니다.
자세한 내용은 AWS에 Application Load Balancer란 무엇인가요? 및 Kubernetes 설명서의 ingress를 참조하세요.

선행작업

AWS Load Balancer Controller 설치
AWS Load Balancer Controller는 Kubernetes Cluster에서 ELB(Elastic Load Balancers)를 관리하는데 도움을 주는 컨트롤러입니다. Ingress resource는 Application Load Balancer로, Service resource는 Network Load Balancer로 Provisioning 합니다. 설치 방법은 환경에 따라 다를 수 있으니 아래 공식 가이드 문서를 참고하세요.

• https://kubernetes-sigs.github.io/aws-load-balancer-controller/v2.5/deploy/installation/

Cloudforet ingress 설정 방법

1) Ingress 종류
Cloudforet에서는 총 2개의 파일을 통해서 3개의 ingress를 프로비저닝 합니다.

• Console : 도메인에 접속하기 위한 ingress
• REST API : API 서비스를 위한 ingress
  • console-api
  • console-api-v2

2) Console ingress
Console에 접속하기 위한 ingress를 아래와 같이 설정합니다.

cat <<EOF> cloudforet-console-ingress.yaml
---
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: console-ingress
  namespace: spaceone
  annotations:
    alb.ingress.kubernetes.io/listen-ports: '[{"HTTP": 80}]'
    alb.ingress.kubernetes.io/scheme: internet-facing
    alb.ingress.kubernetes.io/target-type: ip
    alb.ingress.kubernetes.io/load-balancer-attributes: idle_timeout.timeout_seconds=600
    alb.ingress.kubernetes.io/healthcheck-protocol: HTTP
    alb.ingress.kubernetes.io/success-codes: 200-399
    alb.ingress.kubernetes.io/load-balancer-name: spaceone-console-ingress # Caution!! Must be fewer than 32 characters.
spec:
  ingressClassName: alb
  defaultBackend:
    service:
      name: console
      port:
        number: 80
EOF

# Apply ingress
kubectl apply -f spaceone-console-ingress.yaml

해당 ingress를 apply하면 spaceone-console-ingress라는 이름으로 AWS Load Balancer에 프로비져닝 됩니다. HTTP(80 Port)를 사용하여 프로비져닝 된 DNS 이름을 통해서 접속 가능합니다.

3) REST API ingress
다음은 api 서비스를 위한 REST API ingress를 아래와 같이 설정합니다.

cat <<EOF> spaceone-rest-ingress.yaml
---
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: console-api-ingress
  namespace: spaceone
  annotations:
    alb.ingress.kubernetes.io/listen-ports: '[{"HTTP": 80}]'
    alb.ingress.kubernetes.io/scheme: internet-facing
    alb.ingress.kubernetes.io/target-type: ip
    alb.ingress.kubernetes.io/load-balancer-attributes: idle_timeout.timeout_seconds=600
    alb.ingress.kubernetes.io/healthcheck-protocol: HTTP
    alb.ingress.kubernetes.io/success-codes: 200-399
    alb.ingress.kubernetes.io/load-balancer-name: spaceone-console-api-ingress # Caution!! Must be fewer than 32 characters.
spec:
  ingressClassName: alb
  defaultBackend:
    service:
      name: console-api
      port:
        number: 80
---
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: console-api-v2-ingress
  namespace: spaceone
  annotations:
    alb.ingress.kubernetes.io/listen-ports: '[{"HTTP": 80}]'
    alb.ingress.kubernetes.io/scheme: internet-facing
    alb.ingress.kubernetes.io/target-type: ip
    alb.ingress.kubernetes.io/load-balancer-attributes: idle_timeout.timeout_seconds=600
    alb.ingress.kubernetes.io/healthcheck-protocol: HTTP
    alb.ingress.kubernetes.io/success-codes: 200-399
    alb.ingress.kubernetes.io/load-balancer-name: spaceone-console-api-v2-ingress
spec:
  ingressClassName: alb
  defaultBackend:
    service:
      name: console-api-v2-rest
      port:
        number: 80
EOF

# Apply ingress
kubectl apply -f spaceone-rest-ingress.yaml

REST API ingress는 2개의 ALB를 프로비저닝합니다. REST API의 DNS Name은 values.yaml파일에 console.CONSOLE_API.ENDPOINT, console.CONSOLE_API_V2.ENDPOINT로 각각 추가 되어야하기 때문에 반드시 저장해야 합니다.

4) DNS Name 확인
DNS 이름은 http://{ingress-name}-{random}.{region-code}.elb.amazoneaws.com 와 같이 생성됩니다. kubernetes에서 kucectl get ingress -n spaceone 명령를 통해서 확인 가능합니다.

kubectl get ingress -n spaceone

NAME                     CLASS   HOSTS   ADDRESS                                                                      PORTS   AGE
console-api-ingress      alb     *       spaceone-console-api-ingress-xxxxxxxxxx.{region-code}.elb.amazonaws.com      80      15h
console-api-v2-ingress   alb     *       spaceone-console-api-v2-ingress-xxxxxxxxxx.{region-code}.elb.amazonaws.com   80      15h
console-ingress          alb     *       spaceone-console-ingress-xxxxxxxxxx.{region-code}.elb.amazonaws.com          80      15h

또는, AWS Console에서 확인 가능합니다. EC2 > Load balancer에서 아래 이미지와 같이 확인 할 수 있습니다.

5) DNS Name으로 접속
ingress가 모두 준비 되었다면 values.yaml 파일을 수정하고 pods를 재시작해서 console에 접속합니다.

console:
  production_json:
    # If you don't have a service domain, you refer to the following 'No Domain & IP Access' example.
    CONSOLE_API:
      ENDPOINT: http://spaceone-console-api-ingress-xxxxxxxxxx.{region-code}.elb.amazonaws.com
    CONSOLE_API_V2:
      ENDPOINT: http://spaceone-console-api-v2-ingress-xxxxxxxxxx.{region-code}.elb.amazonaws.com

준비된 values.yaml 파일을 적용 후 pods를 재시작 합니다.

helm upgrade cloudforet cloudforet/spaceone -n spaceone -f values.yaml
kubectl delete po -n spaceone -l app.kubernetes.io/instance=cloudforet

이제 spaceone-console-ingress 의 DNS Name으로 Cloudforet에 접속할 수 있습니다.

• http://spaceone-console-ingress-xxxxxxxxxx.{region-code}.elb.amazonaws.com

Advanced ingress settings

SSL 인증서 등록 방법
SSL 통신을 위해서 ingress에 인증서를 등록하는 방법을 안내합니다. 인증서 등록을 위해한 2가지 방법이 있습니다. ACM(AWS Certificate Manager)를 이용하는 경우와 외부 인증서를 등록하는 방법입니다.

ACM 인증서를 ingress에 등록하는 방법
ACM을 통해서 인증서를 발급받은 경우라면 ingress에 간단히 acm arn을 등록하는 것으로 SSL 인증서 등록을 할 수 있습니다.

우선, ACM 인증서를 발급받는 방법은 AWS 공식 가이드 문서를 참고하세요.

• https://docs.aws.amazon.com/ko_kr/acm/latest/userguide/gs.html

발급받은 인증서를 등록하는 방법은 아래와 같습니다. 기존 ingress에서 SSL 통신을 위해 추가, 변경되는 옵션들을 확인합니다.

ingress에서 변경된 내용을 확인하세요.
ssl을 위한 다양한 설정이 추가, 변경됩니다. metadata.annotations 내용을 확인하세요.
그리고 spec.rules에서 ssl-redirect 및 spec.rules.host 등 추가된 내용들을 확인하세요.

• spaceone-console-ingress.yaml

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: console-ingress
  namespace: spaceone
  annotations:
+   alb.ingress.kubernetes.io/actions.ssl-redirect: '{"Type": "redirect", "RedirectConfig": { "Protocol": "HTTPS", "Port": "443", "StatusCode": "HTTP_301"}}'
+   alb.ingress.kubernetes.io/listen-ports: '[{"HTTP": 80}, {"HTTPS":443}]'
-   alb.ingress.kubernetes.io/listen-ports: '[{"HTTP": 80}]'
    alb.ingress.kubernetes.io/scheme: internet-facing
    alb.ingress.kubernetes.io/target-type: ip
    alb.ingress.kubernetes.io/load-balancer-attributes: idle_timeout.timeout_seconds=600
    alb.ingress.kubernetes.io/healthcheck-protocol: HTTP
+   alb.ingress.kubernetes.io/certificate-arn: "arn:aws:acm:..."  # Change the certificate-arn
    alb.ingress.kubernetes.io/success-codes: 200-399
    alb.ingress.kubernetes.io/load-balancer-name: spaceone-console-ingress # Caution!! Must be fewer than 32 characters.
spec:
  ingressClassName: alb
- defaultBackend:
-   service:
-     name: console
-     port:
-       number: 80
+ rules:
+   - http:
+       paths:
+         - path: /*
+           pathType: ImplementationSpecific
+           backend:
+             service:
+               name: ssl-redirect
+               port:
+                 name: use-annotation
+   - host: "console.example.com"  # Change the hostname
+     http:
+       paths:
+         - path: /*
+           pathType: ImplementationSpecific
+           backend:
+             service:
+               name: console 
+               port:
+                 number: 80

• spaceone-rest-ingress.yaml

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: console-api-ingress
  namespace: spaceone
  annotations:
+   alb.ingress.kubernetes.io/actions.ssl-redirect: '{"Type": "redirect", "RedirectConfig": { "Protocol": "HTTPS", "Port": "443", "StatusCode": "HTTP_301"}}'
+   alb.ingress.kubernetes.io/listen-ports: '[{"HTTP": 80}, {"HTTPS":443}]'
-   alb.ingress.kubernetes.io/listen-ports: '[{"HTTP": 80}]'
    alb.ingress.kubernetes.io/scheme: internet-facing
    alb.ingress.kubernetes.io/target-type: ip
    alb.ingress.kubernetes.io/load-balancer-attributes: idle_timeout.timeout_seconds=600
    alb.ingress.kubernetes.io/healthcheck-protocol: HTTP
+   alb.ingress.kubernetes.io/certificate-arn: "arn:aws:acm:..."  # Change the certificate-arn
    alb.ingress.kubernetes.io/success-codes: 200-399
    alb.ingress.kubernetes.io/load-balancer-name: spaceone-console-api-ingress # Caution!! Must be fewer than 32 characters.
spec:
  ingressClassName: alb
- defaultBackend:
-   service:
-     name: console-api
-     port:
-       number: 80
+ rules:
+   - http:
+       paths:
+         - path: /*
+           pathType: ImplementationSpecific
+           backend:
+             service:
+               name: ssl-redirect
+               port:
+                 name: use-annotation
+   - host: "console.api.example.com"  # Change the hostname
+     http:
+       paths:
+         - path: /*
+           pathType: ImplementationSpecific
+           backend:
+             service:
+               name: console-api
+               port:
+                 number: 80
---
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: console-api-v2-ingress
  namespace: spaceone
  annotations:
+   alb.ingress.kubernetes.io/actions.ssl-redirect: '{"Type": "redirect", "RedirectConfig": { "Protocol": "HTTPS", "Port": "443", "StatusCode": "HTTP_301"}}'
+   alb.ingress.kubernetes.io/listen-ports: '[{"HTTP": 80}, {"HTTPS":443}]'
-   alb.ingress.kubernetes.io/listen-ports: '[{"HTTP": 80}]'
    alb.ingress.kubernetes.io/scheme: internet-facing
    alb.ingress.kubernetes.io/target-type: ip
    alb.ingress.kubernetes.io/load-balancer-attributes: idle_timeout.timeout_seconds=600
    alb.ingress.kubernetes.io/healthcheck-protocol: HTTP
+   alb.ingress.kubernetes.io/certificate-arn: "arn:aws:acm:..."  # Change the certificate-arn
    alb.ingress.kubernetes.io/success-codes: 200-399
    alb.ingress.kubernetes.io/load-balancer-name: spaceone-console-api-v2-ingress
spec:
  ingressClassName: alb
- defaultBackend:
-   service:
-     name: console-api-v2-rest
-     port:
-       number: 80
+ rules:
+   - http:
+       paths:
+         - path: /*
+           pathType: ImplementationSpecific
+           backend:
+             service:
+               name: ssl-redirect
+               port:
+                 name: use-annotation
+   - host: "console-v2.api.example.com"  # Change the hostname
+     http:
+       paths:
+         - path: /*
+           pathType: ImplementationSpecific
+           backend:
+             service:
+               name: console-api-v2-rest
+               port:
+                 number: 80

변경된 내용을 kubectl 명령어를 통해서 반영하면 SSL 적용이 완료됩니다.

kubectl apply -f spaceone-console-ingress.yaml
kubectl apply -f spaceone-rest-ingress.yaml

SSL/TLS 인증서를 등록하는 방법
기존에 발급받은 외부 인증서가 있는 경우에도 인증서 등록이 가능합니다. 발급받은 인증서를 이용하여 Kubernetes secret 를 추가하고, 추가된 secret 이름을 ingress에 선언하는 것으로 등록이 가능합니다.

SSL/TLS 인증서를 Kubernetes secret으로 생성합니다. 방법은 2가지로 아래와 같습니다.

1. yaml file을 이용한 방법
아래 명령어를 통해서 yaml file로 secret을 추가할 수 있습니다.

kubectl apply -f <<EOF> tls-secret.yaml
apiVersion: v1
data:
  tls.crt: {your crt}   # crt
  tls.key: {your key}   # key
kind: Secret
metadata:
  name: tls-secret
  namespace: spaceone
type: kubernetes.io/tls
EOF

2. 파일이 있을 경우 명령어를 이용한 방법
crt와 key file이 있는 경우 다음의 명령어를 이용하여 secret을 생성할 수 있습니다.

kubectl create secret tls tlssecret --key tls.key --cert tls.crt

Ingress에 tls secret을 추가
등록된 secret 정보를 이용하여 ingress를 수정합니다.

ingress-nginx 설정
secret과 tls를 이용하는 방법에는 ingress-nginx를 활용한 설정 방법들이 필요할 수 있습니다. 자세한 내용은 다음 링크들를 참고하세요.

