[Ep.37] [Argo CD 운영 최적화 #7] Argo CD의 네트워크 및 서비스 디스커버리 최적화

Kubernetes Tools/ArgoCD

[Ep.37] [Argo CD 운영 최적화 #7] Argo CD의 네트워크 및 서비스 디스커버리 최적화

ygtoken 2025. 3. 17. 13:13

728x90

🔹 Kubernetes에서 네트워크 및 서비스 디스커버리의 중요성

Kubernetes 환경에서는 서비스 간의 통신이 필수적이며,
올바른 네트워크 정책과 서비스 디스커버리 구성을 통해 안정적인 배포 및 운영이 가능합니다.

✅ 네트워크 및 서비스 디스커버리를 최적화해야 하는 이유

✔ Pod 간 안정적인 통신 보장
✔ 외부 트래픽을 안전하게 관리
✔ 서비스 메쉬(Service Mesh)와 연계하여 트래픽 제어
✔ Argo CD와 연동하여 배포 시 네트워크 정책 자동 적용

🔹 1. Kubernetes 네트워크 정책과 Argo CD 연동

📌 네트워크 정책(NetworkPolicy)이 필요한 이유

기본적으로 Kubernetes 클러스터 내 모든 Pod는 서로 통신할 수 있습니다.
하지만, 보안을 강화하고 네트워크 격리를 위해 네트워크 정책(NetworkPolicy) 을 적용해야 합니다.

✅ 네트워크 정책 주요 기능
✔ 특정 네임스페이스 또는 Pod 간 통신을 허용 또는 차단
✔ 외부 트래픽을 제한하여 보안 강화
✔ Argo CD 배포 시 자동으로 네트워크 정책을 설정

✅ 네트워크 정책 적용 예제

📌 기본적으로 모든 인바운드 트래픽 차단 (기본 차단 정책)

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: deny-all
  namespace: example
spec:
  podSelector: {}  # 모든 Pod에 적용
  policyTypes:
    - Ingress  # 들어오는 트래픽 차단
    - Egress   # 나가는 트래픽 차단

✅ 설명:
✔ podSelector: {} → 네임스페이스 내 모든 Pod에 적용
✔ policyTypes: Ingress, Egress → 들어오는 트래픽과 나가는 트래픽 모두 차단

✅ 특정 애플리케이션 간 통신 허용 (Argo CD 적용)

배포된 애플리케이션 간 내부 통신을 허용하는 네트워크 정책을 추가합니다.

📌 특정 라벨이 있는 Pod 간 통신 허용

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-app-communication
  namespace: example
spec:
  podSelector:
    matchLabels:
      app: example-app  # example-app 레이블을 가진 Pod에 적용
  ingress:
    - from:
        - podSelector:
            matchLabels:
              app: example-api  # example-api 레이블을 가진 Pod만 접근 허용
      ports:
        - protocol: TCP
          port: 8080  # 8080 포트로 통신 가능

✅ 설명:
✔ podSelector.matchLabels.app: example-app → example-app Pod만 적용
✔ from.podSelector.matchLabels.app: example-api → example-api Pod만 통신 가능
✔ ports.port: 8080 → 8080 포트로만 트래픽 허용

✅ 배포된 네트워크 정책 확인

kubectl get networkpolicy -n example

✅ 출력 예시:

NAME                      POD-SELECTOR      AGE
deny-all                  <none>            10m
allow-app-communication   app=example-app   2m

✅ Argo CD에서 네트워크 정책을 자동 적용하도록 설정

apiVersion: argoproj.io/v1alpha1
kind: Application
metadata:
  name: example-network-policy
  namespace: argocd
spec:
  project: default
  source:
    repoURL: https://github.com/example/repo.git
    targetRevision: main
    path: network-policy  # 네트워크 정책이 저장된 Git 경로
  destination:
    server: https://kubernetes.default.svc
    namespace: example
  syncPolicy:
    automated:
      prune: true
      selfHeal: true

✅ Argo CD에서 네트워크 정책 동기화

argocd app sync example-network-policy

🔹 2. Argo CD와 Service Mesh 연동 (Istio 활용)

서비스 메쉬(Service Mesh)는 마이크로서비스 간 트래픽을 보다 정밀하게 제어하고, 보안과 관찰성을 강화할 수 있는 기술입니다.

