모든 pod끼리는 서로 연결이 되어있다.
그런데, 일부 구간(ex. web Pod - DB Pod)은 direct로 연결되지 않길 바랄 수도 있다. (security 이슈 등으로 인해)
그럴 때, Network Policy 라는 것을 사용한다.
Ingress traffic을 3306, API Pod에게만 받는 것이다.
이때, 예전에 배웠던 Selector, labels 인스턴스가 다시 나온다.
NetworkPolicy라는 yaml파일을 만든 뒤, spec 아래 부분에 오른쪽의 두 블럭을 붙여준다.
예를 들어 이렇게.
spec:
podselector:
matchlabels:
role: db
policyTypes:
- Ingress
Ingress:
- from:
- podSelector:
matchLabels:
name: api-pod
ports:
- protocol: TCP
port: 3306
그럼 조금 더 조건을 추가해보자.
pod는 api-pod 에서만 들어오도록 하고, namespace는 prod에 있는 것만,
ip는 192.168.5.10/32로부터 오는 것만 허용하도록 하자.
이 경우, '-'를 사용할 경우, 별개의 룰이 되어 &&조건이 아닌 || 조건이 된다.
따라서, api pod이거나, prod namespace 안에 있거나, 192.168.5.10/32로부터 오면 허용한다는 뜻이다.
만약 &&조건을 주고 싶으면, '-'를 없애면 된다.
그리고, egress도 동시에 추가할 수 있다.
egress도 engress와 동일하되, egress는 outgoing 하는 traffic이므로 'to' 옵션을 사용한다.
network policy에 대한 조회는 아래 커멘드로 확인할 수 있다.
# kubectl get netpol [policy name]
# kubectl describe networkpol [policy name]
끝-
출처: Udemy 사이트의 Certified Kubernetes Administrator (CKA) with Practice Tests 강의