이 섹션의 다중 페이지 출력 화면임. 여기를 클릭하여 프린트.
네트워크 폴리시 제공자(Network Policy Provider) 설치
1 - 네트워크 폴리시로 캘리코(Calico) 사용하기
이 페이지는 쿠버네티스에서 캘리코(Calico) 클러스터를 생성하는 몇 가지 빠른 방법을 살펴본다.
시작하기 전에
클라우드나 지역 클러스터 중에 어디에 배포할지 결정한다.
구글 쿠버네티스 엔진(GKE)에 캘리코 클러스터 생성하기
사전요구사항: gcloud.
캘리코로 GKE 클러스터를 시작하려면,
--enable-network-policy
플래그를 추가한다.문법
gcloud container clusters create [클러스터_이름] --enable-network-policy
예시
gcloud container clusters create my-calico-cluster --enable-network-policy
배포를 확인하기 위해, 다음 커맨드를 이용하자.
kubectl get pods --namespace=kube-system
캘리코 파드는
calico
로 시작한다. 각각의 상태가Running
임을 확인하자.
kubeadm으로 지역 캘리코 클러스터 생성하기
Kubeadm을 이용해서 15분 이내에 지역 단일 호스트 캘리코 클러스터를 생성하려면, 캘리코 빠른 시작을 참고한다.
다음 내용
클러스터가 동작하면, 쿠버네티스 네트워크 폴리시(NetworkPolicy)를 시도하기 위해 네트워크 폴리시 선언하기를 따라 할 수 있다.
2 - 네트워크 폴리시로 실리움(Cilium) 사용하기
이 페이지는 어떻게 네트워크 폴리시(NetworkPolicy)로 실리움(Cilium)를 사용하는지 살펴본다.
실리움의 배경에 대해서는 실리움 소개를 읽어보자.
시작하기 전에
쿠버네티스 클러스터가 필요하고, kubectl 커맨드-라인 툴이 클러스터와 통신할 수 있도록 설정되어 있어야 한다. 이 튜토리얼은 컨트롤 플레인 호스트가 아닌 노드가 적어도 2개 포함된 클러스터에서 실행하는 것을 추천한다. 만약, 아직 클러스터를 가지고 있지 않다면, minikube를 사용해서 생성하거나 다음 쿠버네티스 플레이그라운드 중 하나를 사용할 수 있다.
버전 확인을 위해서, 다음 커맨드를 실행kubectl version
.기본 시험을 위해 실리움을 Minikube에 배포하기
실리움에 쉽게 친숙해지기 위해 Minikube에 실리움을 기본적인 데몬셋으로 설치를 수행하는 실리움 쿠버네티스 시작하기 안내를 따라 해볼 수 있다.
Minikube를 시작하려면 최소 버전으로 >= v1.5.2 이 필요하고, 다음의 실행 파라미터로 실행한다.
minikube version
minikube version: v1.5.2
minikube start --network-plugin=cni
minikube의 경우 CLI 도구를 사용하여 실리움을 설치할 수 있다. 그러기 위해서, 먼저 다음과 같은 명령을 사용하여 최신 버전의 CLI를 다운로드 한다.
curl -LO https://github.com/cilium/cilium-cli/releases/latest/download/cilium-linux-amd64.tar.gz
이후 다음과 같은 명령을 사용하여 다운받은 파일을 /usr/local/bin
디렉토리에 압축을 푼다.
sudo tar xzvfC cilium-linux-amd64.tar.gz /usr/local/bin
rm cilium-linux-amd64.tar.gz
위의 명령을 실행한 후, 이제 다음 명령으로 실리움(Cilium)을 설치할 수 있다.
cilium install
그런 다음 실리움은 자동으로 클러스터를 구성을 감지하고 성공적인 설치를 위해 적절한 구성요소를 만들고 설치한다. 구성요소는 다음과 같다.
- 시크릿
cilium-ca
의 인증 기관(CA) 및 Hubble (실리움의 관측 가능성 계층)에 대한 인증서. - 서비스 어카운트.
- 클러스터 롤.
- 컨피그맵.
- 에이전트 데몬셋 및 오퍼레이터 디플로이먼트.
설치 후, cilium status
명령으로 실리움 디플로이먼트의 전체 상태를 볼 수 있다.
status
명령으로 예상 출력을 참조한다.
여기.
시작하기 안내서의 나머지 부분은 예제 애플리케이션을 이용하여 L3/L4(예, IP 주소 + 포트) 모두의 보안 정책뿐만 아니라 L7(예, HTTP)의 보안 정책을 적용하는 방법을 설명한다.
실리움을 실 서비스 용도로 배포하기
실리움을 실 서비스 용도의 배포에 관련한 자세한 방법은 실리움 쿠버네티스 설치 안내를 살펴본다. 이 문서는 자세한 요구사항, 방법과 실제 데몬셋 예시를 포함한다.
