네트워크 정책 만들기

컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요.

이 페이지에서는 Google Kubernetes Engine(GKE)에서 네트워크 정책 적용을 구성하는 방법을 설명합니다. GKE 네트워킹에 대한 일반적인 정보는 네트워크 개요를 참조하세요.

개요

GKE의 네트워크 정책 적용을 사용하여 클러스터의 포드와 서비스 간의 통신을 제어할 수 있습니다. Kubernetes Network Policy API를 사용하여 포드 수준 방화벽 규칙을 만들어 네트워크 정책을 정의합니다. 이러한 방화벽 규칙은 클러스터 내에서 서로 액세스할 수 있는 포드 및 서비스를 결정합니다.

네트워크 정책을 정의하면 클러스터가 다중 수준의 애플리케이션을 제공할 때 심층 방어와 같은 기능을 지원하는 데 도움이 됩니다. 예를 들어 애플리케이션에서 손상된 프런트엔드 서비스가 여러 수준 아래의 청구 또는 회계 서비스와 직접 통신할 수 없도록 네트워크 정책을 만들 수 있습니다.

네트워크 정책은 또한 애플리케이션이 여러 사용자의 데이터를 동시에 쉽게 호스팅할 수 있게 해줍니다. 예를 들어 네임스페이스당 테넌트 모델을 정의해서 보안 다중 테넌시를 제공할 수 있습니다. 이러한 모델에서 네트워크 정책 규칙을 활용하면 특정 네임스페이스의 포드 및 서비스가 다른 네임스페이스의 포드 또는 서비스에 액세스하는 것을 방지할 수 있습니다.

시작하기 전에

시작하기 전에 다음 태스크를 수행했는지 확인합니다.

  • Google Kubernetes Engine API를 사용 설정합니다.
  • Google Kubernetes Engine API 사용 설정
  • 이 태스크에 Google Cloud CLI를 사용하려면 gcloud CLI를 설치한 후 초기화합니다.

네트워크 정책 적용 사용

GKE 클러스터를 만들 때 네트워크 정책 적용을 사용 설정하거나 기존 클러스터에 사용 설정할 수 있습니다. 또한 기존 클러스터의 네트워크 정책을 중지할 수 있습니다.

클러스터에서 네트워크 정책을 사용 설정하면 Kubernetes Network Policy API를 사용하여 네트워크 정책을 만들 수 있습니다.

네트워크 정책 적용 사용 설정

네트워크 정책 적용은 Dataplane V2를 기준으로 빌드되었습니다. GKE Dataplane V2를 사용하는 클러스터에서는 네트워크 정책 적용을 사용 설정할 필요가 없습니다.

GKE Dataplane V2를 사용하지 않는 GKE 클러스터에서 네트워크 정책 적용을 사용 설정하면 GKE가 해당 클러스터 내에서 네트워크 정책을 관리하고 적용합니다.

gcloud CLI, Google Cloud Console 또는 GKE API를 사용하여 GKE에서 네트워크 정책 적용을 사용 설정할 수 있습니다.

gcloud

새 클러스터를 만들 때 네트워크 정책 적용을 사용 설정하려면 다음 명령어를 실행합니다.

gcloud container clusters create CLUSTER_NAME --enable-network-policy

CLUSTER_NAME을 새 클러스터 이름으로 바꿉니다.

기존 클러스터에 네트워크 정책 적용을 사용 설정하려면 다음 태스크를 수행합니다.

  1. 다음 명령어를 실행하여 부가기능을 사용 설정합니다.

    gcloud container clusters update CLUSTER_NAME --update-addons=NetworkPolicy=ENABLED
    

    CLUSTER_NAME을 클러스터 이름으로 바꿉니다.

  2. 다음 명령어를 실행하여 클러스터에 네트워크 정책 적용을 사용 설정하고 사용 설정된 네트워크 정책 적용을 사용하여 클러스터의 노드 풀을 다시 만듭니다.

    gcloud container clusters update CLUSTER_NAME --enable-network-policy
    

콘솔

새 클러스터를 만들 때 네트워크 정책 적용을 사용 설정하려면 다음 안내를 따르세요.

  1. Google Cloud 콘솔에서 Google Kubernetes Engine 페이지로 이동합니다.

    Google Kubernetes Engine으로 이동
    나머지 단계는 Google Cloud 콘솔에 자동으로 표시됩니다.

