6장. 네트워크 정책 관리

Kubernetes 네트워크 정책 은 포드 그룹이 서로 통신할 수 있는 방법 및 기타 네트워크 끝점에 대한 사양입니다. 이러한 네트워크 정책은 YAML 파일로 구성됩니다. 이러한 파일을 단독으로 살펴보면 적용된 네트워크 정책이 원하는 네트워크 토폴로지를 지원하는지 확인하는 것이 어려울 수 있습니다.

Red Hat Advanced Cluster Security for Kubernetes는 오케스트레이터에서 정의된 모든 네트워크 정책을 수집하고 이러한 정책을 보다 쉽게 사용할 수 있도록 기능을 제공합니다.

네트워크 정책 적용을 지원하기 위해 Red Hat Advanced Cluster Security for Kubernetes는 다음을 제공합니다.

  • 네트워크 그래프
  • 네트워크 정책 시뮬레이터
  • 네트워크 정책 생성기

6.1. 네트워크 그래프 보기

네트워크 그래프는 가시성과 제어를 제공합니다.

  • Kubernetes 네트워크 정책에 정의된 대로 허용되는 네트워크 연결입니다.
  • 네임스페이스와 배포 간 활성 통신 경로입니다.

메뉴 표시줄에서 정보와 하나 이상의 네임스페이스를 볼 클러스터를 선택합니다.

네트워크 그래프 보기에서 보려는 연결 유형을 구성할 수 있습니다. 흐름 섹션에서 다음을 선택합니다.In the Flows section (upper left), select:

  • 활성 연결만 볼 수 있습니다.
  • 허용된 네트워크 연결만 볼 수 있습니다.
  • 모두 활성 및 허용된 네트워크 연결을 볼 수 있습니다.

네트워크 그래프에서 각 원은 배포를 나타내고, 각 주변 박스는 Kubernetes 네임스페이스를 나타내고, 각 간격 행은 네임스페이스 간 연결을 나타냅니다. 이러한 항목을 마우스로 이동하여 자세한 내용을 확인할 수 있습니다. 배포 또는 네임스페이스와 같은 항목을 클릭하면 추가 정보가 표시되는 창이 열립니다. 파란색 막대에서 화살표를 선택하여 창을 확장하고 축소할 수 있습니다.

네트워크 그래프에서 다른 기호의 의미를 이해하려면 범례(오른쪽)의 다른 기호로 마우스를 이동하여 해당 기호의 의미를 나타내는 툴팁을 확인합니다.

마우스를 올리면 다음을 수행합니다.

  • 연결에서 사용되는 활성 연결, 포트 번호 및 프로토콜을 포함하는 네트워크 흐름에 대한 정보가 표시됩니다.
  • 배포에는 수신 및 송신 연결, 프로토콜, 사용 중인 포트 번호, 배포 간 네트워크 트래픽에 대한 정보가 표시됩니다.
참고

Kubernetes 버전 3.0.47 이상용 Red Hat Advanced Cluster Security for Kubernetes 버전 3.0.47 이상이 있어야 수신 및 송신 연결, 프로토콜, 포트 번호, 네트워크 트래픽 방향에 대한 정보를 확인해야 합니다.

허용된 네트워크 연결

Red Hat Advanced Cluster Security for Kubernetes는 각 보안 클러스터의 모든 네트워크 정책을 처리하여 서로 연락할 수 있는 배포 및 외부 네트워크에 연결할 수 있는 배포를 보여줍니다.

네트워크 그래프는 가능한 네트워크 연결을 점선으로 표시합니다.

실제 네트워크 흐름

Red Hat Advanced Cluster Security for Kubernetes는 배포 실행을 모니터링하고 해당 배포 간의 트래픽을 추적합니다. 네트워크 그래프는 관찰된 네트워크 흐름을 견고한 행으로 보여줍니다.

네트워크 기준

Red Hat Advanced Cluster Security for Kubernetes는 기존 네트워크 흐름을 검색하고 기준을 만듭니다.

배포에 대한 네트워크 기준선을 보려면 Network Graph 보기에서 해당 배포를 선택합니다. 네트워크 흐름 세부 정보 패널에는 비정상적인 흐름과 기준 흐름이 모두 표시됩니다. 이 패널에서는 다음을 수행할 수 있습니다.

  • Mark network flows from the baseline as anomalous( Anomalous)로 표시를 선택하여 기준에서의 흐름을 표시합니다.
  • 기준선에 추가를 선택하여 익명 흐름에서 기준 선에 네트워크 흐름을 추가합니다.
참고

네트워크 기준 기능을 사용하려면 Kubernetes 버전 3.0.54 이상에 Red Hat Advanced Cluster Security를 사용해야 합니다.

