3.2. 네트워크 정책 생성
클러스터 관리자는 네임스페이스에 대한 네트워크 정책을 생성할 수 있습니다.
3.2.1. NetworkPolicy 오브젝트 예 링크 복사링크가 클립보드에 복사되었습니다!
다음은 예제 NetworkPolicy 오브젝트에 대한 주석입니다.
3.2.2. CLI를 사용하여 네트워크 정책 만들기 링크 복사링크가 클립보드에 복사되었습니다!
클러스터의 네임스페이스에서 허용된 수신 또는 송신 네트워크 트래픽을 설명하는 세분화된 규칙을 정의하기 위해 네트워크 정책을 생성할 수 있습니다.
cluster-admin
역할로 사용자로 로그인하는 경우 클러스터의 모든 네임스페이스에서 네트워크 정책을 생성할 수 있습니다.
사전 요구 사항
-
클러스터는
NetworkPolicy
객체를 지원하는 네트워크 플러그인(예: OVN-Kubernetes 네트워크 플러그인)을 사용하며,모드: NetworkPolicy가
설정되어 있습니다. -
OpenShift CLI(
oc
)를 설치합니다. -
관리자
권한이 있는 사용자로 클러스터에 로그인했습니다. - 네트워크 정책이 적용되는 네임스페이스에서 작업하고 있습니다.
프로세스
다음과 같이 정책 규칙을 생성합니다.
<policy_name>.yaml
파일을 생성합니다.touch <policy_name>.yaml
$ touch <policy_name>.yaml
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음과 같습니다.
<policy_name>
- 네트워크 정책 파일 이름을 지정합니다.
방금 만든 파일에서 다음 예와 같이 네트워크 정책을 정의합니다.
모든 네임스페이스의 모든 Pod에서 수신 거부
이는 다른 네트워크 정책의 구성에 의해 허용되는 크로스 포드 트래픽 외의 모든 크로스 포드 네트워킹을 차단하는 기본 정책입니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 동일한 네임 스페이스에 있는 모든 Pod의 수신 허용
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 특정 네임스페이스에서 하나의 포드로의 유입 트래픽 허용
이 정책은
namespace-y
에서 실행되는 포드에서pod-a
레이블이 있는 포드로의 트래픽을 허용합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow
네트워크 정책 개체를 생성하려면 다음 명령을 입력하세요. 성공적인 출력에는 정책 개체의 이름과
생성
상태가 나열됩니다.oc apply -f <policy_name>.yaml -n <namespace>
$ oc apply -f <policy_name>.yaml -n <namespace>
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음과 같습니다.
<policy_name>
- 네트워크 정책 파일 이름을 지정합니다.
<namespace>
- 선택적 매개변수입니다. 현재 네임스페이스와 다른 네임스페이스에 객체를 정의한 경우 매개변수는 네임스페이스를 지정합니다.
성공적인 출력에는 정책 개체의 이름과
생성
상태가 나열됩니다.
클러스터 관리자
권한으로 웹 콘솔에 로그인하면 YAML에서 직접 또는 웹 콘솔의 양식을 통해 클러스터의 모든 네임스페이스에 네트워크 정책을 만들 수 있습니다.
3.2.3. 모든 네트워크 정책을 거부하는 기본 정책 만들기 링크 복사링크가 클립보드에 복사되었습니다!
이 정책은 다른 배포된 네트워크 정책의 구성에 의해 허용되는 네트워크 트래픽과 호스트 네트워크에 연결된 포드 간 트래픽을 제외한 모든 크로스 포드 네트워킹을 차단합니다. 이 절차는 my-project
네임스페이스에 deny-by-default
정책을 적용하여 강력한 거부 정책을 시행합니다.
트래픽 통신을 허용하는 NetworkPolicy
사용자 정의 리소스(CR)를 구성하지 않으면 다음 정책으로 인해 클러스터 전체에서 통신 문제가 발생할 수 있습니다.
사전 요구 사항
-
클러스터는
NetworkPolicy
객체를 지원하는 네트워크 플러그인(예: OVN-Kubernetes 네트워크 플러그인)을 사용하며,모드: NetworkPolicy가
설정되어 있습니다. -
OpenShift CLI(
oc
)를 설치합니다. -
관리자
권한이 있는 사용자로 클러스터에 로그인했습니다. - 네트워크 정책이 적용되는 네임스페이스에서 작업하고 있습니다.
