8.6.2. iptables 규칙을 사용하여 외부 리소스에 대한 액세스 제한
일부 클러스터 관리자는 EgressNetworkPolicy 모델 또는 송신 라우터 모델에 맞지 않는 나가는 트래픽에 대한 작업을 수행할 수 있습니다. 경우에 따라 iptables 규칙을 직접 생성하여 이 작업을 수행할 수 있습니다.
예를 들어 특정 대상에 대한 트래픽을 기록하거나 초당 특정 수 이상의 나가는 연결을 방지하는 규칙을 만들 수 있습니다.
OpenShift Container Platform은 사용자 지정 iptables 규칙을 자동으로 추가하는 방법을 제공하지 않지만 관리자가 수동으로 이러한 규칙을 추가할 수 있는 장소를 제공합니다. 각 노드는 시작 시 필터 테이블에 OPENSHIFT-ADMIN-OUTPUT-RULES 라는 빈 체인을 생성합니다( 체인이 아직 존재하지 않는다고 가정). 관리자가 해당 체인에 추가된 규칙은 포드에서 클러스터 외부 대상으로 이동하는 모든 트래픽(다른 트래픽에 해당하지 않음)에 적용됩니다.
이 기능을 사용할 때 주의해야 할 몇 가지 사항이 있습니다.
- 각 노드에서 규칙이 생성되도록 해야 합니다. OpenShift Container Platform은 이러한 규칙을 자동으로 수행하지 않습니다.
-
규칙은 송신 라우터를 통해 클러스터를 종료하는 트래픽에 적용되지 않으며
EgressNetworkPolicy규칙이 적용된 후 실행됩니다. 따라서EgressNetworkPolicy에서 거부하는 트래픽을 확인하지 않습니다. - 노드에 "외부" IP 주소와 "내부" SDN IP 주소가 모두 있기 때문에 포드에서 노드 또는 포드로의 연결 처리가 복잡합니다. 따라서 일부 Pod-to-node/master 트래픽이 이 체인을 통과할 수 있지만 다른 Pod-to-node/master 트래픽은 이를 바이패스할 수 있습니다.