외부 엔터티 및 연결

Network Graph 보기는 관리 클러스터와 외부 소스 간의 네트워크 연결에 대한 정보를 표시합니다. Red Hat Advanced Cluster Security for Kubernetes는 Google Cloud, AWS, Azure, Oracle Cloud, Cloudflare와 같은 공용 CIDR (Classless Inter-Domain Routing) 주소 블록을 자동으로 검색하고 강조 표시합니다. 이 정보를 사용하면 활성 외부 연결이 있는 배포를 식별하고 네트워크 외부에서 승인되지 않은 연결을 만들거나 수신할 수 있습니다.

참고

활성 외부 연결에 대한 정보를 보려면 Red Hat Advanced Cluster Security for Kubernetes 버전 3.0.52 이상이 필요합니다.

기본적으로 외부 연결은 일반적인 외부 엔티티 상자와 네트워크 그래프 보기에서 다른 CIDR 주소 블록을 가리킵니다. 그러나 자동 검색 CIDR 블록을 표시하지 않도록 선택할 수 있습니다.

Red Hat Advanced Cluster Security for Kubernetes에는 다음 클라우드 공급자에 대한 IP 범위가 포함되어 있습니다.

  • Google Cloud
  • AWS
  • Azure
  • Oracle Cloud
  • Cloudflare

Red Hat Advanced Cluster Security for Kubernetes는 7일마다 클라우드 공급자의 IP 범위를 가져오고 업데이트합니다. 오프라인 모드를 사용하는 경우 새 지원 패키지를 설치하여 이러한 범위를 업데이트할 수 있습니다.

6.1.1. 네트워크 정책 보기

네트워크 정책은 포드 그룹이 서로 통신할 수 있는 방법 및 다른 네트워크 끝점과 통신하는 방법을 지정합니다. Kubernetes NetworkPolicy 리소스는 라벨을 사용하여 Pod를 선택하고 선택한 Pod에서 허용되는 트래픽을 지정하는 규칙을 정의합니다. Red Hat Advanced Cluster Security for Kubernetes는 Network Graph 보기에서 모든 Kubernetes 클러스터, 네임스페이스, 배포 및 Pod에 대한 네트워크 정책 정보를 검색하고 표시합니다.

네임스페이스의 배포에 대한 네트워크 정책 및 기타 관련 세부 정보를 보려면 네트워크 그래프 보기에서 네임스페이스를 선택할 수 있습니다.

네임스페이스 세부 정보 패널에는 선택한 네임스페이스의 모든 배포가 나열됩니다. 그런 다음 세부 정보 패널에서 배포를 마우스 커서로 이동하여 배포 세부 정보를 볼 수 있는 오른쪽에 표시되는 배포로 이동(검색) 아이콘을 선택할 수 있습니다.

또는 Network Graph 보기에서 배포를 직접 선택하여 세부 정보를 확인할 수 있습니다. 배포 세부 정보 패널에는 네트워크 흐름,세부 정보, 네트워크 정책 탭이 포함됩니다.

각 탭을 선택하여 관련 정보를 볼 수 있습니다.

  • 네트워크 흐름 탭은 해당 배포에 사용되는 수신 및 송신 연결, 프로토콜 및 포트 번호에 대한 정보를 표시합니다.
  • 세부 정보 탭에는 오케스트레이터 레이블 및 주석을 포함하여 서비스가 배포되는 방법에 대한 정보가 표시됩니다.
  • 네트워크 정책 탭에는 배포에 적용되는 모든 네트워크 정책에 대한 정보가 표시됩니다.
참고

Kubernetes 버전 3.0.47 이상용 Red Hat Advanced Cluster Security for Kubernetes 버전 3.0.47 이상이 있어야 수신 및 송신 연결, 프로토콜, 포트 번호, 네트워크 트래픽 방향에 대한 정보를 확인해야 합니다.

6.1.2. CIDR 블록 구성

사용자 정의 CIDR 블록을 지정하거나 네트워크 그래프 보기에서 자동 검색된 CIDR 블록 표시를 구성할 수 있습니다.

절차

  1. Network Graph 보기에서 Configure CIDR Blocks 를 선택합니다.
  2. 자동 검색된 CIDR 블록을 숨기려면 네트워크 그래프에서 Display auto- discovereded CIDR 블록을 켜십시오.

    참고

    자동 검색 CIDR 블록을 숨길 때 네트워크 그래프 보기의 상단 표시줄에 있는 선택한 클러스터뿐만 아니라 모든 클러스터에 대해 자동 검색된 CIDR 블록이 표시되지 않습니다.

  3. CIDR 블록 이름 및 CIDR 주소 을 추가하여 사용자 정의 CIDR 주소 를 추가합니다. 둘 이상의 항목을 추가하려면 추가를 선택합니다.To add more than one, select the Add icon.
  4. 구성 업데이트 를 클릭하여 변경 사항을 저장합니다.