• https://kubernetes.github.io/ingress-nginx/user-guide/tls/
• https://kubernetes.io/docs/concepts/services-networking/ingress/#tls

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: console-ingress
  namespace: spaceone
  annotations:
    alb.ingress.kubernetes.io/actions.ssl-redirect: '{"Type": "redirect", "RedirectConfig": { "Protocol": "HTTPS", "Port": "443", "StatusCode": "HTTP_301"}}'
    alb.ingress.kubernetes.io/listen-ports: '[{"HTTP": 80}, {"HTTPS":443}]'
    alb.ingress.kubernetes.io/scheme: internet-facing
    alb.ingress.kubernetes.io/target-type: ip
    alb.ingress.kubernetes.io/load-balancer-attributes: idle_timeout.timeout_seconds=600
    alb.ingress.kubernetes.io/healthcheck-protocol: HTTP
    alb.ingress.kubernetes.io/success-codes: 200-399
    alb.ingress.kubernetes.io/load-balancer-name: spaceone-console-ingress # Caution!! Must be fewer than 32 characters.
spec:
  tls:
  - hosts:
      - console.example.com        # Change the hostname
    secretName: tlssecret          # Insert secret name
  rules:
    - http:
        paths:
          - path: /*
            pathType: ImplementationSpecific
            backend:
              service:
                name: ssl-redirect
                port:
                  name: use-annotation
    - host: "console.example.com"  # Change the hostname
      http:
        paths:
          - path: /*
            pathType: ImplementationSpecific
            backend:
              service:
                name: console 
                port:
                  number: 80

3.1.2 - On Premise

Prerequisites

• Kubernetes 1.21+ : https://kubernetes.io/docs/setup/

• Kubectl command-line tool : https://kubernetes.io/docs/tasks/tools/

• Helm 3.2.0+ : https://helm.sh/docs/intro/install/

• Nginx Ingress Controller : https://kubernetes.github.io/ingress-nginx/deploy/

Cloudforet 설치

Helm chart를 이용하여 Cloudforet을 설치하는 방법을 안내합니다. 관련 내용은 다음에서도 확인 가능합니다. https://github.com/cloudforet-io/charts

1. Add Helm Repository

helm repo add cloudforet https://cloudforet-io.github.io/charts 
helm repo update 
helm search repo

2. Create Namespaces

kubectl create ns spaceone 
kubectl create ns spaceone-plugin

namespace 생성 시 주의사항
하나의 namespace에서만 사용해야할 경우 spaceone-plugin namespace는 생성하지 않아도 됩니다.
Cloudforet의 namespace를 변경하는 경우 다음의 링크를 참고하시기 바랍니다. Change K8S Namespace

3. Create Role and RoleBinding

namespace를 합치지 않은 일반적이 상황에서는 supervisor가 spaceone namespace에서 spaceone-plugin namespace로 plugin을 배포하기 때문에, 아래와 같이 role, rolebinding이 필요합니다. 다음의 링크에서 내용을 확인하세요. https://github.com/cloudforet-io/charts/blob/master/examples/rbac.yaml

자세한 권한의 내용은 아래와 같습니다. 필요한 경우 해당 파일을 편집해서 권한을 지정하면 됩니다.

• 파일 생성

  cat <<EOF> rbac.yaml
  ---
  apiVersion: rbac.authorization.k8s.io/v1
  kind: Role
  metadata:
    name: supervisor-plugin-control-role
    namespace: spaceone-plugin 
  rules:
  - apiGroups:
    - "*"
    resources:
    - replicaSets
    - pods
    - deployments
    - services
    - endpoints
    verbs:
    - get
    - list
    - watch
    - create
    - delete
  ---
  apiVersion: rbac.authorization.k8s.io/v1
  kind: RoleBinding
  metadata:
    name: supervisor-role-binding
    namespace: spaceone-plugin 
  roleRef:
    apiGroup: rbac.authorization.k8s.io
    kind: Role
    name: supervisor-plugin-control-role
  subjects:
  - kind: ServiceAccount
    name: default
    namespace: spaceone
  EOF
  

권한을 적용하려면 아래의 명령어로 반영하면 됩니다. namespace를 변경했을 경우 변경한 namespace를 입력합니다. (namespace에 주의합니다.)

kubectl apply -f rbac.yaml -n spaceone-plugin

4. Install

다음의 helm 명령어를 통해서 설치를 진행합니다.

helm install cloudforet cloudforet/spaceone -n spaceone

명령어를 입력하고 나면 spaceone namespace에서 아래와 같이 pod들이 올라오는 것을 확인 할 수 있습니다.

kubectl get pod -n spaceone

NAME                                       READY   STATUS             RESTARTS      AGE
board-64f468ccd6-v8wx4                     1/1     Running            0             4m16s
config-6748dc8cf9-4rbz7                    1/1     Running            0             4m14s
console-767d787489-wmhvp                   1/1     Running            0             4m15s
console-api-846867dc59-rst4k               2/2     Running            0             4m16s
console-api-v2-rest-79f8f6fb59-7zcb2       2/2     Running            0             4m16s
cost-analysis-5654566c95-rlpkz             1/1     Running            0             4m13s
cost-analysis-scheduler-69d77598f7-hh8qt   0/1     CrashLoopBackOff   3 (39s ago)   4m13s
cost-analysis-worker-68755f48bf-6vkfv      1/1     Running            0             4m15s
cost-analysis-worker-68755f48bf-7sj5j      1/1     Running            0             4m15s
cost-analysis-worker-68755f48bf-fd65m      1/1     Running            0             4m16s
cost-analysis-worker-68755f48bf-k6r99      1/1     Running            0             4m15s
dashboard-68f65776df-8s4lr                 1/1     Running            0             4m12s
file-manager-5555876d89-slqwg              1/1     Running            0             4m16s
identity-6455d6f4b7-bwgf7                  1/1     Running            0             4m14s
inventory-fc6585898-kjmwx                  1/1     Running            0             4m13s
inventory-scheduler-6dd9f6787f-k9sff       0/1     CrashLoopBackOff   4 (21s ago)   4m15s
inventory-worker-7f6d479d88-59lxs          1/1     Running            0             4m12s
mongodb-6b78c74d49-vjxsf                   1/1     Running            0             4m14s
monitoring-77d9bd8955-hv6vp                1/1     Running            0             4m15s
monitoring-rest-75cd56bc4f-wfh2m           2/2     Running            0             4m16s
monitoring-scheduler-858d876884-b67tc      0/1     Error              3 (33s ago)   4m12s
monitoring-worker-66b875cf75-9gkg9         1/1     Running            0             4m12s
notification-659c66cd4d-hxnwz              1/1     Running            0             4m13s
notification-scheduler-6c9696f96-m9vlr     1/1     Running            0             4m14s
notification-worker-77865457c9-b4dl5       1/1     Running            0             4m16s
plugin-558f9c7b9-r6zw7                     1/1     Running            0             4m13s
plugin-scheduler-695b869bc-d9zch           0/1     Error              4 (59s ago)   4m15s
plugin-worker-5f674c49df-qldw9             1/1     Running            0             4m16s
redis-566869f55-zznmt                      1/1     Running            0             4m16s
repository-8659578dfd-wsl97                1/1     Running            0             4m14s
secret-69985cfb7f-ds52j                    1/1     Running            0             4m12s
statistics-98fc4c955-9xtbp                 1/1     Running            0             4m16s
statistics-scheduler-5b6646d666-jwhdw      0/1     CrashLoopBackOff   3 (27s ago)   4m13s
statistics-worker-5f9994d85d-ftpwf         1/1     Running            0             4m12s
supervisor-scheduler-74c84646f5-rw4zf      2/2     Running            0             4m16s

몇몇의 scheduler pod에 문제가 있는 상태로 나머지 pod들이 올라왔다면 현재로서는 올바른 상태입니다. scheduler의 문제는 initializer를 통해 token을 발급받은 후 values.yaml 파일을 이용한 upgrade 작업이 필요합니다.

5. Initialize the configuration

Cloudforet의 domain 생성을 위한 작업입니다. initializer를 통해 root domain을 생성하고 root token를 발급합니다.

spaceone-initializer는 다음 cloudforet-io github 사이트에서 확인 가능합니다. https://github.com/cloudforet-io/spaceone-initializer

여기서 사용할 initializer.yaml 파일은 다음 링크에서 확인 가능합니다. https://github.com/cloudforet-io/charts/blob/master/examples/initializer.yaml

initializer.yaml 파일에서 domain name, domain_owner.id/password 등을 변경 할 수 있습니다.

• 파일 생성

  cat <<EOF> filename.yaml
  main:
  import:
      - /root/spacectl/apply/root_domain.yaml
      - /root/spacectl/apply/create_managed_repository.yaml
      - /root/spacectl/apply/user_domain.yaml
      - /root/spacectl/apply/create_role.yaml
      - /root/spacectl/apply/add_statistics_schedule.yaml
      - /root/spacectl/apply/print_api_key.yaml
  var:
      domain:
      root: root                      # 생성하는 root domain 이름 : root.example.com
      user: spaceone                  # 사용자를 위한 user domain 이름 : spaceone.example.com
      default_language: ko
      default_timezone: Asia/Seoul
      domain_owner:
      id: admin               # login user name
      password: Admin123!@#   # Change your password
      user:
      id: system_api_key
  EOF
  

해당 파일의 편집이 끝나면 아래 명령어를 통해서 initializer를 실행 합니다.

helm install initializer cloudforet/spaceone-initializer -n spaceone -f initializer.yaml

실행 후에는 지정한 spaceone namespace에 initializer pod가 생성되며 domain 생성작업을 수행합니다. pod가 Completed 상태가 되면 완료된 것이며 log를 확인 할 수 있습니다.

6. Set the Helm Values and Upgrade the chart

기본 설치된 helm chart에 customizing을 하기 위해서는 values.yaml 파일이 필요합니다.

values.yaml 파일에 관한 일반적인 예시는 다음의 링크에서 확인 가능합니다. https://github.com/cloudforet-io/charts/blob/master/examples/values/all.yaml

scheduler의 문제를 해결하기 위해서 아래와 같이 Completed 상태의 pod log를 확인해서 admin token을 얻습니다.

kubectl logs initializer-5f5b7b5cdc-abcd1 -n spaceone

(omit)
TASK [Print Admin API Key] *********************************************************************************************
"{TOKEN}"

FINISHED [ ok=23, skipped=0 ] ******************************************************************************************

FINISH SPACEONE INITIALIZE

initializer pod log에서 얻은 token 값을 이용해서 values.yaml 파일을 생성합니다. 파일 내부에는 app 설정, namespace 변경, kubernetes 옵션 변경 등을 선언할 수 있습니다.

다음은 values.yaml 내부에 console 도메인 설정과 발급 받은 token을 전역 config로 사용 가능하도록 하는 설정입니다.

console:
  production_json:
    # If you don't have a service domain, you refer to the following 'No Domain & IP Access' example.
    CONSOLE_API:
      ENDPOINT: https://console.api.example.com       # Change the endpoint
    CONSOLE_API_V2:
      ENDPOINT: https://console-v2.api.example.com    # Change the endpoint

global:
  shared_conf:
    TOKEN: '{TOKEN}'                                  # Change the system token

위와같이 values.yaml 파일 설정이 끝났다면 아래의 명령어로 helm upgrade 작업을 수행합니다. upgrade가 끝나고 난 뒤에는 모든 pod가 재시작 되도록 cloudforet 관련 app instance들을 모두 삭제합니다.

helm upgrade cloudforet cloudforet/spaceone -n spaceone -f values.yaml
kubectl delete po -n spaceone -l app.kubernetes.io/instance=cloudforet

7. Check the status of the pods

다음의 명령어로 pod의 상태를 확인합니다. 모든 pod들이 Running 상태라면 설치 완료 입니다.

kubectl get pod -n spaceone

8. Configuration Ingress

Kubernetes Ingress는 Cluster내 Service와 외부의 연결을 관리해주는 리소스입니다. Cloudforet에서는 아래의 순서에 따라 생성된 인증서를 secret으로 등록하고 ingress를 추가하여 서비스 됩니다.

Nginx Ingress Controller 설치
On-premise 환경에서 ingress를 사용하기 위해서는 ingress controller가 필요합니다. 다음은 Kubernetes에서 지원하는 Nginx Ingress Controller의 설치 가이드 링크입니다.

• Nginx Ingress Controller : https://kubernetes.github.io/ingress-nginx/deploy/

Generate self-managed SSL

아래의 openssl 명령어를 이용해서 사설 ssl 인증서를 생성합니다. (이미 발급받은 인증서가 존재한다면, 발급받은 인증서를 이용하여 Secret을 만들 수 있습니다. 자세한 방법은 다음 링크를 참고하시기 바랍니다. 기존 인증서로 Secret 만들기)

• console

  • *.{domain}

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout console_ssl.pem -out console_ssl.csr -subj "/CN=*.{domain}/O=spaceone" -addext "subjectAltName = DNS:*.{domain}"

• api

  • *.api.{domain}

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout api_ssl.pem -out api_ssl.csr -subj "/CN=*.api.{domain}/O=spaceone" -addext "subjectAltName = DNS:*.api.{domain}"

Create secret for ssl

인증서가 준비 되었다면 해당 인증서 파일을 이용해서 secret을 생성합니다.

kubectl create secret tls console-ssl --key console_ssl.pem --cert console_ssl.csr

kubectl create secret tls api-ssl --key api_ssl.pem --cert api_ssl.csr

Create Ingress

아래 2개의 ingress 파일을 준비합니다. 해당 ingress 파일들은 다음의 링크에서 다운로드 가능합니다.

