NetworkPolicy ipBlock에 대한 질문 입니다.

안녕하세요 

비모님이 설명하신거에 약간만 부연 설명 드립니다. 

Ingress와 egress는 통상적으로 네트워크 관점으로 볼때 

리시버(Router, Server, Firewall 등)에 대한 Ingress와 Egress를 의미합니다. 

강의 중에 있던 아래의 그림을 다시 한번 생각해 보시면 아실꺼에요 

그래서 비모님이 얘기한게 틀린게 아니라 

업계에서 통상적으로 ingress와 egress를 얘기할때는 출발지라고 얘기하기 보다 리서버에 인입(ingress)되는 트래픽으로  생각하시는게 더 업계 스러울 것 같아요. :) 

이는 클라우드의 VPC Firewall 나 ACL 에도 같이 적용되는 부분으로 그냥 업계 공통어라고 보시면 될 것 같아요. 

도움이 되셨으면 좋겠습니다. 

조훈 드림. 

안녕하세요, 민수님.

튜터 비모입니다.

이미 테스트까지 완료해주셔서 알고계신 내용이지만 캡처해주신 화면의 결과를 정리하면 아래와 같습니다.

  ingress:

  - from:

    - ipBlock:

        # 172.16.0.1 - 172.16.255.254

        cidr: 172.16.0.0/16

  egress:

  - to:

    - ipBlock:

        # 172.16.0.1 - 172.16.127.254

        cidr: 172.16.0.0/17

1) 172.16.132.37 -> 172.16.103.147 : Ping 가능

2) 172.16.132.37 -> 172.16.221.157 : Ping 불가

문의주신 위 NetworkPolicy 설정에서 IP 172.16.132.37를 가진 Pod가 어떻게 172.16.103.147 과 Ping이 가능한지에 대해서는,

최초로 패킷을 보내는 출발지의 관점에서 정책을 적용받는다고 생각해주시면 이해에 도움이 되실 것 같습니다.

ingress 의 ipBlock 설정은 172.16.0.0/16에서 들어오는 트래픽을 허용하며,

egress 의 ipBlock 설정은 172.16.0.0/17로 나가는 트래픽 허용한다는 의미 입니다.

말씀해주신 것과 같이 Ping은 request, reply를 주고받게 되는데

1번 항목은 최초 목적지가 egress에서 허용한 IP대역에 포함되어 있기 때문에 172.16.132.37 -> 172.16.103.147 로 echo request가 가능하며, 이후 해당 ICMP 패킷에 대한 echo reply는 ingress 정책을 적용받아 Ping이 가능하게 됩니다.

Networkpolicy에 대한 보다 자세한 내용이 필요하신 경우 아래 문서를 참조 부탁 드립니다.

- 네트워크 정책

https://kubernetes.io/ko/docs/concepts/services-networking/network-policies/

혹시 추가로 궁금하신 점이 있으면 남겨주세요

안녕하세요, 민수님.

튜터 주도입니다.

질문 주신 내용을 정리중에 있으며, 

금일 중에 안내 드릴 수 있도록 하겠습니다.

감사합니다.