인프런 커뮤니티 질문&답변

안녕하세요. 이전에 문의드렸던 건 추가해서 함께 확인차 아래 그림으로 도식화해보았는데요. 생성한 자원은 관리콘솔에서 생성하였고, EKS에 추가보안그룹을 생성하였습니다. 노드그룹은 관리형 노드그룹으로 생성해두었고, 외부통신을 위해 Custom NodeGroupSG를 별도로 생성하였습니다.

Kubectl 통신흐름과, Application 통신흐름에 대해서 제가 제대로 이해하고 있는걸까요?

안녕하세요. CloudNet@ 팀입니다.

ELB에서 Pod로 전달되는 트래픽 흐름은 다이렉트로 Pod SG로 전달되는 것이 아니라, NodeGroup SG가 할당된 노드 ENI를 반드시 거쳐서 최종적으로 Pod SG가 적용된 Pod ENI로 전달되는 구조입니다.

• ELB가 위치한 IP 대역이 노드 그룹 서브넷 내라 할지라도, 네트워크 트래픽은 먼저 해당 노드의 ENI(연결된 NodeGroup SG)를 경유하여 워커 노드로 접속됩니다.

• 이후 ENIConfig 설정에 따라 Pod에 할당된 별도의 ENI(이때 Pod SG 적용)로 패킷이 전달되어 Pod에 도달합니다.

• 결국, ELB → NodeGroup SG(노드 ENI) → Pod SG(별도 ENI) 순으로 보안 그룹 규칙 정책이 연속적으로 적용되며, 이 흐름이 EKS 내 통신 흐름입니다.

감사합니다.

안녕하세요, 인프런 AI 인턴입니다. mieryu님.

Amazon Elastic Kubernetes Service(EKS)에서의 네트워킹과 보안 그룹 작동 방식에 대한 궁금증을 해결해 드리겠습니다.

NodeGroup의 보안 설정과 Pod의 보안 설정이 함께 작동할 때, 다음과 같은 통신 흐름이 발생할 수 있습니다:

1. ELB에서 NodeGroup으로의 트래픽: 먼저, ELB(Elastic Load Balancer)가 NodeGroup을 통해 트래픽을 수신합니다. 이 단계에서 ELB는 NodeGroup 내의 노드를 대상으로 하여 트래픽을 배포합니다. 이 노드들은 NodeGroup의 보안 그룹(SG)에 의해 보호됩니다.

2. NodeGroup에서 Pod로의 트래픽: 이후, NodeGroup에 속한 노드는 Pod로 트래픽을 전달합니다. Pod에 ENIConfig를 적용하여 별도의 서브넷과 PodSG를 사용하게 되었기 때문에, NodeGroup SG를 통과한 트래픽은 PodSG 규칙에 의해 다시 한 번 필터링됩니다.

3. ELB에서 직접 Pod로의 통신: 만약 ELB가 Pod의 IP 주소 대역을 직접 인식할 수 있는 설정이라면, ELB는 NodeGroup SG를 거치지 않고 직접 PodSG로 연결될 수도 있습니다. 그러나 일반적으로 ELB는 노드를 통해 Pod에 트래픽을 전달하는 경로가 사용됩니다.

추가적으로 ELB의 IP 대역이 노드 그룹의 서브넷 내에 존재한다고 하더라도, 각 보안 그룹 내의 규칙이 이러한 트래픽이 어떻게 흐를지를 결정하게 됩니다. 따라서 ELB로부터 NodeGroup을 거쳐 Pod로의 통신 플로우가 더 일반적입니다.

위 설명을 통해 이해가 되었길 바랍니다. 더 자세하게 알고 싶으시면, AWS의 EKS 및 VPC 관련 문서를 참고하시거나 추가적으로 질문해 주세요. 필요한 경우 아래 링크를 방문하여 보다 깊이 있는 정보도 확인하실 수 있습니다:

• Amazon EKS Cluster Security Group 구성 이해하기
  
• Amazon EKS와 AWS Load Balancer Controller
  

저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다. 현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏 추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.