• console_ingress.yaml : https://github.com/cloudforet-io/charts/blob/master/examples/ingress/on_premise/console_ingress.yaml

• rest_api_ingress.yaml : https://github.com/cloudforet-io/charts/blob/master/examples/ingress/on_premise/rest_api_ingress.yaml

각각의 파일은 아래와 같습니다. 파일 내부에 hostname을 생성한 인증서의 도메인에 맞게 변경해줍니다.

• console

  cat <<EOF> console_ingress.yaml
  ---
  apiVersion: networking.k8s.io/v1
  kind: Ingress
  metadata:
  name: console-ingress
  namespace: spaceone
  spec:
  ingressClassName: nginx
  tls:
      - hosts:
          - "console.example.com"  # Change the hostname
      secretName: spaceone-tls
  rules:
      - host: "console.example.com"  # Change the hostname
      http:
          paths:
          - path: /
              pathType: Prefix
              backend:
              service:
                  name: console 
                  port:
                  number: 80
  EOF
  

• rest_api

  cat <<EOF> rest_api_ingress.yaml
  ---
  apiVersion: networking.k8s.io/v1
  kind: Ingress
  metadata:
  name: console-api-ingress
  namespace: spaceone
  spec:
  ingressClassName: nginx
  tls:
      - hosts:
          - "*.api.example.com"  # Change the hostname
      secretName: spaceone-tls
  rules:
      - host: "console.api.example.com"  # Change the hostname
      http:
          paths:
          - path: /
              pathType: Prefix
              backend:
              service:
                  name: console-api
                  port:
                  number: 80
  ---
  apiVersion: networking.k8s.io/v1
  kind: Ingress
  metadata:
  name: console-api-v2-ingress
  namespace: spaceone
  spec:
  ingressClassName: nginx
  tls:
      - hosts:
          - "*.api.example.com"  # Change the hostname
      secretName: spaceone-tls
  rules:
      - host: "console-v2.api.example.com"  # Change the hostname
      http:
          paths:
          - path: /
              pathType: Prefix
              backend:
              service:
                  name: console-api-v2-rest
                  port:
                  number: 80
  EOF
  

준비된 ingress를 아래의 명령어를 통해서 spaceone namespace에 생성합니다.

kubectl apply -f console_ingress.yaml -n spaceone
kubectl apply -f rest_api_ingress.yaml -n spaceone

Connect to the Console

Cloudforet Console 서비스에 접속 합니다.

• https://console.example.com

Advanced Configurations

다음과 같은 특이사항에 대해서는 추가적인 설정이 필요합니다. 다음은 상황에 따른 예시와 해결 방법을 위한 내용입니다.

3.2 - 설정

3.2.1 - 플러그인 사설 인증서 설정

Cloudforet가 On-premise 환경에 구축될 경우 인터넷과 직접적인 통신이 되지 않고 Proxy 서버를 통해 접속이 될 수 있습니다.
이 때 Proxy 서버와의 통신 시 사설 인증서를 필요로 하게 됩니다.
먼저, 준비된 사설 인증서로 Secret으로 구성하고 이를 private-tls Volume에 Mount 합니다.
이후 supervisor의 KubernetesConnector에 인증서 설정에 필요한 여러 환경변수의 value가 private-tls volume의 tls.crt의 경로가 되도록 설정합니다.

준비된 사설 인증서를 Kubernetes Secret으로 등록

kubectl apply -f create_tls_secret.yml

---
apiVersion: v1
kind: Secret
metadata:
  name: spaceone-tls
  namespace: spaceone
data:
  tls.crt: base64 encoded cert  # openssl base64 -in cert.pem -out cert.base64
type: kubernetes.io/tls

KubernetesConnector에 설정

supervisor:
  enabled: true
  image:
    name: spaceone/supervisor
    version: x.y.z

  imagePullSecrets:
    - name: my-credential

  application_scheduler:
    CONNECTORS:
      KubernetesConnector:
        env:
          - name: REQUESTS_CA_BUNDLE
            value: /opt/ssl/cert/tls.crt
          - name: AWS_CA_BUNDLE
            value: /opt/ssl/cert/tls.crt
          - name: CLOUDFORET_CA_BUNDLE
            value: /opt/ssl/cert/tls.crt
        volumes:
          - name: private-tls
            secret:
              secretName: private-tls
        volumeMounts:
          - name: private-tls
            mountPath: /opt/ssl/cert/tls.crt
            readOnly: true

변경내용 반영

helm upgrade 및 pod 삭제 명령을 통해서 반영 할 수 있습니다.

helm upgrade cloudforet cloudforet/spaceone -n spaceone -f values.yaml
kubectl delete po -n spaceone -l app.kubernetes.io/instance=cloudforet

3.2.2 - Change kubernetes namespace

K8S 환경에서 Cloudforet을 설치하게 되면 core 서비스는 spaceone, 확장 기능을 위한 plugin 서비스는 spaceone-plugin namespace에 설치됩니다. (v1.11.5 이하에서는 root-supervisor에 설치 됩니다.)

만약 사용자가 core 서비스나 plugin 서비스를 다른 이름의 namespace로 변경하고 싶거나, 단일 namespace에 설치하기를 희망한다면 옵션을 통해서 namespace를 변경해야 합니다.

namespace를 변경하기 위해서는 Cloudforet의 values.yaml에 변경 내용을 작성해야 합니다. 변경은 core서비스와 plugin 서비스를 각각 설정할 수 있습니다.

core 서비스의 namespace 변경

core 서비스의 namespace 변경을 위해서는 values.yaml 파일에서 global.namespace를 선언하여 spaceone-namespace 값을 추가합니다.

#console:
#  production_json:
#    CONSOLE_API:
#      ENDPOINT: https://console.api.example.com        # Change the endpoint
#    CONSOLE_API_V2:
#      ENDPOINT: https://console-v2.api.example.com     # Change the endpoint

global:
  namespace: spaceone-namespace                         # Change the namespace
  shared_conf:

plugin 서비스의 namespace 변경

core 서비스 뿐만 아니라, supervisor의 plugin 서비스의 namespace도 변경할 수 있습니다. plugin 서비스는 supervisor에 의해 life-cycle이 관리되며 plugin의 namespace 설정도 supervisor에 설정합니다.

아래는 values.yaml 파일에서 plugin 서비스의 namespace를 변경히가 위해 supervisor를 설정한 부분입니다. supervisor.application_scheduler.CONNECTORS.KubernetesConnector.namespace에 plugin-namespace 값을 추가합니다.

#console:
supervisor:
  application_scheduler:
    HOSTNAME: spaceone.svc.cluster.local                # Change the hostname
    CONNECTORS:
      KubernetesConnector:
        namespace: plugin-namespace                     # Change the namespace

변경내용 반영

helm upgrade 및 pod 삭제 명령을 통해서 반영 할 수 있습니다.

helm upgrade cloudforet cloudforet/spaceone -n spaceone -f values.yaml
kubectl delete po -n spaceone -l app.kubernetes.io/instance=cloudforet

3.2.3 - Kubernetes imagePullSecrets 설정

사용자들은 때때로 조직의 상황에 따라 Private Image를 관리하기 위해 Private 전용 Image Registry를 구축하고 그것을 이용합니다.

Private Image Registry로부터 Container Image를 가져오기 위해서는 자격 증명이 필요하고, Kubernetes에서는 Secret을 이용해 그러한 자격 증명을 Pod 등록하여 Private Container Image를 가져올때 사용할 수 있도록 할 수 있습니다.

자세한 내용은 공식 문서를 참고하세요.

자격증명을 위한 Secret 생성

Kubernetes pod는 kubernetes.io/dockerconfigjson 타입의 Secret을 이용해 Private Container Image를 가져올 수 있습니다.

이를 위해 registry 인증정보를 기반으로 자격 증명을 위한 secret을 생성합니다.

kubectl create secret docker-registry my-credential --docker-server=<your-registry-server> --docker-username=<your-name> --docker-password=<your-pword> --docker-email=<your-email>

자격증명 Secret을 Pod에 적용

Cloudforet의 helm chart value에 imagePullSecrets 을 명시하여 pod들이 자격 증명을 위한 secret을 mount하도록 할 수 있습니다.

WARN: kubernetes secret은 namespace scope의 resource이므로, 같은 namespace에 존재해야합니다.

Core service를 위한 imagePullSecrets 설정

console:
    enable: true
    image:
      name: spaceone/console
      version: x.y.z

    imagePullSecrets:
      - name: my-credential

console-api:
    enable: true
    image:
      name: spaceone/console-api
      version: x.y.z

    imagePullSecrets:
      - name: my-credential

(이하 동일)

Plugin를 위한 imagePullSecrets 설정

supervisor:
    enabled: true
    image:
      name: spaceone/supervisor
      version: x.y.z

    imagePullSecrets: 
      - name: my-credential

    application_scheduler:
      CONNECTORS:
          KubernetesConnector:
              imagePullSecrets: 
                - name: my-credential

변경내용 반영

helm upgrade 및 pod 삭제 명령을 통해서 반영 할 수 있습니다.

helm upgrade cloudforet cloudforet/spaceone -n spaceone -f values.yaml
kubectl delete po -n spaceone -l app.kubernetes.io/instance=cloudforet

3.2.4 - HTTP Proxy 설정

http_proxy https_proxy 환경변수 선언을 통해 pod들이 프록시 서버를 통해 외부로 통신할 수 있도록 할 수 있습니다.
이러한 설정은 각 Container의 환경변수에 http_proxy https_proxy를 선언하는 것으로 이루어집니다.

no_proxy 환경변수는 proxy 통신을 적용하지 않는 목적지에 대한 설정입니다.

cloudforet의 경우 Micro service간 통신을 위해 cluster 내부의 service 도메인은 제외하도록 설정하는 것을 추천합니다.

예제

Core service를 위한 proxy 설정

global:
  common_env:
    - name: HTTP_PROXY
      value: http://{proxy_server_address}:{proxy_port}
    - name: HTTPS_PROXY
      value: http://{proxy_server_address}:{proxy_port}
    - name: no_proxy
      value: .svc.cluster.local,localhost,{cluster_ip},board,config,console,console-api,console-api-v2,cost-analysis,dashboard,docs,file-manager,identity,inventory,marketplace-assets,monitoring,notification,plugin,repository,secret,statistics,supervisor

plugin을 위한 proxy 설정

WRAN:
설치 환경에 따라 default local domain이 다른 경우가 있으니,
.svc.cluster.local 등의 default local domain을 자신의 환경에 맞게 변경해야합니다.
아래의 command로 현재 cluster의 dns 설정을 확인할 수 있습니다.

kubectl run -it --rm busybox --image=busybox --restart=Never -- cat /etc/resolv.conf

supervisor:
    enabled: true
    image:
      name: spaceone/supervisor
      version: x.y.z

    imagePullSecrets: 
      - name: my-credential

    application_scheduler:
      CONNECTORS:
        KubernetesConnector:
          env:
            - name: HTTP_PROXY
              value: http://{proxy_server_address}:{proxy_port}
            - name: HTTPS_PROXY
              value: http://{proxy_server_address}:{proxy_port}
            - name: no_proxy
              value: .svc.cluster.local,localhost,{cluster_ip},board,config,console,console-api,console-api-v2,cost-analysis,dashboard,docs,file-manager,identity,inventory,marketplace-assets,monitoring,notification,plugin,repository,secret,statistics,supervisor

변경내용 반영

helm upgrade 및 pod 삭제 명령을 통해서 반영 할 수 있습니다.

helm upgrade cloudforet cloudforet/spaceone -n spaceone -f values.yaml
kubectl delete po -n spaceone -l app.kubernetes.io/instance=cloudforet

3.2.5 - 프라이빗 이미지 저장소 지원

On-premise 환경을 운영하는 조직의 경우 보안상의 문제로
Internal Network에 자체 Container registry를 구축하여 운영하는 경우가 있습니다.

이러한 환경에 Cloudforet을 설치할 경우 외부 네트워크로의 접근이 제한되어,
Dockerhub에서 이미지를 가져와 자체 Container registry에 준비해두어야 할 필요가 있습니다.

Cloudforet은 이러한 상황에서 Container Image 동기화 작업을 자동화하기 위해 dregsy 라는
Container Registry Sync tool을 이용해 주기적으로 Container Image를 동기화하는 방법을 제안합니다.

External Network와 Internal Network 사이에 위치한 환경에서 dregsy 를 실행합니다.
이것은 주기적으로 Dockerhub로부터 특정 Container Image를 가져와 자체 Container registry에 업로드합니다.

NOTE:
본 가이드에서 설명하고 있는 dregsy tool은 Container Image가 Destination Registry에
존재하는지의 여부와 관계없이 항상 Dockerhub로부터 Container image를 pull합니다.

Dockerhub의 rate limit은 아래와 같습니다. (Download rate limit)

• 익명 유저 100pulls per 6 hours
• 인증 유저 200pulls per 6 hours
• 구독 유저 5000pulls per day

설치 및 설정

NOTE:
본 구성의 경우, Dockerhub와 통신이 필요하기 때문에 외부 인터넷과 통신이 가능한 환경에서 이루어져야합니다.
또한, 1.11.x 버전의 Cloudforet 설치를 기준으로 설명합니다.

Prerequisite

• docker (Install Docker Engine)

Installation

Docker를 이용해 도구를 실행시키기 때문에 별도의 설치 과정은 필요하지 않음,
skopeo(mirror tool)을 포함한 dregsy image를 pull하여 실행할 예정.

