Platform Boundary
Terraform owns AWS
VPC, EKS, ALB/TG, RDS, Redis, IAM, IRSA, S3, CloudFront, EBS CSI
Bootstrap owns Helm
CRD/Controller 선행 설치. ArgoCD가 자기 전제를 만들지 않게 분리
ArgoCD owns K8s CR
앱 리소스와 NodePool, TGB, AuthPolicy, ExternalSecret을 Git 기준으로 유지
Runbook owns 반복 검증
apply/bootstrap/sync/status/cleanup을 스크립트와 문서로 재현 가능하게 고정
AWS VPC · EKS Cluster · Production Traffic
구동 검증 실습 운영
Public Subnet
CloudFront → ALB
LBC discovery tag / public ELB role tag
CloudFront → ALB
LBC discovery tag / public ELB role tag
Private Subnet
Managed On-Demand nodes + Karpenter nodes
RDS / Redis / EKS workload path
Managed On-Demand nodes + Karpenter nodes
RDS / Redis / EKS workload path
EKS 1.32 Cluster — Terraform + Bootstrap + ArgoCD로 재현
v3.5 baseline
Userpposiraegi.cloud
→
CloudFrontSPA + /api route
→
ALB / TGTerraform 생성
health: 8081
health: 8081
→
TargetGroupBindingAWS LBC가 Service endpoint를 TG에 등록
production namespace — 4개 Spring Boot 서비스
api-gatewayALB 진입점
management:8081
TGB 연결
management:8081
TGB 연결
order-service주문 처리
RDS/Redis
trace 대상
RDS/Redis
trace 대상
product-service상품/재고
Redis stock gate
DB connection 검증
Redis stock gate
DB connection 검증
user-service사용자/인증
RDS 연결
health/readiness 분리
RDS 연결
health/readiness 분리
Karpenter NodePool
— t3 제외, m/c large 계열, Spot + On-Demand, consolidation 30s, limit CPU 20
Managed On-Demand baseline
Karpenter Spot/On-Demand
Monitoring pinned to On-Demand
NodeClaim / EC2NodeClass Ready
운영 경계에서 실제로 터졌고 보정한 지점
Port split
앱 8080 / actuator 8081. probe와 Prometheus scrape 경로 분리
앱 8080 / actuator 8081. probe와 Prometheus scrape 경로 분리
SG path
ALB SG → managed node SG + Karpenter node SG 8080/8081 명시
ALB SG → managed node SG + Karpenter node SG 8080/8081 명시
Target registration
Terraform ALB/TG와 K8s Service 사이를 TargetGroupBinding으로 연결
Terraform ALB/TG와 K8s Service 사이를 TargetGroupBinding으로 연결
IRSA overhead
Controller별 ServiceAccount/IAM Role/Trust policy를 별도로 검증
Controller별 ServiceAccount/IAM Role/Trust policy를 별도로 검증
Observability / Security
Grafana · Prometheus
JVM/HTTP/CPU/Pod scrape. /actuator/prometheus는 8081 management port 기준
Loki · Promtail
서비스 로그 수집. Loki는 IRSA로 S3 bucket 사용, Grafana datasource 연결
Tempo · OTEL Collector
Spring Boot → OTEL HTTP 4318 → Tempo 4317/3200. 분산 추적 기반 마련
Istio Ambient
ztunnel + waypoint + AuthorizationPolicy. actuator 접근 경계 실험
Discord Alert
bootstrap 완료, cluster summary, Tempo readiness, Alertmanager webhook relay