개요

이 실습에서는 내부 RFC 1918 IP 주소를 사용하는 Standard 클러스터를 만들고 클러스터에 대한 API 액세스를 위해 승인된 네트워크를 추가한 다음 포드 보안을 위한 네트워크 정책을 구성합니다.

참고: 이 실습에서는 GKE Standard 모드를 사용합니다. 이 실습에서는 클러스터 네트워크 정책을 살펴봅니다. 이러한 정책은 GKE Autopilot에서 기본적으로 사용 설정되어 있습니다.

목표

이 실습에서는 다음 작업을 수행하는 방법을 알아봅니다.

• 내부 RFC 1918 IP 주소를 사용하는 Standard 클러스터 생성 및 테스트
• 승인된 네트워크 컨트롤 플레인 액세스를 위한 클러스터 구성
• 클러스터 네트워크 정책 구성

설정 및 요건

각 실습에서는 정해진 기간 동안 새 Google Cloud 프로젝트와 리소스 집합이 무료로 제공됩니다.

1. 실습 시작 버튼을 클릭합니다. 실습 비용을 결제해야 하는 경우 결제 수단을 선택할 수 있는 팝업이 열립니다. 왼쪽에는 다음과 같은 항목이 포함된 실습 세부정보 패널이 있습니다.

   • Google Cloud 콘솔 열기 버튼
   • 남은 시간
   • 이 실습에 사용해야 하는 임시 사용자 인증 정보
   • 필요한 경우 실습 진행을 위한 기타 정보

2. Google Cloud 콘솔 열기를 클릭합니다(Chrome 브라우저를 실행 중인 경우 마우스 오른쪽 버튼으로 클릭하고 시크릿 창에서 링크 열기를 선택합니다).

   실습에서 리소스가 가동되면 다른 탭이 열리고 로그인 페이지가 표시됩니다.

   팁: 두 개의 탭을 각각 별도의 창으로 나란히 정렬하세요.

   참고: 계정 선택 대화상자가 표시되면 다른 계정 사용을 클릭합니다.

3. 필요한 경우 아래의 사용자 이름을 복사하여 로그인 대화상자에 붙여넣습니다.

   {{{user_0.username | "Username"}}}

   실습 세부정보 패널에서도 사용자 이름을 확인할 수 있습니다.

4. 다음을 클릭합니다.

5. 아래의 비밀번호를 복사하여 시작하기 대화상자에 붙여넣습니다.

   {{{user_0.password | "Password"}}}

   실습 세부정보 패널에서도 비밀번호를 확인할 수 있습니다.

6. 다음을 클릭합니다.

   중요: 실습에서 제공하는 사용자 인증 정보를 사용해야 합니다. Google Cloud 계정 사용자 인증 정보를 사용하지 마세요. 참고: 이 실습에 자신의 Google Cloud 계정을 사용하면 추가 요금이 발생할 수 있습니다.

7. 이후에 표시되는 페이지를 클릭하여 넘깁니다.

   • 이용약관에 동의합니다.
   • 임시 계정이므로 복구 옵션이나 2단계 인증을 추가하지 않습니다.
   • 무료 체험판을 신청하지 않습니다.

잠시 후 Google Cloud 콘솔이 이 탭에서 열립니다.

참고: Google Cloud 제품 및 서비스 목록이 있는 메뉴를 보려면 왼쪽 상단의 탐색 메뉴를 클릭하거나 검색창에 제품 또는 서비스 이름을 입력합니다.

초기 로그인 단계를 완료하면 프로젝트 대시보드가 표시됩니다.

Google Cloud Shell 활성화하기

Google Cloud Shell은 다양한 개발 도구가 탑재된 가상 머신으로, 5GB의 영구 홈 디렉터리를 제공하며 Google Cloud에서 실행됩니다.

Google Cloud Shell을 사용하면 명령줄을 통해 Google Cloud 리소스에 액세스할 수 있습니다.

1. Cloud 콘솔의 오른쪽 상단 툴바에서 'Cloud Shell 열기' 버튼을 클릭합니다.

   

2. 계속을 클릭합니다.

환경을 프로비저닝하고 연결하는 데 몇 분 정도 소요됩니다. 연결되면 사용자가 미리 인증되어 프로젝트가 PROJECT_ID로 설정됩니다. 예:

gcloud는 Google Cloud의 명령줄 도구입니다. Cloud Shell에 사전 설치되어 있으며 명령줄 자동 완성을 지원합니다.

