1. TLS 인증서 생성 (Ingress는 생성되었다고 가정) openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout cert.key -out cert.crt -subj "/CN=[host_name]/O=[host_name]” 2. TLS Secret 생성 k create secret tls [name] --key cert.key --cert cert.crt 3. Ingress 수정 공식문서를 참고해 spec.tls 추가 4. 접속 테스트 curl -kv https://[host_name]:[node_port]/[path] 5. 참고 https://www.youtube.com/watch?v=d9xfB5qaOfg&ab_channel=KillerShell
1. 개념 K8s에서 작동하는 방화벽 개념 네임스페이스 단위로 적용 Ingress / Egress 방향에 대해 정책을 설정할 수 있고 label, IP를 기준으로 세부 설정 가능 CNI(Calico, Weave)에 의해 작동하므로 CNI에서 지원하지 않을 경우 NetworkPolicie 사용 불가 동일한 pod에 여러개의 NP를 적용할 수 있고, 이러한 경우 각 NP의 순서는 영향을 미치지 않으며 모든 NP의 총합이 반영 2. 예시 3. 실습1(DNS를 제외한 모든 Egress 트래픽 기본 차단) apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: deny-out-default spec: podSelector: {} policyTyp..
1. 개념 K8s의 보안은 On-prem 보안과는 접근방법이 다르고 Cloud 보안과도 차이가 존재 Cloud Native Security의 기본은 4C Cloud Cluster Container Code 2. K8s Attack / Security Surface 공격 표면을 반대로 이야기하면 보안 표면으로 볼 수 있음 K8s에는 3개의 공격 / 보안 표면이 존재 Host OS Security Cluster Security Application Security 3. Host OS Security K8s 클러스터가 구동되는 Host의 운영체제를 의미(EKS라면 Node가 구동되는 EC2의 AMI) Host OS를 안전하게 관리하는 방법은 일반적인 서버 보안과 동일한 층위로 접근 CCE 점검 K8s 노드 서..
