19.4. 다중 네트워크 정책 구성
클러스터 관리자는 추가 네트워크에 대한 네트워크 정책을 구성할 수 있습니다.
macvlan 추가 네트워크에 대해서만 다중 네트워크 정책을 지정할 수 있습니다. ipvlan과 같은 기타 유형의 추가 네트워크는 지원되지 않습니다.
19.4.1. 다중 네트워크 정책과 네트워크 정책의 차이점
MultiNetworkPolicy API는 NetworkPolicy API를 구현하지만 다음과 같은 몇 가지 중요한 차이점이 있습니다.
MultiNetworkPolicyAPI를 사용해야 합니다.apiVersion: k8s.cni.cncf.io/v1beta1 kind: MultiNetworkPolicy
-
CLI를 사용하여 다중 네트워크 정책과 상호 작용할 때
multi-networkpolicy리소스 이름을 사용해야 합니다. 예를 들어oc get multi-networkpolicy <name>명령을 사용하여 다중 네트워크 정책 오브젝트를 볼 수 있습니다. 여기서<name>은 다중 네트워크 정책의 이름입니다. macvlan 추가 네트워크를 정의하는 네트워크 연결 정의의 이름으로 주석을 지정해야 합니다.
apiVersion: k8s.cni.cncf.io/v1beta1 kind: MultiNetworkPolicy metadata: annotations: k8s.v1.cni.cncf.io/policy-for: <network_name>다음과 같습니다.
<network_name>- 네트워크 연결 정의의 이름을 지정합니다.
19.4.2. 클러스터의 다중 네트워크 정책 활성화
클러스터 관리자는 클러스터에서 다중 네트워크 정책 지원을 활성화할 수 있습니다.
사전 요구 사항
-
OpenShift CLI(
oc)를 설치합니다. -
cluster-admin권한이 있는 사용자로 클러스터에 로그인합니다.
프로세스
다음 YAML을 사용하여
multinetwork-enable-patch.yaml파일을 생성합니다.apiVersion: operator.openshift.io/v1 kind: Network metadata: name: cluster spec: useMultiNetworkPolicy: true
다중 네트워크 정책을 활성화하도록 클러스터를 구성합니다.
$ oc patch network.operator.openshift.io cluster --type=merge --patch-file=multinetwork-enable-patch.yaml
출력 예
network.operator.openshift.io/cluster patched
19.4.3. 다중 네트워크 정책 작업
클러스터 관리자는 다중 네트워크 정책을 생성, 편집, 보기 및 삭제할 수 있습니다.
19.4.3.1. 사전 요구 사항
- 클러스터에 대한 다중 네트워크 정책 지원을 활성화했습니다.
19.4.3.2. CLI를 사용하여 다중 네트워크 정책 생성
클러스터의 네임스페이스에서 허용된 수신 또는 송신 네트워크 트래픽을 설명하는 세분화된 규칙을 정의하기 위해 다중 네트워크 정책을 생성할 수 있습니다.
사전 요구 사항
-
클러스터는 NetworkPolicy 오브젝트를 지원하는 클러스터 네트워크 공급자(예:
mode:로 설정된 OpenShift SDN 네트워크 공급자)를 사용합니다. 이 모드는 OpenShift SDN의 기본값입니다.NetworkPolicy -
OpenShift CLI(
oc)를 설치합니다. -
cluster-admin권한이 있는 사용자로 클러스터에 로그인합니다. - 다중 네트워크 정책이 적용되는 네임스페이스에서 작업하고 있습니다.
프로세스
다음과 같이 정책 규칙을 생성합니다.
<policy_name>.yaml파일을 생성합니다.$ touch <policy_name>.yaml
다음과 같습니다.
<policy_name>- 다중 네트워크 정책 파일 이름을 지정합니다.
방금 만든 파일에서 다음 예와 같이 다중 네트워크 정책을 정의합니다.
모든 네임스페이스의 모든 Pod에서 수신 거부
apiVersion: k8s.cni.cncf.io/v1beta1 kind: MultiNetworkPolicy metadata: name: deny-by-default annotations: k8s.v1.cni.cncf.io/policy-for: <network_name> spec: podSelector: ingress: []다음과 같습니다.
<network_name>- 네트워크 연결 정의의 이름을 지정합니다.
동일한 네임 스페이스에 있는 모든 Pod의 수신 허용
apiVersion: k8s.cni.cncf.io/v1beta1 kind: MultiNetworkPolicy metadata: name: allow-same-namespace annotations: k8s.v1.cni.cncf.io/policy-for: <network_name> spec: podSelector: ingress: - from: - podSelector: {}다음과 같습니다.
<network_name>- 네트워크 연결 정의의 이름을 지정합니다.
다음 명령을 실행하여 다중 네트워크 정책 오브젝트를 생성합니다.
$ oc apply -f <policy_name>.yaml -n <namespace>
다음과 같습니다.
<policy_name>- 다중 네트워크 정책 파일 이름을 지정합니다.
<namespace>- 선택 사항: 오브젝트가 현재 네임스페이스와 다른 네임스페이스에 정의된 경우 이를 사용하여 네임스페이스를 지정합니다.
출력 예
multinetworkpolicy.k8s.cni.cncf.io/default-deny created
cluster-admin 권한을 사용하여 웹 콘솔에 로그인하면 클러스터의 모든 네임스페이스에서 YAML 또는 웹 콘솔의 양식에서 직접 네트워크 정책을 생성할 수 있습니다.
19.4.3.3. 다중 네트워크 정책 편집
네임스페이스에서 다중 네트워크 정책을 편집할 수 있습니다.
