조대협의 블로그

쿠버네티스 #17보안 2/4 - 네트워크 정책조대협 (http://bcho.tistory.com)네트워크 정책 (Network Policy)쿠버네티스의 보안 기능중의 하나가 네트워크 정책을 정의함으로써 Pod로 부터 들어오거나 나가는 트래픽을 통제할 수 있다. Network Policy라는 기능인데, 일종의 Pod용 방화벽정도의 개념으로 이해하면 된다.특정 IP나 포트로 부터만 트래픽이 들어오게 하거나 반대로, 특정 IP나 포트로만 트래픽을 내보내게할 수 있는 등의 설정이 가능한데, 이 외에도 다음과 같은 방법으로 Pod에 대한 Network Policy를 설정할 수 있다. Ingress 트래픽 컨트롤 정의어디서 들어오는 트래픽을 허용할것인지를 정의하는 방법은 여러가지가 있다. ipBlock CIDR I..

도커는 컨테이너로 기동하기 때문에 네트워크를 통해서 도커의 IP를 접근하거나 또는 도커에서 호스트의 IP를 접근하기위해서는 별도의 설정이 필요하다. 시간을 많이 소요한 부분이 MAC 환경이 다름을 인지 못했기 때문인데, 도커에는 네트워크 모드중에 host 모드(docker run --net="host" )로 설정하고 기동하면 된다.라는 것이 있다. 이 경우 도커의 네트워킹이 host 머신의 네트워크를 그대로 사용하기 때문에, host의 ip와 port가 그대로 도커와 연결이 되지만, 이 host 모드는 MAC에서는 작동을 하지 않는다. MAC의 경우에는 이 Host 모드가 동작하지 않는다.다음과 같은 시나리오가 있다고 보자 -->0.0.0.0:8087 (docker) --> 0.0.0.0:8081 (ho..

한동안 블로그 포스팅이 뜸했습니다. 바뻤습니다. 한동안 클라우드 연구하다가 Storage에서 머리가 아퍼오더니.. Storage 산을 넘으니 이번에는 Network이 저를 괴롭힙니다. L2 - Dummy Hub 개념으로 보면 된다. Mac Address를 보고 라우팅 L3 - Hub + Router = Subnet 이 다른 네트웍도 라우팅 기능을 이용해서 묶어 줄 수 있다. IP를 보고 라우팅 L4 - IP Layer에서 Load Balancing도 가능 Inter Rack 간 통신을 performance degration없이 묶는 법을 아시는분? * Load Balancing의 성능 측정 단위 L4 - CPS (Connection Per Second)