6.3.6. 정책 생성 전략
네트워크 정책을 자동 생성하는 경우:
Red Hat Advanced Cluster Security for Kubernetes는 네임스페이스의 각 배포에 대한 단일 네트워크 정책을 생성합니다. 정책의 Pod 선택기는 배포의 Pod 선택기입니다.
- 배포에 이미 네트워크 정책이 있는 경우 Red Hat Advanced Cluster Security for Kubernetes는 새 정책을 생성하거나 기존 정책을 삭제하지 않습니다.
생성된 정책은 기존 배포로의 트래픽만 제한합니다.
- 나중에 생성하는 배포에는 새 네트워크 정책을 생성하거나 생성하지 않는 한 제한이 없습니다.
- 새 배포에서 네트워크 정책을 사용하여 배포에 연결해야 하는 경우 액세스를 허용하기 위해 네트워크 정책을 편집해야 할 수 있습니다.
-
각 정책에는 배포 이름과 이름이 같으며
stackrox-generated-이 접두사가 붙습니다. 예를 들어 생성된 네트워크 정책에서 배포depABC의 정책 이름은stackrox-generated-depABC입니다. 생성된 모든 정책에는 식별 라벨도 있습니다. Red Hat Advanced Cluster Security for Kubernetes는 다음과 같은 경우 모든 IP 주소에서 트래픽을 허용하는 단일 규칙을 생성합니다.
- 배포에는 선택한 시간 내에 클러스터 외부에서 들어오는 연결이 있거나
- 배포는 노드 포트 또는 로드 밸런서 서비스를 통해 노출됩니다.
Red Hat Advanced Cluster Security for Kubernetes는 들어오는 연결이 있는 모든 배포에 대해 하나의
수신규칙을 생성합니다.- 동일한 네임스페이스에 있는 배포의 경우 이 규칙은 다른 배포의 Pod 선택기 레이블을 사용합니다.
-
다른 네임스페이스의 배포의 경우 이 규칙은 네임스페이스 선택기를 사용합니다. 이를 위해 Red Hat Advanced Cluster Security for Kubernetes는 각 네임스페이스에 레이블,
namespace.metadata.stackrox.io/name를 자동으로 추가합니다.
중요
드문 경우지만 독립 실행형 Pod에 라벨이 없는 경우 생성된 정책은 Pod의 전체 네임스페이스 또는 네임스페이스의 트래픽을 허용합니다.