• 다음 명령어를 사용하여 사용 중인 계정 이름을 나열할 수 있습니다.

gcloud auth list

출력:

Credentialed accounts: - @.com (active)

출력 예시:

Credentialed accounts: - google1623327_student@qwiklabs.net

• 다음 명령어를 사용하여 프로젝트 ID를 나열할 수 있습니다.

gcloud config list project

출력:

[core] project =

출력 예시:

[core] project = qwiklabs-gcp-44776a13dea667a6 참고: gcloud 전체 문서는 gcloud CLI 개요 가이드를 참조하세요.

작업 1. Standard 클러스터 만들기

이 작업에서는 내부 RFC 1918 IP 주소를 사용하는 Standard 클러스터를 만듭니다.

클러스터의 모든 워커 노드에는 내부 RFC 1918 IP 주소만 있습니다. 따라서 워크로드가 공개 인터넷과 격리되고 공개 IP 주소가 지정되지 않습니다.

Standard 클러스터 설정

1. 탐색 메뉴()에서 Kubernetes Engine > 클러스터를 클릭합니다.
2. 만들기를 클릭하고 클러스터에 대해 Standard 클러스터로 전환을 선택합니다.
3. 클러스터 이름을 standard-cluster로 지정합니다.
4. 영역으로 을(를) 선택합니다.
5. 왼쪽 창의 노드 풀에서 default-pool을 클릭합니다.
6. 노드 수에 2를 입력합니다.

7. 왼쪽 창의 클러스터에서 네트워킹을 클릭합니다.
8. 승인된 네트워크 사용 설정을 선택하지 않도록 합니다.
9. 컨트롤 플레인의 기본 비공개 엔드포인트 서브넷 재정의 체크박스를 선택합니다.
10. 비공개 엔드포인트 서브넷에서 기본값을 선택합니다.

11. 비공개 노드 사용 설정 체크박스를 선택합니다.

참고: Google Cloud는 VPC 피어링을 사용하여 클러스터의 VPC를 기본 VPC 네트워크에 연결합니다.

이 옵션을 보려면 아래로 스크롤해야 할 수 있습니다.

이 설정을 사용하면 외부에서 클러스터에 액세스할 수 있는 주소 범위를 정의할 수 있습니다. 이 체크박스를 선택하지 않으면 Google Cloud 네트워크에서만 kubectl에 액세스할 수 있습니다. 이 실습에서는 Google Cloud 네트워크를 통해서만 kubectl에 액세스하지만, 나중에는 컨트롤 플레인 승인 네트워크 설정을 수정할 것입니다.

12. 만들기를 클릭합니다.

참고: 클러스터 배포가 완료될 때까지 몇 분 기다려야 합니다.

클러스터 검사

• Cloud Shell에 다음 명령어를 입력하여 새 클러스터의 세부정보를 검토합니다.

gcloud container clusters describe standard-cluster --zone {{{project_0.default_zone|ZONE}}}

다음 값은 해당 클러스터에만 표시됩니다.

• privateEndpoint: 내부 IP 주소. 노드는 이 내부 IP 주소를 사용해서 클러스터 컨트롤 플레인과 통신합니다.
• publicEndpoint: 외부 IP 주소. 외부 서비스와 관리자는 외부 IP 주소를 사용하여 클러스터 컨트롤 플레인과 통신할 수 있습니다.

클러스터를 격리하는 여러 옵션은 정도에 따라 다음과 같습니다.

• 클러스터 전체가 외부 액세스 권한을 가집니다.
• 클러스터 전체가 내부 액세스 권한을 가집니다.
• 클러스터 컨트롤 플레인은 공개하고 노드는 내부로 설정할 수 있습니다. 이렇게 하면 클러스터 컨트롤 플레인 액세스를 허용할 외부 네트워크를 제한할 수 있습니다.

Cloud NAT 같은 NAT 게이트웨이를 구성하지 않는 한, 공개 IP 주소가 없으면 노드에서 실행되는 코드는 공개 인터넷에 액세스할 수 없습니다.

내부 API처럼 네트워크 내부 리소스에서만 액세스해야 하는 서비스를 제공하기 위해 내부 액세스 권한이 있는 클러스터를 사용할 수 있습니다. 예를 들어 회사에서만 사용하는 비공개 도구가 이러한 리소스에 해당합니다. 또는 내 프런트엔드 서비스에서 액세스하는 백엔드 서비스도 해당할 수 있습니다. 이 경우 외부 고객이나 사용자는 프런트엔드 서비스에만 직접 액세스할 것입니다. 이때 이러한 클러스터는 애플리케이션의 공격 노출 영역을 줄이는 데 효과적입니다.

