1.9. 보안 및 교통 관리

ClusterIP는 클러스터 내부의 내부 IP에 서비스를 노출시켜 클러스터 내의 다른 서비스에서만 클러스터에 접근할 수 있도록 합니다. NodePort 서비스 유형은 각 노드의 IP에 있는 정적 포트에서 서비스를 제공합니다. 이 서비스 유형은 외부 트래픽이 서비스에 액세스하는 것을 허용합니다. 로드 밸런서는 일반적으로 MetalLB를 사용하는 클라우드 또는 베어 메탈 환경에서 사용됩니다. 이 서비스 유형은 외부 트래픽을 서비스로 라우팅하는 외부 부하 분산 장치를 제공합니다. 베어메탈 환경에서 MetalLB는 VIP와 ARP 공지 또는 BGP 공지를 사용합니다.

Ingress는 부하 분산, SSL/TLS 종료, 이름 기반 가상 호스팅과 같은 서비스에 대한 외부 액세스를 관리하는 API 객체입니다. NGINX나 HAProxy와 같은 Ingress Controller는 Ingress API를 구현하고 사용자 정의 규칙에 따라 트래픽 라우팅을 처리합니다.

Ingress 컨트롤러는 백엔드 서비스로 전달하기 전에 들어오는 SSL/TLS 트래픽을 해독하기 위해 SSL/TLS 종료를 관리합니다. SSL/TLS 종료는 애플리케이션 포드에서 암호화/복호화 프로세스의 부담을 덜어줍니다. TLS 인증서를 사용하여 클라이언트와 서비스 간 트래픽을 암호화할 수 있습니다. cert-manager 와 같은 도구를 사용하면 인증서 배포 및 갱신을 자동화하여 인증서를 관리할 수 있습니다.

SNI 필드가 있는 경우 경로는 TLS 트래픽을 포드로 전달합니다. 이 프로세스를 통해 TCP를 실행하는 서비스가 HTTP/HTTPS뿐만 아니라 TLS를 사용하여 노출될 수 있습니다. 사이트 관리자는 인증서를 중앙에서 관리하고 애플리케이션 개발자가 허가 없이도 개인 키를 읽을 수 있도록 허용할 수 있습니다.

Route API는 클러스터 관리 인증서를 사용하여 라우터-포드 트래픽을 암호화할 수 있도록 합니다. 이를 통해 외부 인증서는 중앙에서 관리되고 내부 인증서는 암호화된 상태로 유지됩니다. 애플리케이션 개발자는 자신의 애플리케이션에 대한 고유한 개인 키를 받습니다. 이러한 키는 포드에 비밀 키로 장착될 수 있습니다.

네트워크 제어는 포드가 서로 및 다른 네트워크 엔드포인트와 통신할 수 있는 방법에 대한 규칙을 정의합니다. 이렇게 하면 클러스터 내의 트래픽 흐름을 제어하여 보안이 강화됩니다. 이러한 제어는 네트워크 플러그인 수준에서 구현되어 포드 간에 허용된 트래픽 흐름만 보장됩니다.

역할 기반 액세스 제어(RBAC)는 클러스터 내의 리소스에 누가 액세스할 수 있는지 권한을 관리하고 제어합니다. 서비스 계정은 API에 액세스하는 포드에 대한 ID를 제공합니다. RBAC를 사용하면 각 Pod가 수행할 수 있는 작업을 세부적으로 제어할 수 있습니다.

이 예에서 클러스터에서 실행되는 웹 애플리케이션은 외부 사용자가 액세스해야 합니다.

서비스 유형과 API 리소스는 애플리케이션을 노출하고 네트워크 연결을 보호하는 데 다양한 이점을 제공합니다. 적절한 서비스 유형이나 API 리소스를 활용하면 애플리케이션이 노출되는 방식을 효과적으로 관리하고 내부 및 외부 클라이언트 모두에게 안전하고 안정적인 액세스를 보장할 수 있습니다.

OpenShift Container Platform은 다음과 같은 서비스 유형과 API 리소스를 지원합니다.

외부 트래픽에 서비스를 노출하는 간단한 방법이 필요한 경우 Route 나 Ingress가 가장 좋은 선택일 수 있습니다. 이러한 리소스는 네임스페이스 관리자나 개발자가 관리할 수 있습니다. 가장 쉬운 방법은 경로를 만들고, 외부 DNS 이름을 확인한 다음, 외부 DNS 이름을 가리키는 CNAME을 갖도록 DNS를 구성하는 것입니다.

HTTP/HTTPS/TLS의 경우 Route 또는 Ingress로 충분합니다. 그 외의 것은 더 복잡하며 클러스터 관리자가 포트에 액세스할 수 있는지 또는 MetalLB가 구성되어 있는지 확인해야 합니다. LoadBalancer 서비스는 클라우드 환경이나 적절하게 구성된 베어 메탈 환경에서도 사용할 수 있는 옵션입니다.