Kubernetes Networkpolicy 관련 질문입니다.

Question

안녕하세요 강의를 수강중인 수강생입니다. Kubernetes NetworkPolicy 관련 질문이 있습니다. 강의에서는 NetworkPolicy를 .yaml 파일을 1개로 설정하시고 테스트 하셨는데 NetworkPolicy rule을 2개의 .yaml 파일로 나눠서 적용해도 2개의 rule들이 하나의 pod에서 같이 적용이 가능할까요? 예를 들면) 아래와 같이 적용을 했을 때, role: web pod는 외부로 80과 53의 두가지의 Rule을 모두 적용이 가능 한건지 궁금합니다. a.yaml -> role: web 이라는 tag를 가진 pod에 egress 0.0.0.0/0 tcp 80 a2.yaml -> role: web 이라는 tag를 가진 pod에 egress 0.0.0.0/0 udp 53 제가 테스트 했을 때는, 안되었는데 혹시 파일을 나눠서 적용 하고 싶다면 다른 방법이 있을까요?

조훈(Hoon Jo) · Answer

안녕하세요 정확히 어떤 의도인지 파악하진 못했는데, 아마 CSP 같은 환경을 만들기 위해서 보고 계신거 같습니다. 그리고 UDP까지는 필요하지 않아서 TCP로 아래와 같이 테스트한 결과 위의 내용이 적용 가능합니다. 아마 어딘가 테스트를 다르게 진행하신거 같습니다. 사용 deployment [root@m-k8s 8.6]# cat 1-1-deploy-deny-all.yaml apiVersion: apps/v1 kind: Deployment metadata: labels: role: sensitive app: chk-info name: deploy-deny-all <생략> 8080 netpol 적용 [root@m-k8s 8.6]# cat 8080.yaml apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: 8080port namespace: default spec: podSelector: matchLabels: role: sensitive policyTypes: - Ingress - Egress ingress: - ports: - protocol: TCP port: 8080 egress: - {} 8080 적용 후 curl 안됨 [root@m-k8s 8.6]# ka 8080.yaml networkpolicy.networking.k8s.io/8080port created [root@m-k8s 8.6]# curl 192.168.1.11 ^C 80 적용 후 curl이 됨 [root@m-k8s 8.6]# cat 80.yaml apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: 80port namespace: default spec: podSelector: matchLabels: role: sensitive policyTypes: - Ingress - Egress ingress: - ports: - protocol: TCP port: 80 egress: - {} [root@m-k8s 8.6]# ka 80.yaml networkpolicy.networking.k8s.io/80port created [root@m-k8s 8.6]# curl 192.168.1.11 Check NGINX Information <생략> [root@m-k8s 8.6]# k get netpol NAME POD-SELECTOR AGE 8080port role=sensitive 2m43s 80port role=sensitive 67s 해당 내용을 참고로 다시 진행해 보시면 좋으실 것 같습니다. 도움이 되시길 바랍니다.