  2. Google Kubernetes Engine 페이지에서 만들기를 클릭합니다.
  3. 원하는 대로 클러스터를 구성합니다.
  4. 탐색창의 클러스터에서 네트워킹을 클릭합니다.
  5. 네트워크 정책 사용 체크박스를 선택합니다.
  6. 만들기를 클릭합니다.

기존 클러스터의 경우 네트워크 정책 적용을 사용 설정하려면 다음과 같이 진행합니다.

  1. Google Cloud 콘솔에서 Google Kubernetes Engine 페이지로 이동합니다.

    Google Kubernetes Engine으로 이동
    나머지 단계는 Google Cloud 콘솔에 자동으로 표시됩니다.

  2. 클러스터 목록에서 수정하려는 클러스터 이름을 클릭합니다.
  3. 네트워킹네트워크 정책 필드에서 네트워크 정책 수정을 클릭합니다.
  4. 마스터의 네트워크 정책 사용 설정 체크박스를 선택하고 변경사항 저장을 클릭합니다.
  5. 변경사항이 적용될 때까지 기다린 후 네트워크 정책 수정을 다시 클릭합니다.
  6. 노드의 네트워크 정책 사용 설정 체크박스를 선택합니다.
  7. 변경사항 저장을 클릭합니다.

API

네트워크 정책 적용을 사용하려면 다음 작업을 수행합니다.

  1. projects.zones.clusters.create 또는 projects.zones.clusters.update에 제공하는 cluster 객체에서 networkPolicy 객체를 지정합니다.

  2. networkPolicy 객체에는 사용할 네트워크 정책 공급자를 지정하는 열거형과 네트워크 정책 사용 설정 여부를 지정하는 부울이 필요합니다. 네트워크 정책을 사용 설정했지만 공급자를 설정하지 않으면 createupdate 명령어가 오류를 반환합니다.

네트워크 정책 적용 중지

gcloud CLI, Google Cloud Console 또는 GKE API를 사용하여 네트워크 정책 적용을 중지할 수 있습니다. 네트워크 정책 적용은 GKE Dataplane V2를 사용하는 클러스터에서 사용 중지될 수 없습니다.

gcloud

네트워크 정책 적용을 사용 중지하려면 다음 작업을 수행합니다.

  1. 클러스터에서 네트워크 정책 적용을 사용 중지합니다.

    gcloud container clusters update CLUSTER_NAME --no-enable-network-policy
    

    CLUSTER_NAME을 클러스터 이름으로 바꿉니다.

    이 명령어를 실행하면 GKE는 네트워크 정책 적용이 사용 중지된 상태로 클러스터 노드 풀을 다시 만듭니다.

  2. 모든 노드가 다시 생성되었는지 확인합니다.

    kubectl get nodes -l projectcalico.org/ds-ready=true
    

    작업이 성공하면 출력은 다음과 비슷합니다.

    No resources found
    

    출력이 다음과 유사하면 GKE에서 노드 풀 업데이트가 완료될 때까지 기다려야 합니다.

    NAME                                             STATUS                     ROLES    AGE     VERSION
    gke-calico-cluster2-default-pool-bd997d68-pgqn   Ready,SchedulingDisabled   <none>   15m     v1.22.10-gke.600
    gke-calico-cluster2-np2-c4331149-2mmz            Ready                      <none>   6m58s   v1.22.10-gke.600
    

    네트워크 정책 적용을 사용 중지할 때 클러스터에 유지보수 기간 또는 제외가 구성되어 있으면 GKE가 노드를 즉시 업데이트하지 못할 수 있습니다. 자세한 내용은 클러스터 업데이트 속도가 느림을 참조하세요.

  3. 모든 노드가 다시 생성되면 부가기능을 사용 중지합니다.

    gcloud container clusters update CLUSTER_NAME --update-addons=NetworkPolicy=DISABLED
    

콘솔

기존 클러스터에 네트워크 정책 적용을 중지하려면 다음을 수행합니다.

  1. Google Cloud 콘솔에서 Google Kubernetes Engine 페이지로 이동합니다.

    Google Kubernetes Engine으로 이동
    나머지 단계는 Google Cloud 콘솔에 자동으로 표시됩니다.