프로세스
모든 네임스페이스의 모든 포드에서 들어오는 트래픽을 거부하는
기본 거부
정책을 정의하는 다음 YAML을 만듭니다.deny-by-default.yaml
파일에 YAML을 저장합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 입력하여 정책을 적용합니다. 성공적인 출력에는 정책 개체의 이름과
생성
상태가 나열됩니다.oc apply -f deny-by-default.yaml
$ oc apply -f deny-by-default.yaml
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 성공적인 출력에는 정책 개체의 이름과
생성
상태가 나열됩니다.
3.2.4. 외부 클라이언트의 트래픽을 허용하는 네트워크 정책 생성 링크 복사링크가 클립보드에 복사되었습니다!
기본적으로 거부
정책이 적용되면 app=web
레이블이 있는 포드로의 외부 클라이언트의 트래픽을 허용하는 정책을 구성할 수 있습니다.
cluster-admin
역할로 사용자로 로그인하는 경우 클러스터의 모든 네임스페이스에서 네트워크 정책을 생성할 수 있습니다.
공용 인터넷에서 직접 또는 로드 밸런서를 사용하여 포드에 액세스하는 외부 서비스를 허용하는 정책을 구성하려면 다음 절차를 따르세요. 트래픽은 app=web
라벨이 있는 Pod에만 허용됩니다.
사전 요구 사항
-
클러스터는
NetworkPolicy
객체를 지원하는 네트워크 플러그인(예: OVN-Kubernetes 네트워크 플러그인)을 사용하며,모드: NetworkPolicy가
설정되어 있습니다. -
OpenShift CLI(
oc
)를 설치합니다. -
관리자
권한이 있는 사용자로 클러스터에 로그인했습니다. - 네트워크 정책이 적용되는 네임스페이스에서 작업하고 있습니다.
프로세스
퍼블릭 인터넷에서 직접 또는 로드 밸런서를 사용하여 트래픽이 포드에 액세스할 수 있도록 허용하는 정책을 만듭니다.
web-allow-external.yaml
파일에 YAML을 저장합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 입력하여 정책을 적용합니다. 성공적인 출력에는 정책 개체의 이름과
생성
상태가 나열됩니다.oc apply -f web-allow-external.yaml
$ oc apply -f web-allow-external.yaml
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 성공적인 출력에는 정책 개체의 이름과
생성
상태가 나열됩니다. 이 정책은 다음 다이어그램에 표시된 것처럼 외부 트래픽을 포함한 모든 리소스의 트래픽을 허용합니다.
3.2.5. 모든 네임스페이스에서 애플리케이션으로의 트래픽을 허용하는 네트워크 정책 생성 링크 복사링크가 클립보드에 복사되었습니다!
cluster-admin
역할로 사용자로 로그인하는 경우 클러스터의 모든 네임스페이스에서 네트워크 정책을 생성할 수 있습니다.
모든 네임스페이스의 모든 포드에서 특정 애플리케이션으로의 트래픽을 허용하는 정책을 구성하려면 다음 절차를 따르세요.
사전 요구 사항
-
클러스터는
NetworkPolicy
객체를 지원하는 네트워크 플러그인(예: OVN-Kubernetes 네트워크 플러그인)을 사용하며,모드: NetworkPolicy가
설정되어 있습니다. -
OpenShift CLI(
oc
)를 설치합니다. -
관리자
권한이 있는 사용자로 클러스터에 로그인했습니다. - 네트워크 정책이 적용되는 네임스페이스에서 작업하고 있습니다.
프로세스
모든 네임스페이스의 모든 포드에서 특정 애플리케이션으로의 트래픽을 허용하는 정책을 만듭니다.
web-allow-all-namespaces.yaml
파일에 YAML을 저장합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 참고기본적으로 정책 개체에서
namespaceSelector
매개변수를 지정하지 않으면 네임스페이스가 선택되지 않습니다. 즉, 정책은 네트워크 정책이 배포된 네임스페이스에서만 트래픽을 허용합니다.다음 명령을 입력하여 정책을 적용합니다. 성공적인 출력에는 정책 개체의 이름과
생성
상태가 나열됩니다.oc apply -f web-allow-all-namespaces.yaml
$ oc apply -f web-allow-all-namespaces.yaml
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 성공적인 출력에는 정책 개체의 이름과
생성
상태가 나열됩니다.
