YG Tech Blog

이 글에서는 Cilium의 ID 기반 정책과 보안 강화 방법에 대해 알아보겠습니다. Cilium은 단순한 IP와 포트 기반의 네트워크 정책이 아닌, 워크로드의 정체성(Identity)에 기반한 강력한 접근 제어를 제공합니다. 쿠버네티스 Pod의 라벨을 기반으로 생성되는 Identity의 작동 원리와 Pod 간 ID 맵핑 구조를 이해하고, 실무에서 활용할 수 있는 ID 기반 보안 정책 구성 방법을 살펴보겠습니다. Identity 기반 접근 제어를 통해 동적으로 변화하는 클라우드 네이티브 환경에서도 일관된 보안 정책을 유지하는 방법을 배워봅시다.📌 Cilium Identity의 개념✅ 기존 네트워크 정책의 한계전통적인 네트워크 정책은 주로 다음과 같은 요소를 기반으로 합니다:IP 주소 및 CIDR 범위포트..

이 글에서는 CiliumClusterwideNetworkPolicy를 사용하여 네임스페이스에 상관없이 클러스터 전체 범위의 네트워크 정책을 적용하는 방법에 대해 알아보겠습니다. 지금까지 살펴본 Cilium 네트워크 정책들이 주로 특정 네임스페이스 내에서 적용되었다면, 이번에는 클러스터 전체에 적용되는 글로벌 정책을 통해 여러 네임스페이스에 걸친 일관된 보안 규칙을 구현하는 방법을 실습합니다. matchLabels를 활용한 타겟 선택 방법과 함께 실무에서 유용하게 활용할 수 있는 다양한 클러스터 전체 정책 패턴을 살펴보겠습니다.📌 CiliumClusterwideNetworkPolicy의 필요성✅ 기존 네트워크 정책의 한계지금까지 살펴본 CiliumNetworkPolicy는 해당 리소스가 생성된 네임스페이..

이 글에서는 Cilium의 CIDR과 Entity 기반 네트워크 정책을 통해 외부 접근을 정밀하게 제어하는 방법을 살펴봅니다. 앞서 살펴본 L3/L4 및 L7 정책들이 주로 클러스터 내부 통신을 제어하는 데 중점을 두었다면, 이번에는 외부 네트워크와의 통신을 세밀하게 관리하는 방법을 실습합니다. 특정 IP 대역만 허용하거나, world, host, remote-node와 같은 사전 정의된 엔터티들에 대한 접근 제어를 수행하는 방법을 배우고, 이를 통해 쿠버네티스 클러스터의 보안을 한층 더 강화할 수 있습니다.📌 CIDR 기반 정책의 이해✅ CIDR(Classless Inter-Domain Routing)이란?CIDR은 IP 주소를 할당하고 라우팅하기 위한 방법으로, IP 주소와 그 뒤에 슬래시('/')..

이 글에서는 Cilium을 활용하여 HTTP 외의 다른 L7(애플리케이션 계층) 프로토콜인 Kafka와 DNS 트래픽을 제어하는 방법을 실습합니다. 이전 글에서 HTTP 트래픽에 대한 경로, 메서드, 호스트 기반 필터링을 살펴봤다면, 이번에는 메시징 시스템과 도메인 이름 조회 등 다양한 프로토콜에 대한 세밀한 보안 정책을 구현하는 방법을 알아보겠습니다. 특히 toFQDNs, toEndpoints와 같은 Cilium의 고급 기능을 활용하여 실제 마이크로서비스 환경에서 유용하게 적용할 수 있는 실전 예제를 다룹니다.📌 L7 Kafka 정책✅ Kafka 프로토콜 개요Kafka는 대용량 실시간 데이터 스트리밍을 위한 분산 메시징 시스템으로, 마이크로서비스 아키텍처에서 많이 사용됩니다. Kafka의 주요 개념을..

이 글에서는 Cilium을 활용하여 L7(애플리케이션 계층) 수준에서 HTTP 트래픽을 제어하는 방법을 실습합니다. 지금까지 살펴본 L3/L4 정책이 IP와 포트 기반으로 트래픽을 제어했다면, L7 정책은 HTTP 요청의 경로(Path), 호스트(Host), 메서드(Method) 등 더 세부적인 요소를 기반으로 트래픽을 필터링할 수 있습니다. Envoy 프록시를 활용한 이 기능은 Cilium의 가장 강력한 기능 중 하나로, 마이크로서비스 환경에서 세밀한 보안 정책을 구현할 수 있게 합니다.📌 L7 네트워크 정책의 필요성✅ L3/L4 정책의 한계L3/L4 정책만으로는 다음과 같은 세부적인 제어가 불가능합니다:특정 URL 경로(/admin, /api/v1)만 차단하기HTTP 메서드(GET, POST, DE..