사전 요구 사항
-
클러스터는 NetworkPolicy 오브젝트를 지원하는 클러스터 네트워크 공급자(예:
mode:로 설정된 OpenShift SDN 네트워크 공급자)를 사용합니다. 이 모드는 OpenShift SDN의 기본값입니다.NetworkPolicy -
OpenShift CLI(
oc)를 설치합니다. -
cluster-admin권한이 있는 사용자로 클러스터에 로그인합니다. - 다중 네트워크 정책이 적용되는 네임스페이스에서 작업하고 있습니다.
프로세스
선택 사항: 네임스페이스의 다중 네트워크 정책 오브젝트를 나열하려면 다음 명령을 입력합니다.
$ oc get multi-networkpolicy
다음과 같습니다.
<namespace>- 선택 사항: 오브젝트가 현재 네임스페이스와 다른 네임스페이스에 정의된 경우 이를 사용하여 네임스페이스를 지정합니다.
다중 네트워크 정책 오브젝트를 편집합니다.
다중 네트워크 정책 정의를 파일에 저장한 경우 파일을 편집하고 필요한 사항을 변경한 후 다음 명령을 입력합니다.
$ oc apply -n <namespace> -f <policy_file>.yaml
다음과 같습니다.
<namespace>- 선택 사항: 오브젝트가 현재 네임스페이스와 다른 네임스페이스에 정의된 경우 이를 사용하여 네임스페이스를 지정합니다.
<policy_file>- 네트워크 정책이 포함된 파일의 이름을 지정합니다.
다중 네트워크 정책 오브젝트를 직접 업데이트해야 하는 경우 다음 명령을 입력합니다.
$ oc edit multi-networkpolicy <policy_name> -n <namespace>
다음과 같습니다.
<policy_name>- 네트워크 정책의 이름을 지정합니다.
<namespace>- 선택 사항: 오브젝트가 현재 네임스페이스와 다른 네임스페이스에 정의된 경우 이를 사용하여 네임스페이스를 지정합니다.
다중 네트워크 정책 오브젝트가 업데이트되었는지 확인합니다.
$ oc describe multi-networkpolicy <policy_name> -n <namespace>
다음과 같습니다.
<policy_name>- 다중 네트워크 정책의 이름을 지정합니다.
<namespace>- 선택 사항: 오브젝트가 현재 네임스페이스와 다른 네임스페이스에 정의된 경우 이를 사용하여 네임스페이스를 지정합니다.
cluster-admin 권한을 사용하여 웹 콘솔에 로그인하면 클러스터의 모든 네임스페이스에서 YAML에서 직접 또는 작업 메뉴를 통해 웹 콘솔의 정책에서 네트워크 정책을 편집할 수 있습니다.
19.4.3.4. CLI를 사용하여 다중 네트워크 정책 보기
네임스페이스에서 다중 네트워크 정책을 검사할 수 있습니다.
사전 요구 사항
-
OpenShift CLI(
oc)를 설치합니다. -
cluster-admin권한이 있는 사용자로 클러스터에 로그인합니다. - 다중 네트워크 정책이 적용되는 네임스페이스에서 작업하고 있습니다.
프로세스
네임스페이스의 다중 네트워크 정책을 나열합니다.
네임스페이스에 정의된 다중 네트워크 정책 오브젝트를 보려면 다음 명령을 입력합니다.
$ oc get multi-networkpolicy
선택 사항: 특정 다중 네트워크 정책을 검사하려면 다음 명령을 입력합니다.
$ oc describe multi-networkpolicy <policy_name> -n <namespace>
다음과 같습니다.
<policy_name>- 검사할 다중 네트워크 정책의 이름을 지정합니다.
<namespace>- 선택 사항: 오브젝트가 현재 네임스페이스와 다른 네임스페이스에 정의된 경우 이를 사용하여 네임스페이스를 지정합니다.
cluster-admin 권한을 사용하여 웹 콘솔에 로그인하면 클러스터의 모든 네임스페이스에서 YAML 또는 웹 콘솔의 양식에서 직접 네트워크 정책을 볼 수 있습니다.
19.4.3.5. CLI를 사용하여 다중 네트워크 정책 삭제
네임스페이스에서 다중 네트워크 정책을 삭제할 수 있습니다.
사전 요구 사항
-
클러스터는 NetworkPolicy 오브젝트를 지원하는 클러스터 네트워크 공급자(예:
mode:로 설정된 OpenShift SDN 네트워크 공급자)를 사용합니다. 이 모드는 OpenShift SDN의 기본값입니다.NetworkPolicy -
OpenShift CLI(
oc)를 설치합니다. -
cluster-admin권한이 있는 사용자로 클러스터에 로그인합니다. - 다중 네트워크 정책이 적용되는 네임스페이스에서 작업하고 있습니다.
프로세스
다중 네트워크 정책 오브젝트를 삭제하려면 다음 명령을 입력합니다.
$ oc delete multi-networkpolicy <policy_name> -n <namespace>
다음과 같습니다.
<policy_name>- 다중 네트워크 정책의 이름을 지정합니다.
<namespace>- 선택 사항: 오브젝트가 현재 네임스페이스와 다른 네임스페이스에 정의된 경우 이를 사용하여 네임스페이스를 지정합니다.
출력 예
multinetworkpolicy.k8s.cni.cncf.io/default-deny deleted
cluster-admin 권한을 사용하여 웹 콘솔에 로그인하면 클러스터의 모든 네임스페이스에서 YAML에서 직접 또는 작업 메뉴를 통해 웹 콘솔의 정책에서 네트워크 정책을 삭제할 수 있습니다.
