2.2. OVN-Kubernetes BaselineAdminNetworkPolicy
2.2.1. BaselineAdminNetworkPolicy 링크 복사링크가 클립보드에 복사되었습니다!
BMC( BaselineAdminNetworkPolicy
)는 클러스터 범위의 CRD(사용자 정의 리소스 정의)입니다. OpenShift Container Platform 관리자는 BANP를 사용하여 NetworkPolicy
오브젝트를 사용하는 사용자가 덮어쓸 수 있는 선택적 기본 네트워크 정책 규칙을 설정하고 적용할 수 있습니다. BANP에 대한 규칙 작업은 허용
또는 거부
됩니다.
BaselineAdminNetworkPolicy
리소스는 전달된 트래픽 정책이 클러스터의 NetworkPolicy 오브젝트와 일치하지 않는 경우 가드레일 정책으로 사용할 수 있는 클러스터 싱글톤 오브젝트
입니다. BANP는 클러스터 내 트래픽이 기본적으로 차단되는 가드레일을 제공하는 기본 보안 모델로 사용할 수 있으며 사용자는 알려진 트래픽을 허용하기 위해 NetworkPolicy
오브젝트를 사용해야 합니다. BANP 리소스를 생성할 때 이름으로 default
를 사용해야 합니다.
관리자는 BANP를 사용하여 다음을 지정할 수 있습니다.
-
네임스페이스 또는 네임스페이스 세트로 구성된
제목
입니다. -
제목
을 향하는 모든 인그레스 트래픽에 적용할 수신 규칙 목록입니다. -
제목의 모든 송신 트래픽에 적용할 송신 규칙
목록입니다
.
BaselineAdminNetworkPolicy 예
예 2.5. BANP의 YAML 파일 예
- 1
- BANP는 싱글톤 오브젝트이므로 정책 이름을
기본값
으로 설정해야 합니다. - 2
- ANP를 적용할 네임스페이스를 지정합니다.
- 3
- BANP에는 ingress 및 egress 규칙이 모두 있습니다.
spec.ingress
및spec.egress
필드에 대한 BANP 규칙은Deny
및Allow
for theaction
필드를 허용합니다. - 4
ingress.name
의 이름을 지정- 5
- BANP 리소스를 적용하려면 에서 Pod를 선택하도록 네임스페이스를 지정합니다.
- 6
- BANP 리소스를 적용할 Pod의
podSelector.matchLabels
이름을 지정합니다.
BaselineAdminNetworkPolicy Deny 예
다음 BANP 싱글톤은 관리자가 내부
보안 수준에서 테넌트로 들어오는 모든 수신 모니터링 트래픽에 대한 기본 거부 정책을 설정하도록 합니다. "AdminNetworkPolicy Pass example"과 결합하면 이 거부 정책은 ANP pass-monitoring
정책에서 전달하는 모든 인그레스 트래픽에 대한 보호 정책 역할을 합니다.
예 2.6. guardrail Deny
규칙의 YAML 파일의 예
Baseline
리소스와 함께 AdminNetworkPolicy
작업
필드의 Pass
값과 함께 AdminNetworkPolicy 리소스를 사용하여 다중 테넌트 정책을 생성할 수 있습니다. 이 다중 테넌트 정책을 사용하면 한 테넌트에서 두 번째 테넌트에서 데이터를 동시에 수집하지 않고 애플리케이션에서 모니터링 데이터를 수집할 수 있습니다.
관리자는 "AdminNetworkPolicy Pass
작업 예"와 "BaselineAdminNetwork Policy Deny
example"을 모두 적용하면 테넌트는 BANP 전에 평가할 NetworkPolicy
리소스를 생성하도록 선택할 수 있는 기능을 남겨 둡니다.
예를 들어 Tenant 1은 다음 NetworkPolicy
리소스를 설정하여 수신 트래픽을 모니터링할 수 있습니다.
예 2.7. NetworkPolicy
예
이 시나리오에서 Tenant 1의 정책은 "AdminNetworkPolicy Pass
작업 예제" 및 "BaselineAdminNetwork Policy Deny
example" 이전에 평가되며 보안
수준 internal
이 있는 테넌트로 들어오는 모든 수신 모니터링 트래픽을 거부합니다. Tenant 1의 NetworkPolicy
오브젝트를 사용하면 애플리케이션에서 데이터를 수집할 수 있습니다. 테넌트 2 그러나 NetworkPolicy
오브젝트가 없는 사용자는 데이터를 수집할 수 없습니다. 관리자는 기본적으로 내부 테넌트를 모니터링하지 않았으며 대신 테넌트가 NetworkPolicy
오브젝트를 사용하여 BANP의 기본 동작을 재정의할 수 있는 BANP를 생성했습니다.