Configuration

• 설정 파일 생성

touch /path/to/your/dregsy-spaceone-core.yaml
touch /path/to/your/dregsy-spaceone-plugin.yaml

• 설정 추가 (dregsy-spaceone-core.yaml)

만약, username:password 구성으로 Registry 인증을 하는 경우,
아래와 같이 정보를 encode하여 auth에 설정합니다. (예시 - 설정 19,22번째 라인)
echo '{"username": "...", "password": "..."}' | base64

Harbor의 경우 Robot Token 인증은 지원이 어렵습니다. username:password를 encoding하여 인증해주세요.

relay: skopeo
watch: true

skopeo:
  binary: skopeo
  certs-dir: /etc/skopeo/certs.d

lister:
  maxItems: 100
  cacheDuration: 2h

tasks:
  - name: sync_spaceone_doc
    interval: 21600 # 6 hours
    verbose: true

    source:
      registry: registry.hub.docker.com
      auth: {Token}                 # replace to your dockerhub token
    target:
      registry: {registry_address}  # replace to your registry address
      auth: {Token}                 # replace to your registry token
      skip-tls-verify: true

    mappings:
      - from: spaceone/spacectl
        to: your_registry_project/spaceone/spacectl     # replace to your registry project & repository
        tags: 
          - 'regex: 1\.11\.(?:[0-9]?[0-9]).*'
      - from: spaceone/marketplace-assets
        to: your_registry_project/spaceone/marketplace-assets   # replace to your registry project & repository
        tags: 
          - 'regex: 1\.11\.(?:[0-9]?[0-9]).*'
      - from: spaceone/docs
        to: your_registry_project/spaceone/docs          # replace to your registry project & repository
        tags:
          - 'regex: 1\.11\.(?:[0-9]?[0-9]).*'
      - from: redis
        to: your_registry_project/spaceone/redis       # replace to your registry project & repository
        tags: 
          - 'latest'
      - from: mongo
        to: your_registry_project/spaceone/mongo       # replace to your registry project & repository
        tags: 
          - 'latest'

  - name: sync_spaceone_core
    interval: 21600 # 6 hours
    verbose: true

    source:
      registry: registry.hub.docker.com
      auth: {Token}
    target:
      registry: {registry_address}  # replace to your registry address
      auth: {Token}               # replace to your registry token
      skip-tls-verify: true

    mappings:
      - from: spaceone/console
        to: your_registry_project/spaceone/console     # replace to your registry project & repository
        tags: 
          - 'regex: 1\.11\.(?:[0-9]?[0-9]).*'
      - from: spaceone/inventory
        to: your_registry_project/spaceone/inventory       # replace to your registry project & repository
        tags: 
          - 'regex: 1\.11\.(?:[0-9]?[0-9]).*'
      - from: spaceone/console-api
        to: your_registry_project/spaceone/console-api     # replace to your registry project & repository
        tags: 
          - 'regex: 1\.11\.(?:[0-9]?[0-9]).*'
      - from: spaceone/cost-analysis
        to: your_registry_project/spaceone/cost-analysis       # replace to your registry project & repository
        tags: 
          - 'regex: 1\.11\.(?:[0-9]?[0-9]).*'
      - from: spaceone/statistics
        to: your_registry_project/spaceone/statistics      # replace to your registry project & repository
        tags: 
          - 'regex: 1\.11\.(?:[0-9]?[0-9]).*'
      - from: spaceone/secret
        to: your_registry_project/spaceone/secret      # replace to your registry project & repository
        tags: 
          - 'regex: 1\.11\.(?:[0-9]?[0-9]).*'
      - from: spaceone/file-manager
        to: your_registry_project/spaceone/file-manager        # replace to your registry project & repository
        tags: 
          - 'regex: 1\.11\.(?:[0-9]?[0-9]).*'
      - from: spaceone/monitoring
        to: your_registry_project/spaceone/monitoring      # replace to your registry project & repository
        tags: 
          - 'regex: 1\.11\.(?:[0-9]?[0-9]).*'
      - from: spaceone/supervisor
        to: your_registry_project/spaceone/supervisor      # replace to your registry project & repository
        tags: 
          - 'regex: 1\.11\.(?:[0-9]?[0-9]).*'
      - from: spaceone/identity
        to: your_registry_project/spaceone/identity        # replace to your registry project & repository
        tags: 
          - 'regex: 1\.11\.(?:[0-9]?[0-9]).*'
      - from: spaceone/notification
        to: your_registry_project/spaceone/notification        # replace to your registry project & repository
        tags: 
          - 'regex: 1\.11\.(?:[0-9]?[0-9]).*'
      - from: spaceone/repository
        to: your_registry_project/spaceone/repository      # replace to your registry project & repository
        tags: 
          - 'regex: 1\.11\.(?:[0-9]?[0-9]).*'
      - from: spaceone/plugin
        to: your_registry_project/spaceone/plugin      # replace to your registry project & repository
        tags: 
          - 'regex: 1\.11\.(?:[0-9]?[0-9]).*'
      - from: spaceone/config
        to: your_registry_project/spaceone/config      # replace to your registry project & repository
        tags: 
          - 'regex: 1\.11\.(?:[0-9]?[0-9]).*'
      - from: spaceone/console-api-v2
        to: your_registry_project/spaceone/console-api-v2      # replace to your registry project & repository
        tags: 
          - 'regex: 1\.11\.(?:[0-9]?[0-9]).*'
      - from: spaceone/board
        to: your_registry_project/spaceone/board       # replace to your registry project & repository
        tags: 
          - 'regex: 1\.11\.(?:[0-9]?[0-9]).*'
      - from: spaceone/dashboard
        to: your_registry_project/spaceone/dashboard       # replace to your registry project & repository
        tags: 
          - 'regex: 1\.11\.(?:[0-9]?[0-9]).*'

• 설정 추가 (dregsy-spaceone-plugin.yaml)

relay: skopeo
watch: true

skopeo:
  binary: skopeo
  certs-dir: /etc/skopeo/certs.d

lister:
  maxItems: 100
  cacheDuration: 2h

tasks:
  - name: sync_spaceone_plugin
    interval: 21600 # 6 hours
    verbose: true

    source:
      registry: registry.hub.docker.com
      auth: {Token}                 # replace to your dockerhub token
    target:
      registry: {registry_address}  # replace to your registry address
      auth: {Token}                 # replace to your registry token
      skip-tls-verify: true

    mappings:
      - from: spaceone/plugin-google-cloud-inven-collector
        to: your_registry_project/spaceone/plugin-google-cloud-inven-collector     # replace to your registry project & repository
        tags: 
          - 'semver: >=1.0.0 <1.99.0'
          - 'keep: latest 2'
      - from: spaceone/plugin-azure-inven-collector
        to: your_registry_project/spaceone/plugin-azure-inven-collector     # replace to your registry project & repository
        tags: 
          - 'semver: >=1.0.0 <1.99.0'
          - 'keep: latest 2'
      - from: spaceone/plugin-aws-cloudwatch-mon-datasource
        to: your_registry_project/spaceone/plugin-aws-cloudwatch-mon-datasource     # replace to your registry project & repository
        tags: 
          - 'semver: >=1.0.0 <1.99.0'
          - 'keep: latest 2'
      - from: spaceone/plugin-azure-activity-log-mon-datasource
        to: your_registry_project/spaceone/plugin-azure-activity-log-mon-datasource     # replace to your registry project & repository
        tags: 
          - 'semver: >=1.0.0 <1.99.0'
          - 'keep: latest 2'
      - from: spaceone/plugin-aws-cloudtrail-mon-datasource
        to: your_registry_project/spaceone/plugin-aws-cloudtrail-mon-datasource     # replace to your registry project & repository
        tags: 
          - 'semver: >=1.0.0 <1.99.0'
          - 'keep: latest 2'
      - from: spaceone/plugin-aws-ec2-inven-collector
        to: your_registry_project/spaceone/plugin-aws-ec2-inven-collector     # replace to your registry project & repository
        tags: 
          - 'semver: >=1.0.0 <1.99.0'
          - 'keep: latest 2'
      - from: spaceone/plugin-aws-sns-mon-webhook
        to: your_registry_project/spaceone/plugin-aws-sns-mon-webhook     # replace to your registry project & repository
        tags: 
          - 'semver: >=1.0.0 <1.99.0'
          - 'keep: latest 2'
      - from: spaceone/plugin-aws-trusted-advisor-inven-collector
        to: your_registry_project/spaceone/plugin-aws-trusted-advisor-inven-collector     # replace to your registry project & repository
        tags: 
          - 'semver: >=1.0.0 <1.99.0'
          - 'keep: latest 2'
      - from: spaceone/plugin-azure-monitor-mon-datasource
        to: your_registry_project/spaceone/plugin-azure-monitor-mon-datasource     # replace to your registry project & repository
        tags: 
          - 'semver: >=1.0.0 <1.99.0'
          - 'keep: latest 2'
      - from: spaceone/plugin-email-noti-protocol
        to: your_registry_project/spaceone/plugin-email-noti-protocol     # replace to your registry project & repository
        tags: 
          - 'semver: >=1.0.0 <1.99.0'
          - 'keep: latest 2'
      - from: spaceone/plugin-google-stackdriver-mon-datasource
        to: your_registry_project/spaceone/plugin-google-stackdriver-mon-datasource     # replace to your registry project & repository
        tags: 
          - 'semver: >=1.0.0 <1.99.0'
          - 'keep: latest 2'
      - from: spaceone/plugin-telegram-noti-protocol
        to: your_registry_project/spaceone/plugin-telegram-noti-protocol     # replace to your registry project & repository
        tags: 
          - 'semver: >=1.0.0 <1.99.0'
          - 'keep: latest 2'
      - from: spaceone/plugin-keycloak-identity-auth
        to: your_registry_project/spaceone/plugin-keycloak-identity-auth     # replace to your registry project & repository
        tags: 
          - 'semver: >=1.0.0 <1.99.0'
          - 'keep: latest 2'
      - from: spaceone/plugin-prometheus-mon-webhook
        to: your_registry_project/spaceone/plugin-prometheus-mon-webhook     # replace to your registry project & repository
        tags: 
          - 'semver: >=1.0.0 <1.99.0'
          - 'keep: latest 2'
      - from: spaceone/plugin-slack-noti-protocol
        to: your_registry_project/spaceone/plugin-slack-noti-protocol     # replace to your registry project & repository
        tags: 
          - 'semver: >=1.0.0 <1.99.0'
          - 'keep: latest 2'
      - from: spaceone/plugin-grafana-mon-webhook
        to: your_registry_project/spaceone/plugin-grafana-mon-webhook     # replace to your registry project & repository
        tags: 
          - 'semver: >=1.0.0 <1.99.0'
          - 'keep: latest 2'
      - from: spaceone/plugin-aws-cloud-service-inven-collector
        to: your_registry_project/spaceone/plugin-aws-cloud-service-inven-collector     # replace to your registry project & repository
        tags: 
          - 'semver: >=1.0.0 <1.99.0'
          - 'keep: latest 2'
      - from: spaceone/plugin-aws-phd-inven-collector
        to: your_registry_project/spaceone/plugin-aws-phd-inven-collector     # replace to your registry project & repository
        tags: 
          - 'semver: >=1.0.0 <1.99.0'
          - 'keep: latest 2'
      - from: spaceone/plugin-api-direct-mon-webhook
        to: your_registry_project/spaceone/plugin-api-direct-mon-webhook     # replace to your registry project & repository
        tags: 
          - 'semver: >=1.0.0 <1.99.0'
          - 'keep: latest 2'
      - from: spaceone/plugin-azure-cost-mgmt-cost-datasource
        to: your_registry_project/spaceone/plugin-azure-cost-mgmt-cost-datasource     # replace to your registry project & repository
        tags: 
          - 'semver: >=1.0.0 <1.99.0'
          - 'keep: latest 2'
      - from: spaceone/plugin-aws-cost-explorer-cost-datasource
        to: your_registry_project/spaceone/plugin-aws-cost-explorer-cost-datasource     # replace to your registry project & repository
        tags: 
          - 'semver: >=1.0.0 <1.99.0'
          - 'keep: latest 2'
      - from: spaceone/plugin-ms-teams-noti-protocol
        to: your_registry_project/spaceone/plugin-ms-teams-noti-protocol     # replace to your registry project & repository
        tags: 
          - 'semver: >=1.0.0 <1.99.0'
          - 'keep: latest 2'
      - from: spaceone/plugin-google-monitoring-mon-webhook
        to: your_registry_project/spaceone/plugin-google-monitoring-mon-webhook     # replace to your registry project & repository
        tags: 
          - 'semver: >=1.0.0 <1.99.0'
          - 'keep: latest 2'
      - from: spaceone/plugin-http-file-cost-datasource
        to: your_registry_project/spaceone/plugin-http-file-cost-datasource     # replace to your registry project & repository
        tags: 
          - 'semver: >=1.0.0 <1.99.0'
          - 'keep: latest 2'
      - from: spaceone/plugin-google-cloud-log-mon-datasource
        to: your_registry_project/spaceone/plugin-google-cloud-log-mon-datasource     # replace to your registry project & repository
        tags: 
          - 'semver: >=1.0.0 <1.99.0'
          - 'keep: latest 2'

Run

Docker image를 별도로 download 받을 필요가 없습니다.
아래의 command가 docker image를 확인 후 없다면 가져옵니다.

docker run -d --rm --name dregsy_spaceone_core -v /path/to/your/dregsy-spaceone-core.yaml:/config.yaml xelalex/dregsy:0.5.0

docker run -d --rm --name dregsy_spaceone_plugin -v /path/to/your/dregsy-spaceone-plugin.yaml:/config.yaml xelalex/dregsy:0.5.0

Management

• view log

docker logs -f {container_id|container_name}

• delete docker container

docker rm {container_id|container_name} [-f]

3.2.6 - 기존 인증서로 Secret 만들기

공인 혹은 사설 인증서를 이미 발급받은 경우에는 기존 인증서를 통해서 Secret을 생성 할 수 있습니다. 다음은 certificate_secret.yaml 파일을 이용하여 Secret을 생성하는 방법입니다.

