클러스터 신뢰

Autopilot Standard

이 페이지에서는 제어 영역과 노드에서 요청을 인증하는 방법을 포함하여 Google Kubernetes Engine(GKE) 클러스터에서의 트러스트를 설명합니다.

클러스터 내 통신

클러스터에는 Kubernetes 구성요소 간 통신을 위한 많은 연결이 있습니다.

제어 영역-노드 간: 제어 영역은 노드와 통신하여 컨테이너를 관리합니다. 제어 영역이 공개 클러스터의 노드에 kubectl logs와 같은 요청을 보내면 요청은 Konnectivity Proxy 터널을 통해 전송됩니다. 비공개 클러스터의 노드에 대한 요청은 VPC 피어링을 통해 전송됩니다. 제어 영역에서 보낸 요청은 TLS로 보호되어 인증, 무결성, 암호화를 제공합니다. 노드가 제어 영역에 요청을 보내면(예를 들어 kubelet에서 API 서버로) 요청은 상호 TLS를 이용해 인증 및 암호화됩니다.; 새로 생성되고 업데이트된 모든 클러스터는 제어 영역-노드 간 통신에 TLS 1.3을 사용합니다. TLS 1.2는 제어 영역-노드 간 통신에 지원되는 최소 버전입니다.; 참고: GKE 버전 1.11 이후에 생성된 알파 클러스터의 경우 제어 영역-노드 간 통신은 TLS로 보호됩니다.
노드 간: 노드는 Google의 프로덕션 네트워크 내 연결이 인증되고 암호화되는 Compute Engine VM입니다. 자세한 내용은 전송 중인 데이터 암호화 백서의 VM 간 섹션을 참조하세요.
포드 간: 포드가 다른 포드에 요청을 전송할 때 이 트래픽은 기본적으로 인증되지 않습니다. GKE는 네트워크 레이어에서 서로 다른 노드의 포드 간 트래픽을 암호화합니다. 동일한 노드에 있는 포드 간 트래픽은 기본적으로 암호화되지 않습니다. 네트워크 레이어 암호화에 대한 자세한 내용은 Google Cloud 가상 네트워크 암호화 및 인증을 참조하세요.; 네트워크 정책으로 포드 간 트래픽을 제한할 수 있습니다. Anthos Service Mesh와 같은 서비스 메시나 다른 애플리케이션 레이어 암호화 방법을 사용해 동일한 노드의 트래픽을 포함한 모든 포드 간 트래픽을 암호화할 수 있습니다.
etcd 간: etcd 인스턴스는 다른 etcd 인스턴스와 통신하여 업데이트된 상태를 유지할 수 있습니다. etcd의 인스턴스가 다른 인스턴스에 요청을 전송하면 이 요청은 상호 TLS를 사용하여 인증되고 암호화됩니다. 트래픽은 방화벽으로 보호되는 GKE 소유 네트워크를 벗어나지 않습니다.
제어 영역-etcd 간: GKE 버전 1.23.6-gke.1100 이상에서 이 통신은 상호 TLS를 사용하여 암호화됩니다.

신뢰 기반

GKE 구성은 다음과 같습니다.

클러스터 루트 인증 기관(CA)은 API 서버 및 kubelet 클라이언트 인증서의 유효성을 검사하는 데 사용됩니다. 즉, 제어 영역과 노드의 신뢰할 수 있는 루트는 동일합니다. 클러스터 노드 풀 내의 모든 kubelet은 인증서 서명 요청을 제출하여 certificates.k8s.io API를 사용해 이 CA에 인증서를 요청할 수 있습니다. 루트 CA의 수명은 클러스터 루트 CA 수명 섹션에 설명된 대로 제한됩니다.
별도의 클러스터별 etcd CA는 etcd의 인증서 유효성 검사에 사용됩니다.