내 진행 상황 확인하기를 클릭하여 목표를 확인합니다. Standard 클러스터 만들기

작업 2. 클러스터 컨트롤 플레인 액세스를 위해 승인된 네트워크 추가

클러스터 생성 후 Google Cloud 외부에서 클러스터에 명령어를 실행해야 할 수도 있습니다. 회사 네트워크에서만 클러스터 컨트롤 플레인에 명령어를 실행하기로 했지만 클러스터 생성 시 승인된 네트워크를 지정하지 않은 경우가 이에 해당합니다.

이 작업에서는 클러스터 컨트롤 플레인 액세스를 위해 승인된 네트워크를 추가합니다.

참고: 이 작업에서는 Kubernetes 컨트롤 플레인 API가 특정 네트워크 주소 범위에 액세스할 수 있게 만듭니다. 실무에서 GKE를 사용할 때 이 연결은 최종 사용자가 아닌 IT 직원이나 자동화된 프로세스가 사용합니다.

1. Google Cloud 콘솔 탐색 메뉴()에서 Kubernetes Engine > 클러스터를 클릭합니다.
2. standard-cluster를 클릭하여 클러스터 세부정보 페이지를 엽니다.
3. 세부정보 탭의 컨트롤 플레인 네트워킹 섹션에서 수정()을 클릭합니다.
4. 승인된 네트워크 사용 설정을 선택합니다.
5. 승인된 네트워크 추가를 클릭합니다.
6. 이름에 네트워크 이름을 입력합니다. 네트워크 이름에 Corporate를 사용합니다.
7. 네트워크에 클러스터 컨트롤 플레인에 대한 액세스를 허용할 CIDR 범위를 입력합니다. 예를 들어 192.168.1.0/24 같이 입력할 수 있습니다.
8. 완료를 클릭합니다.
9. 다음 파라미터가 사용 설정되어 있는지 확인합니다.
   • 컨트롤 플레인 외부 IP 주소를 사용하여 액세스
   • 모든 리전의 컨트롤 플레인 내부 IP 주소를 사용하여 액세스
   • 컨트롤 플레인 내부 엔드포인트에 승인된 네트워크 적용
   • Google Cloud 외부 IP 주소를 승인된 네트워크에 추가

필요하면 여기서 네트워크를 여러 개 추가할 수 있지만 CIDR 범위는 50개를 초과할 수 없습니다.

참고: 실습 환경이 아닌 실제 사용 사례로 회사 방화벽의 공개 외부 주소만을 허용 목록에 추가하는 경우가 있습니다. 예를 들어 회사 방화벽의 IP 주소가 8.8.8.14면 8.8.8.14/32에 대한 액세스를 허용 목록에 추가할 수 있습니다.

9. 메뉴 하단의 변경사항 저장을 클릭합니다.

내 진행 상황 확인하기를 클릭하여 목표를 확인합니다. 클러스터 컨트롤 플레인 액세스를 위해 승인된 네트워크 추가

작업 3. 클러스터 네트워크 정책 만들기

이 작업에서는 포드 간의 통신을 제한하는 클러스터 네트워크 정책을 만듭니다. 침입자가 포드 중 하나의 보안을 침해한 경우 클러스터 내부에서의 확산 공격을 방지하기 위해 제로 트러스트 영역이 중요합니다.

GKE 클러스터 만들기

1. Cloud Shell에서 다음 명령어를 입력하여 영역 및 클러스터 이름의 환경 변수를 설정합니다.

export my_zone={{{project_0.default_zone|ZONE}}} export my_cluster=standard-cluster-1

2. Cloud Shell에서 kubectl 명령줄 자동 완성을 구성합니다.

source <(kubectl completion bash)

3. Cloud Shell에서 다음 명령어를 입력하여 Kubernetes 클러스터를 만듭니다. 참고로, 이 명령어는 이전 실습에서 사용한 매개변수에 추가 플래그 --enable-network-policy를 덧붙입니다. 이 플래그를 사용하면 클러스터에서 클러스터 네트워크 정책을 사용할 수 있게 됩니다.

gcloud container clusters create $my_cluster --num-nodes 3 --enable-ip-alias --zone $my_zone --enable-network-policy

