Red Hat Training

A Red Hat training course is available for OpenShift Container Platform

8.6.2. iptables 규칙을 사용하여 외부 리소스에 대한 액세스 제한

일부 클러스터 관리자는 EgressNetworkPolicy 모델 또는 송신 라우터 모델에 맞지 않는 나가는 트래픽에 대한 작업을 수행할 수 있습니다. 경우에 따라 iptables 규칙을 직접 생성하여 이 작업을 수행할 수 있습니다.

예를 들어 특정 대상에 대한 트래픽을 기록하거나 초당 특정 수 이상의 나가는 연결을 방지하는 규칙을 만들 수 있습니다.

OpenShift Container Platform은 사용자 지정 iptables 규칙을 자동으로 추가하는 방법을 제공하지 않지만 관리자가 수동으로 이러한 규칙을 추가할 수 있는 장소를 제공합니다. 각 노드는 시작 시 필터 테이블에 OPENSHIFT-ADMIN-OUTPUT-RULES 라는 빈 체인을 생성합니다( 체인이 아직 존재하지 않는다고 가정). 관리자가 해당 체인에 추가된 규칙은 포드에서 클러스터 외부 대상으로 이동하는 모든 트래픽(다른 트래픽에 해당하지 않음)에 적용됩니다.

이 기능을 사용할 때 주의해야 할 몇 가지 사항이 있습니다.

  1. 각 노드에서 규칙이 생성되도록 해야 합니다. OpenShift Container Platform은 이러한 규칙을 자동으로 수행하지 않습니다.
  2. 규칙은 송신 라우터를 통해 클러스터를 종료하는 트래픽에 적용되지 않으며 EgressNetworkPolicy 규칙이 적용된 후 실행됩니다. 따라서 EgressNetworkPolicy에서 거부하는 트래픽을 확인하지 않습니다.
  3. 노드에 "외부" IP 주소와 "내부" SDN IP 주소가 모두 있기 때문에 포드에서 노드 또는 포드로의 연결 처리가 복잡합니다. 따라서 일부 Pod-to-node/master 트래픽이 이 체인을 통과할 수 있지만 다른 Pod-to-node/master 트래픽은 이를 바이패스할 수 있습니다.