YG Tech Blog

✅ 목표: MinIO에서 멀티 테넌시 환경을 구현하고,각 테넌시 별로 액세스 제어 및 보안을 강화하는 방법을 실습합니다.🔎 이번 글에서 수행할 작업 요약멀티 테넌시 환경에 대한 개념 이해MinIO에서의 액세스 제어 및 보안 설정테넌시별 리소스 분리 및 RBAC 설정보안 강화 및 실습을 통한 적용🧠 1단계: 멀티 테넌시 환경에 대한 개념 이해이 단계의 목적: 멀티 테넌시 환경에서 액세스 제어 및 보안 강화가 어떻게 적용되는지 이해합니다.멀티 테넌시란, 하나의 MinIO 인스턴스에서 여러 테넌시가 각기 다른 데이터를 저장하고 관리할 수 있도록 하는 방식입니다.각 테넌시는 독립적으로 데이터를 관리하며, 액세스 제어를 통해 다른 테넌시의 데이터를 조회하거나 수정할 수 없습니다.MinIO에서 멀티 테넌시를 구..

✅ 목표: Cilium의 네트워크 정책에서 ServiceAccount 정보를 활용하여특정 서비스 계정에만 MinIO 접근을 허용하는 제어 방식을 실습합니다.파드의 라벨만이 아니라 역할(Role) 기반 접근 통제가 가능함을 확인합니다.🔎 이번 글에서 수행할 작업 요약테스트용 ServiceAccount 및 파드 생성Cilium 정책에서 ServiceAccount 기반 접근 허용 구성접근이 허용되는 파드와 차단되는 파드를 비교 테스트흐름 추적 및 정책 검증🧱 1단계: ServiceAccount 기반 파드 구성이 단계의 목적: 특정 ServiceAccount를 사용하는 테스트 파드를 만들고,이후 네트워크 정책에서 해당 계정을 기준으로 접근을 허용하도록 설정합니다.# etl-client-sa.yamlapiVe..

✅ 목표: Cilium의 L7(애플리케이션 레벨) 네트워크 정책을 사용해특정 파드가 MinIO에 보낼 수 있는 HTTP 요청 메서드(GET, PUT 등) 를 제한하는 방법을 실습합니다.🔎 이번 글에서 수행할 작업 요약L7 레벨에서 HTTP 메서드 제한이 필요한 상황 이해Cilium L7 HTTP 정책 구성 및 적용접근 허용/차단 결과를 테스트 파드를 통해 확인로그 기반 검증을 통해 정책 효과 확인📘 1단계: L7 HTTP 메서드 제한 필요성 이해이 단계의 목적: 단순한 IP/포트 제어가 아닌, HTTP 요청의 종류(GET, PUT, DELETE 등)를제어해야 하는 이유와 L7 정책이 필요한 상황을 이해합니다.예시 상황:분석 파드는 GET으로만 조회해야 함업로드 권한이 있는 파드는 PUT을 허용해야 함..

✅ 목표: Cilium의 L3/L4 NetworkPolicy를 사용하여 MinIO 서비스에 접근할 수 있는 Pod를 제한하고,네트워크 정책이 실제로 작동하는지 검증하는 실습을 진행합니다.🔎 이번 글에서 수행할 작업 요약MinIO에 자유롭게 접근할 수 있는 테스트 클라이언트 파드 생성Cilium L3/L4 네트워크 정책을 적용하여 접근 제어 구성접근 가능/불가능한 사례 비교 테스트네트워크 정책 동작 여부 검증🧱 1단계: 테스트 클라이언트 파드 생성이 단계의 목적: MinIO에 curl 등을 통해 접근할 수 있는 일반적인 테스트 파드를 생성하고,네트워크 정책 적용 전의 기본 동작을 확인합니다.# test-client.yamlapiVersion: v1kind: Podmetadata: name: test-..

🔹 개요이번 글에서는 Istio에서 Kiali를 활용하여 서비스 메시 네트워크를 시각화하고 트래픽 흐름을 분석하는 방법을 살펴보겠습니다.Kiali는 서비스 메시의 상태를 실시간으로 모니터링하고, 네트워크 트래픽을 시각적으로 표현하는 오픈소스 도구입니다.이를 통해 마이크로서비스 간의 호출 관계, 트래픽 흐름, 오류율 및 성능 상태를 쉽게 분석할 수 있습니다.이 글에서는 Kiali의 주요 기능, Istio에서 Kiali를 설치하는 방법, Kiali를 활용한 실전 분석 사례를 설명하겠습니다.🔹 1. Kiali란?✅ 1.1 Kiali 개념Kiali는 Istio의 서비스 메시를 시각화하고 네트워크 상태를 모니터링하는 관리 도구입니다.서비스 메시에서 어떤 서비스가 어떤 서비스를 호출하는지, 트래픽 흐름은 어떻게..