4. Cloud Shell에서 다음 명령어를 사용하여 kubectl 명령줄 도구의 클러스터 액세스를 구성합니다.

gcloud container clusters get-credentials $my_cluster --zone $my_zone

5. app=hello 라벨로 간단한 웹 서버 애플리케이션을 실행하고 웹 애플리케이션을 클러스터 내부에 노출합니다.

kubectl run hello-web --labels app=hello \ --image=gcr.io/google-samples/hello-app:1.0 --port 8080 --expose

포드로 들어오는 트래픽 제한

hello-allow-from-foo.yaml이라는 샘플 NetworkPolicy 매니페스트 파일을 만들어보겠습니다. 이 매니페스트 파일은 app: foo 라벨이 지정된 포드에서 app: hello 라벨이 지정된 포드로의 액세스를 허용하는 인그레스 정책을 정의합니다.

1. 다음 명령어를 사용해서 nano로 hello-allow-from-foo.yaml이라는 파일을 만들고 엽니다.

nano hello-allow-from-foo.yaml

2. nano가 열리면 다음을 hello-allow-from-foo.yaml 파일에 붙여넣습니다.

kind: NetworkPolicy apiVersion: networking.k8s.io/v1 metadata: name: hello-allow-from-foo spec: policyTypes: - Ingress podSelector: matchLabels: app: hello ingress: - from: - podSelector: matchLabels: app: foo

3. Ctrl+O 키를 누른 다음 Enter 키를 눌러 수정한 파일을 저장합니다.

4. Ctrl+X 키를 눌러 nano 텍스트 편집기를 종료합니다.

5. 인그레스 정책을 만듭니다.

kubectl apply -f hello-allow-from-foo.yaml

6. 정책이 만들어졌는지 확인합니다.

kubectl get networkpolicy

출력:

NAME POD-SELECTOR AGE hello-allow-from-foo app=hello 7s

인그레스 정책 검증

1. app=foo 라벨이 지정된 test-1이라는 임시 포드를 실행하고 해당 포드에서 셸을 가져옵니다.

kubectl run test-1 --labels app=foo --image=alpine --restart=Never --rm --stdin --tty 참고: run 명령어와 함께 여기에 사용된 kubectl 스위치에 주의해야 합니다.

--stdin(또는 -i)은 컨테이너에서 stdin에 연결된 대화형 세션을 만듭니다.

--tty(또는 -t)는 포드의 각 컨테이너에 TTY를 할당합니다.

--rm은 이 포드를 시작 작업이 완료되면 바로 삭제되는 임시 포드로 처리하도록 Kubernetes에 지시합니다. 양방향 세션이기 때문에 사용자가 세션을 종료하면 포드는 바로 삭제됩니다.

--label(또는 -l)은 라벨 집합을 포드에 추가합니다.

--restart는 포드의 다시 시작 정책을 정의합니다.

2. hello-web:8080 엔드포인트에 요청을 전송하여 들어오는 트래픽이 허용되는 것을 확인합니다.

wget -qO- --timeout=2 http://hello-web:8080

출력:

If you don't see a command prompt, try pressing enter. / # wget -qO- --timeout=2 http://hello-web:8080 Hello, world! Version: 1.0.0 Hostname: hello-web-8b44b849-k96lh / #

3. exit를 입력하고 Enter 키를 눌러 셸을 종료합니다.

4. 이제 포드 이름이 동일하지만 활성 네트워크 정책의 podSelector와 일치하지 않는 라벨인 app=other를 사용하는 다른 포드를 실행해 보겠습니다. 이 포드는 hello-web 애플리케이션에 액세스할 수 없어야 합니다.

kubectl run test-1 --labels app=other --image=alpine --restart=Never --rm --stdin --tty

5. hello-web:8080 엔드포인트에 요청을 전송하여 들어오는 트래픽이 허용되지 않는 것을 확인합니다.

wget -qO- --timeout=2 http://hello-web:8080

요청이 타임아웃되었습니다.

출력:

If you don't see a command prompt, try pressing enter. / # wget -qO- --timeout=2 http://hello-web:8080 wget: download timed out / #

6. exit를 입력하고 Enter 키를 눌러 셸을 종료합니다.

