TIL

Working with Kubernetes Objects

공식 문서 - Working with Kubernetes Objects
02장에서 훑은 오브젝트 공통 필드·Label·Namespace를 한 단계 더 파고든다. 실무에서 매일 쓰는 “오브젝트를 어떻게 묘사·관리·식별하는가”의 토대
오브젝트의 기본 구조(apiVersion/kind/metadata/spec)와 spec vs status는 02장 - 쿠버네티스의 동작 모델 참고

오브젝트 관리 방식

쿠버네티스는 세 가지 오브젝트 관리 기법을 제공
하나의 오브젝트는 한 가지 방식으로만 관리해야 한다 — 섞으면 동작이 정의되지 않는다

1. 명령형 커맨드 (Imperative Commands)

라이브 오브젝트에 직접 명령

kubectl create deployment nginx --image nginx
kubectl run nginx --image nginx

장점: 한 줄로 바로 변경. 학습 곡선이 가장 낮음
단점: 변경 이력·리뷰가 없고, 현재 살아 있는 상태 외엔 기록이 남지 않음
용도: 학습, 일회성 작업

2. 명령형 오브젝트 설정 (Imperative Object Configuration)

YAML/JSON 파일을 지정하되 동사(create, replace, delete)를 명시

kubectl create -f nginx.yaml
kubectl replace -f nginx.yaml
kubectl delete -f nginx.yaml

파일이 소스 컨트롤에 남아 리뷰·감사 가능
단점: replace는 전체 spec을 덮어쓴다 — 파일에 없지만 클러스터가 독립적으로 갱신하는 필드(예: LoadBalancer의 externalIPs)가 사라진다

3. 선언형 오브젝트 설정 (Declarative Object Configuration)

파일을 지정하되 동사는 쿠버네티스가 결정

kubectl diff -f configs/       # 적용 전 차이 확인
kubectl apply -f configs/
kubectl apply -R -f configs/   # 디렉터리 재귀 처리

내부적으로 patch API를 사용 — 파일에 명시된 필드만 갱신하고, 다른 writer가 만든 변경은 보존
디렉터리 단위 작업과 사람·컨트롤러가 섞여 쓰는 프로덕션에 적합
단점: 병합 규칙이 복잡해 예상과 다르게 패치되면 디버깅이 까다로움

방식	작업 단위	권장 사용처
명령형 커맨드	라이브 오브젝트	개발·실험
명령형 오브젝트 설정	파일 단위	프로덕션 (단일 writer)
선언형 오브젝트 설정	디렉터리 단위	프로덕션 (여러 writer, 감사 필요)

이름과 UID

Name: 사용자가 지정하는 문자열. 같은 네임스페이스·리소스 타입 내에서 유일해야 함
UID: 시스템이 부여하는 클러스터 전역 유일 식별자 (UUID)
- 같은 이름으로 지우고 다시 만들어도 UID는 다름 → 역사적으로 다른 엔티티임을 구분 가능
Name에 적용되는 대표 제약 (리소스 타입마다 다름)
- DNS Subdomain: 253자, 소문자·숫자·-·., 알파뉴메릭 시작·종료 (Pod·Deployment 등 대부분)
- RFC 1123 Label: 63자, 소문자·숫자·-
- RFC 1035 Label: 63자, 영문자로 시작해야 함 (숫자 시작 불가)
- Path Segment: ., .., /, % 불가
name 대신 generateName을 쓰면 API 서버가 접미사를 붙여 유일한 이름을 생성 (v1.31+는 최대 8회 재시도 후 409)

Label과 Selector

Label은 식별용 key/value. 유일성이 없어 여러 오브젝트가 같은 라벨을 가질 수 있다
Key 문법: [prefix/]name
- name은 63자, 알파뉴메릭 시작·종료, 중간에 -·_·. 허용
- prefix는 DNS 서브도메인(253자). kubernetes.io/·k8s.io/는 쿠버네티스 코어 예약
Value: 63자 이내, 비어 있을 수 있음

셀렉터

Equality-based (=, ==, !=) — 쉼표는 AND
```
environment=production,tier!=frontend
```

Set-based (in, notin, exists)

environment in (production, qa)
tier notin (frontend, backend)
partition          # 키가 존재
!partition         # 키가 존재하지 않음

컨트롤러가 쓰는 matchLabels·matchExpressions도 위 문법을 객체 형태로 표현한 것
OR(||)은 없다 — 필터를 구조화해 풀어야 함
ReplicaSet·Job처럼 셀렉터로 Pod를 관리하는 컨트롤러는 네임스페이스 내에서 셀렉터가 겹치면 안 된다 (같은 Pod를 두 컨트롤러가 두고 싸움이 남)

kubectl에서 쓰기

kubectl get pods -l 'environment=production,tier!=frontend'
kubectl get pods -l 'environment in (production, qa)'

Namespace

한 클러스터 내에서 리소스를 논리적으로 격리하는 단위
같은 네임스페이스 안에서는 이름이 유일, 네임스페이스가 다르면 이름이 겹쳐도 됨
언제 쓰나
- 여러 팀·프로젝트가 한 클러스터를 공유
- dev/staging/prod 환경 분리
- ResourceQuota로 자원을 팀 단위로 나눌 때
언제 안 쓰나
- 10명 미만 소규모 — default로 충분
- 단순 분류는 Label로 충분. 네임스페이스를 남용하면 관리 부담만 늘어남
초기 네임스페이스
- default: 기본. 프로덕션에서는 쓰지 말고 전용 네임스페이스를 만들 것
- kube-system: 쿠버네티스 시스템 컴포넌트
- kube-public: 모든 클라이언트가 읽을 수 있는 공개 리소스
- kube-node-lease: 노드 하트비트 Lease
- kube- 접두사는 예약어 — 직접 만들지 말 것
네임스페이스에 속하는 리소스 vs 그렇지 않은 리소스
- Namespaced: Pod, Deployment, Service, ConfigMap, Secret 등 대부분
- Cluster-scoped: Node, PersistentVolume, StorageClass, Namespace 자체
- 확인: kubectl api-resources --namespaced=true|false
DNS
- Service는 <service>.<namespace>.svc.cluster.local로 조회
- 같은 네임스페이스 안이라면 <service>만으로 접근