🔹 개요이번 글에서는 Istio에서 네트워크 정책(NetworkPolicy)을 활용하여 서비스 간의 네트워크 트래픽을 제어하는 방법을 살펴보겠습니다.Kubernetes의 NetworkPolicy는 기본적으로 L3/L4(Network Layer)에서 트래픽을 제한하지만,Istio를 활용하면 L7(Application Layer)까지 정책을 세밀하게 적용할 수 있습니다.이 글에서는 기본적인 Kubernetes 네트워크 정책과 Istio의 AuthorizationPolicy를 활용한 네트워크 보안 강화 방법을 설명하겠습니다.🔹 1. Kubernetes 네트워크 정책(NetworkPolicy) 개요✅ 1.1 NetworkPolicy란?NetworkPolicy는 Kubernetes에서 Pod 간 트래픽을 제어..

🔹 개요이번 글에서는 Istio의 Identity(신원) 및 인증(Authentication) 체계를 이해하고, 서비스 보안을 강화하는 방법을 살펴보겠습니다.Istio는 서비스 간의 신뢰성을 보장하기 위해 고유한 서비스 ID를 생성하고, 이를 기반으로 인증을 수행합니다.이를 통해 Zero Trust 보안 모델을 실현할 수 있으며,mTLS(Mutual TLS), JWT(JSON Web Token), OAuth 2.0 등의 인증 방식을 지원합니다.이 글에서는 Istio의 인증 체계, 서비스 ID 발급 방식, 그리고 mTLS 및 JWT를 활용한 보안 강화 방법을 설명하겠습니다.🔹 1. Istio의 Identity(신원) 시스템✅ 1.1 Istio에서 Identity란?Istio의 Identity(신원)는 ..

🔹 개요이번 글에서는 Istio에서 JWT(JSON Web Token)를 활용한 인증 적용 방법을 살펴보겠습니다.JWT는 OAuth 2.0 및 OIDC(OpenID Connect) 기반의 토큰 인증 방식으로,Istio에서는 이를 활용하여 API 요청을 안전하게 보호할 수 있습니다.이 글에서는 JWT 인증 개념, Istio에서 JWT 적용 방법,그리고 OAuth 2.0 및 OIDC 연동을 통한 보안 강화를 다룰 예정입니다.🔹 1. JWT 인증이란?✅ 1.1 JWT(JSON Web Token) 개념**JWT(JSON Web Token)**은 사용자의 신원을 증명하는 보안 토큰입니다.JWT는 Base64로 인코딩된 3개의 부분(헤더, 페이로드, 서명)으로 구성되며,사용자의 로그인 상태 및 권한을 인증하는 ..

🔹 개요이번 글에서는 Istio에서 인증서를 관리하는 방법을 살펴보겠습니다.Istio는 기본적으로 자동 인증서 관리 기능을 제공하며,필요에 따라 사용자가 직접 인증서를 발급하고 관리할 수도 있습니다.이 글에서는 Istio의 자동 인증서 관리 방식,그리고 수동 인증서를 생성하고 적용하는 방법을 설명하겠습니다.🔹 1. Istio에서 인증서가 필요한 이유✅ 1.1 서비스 간 mTLS 통신을 위한 인증서Istio는 서비스 간 통신을 암호화(mTLS)할 때 TLS 인증서를 사용합니다.각 서비스는 TLS 인증서를 발급받아 서로의 신원을 검증하고 암호화된 데이터를 주고받을 수 있습니다.mTLS 인증서의 역할서비스 간 신뢰할 수 있는 통신 제공네트워크 내에서 데이터가 암호화되어 전송됨Zero Trust 환경에서 서..

🔹 개요이번 글에서는 Istio에서 CORS(Cross-Origin Resource Sharing) 설정 및 HTTPS 트래픽 처리 방법을 살펴보겠습니다.CORS는 브라우저에서 다른 도메인의 리소스에 접근할 수 있도록 허용하는 정책이며,HTTPS는 보안 강화를 위해 TLS를 적용한 프로토콜입니다.이 글에서는 CORS 개념과 설정 방법, Istio Gateway를 활용한 HTTPS 적용 방법,그리고 VirtualService를 사용하여 HTTPS 트래픽을 관리하는 방법을 설명하겠습니다.🔹 1. CORS(Cross-Origin Resource Sharing)란?✅ 1.1 CORS 개념CORS는 웹 브라우저에서 서로 다른 도메인 간의 요청을 허용하거나 차단하는 보안 정책입니다.기본적으로 웹 브라우저는 보안..