개요

1주차 - 테라폼으로 프로비저닝, 다양한 노드 활용해보기에서 이슈가 있었다.
나는 EKS 액세스엔드포인트에 대해서 혼용으로 설정을 했는데 이것이 제대로 반영이 되지 않은 것이다.

혹시나 했는데, 역시 퍼블릭 모드로 엔드포인트가 이어지고 있다.
혼용 모드임에도 제대로 원하는 동작이 이뤄지지 않고 있다는 뜻이다.

개판이네.. 애초에 노드에서 dns 쿼리도 퍼블릭 ip가 돌아오고 있다.

트러블슈팅

문서를 찾아보니, enableDnsHostname 관련 옵션을 설정해야 한다는 것이 단서로 보인다.^[1]
다시 설정을 진행해보려는데, 관련한 설정을 넣는 값이 없다.

faq 문서의 이 부분이 무슨 말인가 했는데, 애초에 기본적으로 이 테라폼 모듈은 노드 조인을 시킬 때 퍼블릭 엔드포인트를 활용하게 돼있다는 것이었나보다.
흠.. 내부 dns 설정을 안 바꿔준다니.
현 버전의 모듈로 설정을 하려는 사람은 꼭 알고 있어야만 하는 이슈라고 할 수 있겠다.

eks를 프라이빗 엔드포인트 모드로 업데이트

일단 완전 프라이빗으로 바꿔보자.
완전히 바꿔버리면 니가 뭘 할 수 있는데 아 ㅋㅋ

이러한 변경은 eks 클러스터 변경 사항으로 이력이 남는다.
eksctl로 할 때보다 조금 더 빠르게 5분만에 업데이트가 완료됐다.

이제야 비로소 내부 dns 쿼리가 정상적으로 이뤄진다.
아마 이 상태에서 다시 public을 혼용하게 하면 내가 원하는 대로 동작할 것이라 생각한다.

아니다. 다시 퍼블릭 액세스를 허용하자마자 곧바로 내부에서도 퍼블릭 ip를 받게 된다.
이 이야기 대로라면, 테라폼으로는 혼용 모드를 사용할 수 없다는 말이 된다.

vpc 업데이트

문서에 나와있기로, 프라이빗 모드를 사용하기 위해서는 위 세팅들이 돼야 한다고 했다.
확인해보니, 아래 dnsHostname 옵션이 체크가 되어있지 않았다.
간단하게 vpc 쪽 문서도 참고했다.^[2]
이 옵션은 퍼블릭 ip가 있는 인스턴스의 경우 퍼블릭 dns를 받을 수 있도록 하는 옵션이다.

문서를 보면, 프라이빗 호스팅 영역에 대한 설명이 있다.
이게 split horizon dns를 지원하는 방법이다.

Amazon Route53에서는 이렇게 퍼블릭, 프라이빗 호스팅 존을 생성할 수 있으며 프라이빗의 경우에는 vpc를 지정해줄 수 있다.
근데 이 기능을 사용하기 위해서 전제되는 것이 위 두 기능의 활성화이다.

이걸 설정하고 처음에는 변화가 없었으나, 혹시 dns 캐시가 남았나 기다렸다가 다시 시도해보니 이렇게 변경이 됐다.

결론

클러스터 액세스 엔드포인트 설정을 하더라도 vpc 설정이 제대로 이뤄져 있지 않다면 원하는 대로 반영이 되지 않는다.
스플릿 호라이즌 dns 기능이 route 53의 프라이빗 호스팅 영역을 통해 활성화되기 때문에, 해당 기능을 온전히 이용하기 위해서는 vpc에서 dns 관련 설정을 전부 true로 해줘야 한다.

관련 문서

참고