명령어

kubectl get namespace
kubectl get pods --namespace=<ns>
kubectl config set-context --current --namespace=<ns>   # 컨텍스트 기본 네임스페이스 변경

Annotation

비식별(non-identifying) 메타데이터. Label과 달리 셀렉터에서 쓰이지 않는다
도구·라이브러리·운영자가 참고할 정보를 붙이는 용도
Key 문법은 Label과 동일 ([prefix/]name, 예약 prefix 포함)
Value는 문자열만 (숫자·불리언·리스트 불가)
전형적 용도
- 빌드·릴리스 정보 (커밋 SHA, 타임스탬프, 이미지 해시)
- 도구·컨트롤러 설정 (Ingress 컨트롤러 옵션, 사이드카 주입 지시자)
- 디버깅·관측 메타데이터
- 관련 오브젝트 URL·담당자 연락처
기준 — 셀렉터로 필터링할 속성은 Label, 그 외 정보는 Annotation. 이렇게 나눠야 라벨 공간이 과밀해지지 않는다

Field Selector

리소스 내부 필드 값으로 필터 (Label이 아닌 metadata.*·spec.*·status.*)
Label Selector와의 차이
- 연산자: =, ==, !=만 지원 (set 연산자 없음)
- 대상: 사용자가 붙인 Label이 아니라 시스템이 관리하는 필드
지원 필드는 리소스 타입마다 다름
- 공통: metadata.name, metadata.namespace
- Pod: spec.nodeName, spec.serviceAccountName, status.phase, status.podIP
- Node: spec.unschedulable
- Event: involvedObject.*, reason, type
- Job: status.successful / Secret: type

사용 예

kubectl get pods --field-selector status.phase=Running
kubectl get pods --field-selector spec.nodeName=worker-1
kubectl get pods --field-selector=status.phase!=Running,spec.restartPolicy=Always
kubectl get services --all-namespaces --field-selector metadata.namespace!=default

지원하지 않는 필드를 쓰면 BadRequest 오류와 함께 가능한 필드 목록이 반환됨
CRD는 spec.versions[*].selectableFields에 선언한 필드도 사용 가능

Finalizer

오브젝트 삭제를 보류시키는 메커니즘. metadata.finalizers에 저장된 키 목록
삭제 흐름
1. 사용자가 delete 호출 → API 서버가 metadata.deletionTimestamp를 세팅하고 HTTP 202 반환
2. finalizers가 비어 있지 않은 동안 오브젝트는 실제 삭제되지 않음
3. 각 finalizer를 책임지는 컨트롤러가 정리 작업(외부 리소스 삭제 등)을 수행
4. 끝나면 해당 키를 목록에서 제거
5. finalizers가 빈 배열이 되면 API 서버가 오브젝트를 최종 삭제
삭제 요청 이후에는 finalizer를 제거만 가능하고, 추가하거나 deletionTimestamp를 수정할 수는 없다
대표 예
- kubernetes.io/pv-protection: Pod가 쓰는 PV가 실수로 지워지는 것을 막음
- kubernetes.io/pvc-protection: PVC 보호
주의: 정리 로직을 이해하지 못한 채 finalizer를 강제 제거하면 외부 리소스 누수·일관성 문제가 생긴다

Owner와 Dependent

컨트롤러가 만든 오브젝트는 metadata.ownerReferences로 부모(owner) 를 가리킨다

metadata:
  ownerReferences:
    - apiVersion: apps/v1
      kind: ReplicaSet
      name: my-rs
      uid: <uid>
      blockOwnerDeletion: true   # true면 이 의존 오브젝트가 정리되기 전엔 부모가 삭제되지 않음

Deployment → ReplicaSet → Pod처럼 자동 계층이 형성되고, 가비지 컬렉션(캐스케이딩 삭제)의 기준이 된다
네임스페이스 규칙
- namespaced dependent → 같은 네임스페이스의 owner 또는 cluster-scoped owner만 참조 가능
- cluster-scoped dependent → cluster-scoped owner만 참조 가능
- 잘못된 참조는 없는 것으로 취급되어 GC 대상이 되며, v1.20+에서는 OwnerRefInvalidNamespace 경고 이벤트가 생김

캐스케이딩 삭제

Foreground (기본)
- 부모에 foreground finalizer가 붙고, blockOwnerDeletion=true인 dependent가 먼저 삭제된 뒤 부모가 지워짐
- 안전하지만 느림
Background
- 부모를 즉시 삭제하고 dependent는 비동기로 정리
- 빠르지만 순서 보장은 없음
Orphan
- 부모만 지우고 dependent는 남겨 독립 오브젝트로 둠
- 예) Deployment를 지우면서 실행 중인 Pod는 살려두고 싶을 때
kubectl delete --cascade=foreground|background|orphan으로 선택

Finalizer vs Owner Reference

Finalizer: “정리가 끝날 때까지 나를 지우지 마라”
Owner Reference: “내 부모가 누구고, 부모가 지워지면 나도 같이 지워져라”
둘은 다른 축으로 동작하지만 캐스케이딩 삭제는 내부적으로 owner reference + finalizer의 조합으로 구현되어 있다