October 2024
Beginner to intermediate
452 pages
10h 12m
Korean
Content preview from 쿠버네티스 창시자에게 배우는 모범 사례 2판
Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
Start your free trial
391
CHAPTER 19
보안
고). 쿠버네티스 네트워크 정책은 클러스터 내외부 리소스에 대한 서비스 또는 네임스페이스
에 출입이 허용된 네트워크 트래픽을 세밀하게 제어한다.
클러스터 관리자는 네트워크 정책을 통해 클러스터 전체나 네임스페이스 단위로 정책을 수
립하고, 애플리케이션별 네트워크 정책을 애플리케이션 개발자에게 위임할 수 있다. 네트워
크 정책은 특정
HTTP
트래픽이나 엔드포인트 라우팅 액세스 제어가 아닌
IP
주소 및
TCP
/
UDP
포트에만 적용된다. 애플리케이션별로 액세스 정책이 필요한 경우, 서비스 메시를 이
용하면 쿠버네티스 통합
API
에 포함되지 않은 더 높은 수준의 액세스 정책을 구사할 수 있
다.
19.3.6
런타임 보안
대부분의 쿠버네티스 클러스터는 경량급 컨테이너 런타임 샌드박스를 제공하기 위해 하부
에서 리눅스
cgroup
을 활용하는
containerd
4
또는
CRI
-
O
를 기본 제공한다. 하지만 보안
에 민감한 워크로드에서 이 정도 수준의 보안은 역부족이다. 워크로드 요건에 맞게 다양한
보안 프로파일을 제공하려면 카타
Kata
컨테이너
5
,
gvisor
6
등 다른 컨테이너 런타임을 고민
하자.
동일한 쿠버네티스 클러스터라도 파드 스펙의
RuntimeClass
필드를 이용하면 여러 컨테이
너 런타임을 사용할 수 있다(
RuntimeClass ...