6.3.6. 정책 생성 전략

네트워크 정책을 자동 생성하는 경우:

  • Red Hat Advanced Cluster Security for Kubernetes는 네임스페이스의 각 배포에 대한 단일 네트워크 정책을 생성합니다. 정책의 Pod 선택기는 배포의 Pod 선택기입니다.

    • 배포에 이미 네트워크 정책이 있는 경우 Red Hat Advanced Cluster Security for Kubernetes는 새 정책을 생성하거나 기존 정책을 삭제하지 않습니다.
  • 생성된 정책은 기존 배포로의 트래픽만 제한합니다.

    • 나중에 생성하는 배포에는 새 네트워크 정책을 생성하거나 생성하지 않는 한 제한이 없습니다.
    • 새 배포에서 네트워크 정책을 사용하여 배포에 연결해야 하는 경우 액세스를 허용하기 위해 네트워크 정책을 편집해야 할 수 있습니다.
  • 각 정책에는 배포 이름과 이름이 같으며 stackrox-generated- 이 접두사가 붙습니다. 예를 들어 생성된 네트워크 정책에서 배포 depABC 의 정책 이름은 stackrox-generated-depABC 입니다. 생성된 모든 정책에는 식별 라벨도 있습니다.
  • Red Hat Advanced Cluster Security for Kubernetes는 다음과 같은 경우 모든 IP 주소에서 트래픽을 허용하는 단일 규칙을 생성합니다.

    • 배포에는 선택한 시간 내에 클러스터 외부에서 들어오는 연결이 있거나
    • 배포는 노드 포트 또는 로드 밸런서 서비스를 통해 노출됩니다.
  • Red Hat Advanced Cluster Security for Kubernetes는 들어오는 연결이 있는 모든 배포에 대해 하나의 수신 규칙을 생성합니다.

    • 동일한 네임스페이스에 있는 배포의 경우 이 규칙은 다른 배포의 Pod 선택기 레이블을 사용합니다.
    • 다른 네임스페이스의 배포의 경우 이 규칙은 네임스페이스 선택기를 사용합니다. 이를 위해 Red Hat Advanced Cluster Security for Kubernetes는 각 네임스페이스에 레이블, namespace.metadata.stackrox.io/name 를 자동으로 추가합니다.
중요

드문 경우지만 독립 실행형 Pod에 라벨이 없는 경우 생성된 정책은 Pod의 전체 네임스페이스 또는 네임스페이스의 트래픽을 허용합니다.