게시된 날짜: Aug 29, 2023
이제 Amazon VPC Container Networking Interface(CNI) 플러그인에서 Kubernetes NetworkPolicy 리소스를 지원합니다. 고객은 동일한 오픈 소스 Amazon VPC CNI를 사용해 포드 네트워킹과 네트워크 정책을 모두 구현하여 Kubernetes 클러스터의 트래픽을 보호할 수 있습니다. 이렇게 하면 네트워크 액세스 제어를 위한 추가 소프트웨어를 실행할 필요가 줄어들며 기존의 모든 VPC CNI 기능과 함께 사용할 수 있습니다.
기본적으로 Kubernetes에서는 모든 포드가 클러스터 내의 다른 포드와 제한 없이 통신할 수 있습니다. 네트워크 격리 개선을 위해 Kubernetes NetworkPolicy를 사용하면 클러스터 관리자는 포드가 어떤 엔터티와 통신할 수 있는지 정의함으로써 애플리케이션에 대한 액세스와 애플리케이션으로부터의 액세스를 안전하게 보호할 수 있습니다. 그러나 이를 위해서는 고객이 NetworkPolicy를 구현하기 위해 추가 소프트웨어를 사용해야 하므로 서드 파티 플러그인을 설치하고 유지 관리하는 데 운영 오버헤드와 비용이 발생하는 경우가 많습니다.
AWS에서 Kubernetes를 실행하는 고객은 이제 Amazon VPC CNI의 NetworkPolicy 지원을 통해 오버헤드를 최소화하면서 레이블 선택기, 네임스페이스, IP 블록 및 포트를 기반으로 포드 간 트래픽을 허용하거나 거부할 수 있습니다. 네이티브 VPC 통합을 통해 추가적인 심층 방어 조치의 일환으로 보안 그룹, 네트워크 액세스 제어 목록(ACL)을 비롯한 표준 구성 요소를 사용하여 애플리케이션을 보호할 수 있습니다. 또한 고객은 Amazon VPC CNI 플러그인을 사용하여 클러스터 및 노드 수준에서 구성된 정책을 추적하고 문제를 해결할 수 있습니다. VPC CNI v1.14부터는 Kubernetes 버전 1.25 이상을 실행하는 새 클러스터에서 NetworkPolicy 지원을 사용할 수 있지만, 출시 시점에는 기본적으로 비활성화되어 있습니다.