Create Secret from certificate_secret.yaml file

기존에 발급받은 인증서가 준비 되었다면 certificate_secert.yaml 파일을 편집합니다. 해당 파일은 다음의 링크에서 다운로드 할 수 있습니다. 또한 다운로드받은 내용을 아래와 같이 편집하여 사용 합니다. https://github.com/cloudforet-io/charts/blob/master/examples/ingress/on_premise/certificate_secret.yaml

cat <<EOF> certificate_secret.yaml
apiVersion: v1
kind: Secret
metadata:
  name: spaceone-tls
  namespace: spaceone           # Change the namespace
data:
  tls.crt: base64 encoded cert  # openssl base64 -in cert.pem -out cert.base64
  tls.key: base64 encoded key   # openssl base64 -in key.pem -out key.base64
type: kubernetes.io/tls
EOF

certificate_secret.yaml 파일을 다음 명령어를 통해서 spaceone namespace에 반영합니다.

kubectl apply -f certificate_secret.yaml -n spaceone

4 - 사용 가이드

4.1 - 시작하기

주요 서비스를 이용하기 위해서는 다음 몇 가지 작업이 선행되어야 합니다.

1. Admin 모드 진입
2. 도메인 설정
3. 워크스페이스 생성 & 사용자 초대
4. 워크스페이스내 프로젝트 생성
5. 서비스 사용 시작 시작하기

1. Admin 모드 진입

초기에 필요한 설정들은 대부분 Admin 모드에서 이루어집니다.
Admin 역할 타입을 가진 사용자만이 Admin 모드에 접근할 수 있습니다.

2. 도메인 설정

도메인 표시 명을 비롯해 로고, 파비곤(Favicon), 대표 이미지 등을 직접 설정할 수 있습니다.

3. 워크스페이스 생성 & 사용자 초대

데이터 연결, 프로젝트 관리를 위해서는 기본적으로 워크스페이스가 1개 이상 활성화되어 있어야 합니다.

(1) [관리 > 환경설정 > 워크스페이스]로 이동

(2) 우측 상단 [+생성] 버튼 클릭

(3) 워크스페이스 이름, 설명을 입력하여 쉽고 빠르게 생성 가능

(4) 워크스페이스 생성 직후 바로 사용자 초대 가능

• 초대 시 해당 워크스페이스에 특정 역할(=권한)을 필수로 할당하게 됩니다.

4. 워크스페이스내 프로젝트 생성

(1) 특정 워크스페이스로 이동합니다.

• 워크스페이스 이동 방법 1: [관리 > 환경설정 > 워크스페이스]에서 워크스페이스를 선택해서 이동할 수 있습니다.

• 워크스페이스 이동 방법 2: 우측 상단 [Admin 모드]를 끄고, 특정 워크스페이스로 이동할 수 있습니다.
  • [Admin] 모드 끄기
  • 워크스페이스 이동하기

(2) (상단 메뉴)프로젝트로 이동

(3) 우측 상단 [+생성] 버튼 클릭하여 새 프로젝트 생성

프로젝트의 성향에 따라 '워크스페이스내 전체 사용자'가 접근 가능한 오픈된 프로젝트로,

또는 '초대된 사용자만' 접근 가능한 제한된 프로젝트로 생성할 수 있습니다.

이제, 서비스 사용을 위한 초기 기본 설정이 끝났습니다.

5. 서비스 사용 시작하기

위의 과정들을 완료한 뒤, 주요 서비스를 좀 더 편리하고 다양하게 이용하고 싶다면 다음 가이드를 참고해주세요.

• 에셋 인벤토리 시작하기
• 비용 분석 시작하기
• 얼럿 매니저 시작하기

4.2 - 권한 체계

역할 타입

총 세 개의 타입을 기준으로 역할이 구성됩니다.

• Admin: 도메인 설정을 포함하여 모든 워크스페이스에 대한 접근 권한이 있으며, Admin 모드를 포함합니다.
• Workspace Owner: 워크스페이스 내의 모든 프로젝트에 대한 접근 권한이 있습니다.
• Workspace Member: 워크스페이스 내의 초대받은 프로젝트에만 접근 권한이 있습니다.

역할 타입별 기본 권한에 대해서는 아래 자세히 확인할 수 있습니다.

Admin 역할 타입

✓ 도메인 전체 사용자 관리 권한

• 도메인, 전체 워크스페이스 내 사용자 초대 및 관리
• Admin, Workspace Owner, Workspace Member 역할(Role) 부여
• 역할(Role)별 서비스 세부 메뉴 접근 제한 설정
• 사용자 계정에 대한 복구

✓ 워크스페이스 환경 관리 권한

• 워크스페이스 생성 및 삭제
• 전체 워크스페이스별 환경 접근

✓ 앱(Client Secret) 관리 권한

• 도메인 전체 접근 전용 앱(Client Secret) 생성 및 삭제
• Admin 역할(Role)별 앱(Client Secret) 부여

✓ 도메인 설정 권한

• 도메인 표시, 아이콘 등의 화이트 라벨링 설정
• 도메인 전체 타임존&언어 설정

✓ 이외 도메인 내 특정 서비스별 관리 권한

• 데이터 수집기 또는 비용 예산 등을 Global 범위로 생성

Workspace Owner 역할 타입

✓ 특정 워크스페이스 사용자 관리 권한

• 워크스페이스 내 사용자 초대 및 관리
• Workspace Owner, Workspace Member 역할(Role) 부여

✓ 앱(Client Secret) 관리 권한

• 워크스페이스 접근 전용 앱(Client Secret) 생성 및 삭제
• Workspace Owner 역할(Role)별 앱(Client Secret) 부여

✓ 신규 프로젝트 생성 및 전체 프로젝트 접근 권한

✓ 이외 워크스페이스 내 각 서비스별 관리 권한

Workspace Member 역할 타입

✓ 특정 워크스페이스에 기본 서비스 접근 권한

✓ 접근 가능한 일부 프로젝트 관리 권한

Workspace Owner | Workspace Member 역할 타입 비교표

4.3 - 관리자 가이드

Admin 모드로 전환하기

상단 맨 우측 'Admin' 토글을 클릭하여 Admin 모드로 전환할 수 있습니다.

4.3.1 - 시작하기

도메인 전반에 필요한 설정은 대부분 관리자 모드에서 이루어집니다.

우측 상단에 위치한 [Admin] 버튼을 활성화하여 Admin 모드로 전환합니다.

1. 도메인 설정

도메인 표시명 설정 및 파비콘, 대표 이미지, 타임존, 언어 등 도메인의 전반적인 설정을 관리할 수 있습니다.

📌 도메인 설정 가이드

2. 워크스페이스 생성

새로운 워크스페이스를 생성하고 관리할 수 있는 기능을 제공합니다.

📌 워크스페이스 생성 가이드

3. 사용자 초대

생성된 워크스페이스에 속할 사용자에 역할을 할당하여 초대할 수 있습니다.

📌 사용자 초대 가이드

📌 사용자 역할 관리 가이드

4. 서비스 어카운트 등록

CSP별 서비스 어카운트 계정을 생성하고 전체 워크스페이스의 계정을 관리할 수 있습니다.

📌 서비스 어카운트 관리 가이드

5. 클라우드 전체 자원 관리

전체 워크스페이스에 등록된 어카운트 계정을 관리하며 전체 데이터를 수집할 수 있습니다.

📌 클라우드 전체 자원 관리 가이드

6. 클라우드 전체 비용 관리

전체 워크스페이스에서 발생하는 클라우드 비용을 분석하고 예산 설정 및 리포트 발행이 가능합니다.

📌 클라우드 전체 비용 관리 가이드

📌 데이터 소스 관리 가이드

7. 공지사항 관리

전체 워크스페이스나 특정 워크스페이스에 공지사항을 등록하고 배포할 수 있습니다.

📌 공지사항 관리 가이드

8. 앱 관리

API/CLI 접근을 위한 앱을 생성하고 Client Secret를 다른 사용자에게 부여할 수 있습니다.

📌 앱 관리 가이드

✔️ 초기 진입한 랜딩 페이지로 이동

SpaceONE에 처음 접속하여 진입한 랜딩 페이지로 이동하려면,

화면 상단 우측의 아이콘을 클릭하고 [콘솔 홈으로 이동] 버튼을 클릭합니다.

4.3.2 - 사용자 관리

메뉴 진입하기

(1) Admin 모드로 전환하기

(2) [관리 > 사용자 및 권한 관리 > 사용자]로 이동

사용자 초대하기

(1) 상단의 [+ 생성] 버튼 클릭

(2) 초대하고자 하는 사용자 계정 추가 및 워크스페이스 & 역할(Role) 할당

(2-1) 사용자 계정 추가

• Local: E-mail 포멧으로 입력
• 이외 Google, Keyloak 등의 SSO가 도메인에 추가 설정되어 있다면 해당 포멧에 맞춰 입력

(2-2) Admin 역할(Role) 여부 선택

• Admin 역할(Role) ON: 도메인 전체에 접근이 가능하기 때문에 워크스페이스 선택 불필요
• Admin 역할(Role) OFF: 하나 이상의 워크스페이스를 선택하고, 해당 워크스페이스(들)에서의 역할(Role) 선택이 필수

(2-3) [확인] 버튼을 누르고 사용자 초대 완료

(3) 초대된 사용자 목록에서 확인

특정 사용자 클릭 시 사용자 상세 정보를 비롯해 사용자가 속한 워크스페이스 목록 또한 확인이 가능합니다.

사용자 수정하기

(1) 특정 사용자를 클릭하고, [작업 > 수정] 버튼 클릭

(2) 사용자 정보 수정

• 이름 변경: 관리자가 사용자 이름을 변경할 수 있습니다.
• 알림 전용 이메일 변경: 관리자가 이메일 주소를 변경하고 임의로 인증을 처리할 수 있습니다.
• 비밀번호 변경: 직접 비밀번호를 설정해서 사용자에게 전달해주거나, 이메일로 비밀번호 재설정 링크를 보낼 수 있습니다.

(3) 사용자 활성/비활성화

1개 이상의 사용자를 선택하고, [작업 > 활성화] 또는 [작업 > 비활성화] 버튼 클릭하여 활성 상태를 변경할 수 있습니다.

4.3.3 - 앱 관리

메뉴 진입하기

(1) Admin 모드로 전환하기

(2) [관리 > 사용자 및 권한 관리 > 앱]으로 이동

앱 생성하기

클라우드포레가 제공하는 CLI 도구인 Spacectl을 사용하기 위해서는 접근 가능한 Client Secret이 필요합니다.

Admin 모드에서는 관리자 역할을 갖는 앱을 생성하고, 해당 앱의 Client Secret 키를 다른 사용자에게 부여할 수 있습니다.

(1) 우측 상단 [+ 생성] 버튼 클릭

(2) 정보 입력

1. 이름 입력
2. Admin 역할(Role) 선택: 역할에 대한 상세 내용은 이곳에서 자세히 확인할 수 있습니다.
3. 태그 입력: '키:값' 방식으로 입력 합니다.
4. [확인] 버튼을 클릭하여 앱 생성을 완료합니다.

(3) 필수 파일 다운 받기

Client Secret 재생성

(1) 특정 앱 선택

(2) 상단 [작업 > Client Secret 재생성] 클릭

• 새로운 Secret으로 재생성이 되며, 설정 파일을 다시 다운받을 수 있습니다.

4.3.4 - 역할 관리

메뉴 진입하기

(1) Admin 모드로 전환하기

(2) [관리 > 사용자 및 권한 관리 > 역할]로 이동

Managed 역할

• 역할에 대해 쉽게 확인하고 사용자에게 빠르게 할당할 수 있도록 Domain Admin, Workspace Owner, Workspace Member라는 'Managed' 역할을 기본적으로 제공합니다. ( Managed 역할의 경우 수정/삭제가 불가합니다. )
• 페이지 접근관련 보다 세부적인 역할 관리가 필요할 경우, 커스텀 역할을 직접 생성할 수 있습니다.

역할 생성하기

(1) 상단의 [+ 생성] 버튼 클릭

(2) 역할 이름 입력

(3) 역할 타입 선택

(4) 페이지 접근 설정

• Admin 역할 타입은 도메인 전체에 접근이 가능하여 별도의 페이지 접근 권한 설정이 없습니다.
• Workspace Owner | Workspace Member는 각각에 맞는 페이지 접근 여부를 선택할 수 있습니다.

(5) [생성] 버튼 클릭하여 역할 생성 완료하기

역할 수정/삭제 하기

(1) 특정 역할 선택

(2) 상단 [작업 > 수정] 또는 [작업 > 삭제] 클릭

(3) '수정' 클릭 시, 아래와 같이 해당 역할 편집 페이지로 이동합니다.

4.3.5 - 워크스페이스 관리

메뉴 진입하기

(1) Admin 모드로 전환하기

(2) [관리 > 환경설정 > 워크스페이스]로 이동

워크스페이스 생성 & 사용자 초대

워크스페이스 생성

(1) 상단의 [+ 생성] 버튼 클릭

(2) 기본 정보 입력 후 생성

• 이름 입력
• 설명 입력
• 워크스페이스 메인 색상 선택
• [확인] 버튼 클릭

워크스페이스 생성 완료 시, 바로 사용자를 초대할 수 있습니다.

신규 워크스페이스에 사용자 즉시 초대

(1) 사용자 계정 입력하여 목록에 추가

(2) 역할(Role) 선택

(3) [확인] 버튼 클릭하여 초대 완료하기

• 생성된 워크스페이스 선택 시, 하단에 사용자 목록 확인이 가능합니다.

워크스페이스 수정/관리

특정 워크스페이스 선택 후 상단 [작업] 버튼 클릭 하여 다음과 같은 변경이 가능합니다.

• 수정: 워크스페이스 이름, 설명 수정이 가능합니다.
• 삭제: 워크스페이스 삭제가 가능합니다.
  • 삭제 시, 해당 워크스페이스에 속해 있던 사용자 모두 접근이 불가합니다.
• 활성 or 비활성화: 워크스페이스 활성 상태를 변경할 수 있습니다.
  • 비활성화 시, 해당 워크스페이스에 속해 있던 사용자 모두 접근이 불가합니다.