API 서버 및 kubelet

API 서버와 kubelet은 트러스트에 클러스터 루트 CA를 사용합니다. GKE에서 제어 영역 API 인증서는 클러스터 루트 CA에 의해 서명됩니다. 클러스터마다 자체 CA가 실행되므로 클러스터 하나의 CA가 손상되더라도 다른 클러스터 CA는 영향을 받지 않습니다.

내부 Google 서비스가 이 CA의 루트 키를 관리하며 이 키를 내보낼 수 없습니다. 이 서비스는 각 GKE 클러스터에 있는 kubelet의 요청을 비롯한 인증서 서명 요청을 수락합니다. 클러스터의 API 서버가 손상되더라도 CA는 손상되지 않으므로 다른 클러스터는 영향을 받지 않습니다.

클러스터의 각 노드에는 클러스터 루트 CA에 인증서 서명 요청을 전송하고 kubelet 클라이언트 인증서를 획득하는 데 사용할 수 있는 공유 보안 비밀이 생성 시 주입됩니다. 그런 다음 이러한 인증서는 kubelet이 API 서버에 요청을 인증하는 데 사용됩니다. 이 공유 보안 비밀은 보안 GKE 노드, GKE용 워크로드 아이덴티티 제휴, 메타데이터 숨김을 사용 설정하지 않는 한 노드의 포드에서 연결할 수 있습니다.

클러스터 루트 CA 수명

클러스터 루트 CA의 수명은 제한되어 있으며, 그 이후에는 만료된 CA에서 서명한 인증서가 유효하지 않습니다. 사용자 인증 정보 수명 확인의 안내에 따라 클러스터 CA의 대략적인 만료일을 확인합니다.

기존 루트 CA가 만료되기 전에 사용자 인증 정보를 수동으로 순환해야 합니다. CA가 만료되고 사용자 인증 정보를 순환하지 않으면 클러스터가 복구 불가능한 상태로 전환될 수 있습니다. GKE에는 복구할 수 없는 클러스터를 시도하고 방지하기 위한 메커니즘이 있습니다.

클러스터가 CA 만료 7일 전에 DEGRADED 상태로 전환됩니다.
GKE는 CA 만료 30일 전에 자동 사용자 인증 정보 순환을 시도합니다. 이 자동 순환은 유지보수 기간을 무시하며, GKE가 새 사용자 인증 정보를 사용하도록 노드를 다시 만들 때 중단이 발생할 수 있습니다. 로컬 환경의 kubectl과 같은 외부 클라이언트는 새 사용자 인증 정보를 사용하도록 업데이트해야 작동합니다.

참고: 이 방법은 복구할 수 없는 클러스터를 방지하기 위한 마지막 방법입니다. 자동 순환을 사용하지 마세요. 대신 CA 만료 전 유지보수 기간 중에 사용자 인증 정보를 수동으로 순환해야 합니다.

순환을 수행하는 방법을 알아보려면 클러스터 사용자 인증 정보 순환을 참조하세요.

etcd

GKE에서 etcd는 트러스트에 별도의 클러스터별 etcd CA를 사용합니다.

etcd CA의 루트 키는 제어 영역이 실행되는 각 가상 머신(VM)의 메타데이터에 배포됩니다. 제어 영역 VM에서 실행되거나 이러한 VM의 컴퓨팅 메타데이터에 대한 액세스 권한이 있는 모든 코드는 이 CA로 인증서에 서명할 수 있습니다. 클러스터의 etcd가 손상되었더라도 CA가 클러스터 간에 공유되지 않으므로 다른 클러스터는 영향을 받지 않습니다.

etcd 인증서는 5년간 유효합니다.

인증서 순환

모든 클러스터의 API 서버 및 kubelet 인증서를 순환시키려면 사용자 인증 정보 순환을 수행하세요. etcd 인증서의 순환을 트리거하는 방법은 없습니다. 이것은 GKE에서 관리합니다.

다음 단계

Kubernetes 문서의 TLS 인증서 관리에 대해 자세히 알아보기