  2. Google Kubernetes Engine 페이지의 클러스터 목록에서 수정하려는 클러스터의 이름을 클릭합니다.
  3. 네트워킹네트워크 정책 필드에서 네트워크 정책 수정을 클릭합니다.
  4. 노드의 네트워크 정책 사용 설정 체크박스를 선택 취소하고 변경사항 저장을 클릭합니다.
  5. 변경사항이 적용될 때까지 기다린 다음 네트워크 정책 수정을 다시 .클릭합니다
  6. 마스터의 네트워크 정책 사용 설정 체크박스를 선택 취소합니다.
  7. 변경사항 저장을 클릭합니다.

API

기존 클러스터에 네트워크 정책 적용을 중지하려면 다음을 수행합니다.

  1. projects.zones.clusters.update에 제공하는 cluster 객체 내에서 networkPolicy 객체를 지정합니다.
  2. networkPolicy 객체 내에서 부울 enabled 값을 false로 설정합니다.

네트워크 정책 만들기

클러스터에 네트워크 정책 적용을 사용 설정한 후에는 실제 네트워크 정책을 정의해야 합니다. Kubernetes Network Policy API를 사용하여 네트워크 정책을 정의합니다.

네트워크 정책 만들기에 대한 자세한 내용은 Kubernetes 문서에서 다음 항목을 참조하세요.

PodSecurityPolicy 작업

NetworkPolicy를 사용하고 있고 PodSecurityPolicy가 적용되는 Pod가 있으면 PodSecurityPolicy를 사용할 권한이 있는 RBAC Role 또는 ClusterRole을 만듭니다. 그런 다음 포드의 서비스 계정에 Role 또는 ClusterRole을 결합합니다. NetworkPolicy와 PodSecurityPolicy를 함께 사용 중인 경우 사용자 계정에 권한을 부여하는 것만으로는 충분하지 않습니다. 역할을 서비스 계정에 결합해야 합니다. 자세한 내용은 정책 승인을 참조하세요.

오버헤드, 제한사항, 주의사항

  • 네트워크 정책 적용을 사용 설정하면 노드에서 추가 리소스가 소비됩니다. 특히 kube-system 프로세스의 메모리 공간이 약 128MB 정도 늘어나며 CPU가 약 300 밀리코어 필요합니다.

  • 네트워크 정책 적용을 사용 설정하려면 노드를 다시 만들어야 합니다. 클러스터에 활성 유지보수 기간이 포함된 경우 다음 유지보수 기간까지 노드가 자동으로 다시 생성되지 않습니다. 필요한 경우 언제든지 수동으로 클러스터를 업그레이드할 수 있습니다.

제한사항 및 요구사항

  • 네트워크 정책 적용을 실행하기 위해 권장되는 최소 클러스터 크기는 3개의 e2-medium 인스턴스입니다.
  • 네트워크 정책은 노드가 f1-micro 또는 g1-small 인스턴스인 클러스터에 지원되지 않습니다. 이 크기의 인스턴스에 비해 리소스 요구사항이 너무 높기 때문입니다.
  • GKE 워크로드 아이덴티티에서 네트워크 정책을 사용하는 경우 포드가 GKE 메타데이터 서버와 통신할 수 있도록 다음 IP 주소와 포트 번호로 이그레스를 허용해야 합니다. GKE 버전 1.21.0-gke.1000 이상을 실행하는 클러스터의 경우 포트 988169.254.169.252/32으로 이그레스를 허용합니다. 1.21.0-gke.1000 이전 GKE 버전을 실행하는 클러스터의 경우 포트 988127.0.0.1/32로 이그레스를 허용합니다. GKE Dataplane V2를 실행하는 클러스터의 경우 포트 80에서 169.254.169.254/32로 이그레스를 허용했는지 확인합니다. 자동 업그레이드 중 서비스 중단을 방지하려면 이러한 모든 IP 주소 및 포트로 이그레스를 허용하세요.
  • GKE Dataplan V2가 사용 설정된 클러스터의 네트워크 정책에 endPort 필드를 지정하면 GKE 버전 1.22부터 적용되지 않을 수 있습니다. 자세한 내용은 네트워크 정책 포트 범위는 적용되지 않음을 참조하세요.

노드 머신 유형 및 할당 가능한 리소스에 대한 자세한 내용은 표준 클러스터 아키텍처 - 노드를 참조하세요.

