Red Hat Summit3장. 네트워크 정책
3.1. 네트워크 정책 정의
개발자는 클러스터 내의 포드에 대한 트래픽을 제한하는 네트워크 정책을 정의할 수 있습니다.
3.1.1. 네트워크 정책 정의
기본적으로 네트워크 정책 모드에서는 다른 Pod 및 네트워크 끝점에서 프로젝트의 모든 Pod에 액세스할 수 있습니다. 프로젝트에서 하나 이상의 Pod를 분리하기 위해 해당 프로젝트에서 NetworkPolicy 오브젝트를 생성하여 수신되는 연결을 표시할 수 있습니다. 프로젝트 관리자는 자신의 프로젝트 내에서 NetworkPolicy 오브젝트를 만들고 삭제할 수 있습니다.
하나 이상의 NetworkPolicy 오브젝트에서 선택기와 Pod가 일치하면 Pod는 해당 NetworkPolicy 오브젝트 중 하나 이상에서 허용되는 연결만 허용합니다. NetworkPolicy 오브젝트가 선택하지 않은 Pod에 완전히 액세스할 수 있습니다.
네트워크 정책은 TCP(전송 제어 프로토콜), UDP(사용자 데이터그램 프로토콜), ICMP(인터넷 제어 메시지 프로토콜), SCTP(스트림 제어 전송 프로토콜) 프로토콜에만 적용됩니다. 다른 프로토콜은 영향을 받지 않습니다.
- 네트워크 정책은 호스트 네트워크 네임스페이스에 적용되지 않습니다. 호스트 네트워킹이 활성화된 Pod는 네트워크 정책 규칙의 영향을 받지 않습니다. 그러나 호스트 네트워크에 연결된 포드에 연결하는 포드는 네트워크 정책 규칙의 영향을 받을 수 있습니다.
-
podSelector필드를{}로 설정하지 않고namespaceSelector필드를 사용하면hostNetwork포드가 포함되지 않습니다. 네트워크 정책을 생성할 때hostNetwork포드를 대상으로 지정하려면namespaceSelector필드와 함께podSelector를{}로 설정해야 합니다. - 네트워크 정책은 로컬호스트나 상주 노드에서 오는 트래픽을 차단할 수 없습니다.
다음 예제 NetworkPolicy 오브젝트는 다양한 시나리오 지원을 보여줍니다.
모든 트래픽 거부:
기본적으로 프로젝트를 거부하려면 모든 Pod와 일치하지만 트래픽을 허용하지 않는
NetworkPolicy오브젝트를 추가합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow OpenShift Container Platform Ingress 컨트롤러의 연결만 허용합니다.
프로젝트에서 OpenShift Container Platform Ingress 컨트롤러의 연결만 허용하도록 하려면 다음
NetworkPolicy개체를 추가합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 프로젝트 내 Pod 연결만 허용:
중요동일한 네임스페이스에 있는
hostNetwork포드에서 수신 연결을 허용하려면allow-same-namespace정책과 함께allow-from-hostnetwork정책을 적용해야 합니다.Pod가 동일한 프로젝트 내 다른 Pod의 연결은 수락하지만 다른 프로젝트에 속하는 Pod의 기타 모든 연결을 거부하도록 하려면 다음
NetworkPolicy오브젝트를 추가합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow Pod 레이블을 기반으로 하는 HTTP 및 HTTPS 트래픽만 허용:
특정 레이블(다음 예에서
role=frontend)을 사용하여 Pod에 대한 HTTP 및 HTTPS 액세스만 활성화하려면 다음과 유사한NetworkPolicy오브젝트를 추가합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 네임스페이스와 Pod 선택기를 모두 사용하여 연결 수락:
네임스페이스와 Pod 선택기를 결합하여 네트워크 트래픽을 일치시키려면 다음과 유사한
NetworkPolicy오브젝트를 사용하면 됩니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow
NetworkPolicy 오브젝트는 추가 기능이므로 여러 NetworkPolicy 오브젝트를 결합하여 복잡한 네트워크 요구 사항을 충족할 수 있습니다.
