Amazon EKS, 향상된 네트워크 보안 정책 도입
오늘 Amazon Elastic Kubernetes Service(EKS)의 향상된 네트워크 정책 기능을 발표합니다. 이제 고객은 Kubernetes 워크로드에 대한 네트워크 보안 태세와 클러스터 외부 대상과의 통합을 개선할 수 있습니다. 이 향상 기능은 이전에 EKS에서 지원했던 네트워크 세그멘테이션 기능을 기반으로 합니다. 이제 전체 클러스터에 걸친 네트워크 액세스 필터를 중앙에서 적용할 수 있을 뿐만 아니라 도메인 이름 시스템(DNS) 기반 정책을 활용하여 클러스터 환경의 송신 트래픽을 보호할 수 있습니다.
고객은 EKS를 사용하여 애플리케이션 환경 규모를 계속 조정하므로 클러스터 내부와 외부 리소스에 대한 무단 액세스를 방지하기 위한 네트워크 트래픽 격리의 중요성이 점점 더 커지고 있습니다. 이 문제를 해결하기 위해 EKS는 Amazon VPC 컨테이너 네트워크 인터페이스(VPC CNI) 플러그인에 Kubernetes NetworkPolicies 지원을 도입했습니다. 이제 네임스페이스 수준에서 포드 간 통신을 세분화할 수 있습니다. 이제 전체 클러스터의 네트워크 필터를 중앙에서 관리하여 Kubernetes 네트워크 환경의 방어 태세를 더욱 강화할 수 있습니다. 또한 이제 클러스터 관리자가 전체 주소 도메인 이름(FQDN)을 기반으로 외부 엔드포인트에 대한 트래픽을 필터링하는 송신 규칙을 사용하여 클라우드 또는 온프레미스에서 클러스터 외부 리소스에 대한 무단 액세스를 방지할 수 있는 더욱 안정적이고 예측 가능한 접근 방식이 마련되었습니다.
이러한 새로운 네트워크 보안 기능은 모든 상용 AWS 리전에서 Kubernetes 버전 1.29 이상을 실행 중인 새로운 EKS 클러스터에 제공되며, 향후 몇 주 내에 기존 클러스터에 대한 지원이 추가될 예정입니다. ClusterNetworkPolicy는 VPC CNI v1.21.1 이상을 사용하는 모든 EKS 클러스터 시작 모드에서 사용할 수 있습니다. DNS 기반 정책은 EKS 자동 모드로 시작된 EC2 인스턴스에만 지원됩니다. 자세히 알아보려면 Amazon EKS 설명서를 참조하거나 여기에서 출시 블로그 게시물을 읽어보세요.