워크스페이스로 전환하기

• 특정 워크스페이스 명을 클릭하면 해당 워크스페이스 환경으로 전환됩니다.
• 워크스페이스 환경으로 전환 시, Admin 모드는 해제됩니다.

4.3.6 - 도메인 설정

메뉴 진입하기

(1) Admin 모드로 전환하기

(2) [환경설정 > 도메인 설정]으로 이동

도메인 정보 설정하기

[도메인 정보]에서는 도메인의 기본 타임존 & 언어를 설정할 수 있습니다.

도메인 스타일 설정하기

[스타일 설정]에서는 브라우저 표시 이름, 메인 아이콘, 로그인 페이지 이미지 등 시스템에 기본적인 브랜드 에셋을 반영할 수 있습니다.

각 에셋에 적합한 이미지 URL 입력 후 [변경 사항 저장] 시, 아래와 같이 반영됩니다.

4.3.7 - 공지사항 관리

메뉴 진입하기

(1) Admin 모드로 전환하기

(2) [정보 > 공지사항]으로 이동

새 공지사항 작성하기

(1) 상단의 [+ 새 공지사항 등록] 버튼 클릭

(2) 공지 글 작성하기

• 작성자명, 제목, 본문 작성
• 상단 고정, 팝업 노출 설정 가능
• [확인] 버튼 클릭하여 공지 글 게시

4.3.8 - 데이터 소스 관리

메뉴 진입하기

(1) Admin 모드로 전환하기

(2) [비용 관리 > 데이터 소스]로 이동

데이터 소스 상세 정보 확인

(1) 전체 워크스페이스에 등록된 데이터 소스 목록 확인

(2) 특정 데이터 소스 선택 후 상세 정보 확인

• 데이터 소스 기본 정보
• 최근 데이터 수집 결과

연결된 어카운트에 매핑된 워크스페이스 초기화/수정

(1) Admin Center의 [비용 관리 > 데이터 소스] 페이지 목록에서 특정 데이터 소스 클릭

(2) 데이터 소스에 연결된 어카운트별 연동된 워크스페이스 초기화 또는 수정

• 초기화: 연결된 어카운트에 대한 워크스페이스 연동 해제
• 수정: 연결된 어카운트에 대한 워크스페이스 변경

4.3.9 - 서비스 어카운트 관리

메뉴 진입하기

(1) Admin 모드로 전환하기

(2) [에셋 인벤토리 > 서비스 어카운트]로 이동

Trusted Account를 활용한 계정 관리

Admin 모드에서는 전체 워크스페이스에서 General Account와 연결 가능한 Global Trusted Account를 생성할 수 있습니다.

💡 Trusted Account는 다음과 같은 목적으로 사용됩니다.

1) 다른 어카운트 추가 생성 시, 주요 키 값 없이 연결하여 생성할 수 있는 상위 레벨 어카운트

• 신규 General Account 생성 시, 암호화 키 입력 대신 Trusted Account를 참조하여 쉽게 생성할 수 있어 조직의 체계에 맞는 계정 보안을 유지할 수 있습니다.

2) 계정 자동 동기화

• 개별 어카운트를 일일이 입력 하는 대신, Auto Sync(자동 동기화)기능을 활용하여 클라우드 프로바이더에서 구성한 조직 체계를 Cloudforet 시스템에 자동으로 연동할 수 있습니다. 계정 자동 동기화 설정은 아래에서 자세히 확인할 수 있습니다.

Trusted Account 자동 동기화 설정

[ 자동 동기화 기본 구조 ]

SpaceONE은 Workspace > Project Group > Project - Service Account의 관리 체계(구조)를 가지고 있습니다. 하나의 Cloud 자원을 수집했을 때 Project에 매핑되어 관리되어 목적에 맞게 Grouping 용도로 사용할 수 있습니다.

➊ Workspace

가장 상위 관리 체계로 작업 공간을 구분합니다. 이는 회사 별 또는 사내 조직별로 작업 공간을 구분할 수 있습니다.

➋ Project Group

세분화된 부서를 표현할 수 있는 체계에 해당합니다. 흔히 볼 수 있는 폴더 구조를 가지고 있습니다.

➌ Project

실제 Cloud 자원이 매핑되는 하위 관리 체계입니다. 프로젝트 단위를 의미하며 해당 프로젝트에 사용되는 한 개 또는 여러 개의 계정(Service Account)을 매핑할 수 있습니다.

• Service Account: 실제 수집에 사용되는 계정을 의미하며 Project에 종속되어 있습니다.

[ 자동 동기화 등록 ]

1) 특정 클라우드 프로바이더 선택 후, [+ 생성] 버튼 클릭하여 생성 페이지로 이동

2) 기본정보 및 암호화 키 입력

3) 자동 동기화 세부 설정

• 자동 동기화 켜기(ON)

• 매핑 방식 선택

• 시간 수집 스케줄 설정: 일일 계정 자동 동기화 시간대를 최대 2개 선택할 수 있습니다.

[ 클라우드 프로바이더별 자동 동기화 설정 ]

• AWS 계정 자동 동기화
• Azure 계정 자동 동기화
• GCP 계정 자동 동기화

생성된 Trusted Account 상세 확인 및 수정/삭제

1) Admin Center의 [에셋 인벤토리 > 서비스 어카운트] 페이지 목록에서 생성된 Trusted Account 클릭

2) 기본 정보 확인 및 수정

3) 연결된 General Account 목록 확인

💡 자동 동기화가 설정된 경우,

• 해당 CSP(클라우드 프로바이더)의 계층 구조가 자동으로 반영되어 있음을 확인할 수 있습니다.
• 설정된 자동 동기화 스케줄 시간 외에도 [동기화] 버튼을 클릭하여 즉시 계정을 업데이트 할 수 있습니다.

4) 자동 동기화 설정 확인 및 수정

• 자동 동기화 ON/OFF를 비롯해 동기화 스케줄등의 세부 설정이 가능합니다.

5) 서비스 어카운트 이름 수정 또는 삭제

• 맨 상단 컬렉터 이름 옆 [✏️] 편집 버튼을 통해 컬렉터 이름 수정 가능
• 맨 상단 컬렉터 이름 옆 [🗑️] 삭제 버튼을 통해 컬렉터 삭제 가능

4.3.10 - 전체 자원 관리

메뉴 진입하기

(1) Admin 모드로 전환하기

컬렉터 생성 및 관리

➊ 컬렉터 생성

(1) Admin 모드 - [에셋인벤토리 > 컬렉터] 로 이동

(2) [+ 생성] 버튼 클릭

(3) 수집하고자 하는 데이터에 맞는 컬렉터를 선택

• 컬렉터 플러그인에 대한 자세한 설명은 여기를 참고 하십시오.

(4) Step 1부터 4까지 진행

• 생성 마지막 단계(Step 4)에서는 수집 스케줄 설정을 할 수 있으며, 생성 완료 후 '데이터 즉시 수집' 또한 가능합니다.

➋ 컬렉터 수정/삭제

(1) Admin 모드 - [에셋인벤토리 > 컬렉터] 로 이동

(2) 생성된 컬렉터 리스트 중 수정하고자 하는 컬렉터 선택

(3) 선택한 컬렉터의 상세페이지로 이동하여 영역별 [수정] 가능

• 기본정보 / 스케줄 / 추가 옵션

(4) 컬렉터 이름 수정 또는 삭제

• 맨 상단 컬렉터 이름 옆 [✏️] 편집 버튼을 통해 컬렉터 이름 수정 가능
• 맨 상단 컬렉터 이름 옆 [🗑️] 삭제 버튼을 통해 컬렉터 삭제 가능

➌ 데이터 수집

(1) Admin 모드 - [에셋인벤토리 > 컬렉터] 로 이동

(2) 특정 컬렉터에 마우스 오버시 나타나는 [데이터 수집] 버튼을 통해 즉시 수집 가능

(3) 특정 컬렉터를 클릭하여 상세페이지로 이동 후 상단 [데이터 수집] 버튼을 통해 즉시 수집 가능

도메인 내 전체 자원 확인

Admin 모드에서는 도메인 내 전체 워크스페이스에서 수집된 자원을 한번에 확인할 수 있습니다.

(1) [에셋인벤토리 > 클라우드 서비스]: 클라우드 서비스의 자원 전체 현황

(2) [에셋인벤토리 > 서버]: 클라우드 서비스의 자원 중 서버 현황

(3) [에셋인벤토리 > 보안]: 생성한 보안 플러그인의 프레임워크별 보안 현황 및 체크 리스트

4.3.11 - 전체 비용 관리

메뉴 진입하기

(1) Admin 모드로 전환하기

전체 비용 분석

전체 워크스페이스에서 발생한 비용을 한번에 확인할 수 있습니다.

(1) Admin 모드 - [비용 관리 > 비용 분석]으로 이동

(2) 그룹별 통계(Group-by) 에서 'Workspace' 탭 클릭 하여 워크스페이스별 비용 확인

(3) [필터] 설정을 통한 세부 분석

(4) 비용 분석 저장 가능

• 기본 제공 분석 페이지(예: Monthly cost by workspace): [다른 이름으로 저장] 만 가능
• 커스텀 비용 분석 페이지: 바로 [저장] 또는 [다른 이름으로 저장], [수정/삭제] 모두 가능

워크스페이스별 예산 설정/관리

전체 발생한 비용 대비 워크스페이스 기준의 예산 생성 및 관리가 가능합니다.

(1) Admin 모드 - [비용 관리 > 예산]으로 이동

[예산 설정 방법]

a. [+ 예산 생성] 버튼 클릭

b. 특정 워크스페이스와 빌링 데이터 소스에 맞는 예산 설정

• 이름 입력
• 워크스페이스 선택
• 데이터 소스 선택
• 예산 계획 선택 (총 예산 또는 월별 예산)
• [확인] 버튼 클릭

비용 리포트 설정/관리

전체 워크스페이스에서 발생한 비용의 리포트를 한 번에 확인할 수 있도록 세부 설정을 진행할 수 있습니다.

(1) Admin 모드 - [비용 관리 > 비용 리포트]로 이동

(2) '다음 리포트' 위젯에서 [설정] 버튼 클릭하여 리포트 설정

• 언어/통화/발행일 선택

(3) '리포트 수신처' 위젯에서 수선처 설정

• 리포트 자동 발송을 위한 수신처 활성화

(4) 전체 리포트 확인

• 비용 트렌드
• 월별 총 비용 요약

(5) 특정 리포트 클릭하여 상세 확인

4.3.12 - 북마크 관리

도메인 내 전체 워크스페이스의 북마크를 설정하고 관리할 수 있습니다.

메뉴 진입하기

(1) Admin 모드로 전환하기

(2) [환경설정 > 북마크]으로 이동

글로벌 북마크 역할

전체 북마크 목록 조회하기

[모든 북마크]에서는 전체 워크스페이스에 등록된 모든 북마크를 확인할 수 있습니다.

글로벌 북마크 생성하기

(1) 상단의 [+ 글로벌 북마크 추가] 버튼을 클릭합니다.

(2) 링크 추가의 경우, URL과 이름을 입력 후 [추가] 버튼을 눌러 링크를 생성합니다.

(2-1) 폴더를 생성하여 추가할 링크를 해당 폴더에 포함시킬 수 있습니다.

(3) 폴더 생성의 경우, 생성할 폴더의 이름을 입력하여 [생성] 버튼을 눌러 저장합니다.

글로벌 북마크 수정/삭제하기

(1) 글로벌 북마크 수정하기

(1-1) 글로벌 북마크 우측 [편집] 아이콘을 클릭합니다.

(1-2) 폴더의 경우 이름 수정, 링크의 경우 URL 및 이름을 수정하고 [확인] 버튼을 눌러 변경을 완료합니다.

(2) 글로벌 북마크 삭제하기

(2-1) 삭제 원하는 항목을 선택한 뒤, 페이지 상단 [삭제] 버튼을 눌러 글로벌 북마크를 삭제할 수 있습니다.

4.3.13 - 워크스페이스 휴면 관리

도메인 내 전체 워크스페이스의 휴면 상태 전환 기준을 정의할 수 있습니다.

메뉴 진입하기

(1) Admin 모드로 전환하기

(2) [환경설정 > 도메인 설정 > 휴면 정책 설정]으로 이동

워크스페이스 휴면 정책 설정하기

관리자가 설정한 임계값보다 비용이 3번 연속으로 낮아질 경우 해당 워크스페이스는 자동으로 휴면 상태로 전환되도록 설정할 수 있습니다.

(1) 워크스페이스 휴면 설정을 원할 경우 [휴면 설정 활성화] 버튼을 클릭합니다.

(2) 비용 임계값 입력을 통해 워크스페이스가 휴면 상태로 전환되기 위한 기준 비용을 설정할 수 있습니다.

(2-1) 임계값보다 비용이 낮아질 때마다 알림 이메일을 전송할 수 있습니다. 이메일 전송을 원할 경우 체크박스를 클릭합니다.

(3) [변경사항 저장] 버튼을 눌러 휴면 정책 설정을 완료합니다.

4.4 - 프로젝트

프로젝트를 생성하여, 워크스페이스별로 수집되는 클라우드 리소스 또는 비용 등을 체계적으로 관리할 수 있습니다.

아래와 같이 특정 워크스페이스 환경에 프로젝트 그룹 > 프로젝트 구조로 생성할 수 있습니다.

4.4.1 - 프로젝트

특정 워크스페이스로 전환

• 관리하고자 하는 워크스페이스를 선택하여 환경 전환
• 프로젝트 메뉴로 이동

프로젝트 생성하기

(1) 우측 상단 [+ 생성] > [프로젝트] 버튼 클릭

(2) 프로젝트 이름 입력, 접근 방식 선택

프로젝트의 관리 목적에 따라 아래 두 가지 접근 방식 중 선택하여 생성할 수 있습니다.