Calico에서 GKE Dataplane V2로 마이그레이션

Calico에서 GKE Dataplane V2로 네트워크 정책을 마이그레이션하려면 다음 제한사항을 고려하세요.

  • NetworkPolicy 매니페스트의 ipBlock.cidr 필드에서 포드 또는 서비스 IP 주소를 사용할 수 없습니다. 라벨을 사용하여 워크로드를 참조해야 합니다. 예를 들어 다음 구성은 부적합합니다.

    - ipBlock:
        cidr: 10.8.0.6/32
    
  • NetworkPolicy 매니페스트에서 빈 ports.port 필드를 지정할 수 없습니다. 포트를 지정하는 경우 프로토콜도 지정해야 합니다. 예를 들어 다음 구성은 부적합합니다.

    ingress:
    - ports:
      - protocol: TCP
    

HTTP(S) 부하 분산 작업

서비스에 인그레스를 적용하여 HTTP(S) 부하 분산기를 구축한 경우 적절한 HTTP(S) 부하 분산기 상태 확인 IP 범위를 허용하도록 해당 서비스 뒤의 포드에 적용되는 네트워크 정책을 구성해야 합니다. 내부 HTTP(S) 부하 분산기를 사용하는 경우 네트워크 정책도 프록시 전용 서브넷을 허용하도록 구성해야 합니다.

네트워크 엔드포인트 그룹과 함께 컨테이너 기반 부하 분산을 사용하지 않는 경우 서비스의 노드 포트는 연결을 다른 노드의 포드로 전달할 수 있습니다. 전달을 방지하려면 서비스 정의에서 externalTrafficPolicyLocal로 설정합니다. externalTrafficPolicyLocal로 설정하지 않은 경우 네트워크 정책은 클러스터의 다른 노드 IP에서도 연결을 허용해야 합니다.

문제 해결

클러스터 업데이트 속도가 느림

기존 클러스터에서 네트워크 정책 적용을 사용 설정하거나 사용 중지할 때 클러스터에 유지보수 기간 또는 유지보수 제외가 구성되어 있으면 GKE가 노드를 즉시 업데이트하지 못할 수 있습니다.

--cluster-version 플래그를 제어 영역에서 실행 중인 GKE 버전과 동일하게 설정하여 노드 풀을 수동으로 업그레이드할 수 있습니다. 이 작업을 수행하려면 Google Cloud CLI를 사용해야 합니다. 자세한 내용은 유지보수 기간 주의사항을 참조하세요.

수동으로 배포된 포드가 예약되지 않음

기존 클러스터의 제어 영역에서 네트워크 정책 적용을 사용 설정하면 GKE에서 개발자가 수동으로 배포한 ip-masquerade-agent 또는 calico 노드 포드를 예약 취소합니다.

GKE는 클러스터 노드에서 네트워크 정책 적용이 사용 설정되고 노드가 다시 생성될 때까지 이러한 포드를 다시 예약하지 않습니다.

유지보수 기간 또는 유지보수 제외를 구성한 경우 이로 인해 중단이 연장될 수 있습니다.

이 중단 기간을 최소화하려면 다음 라벨을 수동으로 클러스터 노드에 할당하면 됩니다.

  • node.kubernetes.io/masq-agent-ds-ready=true
  • projectcalico.org/ds-ready=true

알려진 문제

Calico를 사용한 StatefulSet 포드 종료

Calico 네트워크 정책이 사용 설정된 GKE 클러스터는 포드가 삭제될 때 StatefulSet 포드가 기존 연결을 삭제하는 문제가 발생할 수 있습니다. 포드가 Terminating 상태로 들어가면 포드 사양의 terminationGracePeriodSeconds 구성이 적용되지 않고 StatefulSet 포드가 있는 기존 연결을 포함하는 다른 애플리케이션에 중단이 발생합니다. 이 문제에 대한 자세한 내용은 Calico 문제 #4710을 참조하세요.

이 문제는 다음 GKE 버전에 영향을 줍니다.

  • 1.18
  • 1.19 ~ 1.19.16-gke.99
  • 1.20~1.20.11-gke.1299
  • 1.21~1.21.4-gke.1499

이 문제를 완화하려면 GKE 제어 영역을 다음 버전 중 하나로 업그레이드합니다.

  • 1.19.16-gke.100 이상
  • 1.20.11-gke.1300 이상
  • 1.21.4-gke.1500 이상

다음 단계