✅ Istio를 활용한 트래픽 제어 주요 기능
✔ Canary 배포 시 특정 트래픽만 신규 버전으로 라우팅 가능
✔ TLS 암호화를 통한 서비스 간 보안 강화
✔ Argo CD와 연동하여 자동으로 Istio 설정 배포 가능

✅ Istio VirtualService를 활용한 트래픽 관리

📌 기존 버전(Stable)과 신규 버전(Canary) 트래픽을 80:20으로 배분

apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: example-traffic-split
  namespace: example
spec:
  hosts:
    - example-app.example.svc.cluster.local  # 내부 서비스 주소
  http:
    - route:
        - destination:
            host: example-app
            subset: stable  # 기존 버전
          weight: 80  # 80% 트래픽 할당
        - destination:
            host: example-app
            subset: canary  # 신규 버전
          weight: 20  # 20% 트래픽 할당

✅ 설명:
✔ route.destination.host: example-app → 트래픽을 보낼 대상 서비스
✔ subset: stable → 기존 버전(stable)으로 80% 트래픽
✔ subset: canary → 신규 버전(canary)으로 20% 트래픽

✅ Argo CD에서 Istio 설정을 자동 배포

apiVersion: argoproj.io/v1alpha1
kind: Application
metadata:
  name: example-istio-config
  namespace: argocd
spec:
  project: default
  source:
    repoURL: https://github.com/example/repo.git
    targetRevision: main
    path: istio-config  # Istio 설정이 저장된 Git 경로
  destination:
    server: https://kubernetes.default.svc
    namespace: example
  syncPolicy:
    automated:
      prune: true
      selfHeal: true

✅ 배포된 Istio 설정 확인

kubectl get virtualservice -n example

✅ 출력 예시:

NAME                   GATEWAYS    HOSTS                            AGE
example-traffic-split  <none>      example-app.example.svc.cluster.local   5m

🔹 3. 네트워크 및 서비스 디스커버리 운영 시 고려할 점

✅ 1️⃣ 네트워크 정책 최소 권한 원칙 적용
✔ 모든 네트워크 정책을 기본 차단한 후, 필요한 서비스 간의 통신만 허용

✅ 2️⃣ Istio 서비스 메쉬 활용
✔ Istio VirtualService를 활용하여 Canary 배포 및 트래픽 제어 적용

✅ 3️⃣ Argo CD와 연계한 네트워크 자동화
✔ GitOps 방식으로 네트워크 정책 및 서비스 디스커버리 관리

✅ 4️⃣ 외부 트래픽 제한
✔ LoadBalancer 또는 Ingress Controller를 통해 외부 접근을 제어

🔹 결론: 이번 글에서 배운 핵심 내용 정리

🟢 네트워크 정책(NetworkPolicy)을 적용하여 서비스 간 통신을 안전하게 관리 가능
🟢 Argo CD와 연동하여 네트워크 정책을 자동 배포 및 동기화 가능
🟢 Istio VirtualService를 활용하여 Canary 배포 및 트래픽 분배 최적화 가능
🟢 GitOps 방식으로 네트워크 및 서비스 디스커버리를 운영할 수 있음

728x90

저작자표시 비영리 변경금지

'Kubernetes Tools > ArgoCD' 카테고리의 다른 글

[Ep.39] [Argo CD 운영 최적화 #9] Argo CD 보안 강화 및 GitOps 운영 베스트 프랙티스 (0)	2025.03.18
[Ep.38] [Argo CD 운영 최적화 #10] Argo CD 운영 시 성능 최적화 및 모니터링 전략 (0)	2025.03.18
[Ep.36] [Argo CD 운영 최적화 #6] Argo CD에서 Secret 및 ConfigMap 안전하게 관리하기 (0)	2025.03.17
[Ep.35] [Argo CD 운영 최적화 #5] Argo CD와 Progressive Delivery(점진적 배포) 전략 (0)	2025.03.17
[Ep.34] [Argo CD 운영 최적화 #4] Argo CD와 Argo Rollouts를 활용한 배포 전략 (0)	2025.03.17

현재글[Ep.37] [Argo CD 운영 최적화 #7] Argo CD의 네트워크 및 서비스 디스커버리 최적화

YG Tech Blog

A blog about IT, covering topics from cloud computing and DevOps to Kubernetes and system architecture. Sharing insights, solutions, and best practices for modern IT professionals

YAML, 쿠버네티스, k8s, argocd, DaemonSet, 서비스_운영, Security, gitops, RAG, Istio, Minio, Python, Cilium, kubernetes, DevOps, langchain, statefulset, 서비스메시, CI/CD, 파이썬,

Today :
Yesterday :

일	월	화	수	목	금	토
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30

YG Tech Blog