검증
다음 명령을 입력하여
기본
네임스페이스에서 웹 서비스를 시작합니다.oc run web --namespace=default --image=nginx --labels="app=web" --expose --port=80
$ oc run web --namespace=default --image=nginx --labels="app=web" --expose --port=80
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여
보조
네임스페이스에알파인
이미지를 배포하고 셸을 시작합니다.oc run test-$RANDOM --namespace=secondary --rm -i -t --image=alpine -- sh
$ oc run test-$RANDOM --namespace=secondary --rm -i -t --image=alpine -- sh
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 셸에서 다음 명령을 실행하고 서비스가 요청을 허용하는지 확인합니다.
wget -qO- --timeout=2 http://web.default
# wget -qO- --timeout=2 http://web.default
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 예상 출력
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
3.2.6. 네임스페이스에서 애플리케이션으로의 트래픽을 허용하는 네트워크 정책 생성 링크 복사링크가 클립보드에 복사되었습니다!
cluster-admin
역할로 사용자로 로그인하는 경우 클러스터의 모든 네임스페이스에서 네트워크 정책을 생성할 수 있습니다.
특정 네임스페이스에서 app=web
레이블이 있는 포드로의 트래픽을 허용하는 정책을 구성하려면 다음 절차를 따르세요. 다음과 같은 경우 이 작업을 수행할 수 있습니다.
- 프로덕션 워크로드가 배포된 네임스페이스에만 프로덕션 데이터베이스로의 트래픽을 제한합니다.
- 특정 네임스페이스에 배포된 모니터링 도구를 활성화하여 현재 네임스페이스에서 메트릭을 스크래핑합니다.
사전 요구 사항
-
클러스터는
NetworkPolicy
객체를 지원하는 네트워크 플러그인(예: OVN-Kubernetes 네트워크 플러그인)을 사용하며,모드: NetworkPolicy가
설정되어 있습니다. -
OpenShift CLI(
oc
)를 설치합니다. -
관리자
권한이 있는 사용자로 클러스터에 로그인했습니다. - 네트워크 정책이 적용되는 네임스페이스에서 작업하고 있습니다.
프로세스
특정 네임스페이스에 있는 모든 포드의 트래픽을 허용하는 정책을
purpose=production
레이블로 만듭니다.web-allow-prod.yaml
파일에 YAML을 저장합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 입력하여 정책을 적용합니다. 성공적인 출력에는 정책 개체의 이름과
생성
상태가 나열됩니다.oc apply -f web-allow-prod.yaml
$ oc apply -f web-allow-prod.yaml
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 성공적인 출력에는 정책 개체의 이름과
생성
상태가 나열됩니다.
검증
다음 명령을 입력하여
기본
네임스페이스에서 웹 서비스를 시작합니다.oc run web --namespace=default --image=nginx --labels="app=web" --expose --port=80
$ oc run web --namespace=default --image=nginx --labels="app=web" --expose --port=80
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여
prod
네임스페이스를 만듭니다.oc create namespace prod
$ oc create namespace prod
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여
prod
네임스페이스에 레이블을 지정합니다.oc label namespace/prod purpose=production
$ oc label namespace/prod purpose=production
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여
dev
네임스페이스를 만듭니다.oc create namespace dev
$ oc create namespace dev
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여
dev
네임스페이스에 레이블을 지정합니다.oc label namespace/dev purpose=testing
$ oc label namespace/dev purpose=testing
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여
dev
네임스페이스에alpine
이미지를 배포하고 셸을 시작합니다.oc run test-$RANDOM --namespace=dev --rm -i -t --image=alpine -- sh
$ oc run test-$RANDOM --namespace=dev --rm -i -t --image=alpine -- sh
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 셸에서 다음 명령을 실행하고 요청이 차단된 이유를 살펴보세요. 예를 들어, 예상 출력 상태는
wget: download timed out 입니다
.wget -qO- --timeout=2 http://web.default
# wget -qO- --timeout=2 http://web.default
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여
prod
네임스페이스에alpine
이미지를 배포하고 셸을 시작합니다.oc run test-$RANDOM --namespace=prod --rm -i -t --image=alpine -- sh
$ oc run test-$RANDOM --namespace=prod --rm -i -t --image=alpine -- sh
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 셸에서 다음 명령을 실행하고 요청이 허용되는지 확인하세요.
wget -qO- --timeout=2 http://web.default
# wget -qO- --timeout=2 http://web.default
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 예상 출력
Copy to Clipboard Copied! Toggle word wrap Toggle overflow