예를 들어, 이전 샘플에서 정의된 NetworkPolicy 오브젝트의 경우 동일한 프로젝트 내에서 allow-same-namespace 정책과 allow-http-and-https 정책을 모두 정의할 수 있습니다. 따라서 레이블이 role=frontend로 지정된 Pod는 각 정책에서 허용하는 모든 연결을 허용할 수 있습니다. 즉 동일한 네임스페이스에 있는 Pod의 모든 포트 연결과 모든 네임스페이스에 있는 Pod에서 포트 80 및 443에 대한 연결이 허용됩니다.
3.1.1.1. allow-from-router 네트워크 정책 사용
라우터 구성에 관계없이 외부 트래픽을 허용하려면 다음 NetworkPolicy를 사용하세요.
- 1
policy-group.network.openshift.io/ingress:""레이블은 OVN-Kubernetes를 지원합니다.
3.1.1.2. allow-from-hostnetwork 네트워크 정책 사용
호스트 네트워크 포드에서 트래픽을 전달하기 위해 다음의 allow-from-hostnetwork NetworkPolicy 객체를 추가합니다.
3.1.2. OVN-Kubernetes 네트워크 플러그인을 사용한 네트워크 정책 최적화
네트워크 정책을 설계할 때 다음 지침을 참조하십시오.
-
동일한
spec.podSelector사양을 사용하는 네트워크 정책의 경우, 여러 개의수신또는송신규칙이 있는 하나의 네트워크 정책을 사용하는 것이수신또는송신규칙의 하위 집합이 있는 여러 네트워크 정책을 사용하는 것보다 효율적입니다. podSelector또는namespaceSelector사양을 기반으로 하는 모든수신또는송신규칙은네트워크 정책에 의해 선택된 포드 수 + 수신 또는 송신 규칙에 의해 선택된 포드 수에 비례하는 OVS 흐름 수를 생성합니다. 따라서 각 Pod에 대한 개별 규칙을 만드는 대신, 하나의 규칙에서 필요한 만큼의 Pod를 선택할 수 있는podSelector또는namespaceSelector사양을 사용하는 것이 더 좋습니다.예를 들어, 다음 정책에는 두 개의 규칙이 포함되어 있습니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 정책은 동일한 두 규칙을 하나로 표현합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 동일한 가이드라인이
spec.podSelector사양에도 적용됩니다. 서로 다른 네트워크 정책에 대해 동일한수신또는송신규칙이 있는 경우 공통spec.podSelector사양을 사용하여 하나의 네트워크 정책을 만드는 것이 더 효율적일 수 있습니다. 예를 들어, 다음 두 정책은 서로 다른 규칙을 갖습니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 네트워크 정책은 동일한 두 규칙을 하나로 표현합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 여러 개의 선택자가 하나로 표현되는 경우에만 이 최적화를 적용할 수 있습니다. 선택자가 서로 다른 레이블을 기반으로 하는 경우 이러한 최적화를 적용하지 못할 수 있습니다. 이런 경우, 네트워크 정책 최적화를 위해 새로운 레이블을 적용하는 것을 고려해보세요.
3.1.2.1. OVN-Kubernetes의 NetworkPolicy CR 및 외부 IP
OVN-Kubernetes에서 NetworkPolicy 사용자 정의 리소스(CR)는 엄격한 격리 규칙을 시행합니다. 서비스가 외부 IP를 사용하여 노출된 경우, 트래픽을 허용하도록 명시적으로 구성하지 않는 한 네트워크 정책은 다른 네임스페이스에서의 액세스를 차단할 수 있습니다.
네임스페이스 전반에서 외부 IP에 대한 액세스를 허용하려면 필요한 네임스페이스에서의 유입을 명시적으로 허용하고 트래픽이 지정된 서비스 포트로 허용되는지 확인하는 NetworkPolicy CR을 만듭니다. 필요한 포트로의 트래픽을 허용하지 않으면 액세스가 제한될 수 있습니다.
출력 예
다음과 같습니다.
<policy_name>- 정책의 이름을 지정합니다.
<my_namespace>- 정책이 배포되는 네임스페이스의 이름을 지정합니다.
자세한 내용은 "네트워크 정책 정보"를 참조하세요.
3.1.3. 다음 단계
- 네트워크 정책 생성
- 선택 사항: 프로젝트에 대한 기본 네트워크 정책 정의
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}