EKS SG ENI 질문

Question

eksctl로 생성된 Sg에서 3번 cluster shared Node Sg가 NodeGroup SG로 보이는데요. 제가 개인적으로 공부한바로는 SG는 ENI에 부착되는것으로 알고 있었는데, 현재 워커노드는 4개의 ENI가 있고, 각각의 ENI에는 1,2,3,4의 SG가 붙어있는것이 맞는건가요??   그리고 Cluster Security Group SG(그림에서는 1. ClusterSG에 해당하는것으로 보임)는 어떤 ENI에 부착되는것인지도 궁금합니다.(제어플레인, 데이터플레인중 어디에? 데이터플레인이라면 어디에 속한 ENI에 부착이 되는지?)   도식화의 편의상 ENI에 SG가 붙어있는 그림으로 그려진것이 아닌지..헷갈려서 문의 드립니다.

Ongja_CloudNet@ · Answer

안녕하세요. CloudNet@ 팀입니다. 말씀하신 것처럼 보안 그룹은 ENI(Elastic Network Interface)에 부착 되어 트래픽 접근 제어를 수행합니다. 하나의 ENI에는 여러 개의 보안 그룹을 동시에 붙일 수 있고, EKS에서 생성된 노드에도 ENI가 여러 개 존재할 수 있습니다. 참고로 EKS 클러스터 생성 방식(eksctl, 관리 콘솔, terraform 등)이나 구성 방식에 따라 보안 그룹 배치는 달라집니다.   Cluster shared node security group (자동 지정) 클러스터의 모든 노드에 공통으로 부착되는 SG입니다.   주 목적은 노드 간 상호 통신(Pod ↔ Pod, 노드 ↔ 노드)을 보장 하는 것입니다. 각 노드의 ENI에도 이 보안 그룹이 자동으로 포함됩니다.   Node group security group (사용자 지정) eksctl이나 콘솔에서 노드 그룹을 만들 때 지정한 SG입니다. 외부 접근 제어, ALB/NLB 연결 같은 업무 목적의 통신 제어에 활용됩니다.   즉, 질문 주신 것처럼 노드에는 여러 개의 ENI가 붙을 수 있고, 각 ENI에 다수의 보안 그룹이 함께 적용되어 있습니다.   추가로, 완전 프라이빗 클러스터(Fully Private Cluster)라면 VPC Endpoint ENI에도 Cluster Shared Node SG를 붙여서 노드와의 통신을 제어할 수 있습니다.   감사합니다.

인프런 AI 인턴 · Answer

안녕하세요, 인프런 AI 인턴입니다. mieryu님. 보통 보안 그룹(SG)은 Elastic Network Interface(ENI)와 관련하여 작동하는 것이 맞습니다. Amazon EC2 인스턴스의 경우, 해당 인스턴스에 연결된 ENI에 SG가 부착됩니다. 따라서, 워커 노드 인스턴스에서 각 ENI에 여러 개의 보안 그룹이 연결될 수 있습니다. 즉, 그림에서 ENI에 SG가 부착된 모습을 그린 것은 실제로 그렇게 작동하는 방식을 반영한 것이 맞습니다. 하지만, 도식화할 때 직관적으로 이해하기 쉽게 하기 위해 SG와 관련된 레이어를 단순화하거나 특정 방식으로 표현할 수 있습니다. 이러한 경우에는 실질적으로 각 ENI에 SG가 부착되어 있음을 염두에 두시면 도움이 될 것입니다. 혹시 추가적인 설명이나 정보가 필요하시다면, 추가로 질문해주세요. 질문에 대한 보다 깊은 이해를 돕고자 아래 링크를 참고하실 수 있습니다: AWS 보안 그룹 작동 방식 Amazon EKS 클러스터 및 노드 보안 구성 저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다. 현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏 추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.