✔ 쿠버네티스 스터디 19 일차

혜
저는 오늘 여기서 설정한 거에서 네트워크 방식 설정하는 거 보고서 뭔가 저희가 운영하는 방식에 대해서 조금 반성이라고 해야 되나 그런 걸 느낀 게 저희는 뭔가 루트나 전체적인 허용을 먼저 하고 아닌가 허용을 다 하고 차단을 외부 통신만 차단하는 방식으로 하잖아요.  외부는 이미 차단되어 있는데 ..

 

윤
화이트 리스트 화이트 리스트요
포트는 그러니까 포트 호형 같은 개념에는 블랙리스트가 맞는데 네

 

혜
그렇게 돼 있잖아요. 외부는 당연히 돼 있는데 저는 그래서 제가 얘기하고 싶은 거는 저희 내부 서버를 서로 다 너무 확신해서 내부끼리는 이런 서비스 간의 통신끼리는 없는 거예요. 그런 게 근데 사실은 저희가 쓰고 있는 이런 서비스들을 다른 팀에서 사용을 할 때 그거에 대한 정책이 제대로 안 되어 있으면 저희가 결국에는 고생을 하잖아요. 그런 걸 보면서 이런 내부 안에 있는 서비스끼리도 정책을 조금 잘 잡아서 해야 되지 않나 이런 생각을 했어요.

물론 힘들겠지만 그 했어요.

 

윤

폼스 해봤잖아요. 근데

 

수

전 네트워크 자격증이 있어요.

 

주

사실 진짜 이거는 우리가 잡는 거는 아니고 혹시 그 서버를 네트워크 관리자가 진짜로 그런 경험에 의해서 정하는 게 좀 많을 것 같아서 우리가 그렇게 신경 써서 공부 네트워크만 본다기보다는 그냥

 

윤

회사 전문가가 없어

 

혜

저희가 보통 허용을 내부 안에 있는 사람들한테 다 해보고 너 말이 맞아 그렇게 차단하려는 거는 맞아 그런 생각을 했어요.

 

주

만약에 그중에서 만약에 진짜로 내부망이 코트 하나만 코트 하나 뚫려가지고 코트는 하나만 뚫려도 전체가 다 뚫리는 거
둘의 관계를 모르면 있잖아 모르면

 

솜

유익했습니다.

 

윤

근데 그러니까 저는 이런 하나하나 세팅하는 거 참 어렵겠다라는 생각은 했는데 그러니까 기본적인 개념이라든지 이런 거는 파드 단위라든지 네임 스페이스 단위 이런 거에는 따로따로 치면 그냥 우리가 하는 보안 정책이랑 개념은 항상 다 동일하다라는 걸 느꼈고요 물론 이거를 관리를 하는 것 자체는 참 힘들겠지만 그래도 누군가가 하겠죠.

 

주

제가 장담하는데 이거 이 방식 이거 정하는 걸로 책 한권 쓸 걸요.

 

윤

이게 현실적으로는 솔직히 불가능한 구조지

 

수

저는 오늘 이거 읽으면서 네트워크 파드간의 정책을 어떻게 할 건지 그걸 세우는 게 정말 힘들 거라고 생각을 했고 읽으면서도 이해가 안 갔거든요. 그래서 이걸 하는 주 선배랑 다 언니 얼마나 부담이 클까 생각도 했습니다.

그래서 되게 이렇게 파드 간의 근데 솔직히 이게 무슨 파드 간에 어떻게 네트워크를 다 막고 하지 이거를 고려를 한다는 것 자체가 진짜 천재 아닐까라는 생각을 살짝 하는 게 아니 이 파드가 뭘 할 줄 알고 어떻게 틀어주지 이런 걸 다르고 오르고 a는 이거 뚫어줄 수 있고 b는 자기가 만들 때 뚫어준다고

 

주

그런 걸 고민을 해놓은 게 있을 거야 보안 금융권에서의 네트워크 정책 네트워크 정책은 아까 도메인별로 있을 거야 아까

 

윤

뭐시냐 네트워크 정책 플러그인 있었던데

 

주

코어 도메인별로 이거에 대한 정책이 있는 게 아니라 정책을 지원하는 한마디로 형태적으로만 정책 지원 cni로 다 속도가 차이가 내부 구현되어 있는 게 달라서 그걸 비교하는 글도 있어요.

네 저는 저기 솔직히 제가 어떻게 해야 될지 그런 고민은 안 했고요 그냥 이런 게 있으니 애플리케이션을 개발하다가 이런 게 나오더라도 당황하지 말고 네트워크 관리자한테 이거를 잘 설명을 할 때 사실은 설명을 하고 설명을 들을 때도 이런 걸 잘 알아야 하는 거니까

 

윤

솔직히 통신할 때 애플리케이션 개발하고 통신할 때 가 네트워크 에러가 나면 그렇죠 어디가 잘못돼서 이게 에로가 나는구나 그것만 알아야 그거 알아 그 부분에 대해서는 이게 도움이 많이 된 것 같아요.

 

주

저는 그런 쪽으로 오늘 집중해서 학습했습니다.

 

윤

리소스 다 뒤져보면 잉글레스나 이그레스 세팅해 놓는 거 이거 때문에 그럼요 그 정도 그 정도는 찾을 수 있어