[Ep.28] [Argo CD 성능 최적화 #5] Argo CD와 Kubernetes 네트워크 정책 및 보안 적용

Kubernetes Tools/ArgoCD

[Ep.28] [Argo CD 성능 최적화 #5] Argo CD와 Kubernetes 네트워크 정책 및 보안 적용

ygtoken 2025. 3. 17. 13:11

728x90

🔹 Kubernetes 네트워크 정책(Network Policy)이란?

Kubernetes 네트워크 정책(Network Policy) 는 Pod 간의 트래픽을 제어하여 보안을 강화하는 기능입니다.
기본적으로 Kubernetes는 모든 Pod 간의 통신을 허용하지만, 네트워크 정책을 적용하면 특정 트래픽만 허용할 수 있습니다.

✅ 네트워크 정책의 주요 기능

✔ 특정 Pod 간의 트래픽을 허용 또는 차단
✔ 특정 네임스페이스 내에서 트래픽을 제한
✔ 외부 네트워크에서 오는 트래픽을 차단

✅ GitOps 방식으로 네트워크 정책을 관리하는 이유

✔ 보안 정책을 코드로 관리하여 일관된 운영 가능
✔ Git 변경 이력을 통해 네트워크 정책 변경 사항을 추적 가능
✔ Argo CD를 통해 자동으로 네트워크 정책을 동기화하여 수동 설정 불필요

🔹 1. Argo CD를 활용한 네트워크 정책 적용 방법

Argo CD는 Kubernetes 매니페스트를 Git에서 동기화하는 방식이므로,
네트워크 정책도 Git에 선언적으로 정의하고 자동으로 관리할 수 있습니다.

✅ 네트워크 정책을 적용하는 Argo CD Application 예제

apiVersion: argoproj.io/v1alpha1  # Argo CD의 API 버전
kind: Application  # Argo CD에서 관리하는 애플리케이션
metadata:
  name: network-policy-app  # 애플리케이션 이름
  namespace: argocd  # Argo CD 네임스페이스
spec:
  project: default  # Argo CD 프로젝트 지정

  source:
    repoURL: https://github.com/example/repo.git  # Git 저장소 URL
    targetRevision: main  # 사용할 Git 브랜치
    path: network-policies  # 네트워크 정책이 저장된 Git 경로

  destination:
    server: https://kubernetes.default.svc  # 배포할 Kubernetes 클러스터
    namespace: example-namespace  # 네트워크 정책이 적용될 네임스페이스

  syncPolicy:
    automated:
      prune: true  # Git에서 삭제된 리소스를 Kubernetes에서도 삭제
      selfHeal: true  # Kubernetes 리소스가 변경되었을 경우 Git 상태로 자동 복구

✅ 설명:
✔ source.repoURL → 네트워크 정책이 포함된 Git 저장소의 URL
✔ source.path → Git 저장소 내에서 네트워크 정책이 위치한 경로
✔ destination.namespace → 해당 네임스페이스에 네트워크 정책이 적용됨
✔ syncPolicy.automated → Git 변경 사항을 자동으로 적용

🔹 2. Kubernetes 네트워크 정책 예제

Argo CD에서 네트워크 정책을 선언적 방식으로 관리하려면, NetworkPolicy 리소스를 정의해야 합니다.

✅ 1️⃣ 기본적으로 모든 트래픽을 차단하는 정책

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: deny-all  # 모든 네트워크 트래픽을 차단하는 정책
  namespace: example-namespace  # 적용할 네임스페이스
spec:
  podSelector: {}  # 모든 Pod에 적용
  policyTypes:
    - Ingress  # 외부에서 들어오는 트래픽 차단
    - Egress   # 외부로 나가는 트래픽 차단

✅ 설명:
✔ podSelector: {} → 모든 Pod에 적용
✔ policyTypes → Ingress(수신) 및 Egress(발신) 트래픽을 모두 차단
✔ 기본적으로 Pod 간 통신을 차단하여 보안을 강화

✅ 2️⃣ 특정 애플리케이션에만 Ingress 트래픽 허용 (프론트엔드 → 백엔드)

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-frontend-to-backend
  namespace: example-namespace
spec:
  podSelector:
    matchLabels:
      app: backend  # backend 라벨이 있는 Pod에 정책 적용
  policyTypes:
    - Ingress  # 수신 트래픽 제어
  ingress:
    - from:
        - podSelector:
            matchLabels:
              app: frontend  # frontend 라벨이 있는 Pod에서 오는 요청 허용
      ports:
        - protocol: TCP
          port: 8080  # 8080 포트에서만 트래픽 허용