• 초대된 사용자만 접근 - 워크스페이스 내 Workspace Member 역할 타입의 사용자 접근 제한을 위해 선택
• 워크스페이스 내 모든 사용자 접근

(3) [확인] 버튼 클릭하여 프로젝트 생성 완료

(4) (선택사항) 프로젝트 그룹 생성

• [+ 생성] > [프로젝트 그룹] 버튼 클릭해서 그룹을 생성하고, 특정 프로젝트별로 묶음(카테고리)을 설정할 수도 있습니다.

프로젝트 설정 변경하기

(1) 특정 프로젝트 클릭 하여 상세 페이지로 이동 > 상단의 설정 버튼 클릭

(2) 프로젝트 이름, 접근 방식 변경 후 [확인] 버튼 클릭

프로젝트 위치 이동하기

(1) 특정 프로젝트 클릭 하여 상세 페이지로 이동 > 상단의 이동 버튼 클릭

(2) 이동할 위치(프로젝트 그룹) 선택 후 [확인] 버튼 클릭

프로젝트 삭제하기

(1) 특정 프로젝트 클릭 하여 상세 페이지로 이동 > 상단의 삭제 버튼 클릭

프로젝트에 데이터 연결하기

• 에셋인벤토리 > 서비스 어카운트 추가

프로젝트 세부 관리하기

• 멤버 초대/관리
• 얼럿 생성/관리
  • 얼럿
  • 웹훅
  • 이벤트 규칙
  • 알림 채널
  • 에스컬레이션 정책
• 태그 생성/관리

4.4.2 - 멤버

프로젝트 멤버 관리하기

(1) 특정 프로젝트 선택

(2) 해당 프로젝트의 [멤버] 탭 선택

• 워크스페이스 내 전체 사용자가 접근 가능한 프로젝트의 경우, 해당 워크스페이스에 있는 전체 사용자가 멤버로 간주됩니다.

• 초대된 사용자만 접근 가능한 프로젝트의 경우, 해당 워크스페이스에 있는 사용자 중에서 초대하여 접근 권한을 부여할 수 있습니다.

4.5 - 대시보드

4.5.1 - 대시보드 생성

대시보드 생성하기

(1) 대시보드 페이지의 좌측 메뉴바에 있는 [ + ] 버튼, 또는 '모든 대시보드 보기' 페이지에서 [ + 생성 ] 버튼을 클릭하여 대시보드를 생성을 시작합니다.

(2) 빈 대시보드로 처음부터 시작하거나,

기본 제공 템플릿 또는 저장된 대시보드 중 선택하여 빠르게 대시보드를 생성할 수 있습니다.

(3) 대시보드 이름, 레이블, 그리고 대시보드 공개 범위를 선택 후 [대시보드 생성] 버튼을 클릭합니다.

(4) 대시보드 이름 수정, 복제, 삭제 등의 추가 기능은 대시보드 타이틀 옆 [· · ·] 버튼 클릭시 찾아볼 수 있습니다.

대시보드 생성이 완료 되었다면, 이 곳을 참고하여 위젯 추가 및 세부 설정을 시작하세요.

4.5.2 - 데이터 추가 및 위젯 설정

1. 데이터 소스 설정

대시보드 우측 상단의 [위젯 추가] 버튼을 클릭합니다.

1.1 새 데이터 소스 추가

(1.1.1) [+] 버튼을 클릭하고, 데이터 추가 버튼을 클릭합니다.

(1.1.2) 위젯 생성을 원하는 데이터 소스를 추가합니다. 데이터 소스는 비용, 에셋 정보 등을 가져올 수 있습니다.

(다양한 데이터 소스에 대한 지원이 계속해서 업데이트될 예정입니다.)

(1.1.3) 특정 데이터를 선택했다면 보고자 하는 목적에 따라 데이터 세부 옵션을 설정합니다.

➊ 그룹별 통계(Group by): 데이터를 그룹화 할 기준을 설정합니다.

➋ 필터: 특정 Project, Product, Region 등으로 필터링할 수 있습니다.

➌ 데이터 필드명: 선택한 데이터 소스의 필드명이 자동 입력 되며 필요에 따라 수정도 가능합니다.

❹ 데이터 단위: 위젯에 표시할 데이터의 단위를 설정합니다. (e.g. count, core, $, ₩)

❺ 레이블 필드 추가: 해당 데이터 테이블을 다른 데이터와 병합할 때 좀 더 명확한 기준을 주려면, 레이블 필드를 추가하는 방법이 있습니다.

❻ 날짜 형식 변경: 이 옵션을 사용(ON상태)할 경우, 날짜를 연도(Year)/월(Month)/일(Day) 세 개의 열로 분리하여 표시합니다. 특정 기준의 과거 데이터와 해당 데이터 테이블을 병합 할때 유용하게 활용할 수 있습니다.

• e.g. 1년전 데이터와 현재 기준 데이터를 병합하여 비교 위젯을 만들고자 할때, 연도(Year)는 다르지만 월(Month)은 같기 때문에 비교할 수 있습니다.

❼ 과거 데이터 설정(Time Diff): 현재 날짜를 기준으로 특정 연/월/일 이전의 과거 데이터를 불러올 수 있습니다.

(1.1.4) 데이터를 추가하거나 수정한 후에는 [적용하기] 버튼을 클릭해야 최종 반영이 됩니다.

1.2 데이터 병합/변환

‘데이터 병합/변환’의 경우, 데이터를 먼저 추가한 후에 해당 데이터 변환 또는 2개 이상의 데이터를 병합(Join, Concatenate)하는데 활용할 수 있습니다.

(1.2.1) [+] 버튼을 클릭하고, 데이터 병합/변환 버튼을 클릭합니다.

[데이터 변환 방법]

[데이터 변환 예시]

e.g AWS 전체 비용 대비 EC2가 아닌 비용 비율(%)을 구하는 데이터 만들기

➊ (데이터 추가) 비용 추가: AWS Cost 데이터 추가하고, Group by에 'Product'를 선택

➋ (데이터 병합/변환 > Query) 필터 Query 적용: 1번 비용 데이터에서 Product중 AmazonEC2가 아닌것만 필터

➌ (데이터 추가) 비용 추가: 2번에서 필터한 데이터와 비교할 전체 비용

❹ (데이터 병합/변환 > Join) 두 데이터 병합: 2번과 3번 데이터 Join 하기

❺ (데이터 병합/변환 > Query) 두 데이터 비율 계산: 전체비용 'Cost(All)'과 AmazonEC2가 아닌 비용 'Cost(w/o EC2) 비율 계산 적용

2. 위젯 세부 설정

데이터 설정이 완료되었다면 위젯 으로 변환하고자 하는 데이터를 1개 선택하고, 우측 하단 [위젯 구성]버튼을 눌러 다음 단계로 이동합니다.

위젯 설정 단계로 이동 후에도 [데이터 수정] 버튼을 클릭하여 데이터 테이블 설정 단계로 돌아가거나, 다른 데이터 테이블을 선택할 수 있습니다.

기본적으로 Table 위젯으로 선택되어 있으며, 다양한 차트 타입을 이용할 수 있습니다.

적절한 차트타입을 선택했다면, 우측에 위젯 정보(이름, 설명)을 입력하고 필수 입력 항목을 채워 넣습니다.

위젯 설정을 변경후에는 반드시 우측 하단의 [적용하기] 버튼을 클릭해야 최종 반영됩니다.

필수 입력 항목이 정상적으로 입력 되었다면, 아래와 같이 위젯 미리보기를 확인할 수 있습니다.

이제 [완료] 버튼을 클릭하고 위젯 설정 창을 닫으면 대시보드에 새로운 위젯이 추가되어 있습니다.

3. 위젯 순서 & 크기 조정

대시보드 우측 상단의 ‘레이아웃 편집’ 버튼을 클릭합니다.

우측 패널의 위젯 리스트에서 드래그&드롭을 통해 순서를 조정할 수 있습니다.

각 위젯별로 크기를 전체 너비 또는 기본 사이즈로 되돌릴 수 있습니다.

[편집 완료] 버튼을 클릭해야 레이아웃 변경사항이 저장됩니다.

4.5.3 - 차트 타입별 위젯 세부 설정

차트 타입별 세부 옵션 설정에 대한 가이드는 곧 업데이트 될 예정입니다.

4.6 - 에셋 인벤토리

4.6.1 - Quick Start

메뉴 진입하기

(1) 특정 워크스페이스 선택

(2) [에셋 인벤토리 > 서비스 어카운트]로 이동

서비스 계정 생성하기

(1) 추가할 클라우드 서비스(프로바이더)를 선택합니다.

(2) [추가] 버튼을 클릭합니다.

(3) 서비스 어카운트 생성 폼을 작성

(3-1) 기본 정보를 입력합니다.

(3-2) 해당 서비스 계정에 따른 리소스를 수집할 프로젝트를 지정합니다.

(3-3) 암호화 키 정보를 입력합니다.

자원 수집하기

[에셋 인벤토리 > 컬렉터] 페이지에서는 해당 워크스페이스 내에 자원 수집을 수행할 수 있는 컬렉터 목록을 확인할 수 있습니다.

(1) 특정 컬렉터에 마우스 오버

Admin에 의해 관리됨 으로 표시되는 컬렉터의 경우,

Admin 모드에서 생성된 Global 범위의 컬렉터로 스케줄과 정보 수정은 불가하며, 데이터 수집만 가능합니다.

컬렉터 생성하기

[에셋 인벤토리 > 컬렉터] 페이지에서 리소스를 수집할 컬렉터를 생성합니다.

(1) [생성] 버튼을 클릭합니다.

(2) 리소스 수집 시 사용할 플러그인을 선택합니다.

(3) 컬렉터 생성 폼을 작성합니다. (3-1) 이름과 버전 등 기본 정보를 입력합니다.

(3-2) 필요 시 태그를 추가합니다.

(4) 컬렉터 실행을 위한 스케줄을 생성합니다.

(4-1) [에셋 인벤토리 > 컬렉터] 페이지에서 테이블의 컬렉터 하나를 선택한 뒤, [스케줄] 탭에서 [추가] 버튼을 클릭합니다.

(4-2) [스케줄 추가] 모달에서 컬렉터를 실행할 시간을 설정한 뒤 [확인] 버튼을 클릭합니다.

수집된 리소스 확인하기

[에셋 인벤토리 > 클라우드 서비스]에서 수집된 리소스를 조회할 수 있습니다.

4.6.2 - 클라우드 서비스

클라우드 서비스 목록 조회하기

클라우드 서비스 페이지에서는 프로바이더별 클라우드 서비스 이용 현황을 보여줍니다.

고급 검색과 필터 설정을 통해 세밀한 조건으로 목록을 필터링할 수 있습니다.

프로바이더 선택

프로바이더를 선택하여 특정 프로바이더를 통해 제공되는 클라우드 서비스만을 조회합니다.

필터 설정

서비스 분류와 리전 필터를 설정하여 보다 세부적인 조건 검색이 가능합니다.

(1) [설정] 버튼을 클릭하면 [필터 설정] 모달이 열립니다.

(2) 원하는 필터를 선택한 후 [확인] 버튼을 클릭해 적용합니다.

클라우드 서비스 살펴보기

클라우드 서비스 상세 페이지에서 특정 클라우드 서비스의 상세 정보를 확인할 수 있습니다.

클라우드 서비스 페이지에서 카드를 클릭하면 상세 페이지로 이동합니다.

왼쪽의 클라우드 서비스 목록에서 선택된 클라우드 서비스에 대한 상세 정보를 확인할 수 있습니다.

클라우드 서비스의 리소스 목록 조회하기

검색어를 입력하여 조건에 부합하는 클라우드 리소스 목록을 확인할 수 있습니다.

고급 검색에 대한 상세 설명은 여기를 참고 하십시오.

[엑셀] 아이콘 버튼을 클릭하여 리소스 목록을 엑셀 파일로 내보내기 하거나, [설정] 아이콘 버튼을 클릭하여 테이블 필드 개인화를 할 수 있습니다.

클라우드 서비스 이용 현황 보기

선택한 클라우드 서비스에 대한 통계 정보를 확인할 수 있습니다.

더욱 자세한 내용을 확인하려면, 오른쪽의 [차트 보기] 버튼을 클릭하여 확인할 수 있습니다.

클라우드 리소스 콘솔 열기

때로는 클라우드 리소스의 프로바이더에서 제공하는 콘솔에서 작업을 해야 하는 경우가 있습니다.

(1) 콘솔을 연결하려는 클라우드 리소스를 선택합니다.

(2) [콘솔 연결] 버튼을 클릭합니다.

(3) 버튼을 클릭하면 해당 클라우드 리소스에 대한 작업을 이어나갈 수 있는 프로바이더의 콘솔이 새 탭으로 열립니다.

아래는 AWS의 EC2 Instance의 콘솔이 열린 예시입니다.

클라우드 서비스의 리소스 살펴보기

클라우드 리소스 목록에서 살펴보고자 하는 항목을 선택하면, 하단에서 해당 리소스에 대한 정보를 확인할 수 있습니다.

• 상세 정보
• 태그
• 연관된 멤버
• 변경 기록
• 모니터링

클라우드 리소스 상세 정보 확인하기

선택한 리소스에 대한 자세한 정보를 보여줍니다.

여기에 표시되는 정보는 기본 탭과 추가 정보 탭으로 나뉩니다.

• 기본 탭: 클라우드 리소스 상세 정보에 기본적으로 제공되는 것으로, [기본 정보], [원본 데이터] 탭이 이에 해당됩니다.
• 추가 정보 탭: 기본 탭을 제외한 모든 탭들은 해당 리소스를 수집한 컬렉터의 플러그인에 의해 결정됩니다. 자세한 설명은 여기를 참고 하십시오.

위의 이미지는 클라우드 리소스 상세 정보 예시입니다.

[기본 정보] 탭과 [원본 데이터] 탭을 제외한 나머지 탭들(AMI, Permission, Tags)은 모두 컬렉터의 플러그인에 의해 추가된 정보입니다.

