Red Hat Summit1장. 네트워킹 이해
OpenShift Container Platform의 네트워킹 기본 사항을 이해하면 클러스터 내에서 효율적이고 안전한 통신이 보장되며 효과적인 네트워크 관리에 필수적입니다. 사용자 환경에서 네트워킹의 핵심 요소에는 포드와 서비스의 통신 방법, IP 주소의 역할, 서비스 검색을 위한 DNS 사용 등이 포함됩니다.
1.1. OpenShift 컨테이너 플랫폼의 네트워킹
OpenShift Container Platform은 클러스터 내의 다양한 구성 요소 간, 그리고 외부 클라이언트와 클러스터 간의 원활한 통신을 보장합니다. 네트워킹은 다음 핵심 개념 및 구성 요소를 사용합니다.
- 포드 간 통신
- 서비스
- DNS
- Ingress
- 네트워크 제어
- 로드 밸런싱
1.1.1. 네트워킹 서비스의 일반적인 관행
OpenShift Container Platform에서 서비스는 여러 개의 Pod가 해당 서비스를 제공하더라도 클라이언트가 사용할 수 있는 단일 IP 주소를 생성합니다. 이러한 추상화를 통해 클라이언트에 영향을 주지 않고 원활한 확장, 내결함성 및 롤링 업그레이드가 가능해집니다.
네트워크 보안 정책은 클러스터 내의 트래픽을 관리합니다. 네트워크 제어를 통해 네임스페이스 관리자는 포드에 대한 수신 및 송신 규칙을 정의할 수 있습니다. 네트워크 관리 정책을 사용하면 클러스터 관리자가 네임스페이스 정책을 설정하고, 네임스페이스 정책을 재정의하거나, 아무것도 정의되지 않은 경우 기본 정책을 설정할 수 있습니다.
송신 방화벽 구성은 포드에서 나가는 트래픽을 제어합니다. 이러한 구성 설정은 승인된 통신만 이루어지도록 보장합니다. 유입 노드 방화벽은 유입 트래픽을 제어하여 노드를 보호합니다. 또한, Universal Data Network는 클러스터 전반의 데이터 트래픽을 관리합니다.
1.1.2. 네트워킹 기능
OpenShift Container Platform은 다양한 네트워킹 기능과 향상된 기능을 제공합니다. 이러한 기능과 향상된 기능은 다음과 같습니다.
- Ingress Operator 및 Route API: OpenShift Container Platform에는 Ingress Controller API를 구현하는 Ingress Operator가 포함되어 있습니다. 이 구성 요소는 고급 라우팅 구성과 부하 분산을 지원하는 HAProxy 기반 Ingress 컨트롤러를 배포하고 관리하여 클러스터 서비스에 대한 외부 액세스를 활성화합니다. OpenShift Container Platform은 Route API를 사용하여 업스트림 Ingress 객체를 경로 객체로 변환합니다. 경로는 OpenShift Container Platform의 네트워킹에 따라 다르지만 타사 Ingress 컨트롤러를 사용할 수도 있습니다.
강화된 보안: OpenShift Container Platform은 송신 방화벽 및 수신 노드 방화벽과 같은 고급 네트워크 보안 기능을 제공합니다.
- 송신 방화벽: 송신 방화벽은 클러스터 내의 포드에서 나가는 트래픽을 제어하고 제한합니다. 포드가 통신할 수 있는 외부 호스트 또는 IP 범위를 제한하는 규칙을 설정할 수 있습니다.
수신 노드 방화벽: 수신 노드 방화벽은 수신 방화벽 운영자가 관리하며 노드 수준에서 방화벽 규칙을 제공합니다. 클러스터 내의 특정 노드에 이 방화벽을 구성하여 해당 노드에 도달하기 전에 들어오는 트래픽을 필터링함으로써 노드를 위협으로부터 보호할 수 있습니다.
참고OpenShift Container Platform은 또한 네트워크 정책, 관리자 네트워크 정책, 보안 컨텍스트 제약(SCC)과 같은 서비스를 구현하여 포드 간 통신을 보호하고 액세스 제어를 시행합니다.
- 역할 기반 액세스 제어(RBAC): OpenShift Container Platform은 Kubernetes RBAC를 확장하여 네트워크 리소스에 액세스하고 관리할 수 있는 사람에 대한 보다 세부적인 제어를 제공합니다. RBAC는 클러스터 내에서 보안과 규정 준수를 유지하는 데 도움이 됩니다.
- 다중 테넌시 지원: OpenShift Container Platform은 여러 사용자와 팀이 리소스를 격리하고 안전하게 유지하면서 동일한 클러스터를 공유할 수 있도록 다중 테넌시 지원을 제공합니다.
- 하이브리드 및 멀티 클라우드 기능: OpenShift Container Platform은 온프레미스, 클라우드 및 멀티 클라우드 환경에서 원활하게 작동하도록 설계되었습니다. 이러한 유연성 덕분에 조직은 다양한 인프라에 컨테이너화된 애플리케이션을 배포하고 관리할 수 있습니다.
- 관찰성 및 모니터링: OpenShift Container Platform은 네트워크 문제를 관리하고 해결하는 데 도움이 되는 통합된 관찰성 및 모니터링 도구를 제공합니다. 이러한 도구에는 네트워크 메트릭과 로그에 대한 역할 기반 액세스가 포함됩니다.
- 사용자 정의 네트워크(UDN): UDN을 사용하면 관리자가 네트워크 구성을 사용자 정의할 수 있습니다. UDN은 향상된 네트워크 격리 및 IP 주소 관리를 제공합니다.
- 송신 IP: 송신 IP를 사용하면 네임스페이스 내의 포드에서 발생하는 모든 송신 트래픽에 대해 고정된 소스 IP 주소를 할당할 수 있습니다. Egress IP는 외부 서비스에 대한 일관된 소스 IP 주소를 보장함으로써 보안과 액세스 제어를 개선할 수 있습니다. 예를 들어, 포드가 특정 IP 주소에서만 트래픽을 허용하는 외부 데이터베이스에 액세스해야 하는 경우 액세스 요구 사항을 충족하도록 해당 포드에 대한 송신 IP를 구성할 수 있습니다.
- 송신 라우터: 송신 라우터는 클러스터와 외부 시스템 간의 브리지 역할을 하는 포드입니다. 송신 라우터를 사용하면 포드의 트래픽을 다른 목적으로 사용되지 않는 특정 IP 주소를 통해 라우팅할 수 있습니다. 송신 라우터를 사용하면 액세스 제어를 시행하거나 특정 게이트웨이를 통해 트래픽을 라우팅할 수 있습니다.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}