이 글에서는 Cilium의 네트워크 정책과 쿠버네티스 기본 NetworkPolicy의 차이점을 상세히 비교해 보겠습니다. 두 정책 유형은 같은 목적을 가지고 있지만, 리소스 정의 방식, 기능 범위, 그리고 내부 동작에 있어 중요한 차이가 있습니다. 이번 글에서는 각 정책 유형의 특징, 문법적 차이, 지원하는 기능의 범위, 그리고 실제 환경에서 두 정책을 함께 사용할 때 고려해야 할 호환성 사항까지 살펴보겠습니다.📌 네트워크 정책의 기본 개념쿠버네티스에서 네트워크 정책은 Pod 간의 통신을 제어하는 규칙을 정의합니다. 이를 통해 애플리케이션의 보안을 강화하고, "최소 권한 원칙"을 구현할 수 있습니다.  ✅ 네트워크 정책의 필요성쿠버네티스는 기본적으로 모든 Pod 간 통신을 허용하는 "플랫 네트워크" 모..

이 글에서는 Cilium의 핵심 기능 중 하나인 네트워크 정책 설정에 대해 알아보겠습니다. 특히 L3(IP) 및 L4(포트) 수준에서 트래픽을 제어하는 CiliumNetworkPolicy 리소스의 기본 사용법과 실제 적용 방법을 실습을 통해 상세히 다룹니다. 전체 트래픽을 차단하는 기본 정책부터 시작하여 특정 Pod와 포트 기반의 허용 정책 작성, 그리고 정책 적용 후 상태 확인 및 로그 분석 방법까지 실무에 바로 적용할 수 있는 내용을 소개합니다.📌 네트워크 정책의 필요성쿠버네티스 환경에서는 기본적으로 모든 Pod 간 통신이 허용됩니다. 이는 개발 편의성을 제공하지만, 보안 측면에서는 큰 위험 요소가 될 수 있습니다.✅ 기본 통신 정책의 문제점쿠버네티스의 기본 네트워킹 모델은 다음과 같은 특징을 가집..

이 글에서는 Cilium의 강력한 네트워크 관측 도구인 Hubble을 설치하고 활용하는 방법에 대해 알아보겠습니다. Hubble은 쿠버네티스 클러스터 내의 네트워크 트래픽을 실시간으로 관찰하고 분석할 수 있게 해주는 도구로, 복잡한 마이크로서비스 환경에서 발생하는 네트워크 문제를 효과적으로 디버깅하고 보안 이슈를 모니터링하는 데 큰 도움이 됩니다. Docker Desktop 기반의 환경에서 Hubble을 설치하고, UI를 통해 네트워크 흐름을 시각화하며, Pod-to-Pod 통신을 추적하는 방법까지 상세히 살펴보겠습니다.📌 Hubble 개요 Hubble은 Cilium의 확장 기능으로, eBPF를 활용하여 쿠버네티스 클러스터 내의 네트워크 트래픽을 관찰하고 분석할 수 있는 도구입니다.✅ Hubble의 주..

이 글에서는 Cilium을 실제로 설치하고 구성하는 방법에 대해 알아보겠습니다. 특히 개발자들이 쉽게 접근할 수 있는 Docker Desktop 기반의 쿠버네티스 환경에서 Cilium을 설치하는 과정을 상세히 다룹니다. Cilium CLI, Helm, YAML 등 다양한 설치 방법을 비교하고, 설치 후 올바르게 구성되었는지 확인하는 방법까지 알아보겠습니다.📌 Cilium 설치 옵션 비교Cilium을 설치하는 방법은 크게 세 가지가 있습니다. 각 방법의 특징과 장단점을 이해하면 여러분의 환경에 가장 적합한 설치 방법을 선택할 수 있습니다.✅ Cilium CLICilium CLI는 Cilium 프로젝트에서 공식적으로 제공하는 명령줄 도구로, 설치와 운영을 간소화합니다. ▶️ 장점:가장 간단한 설치 방법자동..

이 글에서는 Cilium의 내부 아키텍처와 주요 구성요소들에 대해 자세히 알아보겠습니다. Cilium Agent, Hubble, Operator 등 핵심 컴포넌트들의 역할과 상호작용 방식을 이해하면 Cilium의 동작 원리를 더 명확하게 파악할 수 있습니다. 또한 데이터 플레인과 컨트롤 플레인의 차이점과 Cilium이 사용하는 다양한 CRD 리소스도 살펴보겠습니다.📌 Cilium 아키텍처 개요Cilium은 크게 컨트롤 플레인과 데이터 플레인으로 구성된 아키텍처를 가지고 있습니다. 각 구성요소들이 어떻게 상호작용하는지 전체적인 관점에서 살펴보겠습니다.✅ Cilium의 주요 구성요소Cilium의 전체 아키텍처를 이루는 주요 구성요소는 다음과 같습니다:# Cilium 아키텍처 주요 구성요소├── 컨트롤 플레..