클라우드 리소스 태그 관리하기

클라우드 리소스에는 Managed , Custom 두가지 타입의 태그가 존재합니다. 개별 클라우드 리소스별로 해당 프로바이더로 부터 가져온 Managed 태그를 확인할 수 있으며, 별도로 Custom 태그를 추가하여 관리할 수 있습니다.

키: 값 의 형태로 구성된 각 태그는 리소스 검색시에 유용하게 이용할 수 있습니다.

[ Managed 태그 조회 하기 ]

• Managed 태그는 Cloudforet에서 직접 수정 및 삭제가 불가합니다.

[ Custom 태그 조회 하기 ]

(1) [Custom 태그 수정] 버튼을 클릭합니다.

(2) 커스텀 태그 수정 페이지에서 키: 값 형태로 태그를 입력 후 [저장] 버튼을 클릭하여 완료합니다.

클라우드 리소스에 연관된 멤버 확인하기

[연관된 멤버] 탭에서는 아래의 조건에 해당되는 사용자 정보를 확인할 수 있습니다.

• 프로젝트 멤버로써 해당 클라우드 리소스에 접근 권한을 가진 사용자

클라우드 리소스 변경 기록 확인하기

[변경 이력] 탭에서는 선택한 클라우드 리소스의 날짜/시간별로 변경사항을 빠르게 파악할 수 있습니다.

(1) 특정 날짜 선택 또는 검색을 통해 확인하고자 하는 세부 내역을 추려낼 수 있습니다.

(2) 특정 키값 또는 특정 시간대 전체 클릭시, 해당하는 변경 이력 상세를 확인할 수 있습니다.

(2-1) 변경내역: 해당 리소스의 어떤 Key값들이 어떻게 업데이트 되었는지 상세 내역을 확인할 수 있습니다.

(2-2) 로그: AWS CloudTrail와 같은 Provider별 상세 로그를 지원하여, 선택한 시간내/외로 어떤 세부 이벤트가 발생했는지 확인할 수 있습니다. 이에 따라, 특정 리소스를 변경한 유저를 파악할 수 있는 큰 장점이 있습니다.

확인하고자 하는 값의 키를 클릭하여 상세 로그를 확인할 수 있습니다.

(2-3) 노트: 선택한 타임에 노트를 추가/관리 함으로써, 어떤 담당자와 해당 변경이 관련이 있는지, 어떤 프로세스로 해당 이슈를 해결할지 등 기업별 워크플로우를 자유롭게 관리할 수 있습니다.

클라우드 리소스 모니터링 정보 확인하기

[모니터링] 탭에서는 클라우드 리소스에 대하여 다양한 메트릭을 보여줍니다.

[시간 범위] 필터를 변경하거나, [통계] 드롭다운에서 다른 통계 방식을 선택하여 다른 기준에 대한 메트릭을 확인할 수도 있습니다.

상단의 클라우드 리소스 목록에서 왼쪽의 체크박스를 클릭하여 여러 개의 리소스를 선택하면, 다수의 리소스에 대한 메트릭 정보를 비교하여 살펴볼 수 있습니다.

메트릭 정보는 모니터링 플러그인에 의해 수집되며, 자세한 내용은 여기를 참고 하십시오.

4.6.3 - 서버

서버 리소스 목록 조회하기

[에셋 인벤토리 > 서버] 메뉴를 통해 서버 페이지에 진입하여 서버 리소스 목록을 확인할 수 있습니다.

고급 검색을 통해 세밀한 조건으로 목록을 필터링할 수 있습니다.

[엑셀] 아이콘 버튼을 클릭하여 리소스 목록을 엑셀 파일로 내보내기 하거나, [설정] 아이콘 버튼을 클릭하여 테이블 필드 개인화를 할 수 있습니다.

서버 리소스 콘솔 열기

때로는 서버 리소스의 프로바이더에서 제공하는 콘솔 사이트에서 작업을 해야 하는 경우가 있습니다.

(1) 콘솔을 연결하려는 서버 리소스를 선택합니다.

(2) [콘솔 연결] 버튼을 클릭합니다.

(3) 버튼을 클릭하면 해당 서버 리소스에 대한 작업을 이어나갈 수 있는 프로바이더의 콘솔이 새 탭으로 열립니다.

아래는 AWS의 EC2 Instance의 콘솔이 열린 예시입니다.

서버 리소스 살펴보기

서버 리소스 목록에서 살펴보고자 하는 항목을 선택하면, 하단에서 해당 리소스에 대한 정보를 확인할 수 있습니다.

[에셋 인벤토리 > 클라우드 서비스] 메뉴의 클라우드 서비스 리소스 살펴보기와 동일합니다.

4.6.4 - 메트릭 분석

데이터 탐색

특정 워크스페이스 환경 선택 → [에셋 인벤토리 > 메트릭 분석] 메뉴로 이동합니다.

1. 네임스페이스 선택

좌측 사이드바에 위치한 '네임스페이스' 영역에서 검색어를 입력하거나, 리스트 중에 하나를 선택합니다.

2. 메트릭(지표) 선택

분석하고자 하는 메트릭을 선택합니다.

3. 옵션 활용

➊ 연산자: 총합(Sum) / 평균값(Average) / 최대값(Max) / 최소값(Min)중에 하나를 선택합니다.

➋ 세부 기준: 일별 또는 월별 데이터 확인이 가능합니다.

➌ 기간: 선택한 '세부 기준'에 따라 그에 맞는 기간을 선택할 수 있습니다.

➍ 필터: 다양한 옵션을 활용하여, 원하는 데이터로 필터하여 확인할 수 있습니다.

➎ 그룹별 통계: 다중의 Group-by를 클릭하여 주요 데이터를 빠르게 확인할 수 있습니다.

4. 차트 타입 활용

• 선(Line) 그래프/ 바(Bar) 차트 / 트리맵 / 도넛 차트 등 다양한 차트 타입으로 데이터를 확인해 볼 수 있습니다.

5. 테이블 데이터 확인

선택한 옵션과 지표에 맞는 상세 데이터를 확인할 수 있으며, 엑셀로 파일 내보내기가 가능합니다.

예제 추가/관리

메트릭 별로 연산자, 기간, 필터 등과 같은 옵션값을 가지는 예제 데이터를 생성할 수 있습니다.

1. 예제 추가

특정 메트릭 페이지의 '연산자', '세부 기준', '기간', '필터', '그룹별 통계' 값을 지정한 후, 우측 상단에 [+ 예제 추가] 버튼을 통해 저장 시, 세부 설정값들이 데이터에 모두 포함되어 저장됩니다.

• 추가된 예제는 해당 메트릭의 하위에 위치하게 됩니다.

• 생성 후에도 여러 설정 값을 변경하여 바로 [저장] 하거나, [다른 이름으로 저장] 할 수 있습니다.

• 예제는 이름 수정 및 삭제가 가능합니다.

사용자 정의 메트릭(지표)

제공하는 메트릭 외에도 사용자가 직접 정의한 지표를 추가할 수 있습니다.

방법 1) 기존의 메트릭을 '복제' 하여 새로 생성

기본 제공하는 메트릭의 경우 쿼리 수정이 불가합니다. 대신, 메트릭을 복제하게 되면 직접 쿼리를 수정할 수 있습니다.

우측 상단 [복제] 버튼을 통해서 기존의 메트릭을 복제할 수 있습니다.

방법 2) 쿼리 입력을 통한 직접 생성

특정 네임스페이스 선택시, 좌측 사이드바의 [+] 버튼을 확인할 수 있습니다. 이는 해당 네임스페이스에 사용자 정의 메트릭을 추가하기 위한 버튼입니다.

위와 같이 직접 생성 또는 복제된 사용자 지정 메트릭의 경우, [쿼리 수정] 버튼을 통해 해당 쿼리를 수정할 수 있습니다.

다음의 가이드 대로 쿼리를 작성할 수 있습니다.

a = data.listeners = [{…}, {…}, {…}]

# 아래와 같이 변경
a1 = data.listeners = {…}
a2 = data.listeners = {…}
a3 = data.listeners = {…}

{
  "unwind": {
    "path": "data.listeners"
  }
}

{
  "group_by": [
    "product",
    "region_code",
    "..."
  ]
}

{
  "filter": [
    {
      "k": "...",
      "v": "...",
      "o": "..."
    },
    {
      "k": "...",
      "v": "...",
      "o": "..."
    }
  ]
}

# key 지정 시
[, , ...]

# fields 지정 시
[{: , : }, ...]

{
  "fields": {
    "usd_cost_sum": {
      "key": "usd_cost",
      "operator": "sum"
    },
    "usd_cost_avg": {
      "key": "usd_cost",
      "operator": "average"
    },
    "usage_quantity_max": {
      "key": "usage_quantity",
      "operator": "max"
    },
    "usd_cost_row_count": {
      "operator": "count"
    },
    "total_disk_size": {
      "key": "data.disks.size",
      "operator": "sum",
      "data_type": "array"
    },
    "cost_tags": {
      "operator": "push",
      "fields": {
        "name": "tags.Name",
        "service": "tags.Service"
      }
    },
    "cost_region_codes": {
      "key": "region_code",
      "operator": "push"
    },
    "cost_product_list": {
      "key": "product",
      "operator": "add_to_set"
    }
  }
}

4.6.5 - 컬렉터

개요

컬렉터로 데이터를 수집하기 위해서는 다음 두 가지 요소가 필요합니다.

1. 컬렉터 플러그인

클라우드 프로바이더로부터 어떤 리소스들을 수집할지, 수집한 데이터들을 어떻게 화면에 보여줄지에 대한 스펙이 정의된 요소입니다.

프로바이더 별로 가지고 있는 데이터의 구조와 내용이 상이하므로 컬렉터는 철저히 컬렉터 플러그인에 의존하여 리소스들을 수집합니다.

이에 대한 자세한 설명은 여기를 참고 하십시오.

2. 서비스 어카운트

리소스를 수집하기 위해서는 클라우드 프로바이더(ex. AWS, GCP, Azure)의 계정에 연결이 필요합니다.

서비스 어카운트는 프로바이더의 계정에 연결하기 위한 계정 정보입니다.

컬렉터는 기존에 프로바이더 별로 만들어져 있는 서비스 어카운트를 통해 프로바이더 계정에 접근합니다.

이에 대한 자세한 설명은 여기를 참고 하십시오.

컬렉터 생성하기

(1) 왼쪽 상단의 [+ 생성] 버튼을 클릭합니다.

(2) [신규 컬렉터 생성‌] 페이지에서 아래 단계를 거칩니다.

(2-1) 플러그인 목록 페이지에서 원하는 컬렉터 플러그인을 찾아 [선택] 버튼을 클릭합니다.

(2-2) 컬렉터의 이름 작성 및 버전을 선택한 후 [계속하기] 버튼을 클릭합니다.

(컬렉터에 따라 특정 클라우드 프로바이더 선택이 필요할 수도 있습니다.)

(2-3) 컬렉터의 추가 옵션을 선택한 후 [계속하기] 버튼을 클릭합니다.

(2-3-1) 서비스 어카운트: 전체 또는 특정 서비스 어카운트를 선택합니다. 전체일 경우, 컬렉터와 관련 있는 프로바이더의 서비스 어카운트가 자동으로 선택되어 수집을 진행합니다.

(2-3-2) 추가 옵션: 컬렉터별 추가 옵션은 상이하기 때문에 경우에 따라 없을 수도 있습니다.

(2-4) 매일 자동으로 데이터 수집을 진행할 수 있도록 스케줄링을 설정할 수 있습니다.(선택사항)
모든 단계를 거쳤다면, [신규 컬렉터 생성] 버튼을 클릭하여 컬렉터 생성을 완료합니다.

(2-5) 컬렉터 생성이 완료되었다면, 즉시 데이터 수집을 시작할 수 있습니다.

컬렉터 목록 조회하기

컬렉터 페이지에서 생성되어 있는 모든 컬렉터 목록을 조회할 수 있습니다.

고급 검색을 통해 세밀한 조건으로 목록을 필터링할 수 있습니다. 상세 설명은 여기를 참고 하십시오.

(1) 워크스페이스 내에 직접 생성한 컬렉터 목록

(2) Admin(관리자)가 생성한 컬렉터 목록

• Admin 모드에서 생성된 Global 컬렉터의 경우 특정 워크스페이스 내에서는 스케줄 수정이 불가하며, 데이터 수집은 가능합니다.
• Admin 역할을 가진 사용자만이 Admin 모드로 전환하여 Global 범위의 컬렉터를 생성하고 관리할 수 있습니다.

컬렉터 상세 정보 확인 및 수정/삭제하기

(1) 컬렉터 상세 정보 확인

(1-1) 컬렉터 목록에서 특정 컬렉터 카드 영역을 선택하여 상세 페이지로 이동합니다.

(1-2) 기본 정보, 스케줄, 컬렉터 옵션 및 연결된 서비스 어카운트를 확인할 수 있습니다.

(2) 컬렉터 수정/삭제하기

(2-1) 상단의 [편집] 아이콘을 클릭하여 컬렉터 이름을 수정할 수 있습니다.

(2-2) 기본 정보, 스케줄, 컬렉터 옵션, 서비스 어카운트와 같은 세부 수정 필요시, 해당 영역의 [수정] 버튼을 클릭합니다.

(2-3) 값을 변경한 후 [변경 저장] 버튼을 클릭하여 수정을 완료합니다.

(2-4) 컬렉터 삭제하기 상단의 [삭제] 아이콘을 클릭하여 컬렉터를 삭제할 수 있습니다.

자동 수집 설정하기

컬렉터 생성 후에도 각 컬렉터 별 자동 수집 스케줄을 변경할 수 있습니다.

(1) 컬렉터 목록 페이지의 각 컬렉터 카드 영역에 스케줄 토글 버튼을 통해 자동 수집 활성화/비활성화가 가능하며, [수정] 버튼을 클릭하여 빠르게 시간 주기를 설정하고 변경할 수 있습니다.