8.2. 네트워크 그래프에서 정책 생성 정보(2.0 프리뷰)

Kubernetes 네트워크 정책은 들어오는 네트워크 트래픽을 수신하는 포드와 발신 트래픽을 보낼 수 있는 포드를 제어합니다. 네트워크 정책을 사용하여 Pod로의 트래픽을 활성화 및 비활성화하면 네트워크 공격 면적을 제한할 수 있습니다.

이러한 네트워크 정책은 YAML 구성 파일입니다. 네트워크 흐름에 대한 인사이트를 얻고 이러한 파일을 수동으로 생성하는 것은 종종 어렵습니다. RHACS를 사용하여 이러한 파일을 생성할 수 있습니다. 네트워크 정책을 자동으로 생성하면 RHACS는 다음 지침을 따릅니다.

  • RHACS는 네임스페이스의 각 배포에 대해 단일 네트워크 정책을 생성합니다. 정책의 Pod 선택기는 배포의 Pod 선택기입니다.

    • 배포에 이미 네트워크 정책이 있는 경우 RHACS는 새 정책을 생성하거나 기존 정책을 삭제하지 않습니다.

      생성된 정책은 기존 배포로의 트래픽만 제한합니다.

    • 나중에 생성하는 배포에는 새 네트워크 정책을 생성하거나 생성하지 않으면 제한이 없습니다.
    • 새 배포에서 네트워크 정책을 사용하여 배포에 연결해야 하는 경우 액세스를 허용하도록 네트워크 정책을 편집해야 할 수 있습니다.
  • 각 정책의 이름은 배포 이름과 동일하며 stackrox-generated- 가 붙습니다. 예를 들어 생성된 네트워크 정책의 배포 depABC 정책 이름은 stackrox-generated-depABC 입니다. 생성된 모든 정책에는 식별 레이블이 있습니다.
  • RHACS는 다음 조건 중 하나가 충족되는 경우 모든 IP 주소의 트래픽을 허용하는 단일 규칙을 생성합니다.

    • 배포 시 선택한 시간 내에 클러스터 외부에서 들어오는 연결이 있습니다.
    • 배포는 노드 포트 또는 로드 밸런서 서비스를 통해 노출됩니다.
  • RHACS는 들어오는 연결이 있는 모든 배포에 대해 하나의 수신 규칙을 생성합니다.

    • 동일한 네임스페이스에 있는 배포의 경우 이 규칙은 다른 배포의 Pod 선택기 레이블을 사용합니다.
    • 다른 네임스페이스 배포의 경우 이 규칙은 네임스페이스 선택기를 사용합니다. 이를 가능하게 하기 위해 RHACS는 각 네임스페이스에 레이블 namespace.metadata.stackrox.io/name 을 자동으로 추가합니다.
중요

드문 경우지만 독립 실행형 Pod에 라벨이 없는 경우 생성된 정책에서 Pod의 전체 네임스페이스로 들어오는 트래픽을 허용합니다.