포드에서 나가는 트래픽 제한

들어오는 트래픽과 같은 방식으로 나가는(이그레스) 트래픽을 제한할 수 있습니다. 하지만 내부 호스트 이름(예: hello-web) 또는 외부 호스트 이름(예: www.example.com)을 쿼리하려면 이그레스 네트워크 정책에서 DNS 변환을 허용해야 합니다. DNS 트래픽은 TCP 및 UDP 프로토콜을 사용해서 포트 53에서 발생합니다.

foo-allow-to-hello.yaml이라는 NetworkPolicy 매니페스트 파일을 만들어보겠습니다. 이 파일은 app: foo 라벨이 지정된 포드가 모든 포트 번호에서 app: hello 라벨이 지정된 포드와 통신하도록 허용하는 정책을 정의합니다. 그리고 app: foo 라벨이 지정된 포드가 DNS 변환에 사용되는 UDP 포트 53에서 모든 컴퓨터와 통신하도록 허용합니다. DNS 포트가 열려 있지 않으면 호스트 이름을 변환할 수 없습니다.

1. 다음 명령어를 사용하여 nano로 foo-allow-to-hello.yaml이라는 파일을 만들고 엽니다.

nano foo-allow-to-hello.yaml

2. nano가 열리면 다음을 foo-allow-to-hello.yaml 파일에 붙여넣습니다.

kind: NetworkPolicy apiVersion: networking.k8s.io/v1 metadata: name: foo-allow-to-hello spec: policyTypes: - Egress podSelector: matchLabels: app: foo egress: - to: - podSelector: matchLabels: app: hello - to: ports: - protocol: UDP port: 53

3. Ctrl+O 키를 누른 다음 Enter 키를 눌러 수정한 파일을 저장합니다.

4. Ctrl+X 키를 눌러 nano 텍스트 편집기를 종료합니다.

5. 이그레스 정책을 만듭니다.

kubectl apply -f foo-allow-to-hello.yaml

6. 정책이 만들어졌는지 확인합니다.

kubectl get networkpolicy

출력:

NAME POD-SELECTOR AGE foo-allow-to-hello app=foo 7s hello-allow-from-foo app=hello 5m

이그레스 정책 검증

1. hello-web-2라는 새 웹 애플리케이션을 배포하고 클러스터 내부에서 노출합니다.

kubectl run hello-web-2 --labels app=hello-2 \ --image=gcr.io/google-samples/hello-app:1.0 --port 8080 --expose

2. app=foo 라벨이 지정된 임시 포드를 실행하고 컨테이너에서 셸 프롬프트를 가져옵니다.

kubectl run test-3 --labels app=foo --image=alpine --restart=Never --rm --stdin --tty

3. 포드가 hello-web:8080에 대한 연결을 설정할 수 있는지 확인합니다.

wget -qO- --timeout=2 http://hello-web:8080

출력:

If you don't see a command prompt, try pressing enter. / # wget -qO- --timeout=2 http://hello-web:8080 Hello, world! Version: 1.0.0 Hostname: hello-web / #

4. 포드가 hello-web-2:8080에 대한 연결을 설정할 수 없는지 확인합니다.

wget -qO- --timeout=2 http://hello-web-2:8080

정의한 네트워크 정책 중에서 app: hello-2 라벨이 지정된 포드에 트래픽을 허용하는 정책이 없기 때문에 연결에 실패합니다.

5. 포드가 www.example.com 같은 외부 웹사이트에 대한 연결을 설정할 수 없는지 확인합니다.

wget -qO- --timeout=2 http://www.example.com

네트워크 정책에서 외부 http 트래픽(tcp 포트 80)을 허용하지 않기 때문에 연결에 실패합니다.

6. exit를 입력하고 Enter 키를 눌러 셸을 종료합니다.

내 진행 상황 확인하기를 클릭하여 목표를 확인합니다. 웹 서버 애플리케이션 실행

실습 종료하기

실습을 완료하면 실습 종료를 클릭합니다. Google Cloud Skills Boost에서 사용된 리소스를 자동으로 삭제하고 계정을 지웁니다.

실습 경험을 평가할 수 있습니다. 해당하는 별표 수를 선택하고 의견을 입력한 후 제출을 클릭합니다.

별점의 의미는 다음과 같습니다.

• 별표 1개 = 매우 불만족
• 별표 2개 = 불만족
• 별표 3개 = 중간
• 별표 4개 = 만족
• 별표 5개 = 매우 만족

의견을 제공하고 싶지 않다면 대화상자를 닫으면 됩니다.

의견이나 제안 또는 수정할 사항이 있다면 지원 탭을 사용하세요.

Copyright 2020 Google LLC All rights reserved. Google 및 Google 로고는 Google LLC의 상표입니다. 기타 모든 회사명 및 제품명은 해당 업체의 상표일 수 있습니다.