Red Hat Summit9.3. Ingress 노드 방화벽 운영자 배포
사전 요구 사항
- Ingress Node Firewall Operator가 설치되었습니다.
프로세스
Ingress Node Firewall Operator를 배포하려면 Operator의 데몬 세트를 배포할 IngressNodeFirewallConfig 사용자 정의 리소스를 만듭니다. 방화벽 규칙을 적용하여 하나 이상의 IngressNodeFirewall CRD를 노드에 배포할 수 있습니다.
-
openshift-ingress-node-firewall네임스페이스 내에ingressnodefirewallconfig라는 이름의IngressNodeFirewallConfig를생성합니다. 다음 명령을 실행하여 Ingress Node Firewall Operator 규칙을 배포합니다.
oc apply -f rule.yaml
$ oc apply -f rule.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
9.3.1. Ingress 노드 방화벽 구성 개체
Ingress 노드 방화벽 구성 개체의 필드는 다음 표에 설명되어 있습니다.
| 필드 | 유형 | 설명 |
|---|---|---|
|
|
|
CR 객체의 이름입니다. 방화벽 규칙 개체의 이름은 |
|
|
|
Ingress Firewall Operator CR 개체에 대한 네임스페이스입니다. |
|
|
| 지정된 노드 레이블을 통해 노드를 타겟으로 지정하는 데 사용되는 노드 선택 제약 조건입니다. 예를 들면 다음과 같습니다. spec:
nodeSelector:
node-role.kubernetes.io/worker: ""
참고
데몬 세트를 시작하려면 |
|
|
| Node Ingress Firewall Operator가 eBPF Manager Operator를 사용하여 eBPF 프로그램을 관리할지 여부를 지정합니다. 이 기능은 기술 미리보기 기능입니다. Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오. |
운영자는 CR을 사용하여 nodeSelector 와 일치하는 모든 노드에 설정된 수신 노드 방화벽 데몬을 생성합니다.
9.3.2. Ingress 노드 방화벽 운영자 구성 예시
다음 예에서는 완전한 Ingress 노드 방화벽 구성을 지정합니다.
Ingress 노드 방화벽 구성 객체를 만드는 방법의 예
Operator는 CR 객체를 사용하고 nodeSelector 와 일치하는 모든 노드에 설정된 수신 노드 방화벽 데몬을 생성합니다.
9.3.3. Ingress 노드 방화벽 규칙 개체
Ingress 노드 방화벽 규칙 개체의 필드는 다음 표에 설명되어 있습니다.
| 필드 | 유형 | 설명 |
|---|---|---|
|
|
| CR 객체의 이름입니다. |
|
|
|
이 개체의 필드는 방화벽 규칙을 적용할 인터페이스를 지정합니다. 예를 들어, |
|
|
|
|
|
|
|
|
9.3.3.1. Ingress 객체 구성
ingress 객체의 값은 다음 표에 정의되어 있습니다.
| 필드 | 유형 | 설명 |
|---|---|---|
|
|
| CIDR 블록을 설정할 수 있습니다. 다양한 주소 패밀리에서 여러 CIDR을 구성할 수 있습니다. 참고
CIDR이 다르면 동일한 주문 규칙을 사용할 수 있습니다. 동일한 노드와 인터페이스에 대해 CIDR이 겹치는 여러 |
|
|
|
Ingress 방화벽
참고 Ingress 방화벽 규칙은 잘못된 구성을 차단하는 검증 웹훅을 사용하여 검증됩니다. 확인 웹훅을 사용하면 API 서버와 같은 중요한 클러스터 서비스를 차단하지 못하게 됩니다. |
9.3.3.2. Ingress 노드 방화벽 규칙 객체 예
다음 예에서는 완전한 Ingress 노드 방화벽 구성을 지정합니다.
Ingress 노드 방화벽 구성 예
- 1
- <label_name>과 <label_value>는 노드에 있어야 하며
ingressfirewallconfigCR을 실행하려는 노드에 적용된nodeselector레이블 및 값과 일치해야 합니다. <label_value>는true또는false가될 수 있습니다.nodeSelector레이블을 사용하면ingressfirewallconfigCR을 사용하여 서로 다른 규칙을 적용할 별도의 노드 그룹을 타겟팅할 수 있습니다.
9.3.3.3. Zero trust Ingress 노드 방화벽 규칙 객체 예시
Zero trust Ingress 노드 방화벽 규칙은 다중 인터페이스 클러스터에 추가적인 보안을 제공할 수 있습니다. 예를 들어, 제로 트러스트 Ingress 노드 방화벽 규칙을 사용하면 SSH를 제외한 특정 인터페이스의 모든 트래픽을 삭제할 수 있습니다.
다음 예에서는 Zero Trust Ingress 노드 방화벽 규칙 세트의 전체 구성을 지정합니다.
사용자는 애플리케이션이 제대로 작동하도록 하기 위해 다음과 같은 경우 허용 목록에 모든 포트를 추가해야 합니다.
예제 제로 트러스트 Ingress 노드 방화벽 규칙
eBPF Manager Operator 통합은 기술 미리 보기 기능에 불과합니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 따라서 프로덕션 환경에서 사용하는 것은 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.
Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}