[k8s] Network Policy

#Kubernetes

k8s를 통한 자체 클라우드 구축에 있어서 중요한 것 중 하나는, 당연히 보안이다.

network policy은 Pod 간 네트워크 통신에 있어서 인바운드와 아웃바운드 제한을 설정하고 관리하는 방법이다.
AWS를 써봤다면, VPC에서 다루는 보안그룹과 동치라고 할 수 있다.

https://medium.com/google-cloud/deep-dive-kubernetes-network-policy-in-gke-e9842ec6b1be
단, networkpolicy는 pod들 간의 내부 통신에만 관여한다는 점을 알아두길 바란다.
외부 통신에 대한 제어는 신경쓰지 않는다.

기본 동작

별다른 설정을 하지 않으면, Pod들끼리는 내부 IP를 통한 통신이 전부 뚫려있다.

예를 들어 이렇게 Pod들이 있을 때

nginx-pod에 들어가면 나머지 test-deploy pod들에 대해서도 요청을 쏘고 응답을 받아볼 수 있는 것이다.

이렇게 말이다.

network policy는 쉽게 말해서 방화벽을 깔아주는 기능을 한다.

NetworkPolicy 활성화

networkpolicy를 사용하려면 먼저 클러스터 단위에서 기능을 활성화해야 한다.

방법은 네트워크 구성 환경에 따라서 다르며, CNI 구성에 따라서는 아예 사용이 불가능할 수도 있다.
대표적으로 flannel은 Network Policy 기능을 지원하지 않는 CNI다.

GKE를 사용할 경우에는 다음 CLI 명령을 사용하거나

gcloud container clusters create CLUSTER_NAME --enable-network-policy --region=리전

예)
gcloud container clusters create cluster-1 --enable-network-policy --region=us-central1-c

콘솔에서 저 옵션을 켜면 된다.

이후에는 강제 업그레이드 같은걸 통해서 node가 재배치되도록 유도해야 한다.
node를 지우고 다시 띄워야 반영이 된다.

gcloud container clusters upgrade CLUSTER_NAME --master --region=리전

인바운드 전부 막기

추가설정을 하지 않으면, 모든 pod들끼리는 제한없이 통신을 주고받을 수 있다.

이렇게 말이다.

근데 이건 보안적인 관점에서 좋지 않은 구조고.. 방화벽과 마찬가지로 보통은 전부 다 막는게 기본이다.
전부 막은 다음에 필요한 것만 선택적으로 여는 것이다.

모든 인바운드를 막으려면, 다음과 같이 NetworkPolicy를 정의해서 생성한다.

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default-deny-ingress
  namespace: default
spec:
  podSelector: {}
  policyTypes:
  - Ingress

podSelector를 비워두면 모든 default 네임스페이스의 파드를 조건으로 걸게 되고, ingress에 대한 상세 설정값을 주지 않았기 때문에 모든 파드가 막히는 것이다.

여기서 유의할 점은, NetworkPolicy는 네임스페이스 단위로만 동작한다는 것이다. default에 만들었으면 default의 Pod에 대해서만 제약을 건다.
물론 다른 네임스페이스에서 default로 들어오는 요청은 통제할 수 있다.

아무튼 저대로 policy를 띄우고

다시 요청을 쏴보면

막힌 것을 확인할 수 있을 것이다.

인바운드 허용하기

이번에는 부분적으로 인바운드를 허용하도록 구성해보자
java-server에서만 node-server에 통신을 할 수 있고, 다른 pod들은 접속이 불가능하도록 구성하려 한다.

그럼 이런 식으로 구성할 수 있다.

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: test-network-policy
  namespace: default
spec:
  podSelector:
    matchLabels:
      app: node-server
  policyTypes:
    - Ingress
    - Egress
  ingress:
    - from:
        - podSelector:
            matchLabels:
              app: java-server
      ports:
        - protocol: TCP
          port: 80
  egress:
    - to:
        - podSelector:
            matchLabels:
              app: java-server
      ports:
        - protocol: TCP
          port: 80

보통은 위와 같이 label을 이용해 파드를 지정하는 것이 좋다.
java-server 레이블을 가진 파드에 대해서만 http 인바운드와 아웃바운드를 허가해준 것이다.
원한다면 IP 단위로도 설정이 가능하긴 하다.

저 상태로 policy를 띄우고

자바 서버에 들어가서 노드서버에 호출을 하면 잘 될 것이고

nginx 등의 다른 pod에서 하면 막힐 것이다.

이런식으로 응용하면 된다.

참조
https://kubernetes.io/ko/docs/concepts/services-networking/network-policies/
https://medium.com/google-cloud/deep-dive-kubernetes-network-policy-in-gke-e9842ec6b1be