반응형
1. 개념
- 관리형 쿠버네티스의 Node(EC2)에서 IMDS에 접근 가능할 경우 Pod에서도 접근 가능
- IMDS에 크레덴셜이 저장되어 있을 가능성이 존재하므로 NetworkPolicies를 활용해 metadata 접근제어 필요
2. NetworkPolicies 설정
- (1) 모든 파드의 egress 통신은 허용하되 IMDS 접근은 차단
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: pol1
namespace: default
spec:
podSelector: {}
policyTypes:
- Egress
egress:
- to:
- ipBlock:
cidr: 0.0.0.0/0
except:
- 169.254.169.254/32- (2) 모든 파드의 IMDS 접근이 차단된 상황에서 특정 파드만 IMDS 접근 허용((1)의 정책이 적용됐다는 가정)
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: pol2
namespace: default
spec:
podSelector:
matchLabels:
role: metadata-accessor
policyTypes:
- Egress
egress:
- to:
- ipBlock:
cidr: 169.254.169.254/32- (3) 모든 파드가 아니라 특정 파드만 IMDS 접근 차단
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: pol3
namespace: default
spec:
podSelector:
matchLabels:
role: deny
policyTypes:
- Egress
egress:
- to:
- ipBlock:
cidr: 0.0.0.0/0
except:
- 169.254.169.254/323. 참고
반응형
'Kubernetes' 카테고리의 다른 글
| Kubernetes RBAC 개념 및 설정2 (0) | 2024.02.29 |
|---|---|
| Kubernetes 취약점 점검 오픈소스 (0) | 2024.02.29 |
| Kubernetes Ingress TLS 적용 (0) | 2024.02.29 |
| Kubernetes 네트워크 정책(NetworkPolicy) 개념 및 설정2 (0) | 2024.02.29 |
| Kubernetes 보안 기초 (0) | 2024.02.28 |