✅ 설명:
✔ podSelector.matchLabels.app: backend → backend 애플리케이션 Pod에 정책 적용
✔ ingress.from.podSelector.app: frontend → frontend 애플리케이션에서만 접근 허용
✔ ports.port: 8080 → 8080 포트에서만 허용하여 보안 강화

✅ 3️⃣ 외부 인터넷(0.0.0.0/0)에서 오는 트래픽을 차단하는 정책

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: deny-external-access
  namespace: example-namespace
spec:
  podSelector: {}  # 모든 Pod에 적용
  policyTypes:
    - Ingress  # 수신 트래픽 차단
  ingress:
    - from:
        - ipBlock:
            cidr: 10.0.0.0/8  # 내부 네트워크에서 오는 요청만 허용 (AWS VPC 예제)

✅ 설명:
✔ ipBlock.cidr: 10.0.0.0/8 → AWS VPC 내부에서 오는 트래픽만 허용
✔ 외부(인터넷)에서 접근을 차단하여 보안 강화

🔹 3. Argo CD를 활용한 네트워크 정책 자동화 배포

✅ Argo CD CLI를 사용하여 네트워크 정책 배포 상태 확인

argocd app get network-policy-app

✅ 네트워크 정책 동기화 실행

argocd app sync network-policy-app

✅ 배포된 네트워크 정책 확인 (Kubernetes 명령어 사용)

kubectl get networkpolicy -n example-namespace

🔹 4. Argo CD 네트워크 정책 적용 시 고려할 점

✅ 1️⃣ 네트워크 정책 적용 후 접속 테스트 필수

✔ 네트워크 정책 적용 후 kubectl exec 또는 curl 명령어를 사용하여 트래픽이 정상적으로 제한되는지 테스트
✔ 예상한 대로 트래픽이 차단되지 않는다면, 정책이 올바르게 정의되었는지 확인 필요

✅ 2️⃣ GitOps 방식으로 변경 관리

✔ Git에 네트워크 정책을 저장하고 Argo CD를 통해 배포하면 정책 변경 이력을 추적 가능
✔ git log 또는 argocd app history 명령어를 활용하여 변경 사항을 추적

✅ 3️⃣ RBAC(Role-Based Access Control)와 함께 사용

✔ 네트워크 정책만으로는 충분하지 않으므로, RBAC을 적용하여 보안을 더욱 강화
✔ RoleBinding 및 ClusterRoleBinding을 활용하여 특정 네임스페이스에 대한 권한을 제한

🔹 결론: 이번 글에서 배운 핵심 내용 정리

🟢 Kubernetes 네트워크 정책(NetworkPolicy)을 활용하면 Pod 간의 트래픽을 제어하여 보안을 강화할 수 있음
🟢 Argo CD를 사용하면 네트워크 정책을 GitOps 방식으로 관리하고 자동 배포 가능
🟢 Pod 간의 특정 트래픽만 허용하여 외부 접근을 차단하고, 보안이 강화된 Kubernetes 클러스터 운영 가능
🟢 RBAC과 함께 활용하면 보다 강력한 보안 정책을 적용 가능

728x90

저작자표시 비영리 변경금지

'Kubernetes Tools > ArgoCD' 카테고리의 다른 글

[Ep.30] [Argo CD 성능 최적화 #7] Argo CD의 운영 환경 모니터링 및 로깅 (1)	2025.03.17
[Ep.29] [Argo CD 성능 최적화 #6] Argo CD에서 보안 강화 및 RBAC 설정 (0)	2025.03.17
[Ep.27] [Argo CD 성능 최적화 #4] Argo CD와 Terraform을 활용한 인프라 GitOps 운영 (0)	2025.03.17
[Ep.26] [Argo CD 성능 최적화 #3] Argo CD와 GitOps 기반의 CI/CD 파이프라인 구축 (0)	2025.03.17
[Ep.25] [Argo CD 성능 최적화 #2] Argo CD에서 Helm 차트와 Kustomize 최적화 (0)	2025.03.17

현재글[Ep.28] [Argo CD 성능 최적화 #5] Argo CD와 Kubernetes 네트워크 정책 및 보안 적용

YG Tech Blog

A blog about IT, covering topics from cloud computing and DevOps to Kubernetes and system architecture. Sharing insights, solutions, and best practices for modern IT professionals

RAG, Minio, 서비스_운영, 쿠버네티스, langchain, Istio, DaemonSet, kubernetes, argocd, 서비스메시, Python, k8s, 파이썬, gitops, CI/CD, Cilium, Security, YAML, statefulset, DevOps,

Today :
Yesterday :

YG Tech Blog