11장. 클러스터를 위한 정책 및 거버넌스

클러스터에서 실행되는 모든 컨테이너가 승인된 컨테이너 레지스트리에서만 제공되도록 하는 방법이 궁금한 적이 있나요? 또는 보안팀으로부터 서비스가 인터넷에 노출되지 않도록 하는 정책을 시행해 달라는 요청을 받은 적이 있을 수도 있습니다. 이러한 문제들은 바로 클러스터의 정책과 거버넌스가 해결해야 할 과제입니다. Kubernetes가 계속 성숙해지고 더 많은 기업에서 채택함에 따라 Kubernetes 리소스에 정책과 거버넌스를 적용하는 방법에 대한 질문이 점점 더 빈번해지고 있습니다. 이 장에서는 스타트업이든 엔터프라이즈든 상관없이 클러스터가 정의된 정책을 준수하는지 확인하기 위해 수행할 수 있는 작업과 사용할 수 있는 도구를 공유합니다.

정책과 거버넌스가 중요한 이유

의료 또는 금융 서비스 등 규제가 심한 환경에서 운영하거나 단순히 클러스터에서 실행되는 것을 어느 정도 제어하려는 경우, 회사별 정책을 구현할 방법이 필요합니다. 정책을 정의한 후에는 정책을 구현하는 방법을 결정하고 이러한 정책을 준수하는 클러스터를 유지 관리해야 합니다. 이러한 정책은 규정 준수를 위해 또는 단순히 모범 사례를 시행하기 위해 필요할 수 있습니다. 이유가 무엇이든, 이러한 정책을 구현할 때 개발자의 민첩성과 셀프 서비스를 희생하지 않도록 해야 합니다.

이 정책은 어떻게 다른가요?

Kubernetes에서 정책은 어디에나 있습니다. 네트워크 정책이든 파드 보안이든, 우리 모두는 정책이 무엇이고 언제 사용하는지 이해하게 되었습니다. 우리는 Kubernetes 리소스 사양에 선언된 것은 무엇이든 정책 정의에 따라 구현된다고 믿습니다. 네트워크 정책과 파드 보안은 모두 런타임에 구현됩니다. 그러나 이러한 Kubernetes 리소스 사양의 필드 값을 제한하는 정책은 무엇일까요? 이것이 바로 정책과 거버넌스가 하는 일입니다. 런타임에 정책을 구현하는 것이 아니라 거버넌스의 맥락에서 정책을 이야기할 때, 우리가 의미하는 것은 (또는 적어도 우리가 달성하려고 하는 것은) Kubernetes 리소스에서 필드가 구성되는 방식을 제한하는 기능입니다. 정책에 의해 평가될 때 규정을 준수하는 Kubernetes 리소스 사양만 허용되고 클러스터 상태에 커밋됩니다 .

Cloud 네이티브 정책 엔진

어떤 리소스가 규정을 준수하는지 평가하려면 다양한 요구 사항을 충족할 수 있을 만큼 유연한 정책 엔진이 필요합니다. 오픈 정책 에이전트(OPA) 는 클라우드 네이티브 에코시스템에서 점점 더 인기를 얻고 있는 유연하고 가벼운 오픈 소스 정책 엔진입니다. 에코시스템에 OPA가 도입되면서 다양한 Kubernetes 거버넌스 도구의 구현이 많이 등장했습니다. 커뮤니티가 힘을 모으고 있는 그러한 Kubernetes 정책 및 거버넌스 프로젝트 중 하나는Gatekeeper입니다. 이 장의 나머지 부분에서는 게이트키퍼를 표준 ...