실리움 구성요소 이해하기
실리움으로 클러스터를 배포하면 파드가 kube-system
네임스페이스에 추가된다.
파드의 목록을 보려면 다음을 실행한다.
kubectl get pods --namespace=kube-system -l k8s-app=cilium
다음과 유사한 파드의 목록을 볼 것이다.
NAME READY STATUS RESTARTS AGE
cilium-kkdhz 1/1 Running 0 3m23s
...
cilium
파드는 클러스터 각 노드에서 실행되며, 리눅스 BPF를 사용해서
해당 노드의 파드에 대한 트래픽 네트워크 폴리시를 적용한다.
다음 내용
클러스터가 동작하면, 실리움으로 쿠버네티스 네트워크 폴리시를 시도하기 위해 네트워크 폴리시 선언하기를 따라 할 수 있다. 재미있게 즐기고, 질문이 있다면 실리움 슬랙 채널을 이용하여 연락한다.
3 - 네트워크 폴리시로 큐브 라우터(Kube-router) 사용하기
이 페이지는 네트워크 폴리시(NetworkPolicy)로 큐브 라우터(Kube-router)를 사용하는 방법을 살펴본다.
시작하기 전에
운영 중인 쿠버네티스 클러스터가 필요하다. 클러스터가 없다면, Kops, Bootkube, Kubeadm 등을 이용해서 클러스터를 생성할 수 있다.
큐브 라우터 애드온 설치하기
큐브 라우터 애드온은 갱신된 모든 네트워크 폴리시 및 파드에 대해 쿠버네티스 API 서버를 감시하고, 정책에 따라 트래픽을 허용하거나 차단하도록 iptables 규칙와 ipset을 구성하는 네트워크 폴리시 컨트롤러와 함께 제공된다. 큐브 라우터 애드온을 설치하는 큐브 라우터를 클러스터 인스톨러와 함께 사용하기 안내서를 따라해 봅니다.
다음 내용
큐브 라우터 애드온을 설치한 후에는, 쿠버네티스 네트워크 폴리시를 시도하기 위해 네트워크 폴리시 선언하기를 따라 할 수 있다.
4 - 네트워크 폴리시로 로마나(Romana)
이 페이지는 네트워크 폴리시(NetworkPolicy)로 로마나(Romana)를 사용하는 방법을 살펴본다.
시작하기 전에
kubeadm 시작하기의 1, 2, 3 단계를 완료하자.
kubeadm으로 로마나 설치하기
Kubeadm을 위한 컨테이너화된 설치 안내서를 따른다.
네트워크 폴리시 적용하기
네트워크 폴리시를 적용하기 위해 다음 중에 하나를 사용하자.
- Romana 네트워크 폴리시.
- 네트워크 폴리시 API.
다음 내용
로마나를 설치한 후에는, 쿠버네티스 네트워크 폴리시를 시도하기 위해 네트워크 폴리시 선언하기를 따라 할 수 있다.
5 - 네트워크 폴리시로 위브넷(Weave Net) 사용하기
이 페이지는 네트워크 폴리시(NetworkPolicy)로 위브넷(Weave Net)를 사용하는 방법을 살펴본다.
시작하기 전에
쿠버네티스 클러스터가 필요하다. 맨 땅에서부터 시작하기를 위해서 kubeadm 시작하기 안내서를 따른다.
Weave Net 애드온을 설치한다
애드온을 통한 쿠버네티스 통합하기 가이드를 따른다.
쿠버네티스의 위브넷 애드온은 쿠버네티스의 모든 네임스페이스의
네크워크 정책 어노테이션을 자동으로 모니터링하며,
정책에 따라 트래픽을 허용하고 차단하는 iptables
규칙을 구성하는
네트워크 폴리시 컨트롤러와 함께 제공된다.
설치 시험
위브넷이 동작하는지 확인한다.
다음 커맨드를 입력한다.
kubectl get pods -n kube-system -o wide
출력은 다음과 유사하다.
NAME READY STATUS RESTARTS AGE IP NODE
weave-net-1t1qg 2/2 Running 0 9d 192.168.2.10 worknode3
weave-net-231d7 2/2 Running 1 7d 10.2.0.17 worknodegpu
weave-net-7nmwt 2/2 Running 3 9d 192.168.2.131 masternode
weave-net-pmw8w 2/2 Running 0 9d 192.168.2.216 worknode2
위브넷 파드를 가진 각 노드와 모든 파드는 Running
이고 2/2 READY
이다(2/2
는 각 파드가 weave
와 weave-npc
를 가지고 있음을 뜻한다).
다음 내용
위브넷 애드온을 설치하고 나서, 쿠버네티스 네트워크 폴리시를 시도하기 위해 네트워크 폴리시 선언하기를 따라 할 수 있다. 질문이 있으면 슬랙 #weave-community 이나 Weave 유저그룹에 연락한다.