🔭Kubernetes 클러스터 정책과 Kyverno

안녕하세요 구독자님, 최신 DevOps 소식을 정리해서 공유해드리는 DevOps 여행을 위한 소식지입니다.

이번 소식지에선 Kubernetes 클러스터에서 흔히 말하는 정책 수행(Admission Control)에 대해 알아보고, Kubernetes 전용 정책 엔진인 Kyverno에 대해 소개해드리겠습니다.

⚠Kubernetes에서 외부 접근을 제어하는 방법

Kubernetes 클러스터에는 실제 서비스하는 App뿐만 아니라 다양한 민감한 데이터가 존재할 수 있기 때문에 외부 접근을 제어하는 프로세스가 준비되어 있습니다. 총 3단계로 구성되어 있으며, 각 단계는 아래와 같습니다.

인증(Authentication, Authn): 클러스터에 접근한 사용자가 누구인지, 접근 가능한 신분인지 확인하는 단계입니다.
인가(Authorization, Authz): 해당 사용자의 요청 내용에 대해 어떤 리소스에 대해 어떤 행동을 할 수 있는지 확인하는 단계입니다. (ex: Pod 리소스에 대해 Create 권한이 있는지)
Admission Control: 인증과 인가까지 거친 사용자의 요청 내용에 대해 미리 정의된 정책에 따라 검증 또는 변경하는 단계입니다.

🔍Admission Controller란?

Admission Controller는 k8s API 서버 요청에 대해 변경(Mutate)과 검증(Validate)을 수행합니다.

Admission Controller는 위에서 살펴봤던 Admission Control을 수행하는 플러그인을 의미합니다. 그렇다면 k8s 클러스터에선 왜 인증(Authentication)과 인가(Authorization) 과정 외로도 Admission Control 과정을 두었을까요?

첫 번째로 보안성 측면에서 유리하기 때문입니다. 인증과 인가를 거친 요청에 대해 사전 정의한 정책을 한 번 더 적용하므로 원치 않는 동작을 사전에 예방하여 보안성을 높일 수 있습니다.

두 번째로 제어성 측면에서도 Admission Control이 유리하기 때문인데요. 클러스터에 배포하는 App에 적절한 Label을 자동으로 기입하거나 App이 사용할 Memory나 CPU의 규모를 미리 제한하는 등 클러스터 내 리소스를 더욱 효과적으로 제어할 수 있다는 장점이 있죠.

Admission Control은 2단계로 나눠 동작됩니다.

가장 먼저 변경(Mutate) 단계가 진행되는데요. k8s API 서버로 들어온 요청과 매칭되는 정책이 해당 요청의 일부 값을 변경하는 Mutate 정책일 경우, 해당 요청에서 변경되어야 하는 부분을 알려주는 값을 k8s API 서버로 반환합니다.

그 다음 진행되는 검증(Validate) 단계에선 해당 요청과 매칭되는 정책이 요청을 허용/거부하는 Validate 정책일 경우, 해당 요청이 정책에 부합하는지에 대해 true/false 값을 반환합니다.

Admission Controller를 사용할 때 얻을 수 있는 이점과 동작 방식에 대해 알아봤는데, 그렇다면 어떻게 사용할 수 있을까요?

기본적으로 k8s 클러스터에는 Pod이나 인증서 등에 관한 다양한 Admission Controller가 준비되어 있습니다. 이는 k8s API 서버에서 바로 설정하여 사용 가능합니다.

아니면 Admission Controller를 직접 구현하는 방법도 있습니다. 임의의 서버를 구현한 다음 k8s API 서버로부터 요청을 받도록 설정하고, 해당 요청에 대해 특정 정책 로직을 구현한 다음 k8s API 서버가 Admission Control 결과라고 인지할 수 있는 양식에 결과값을 담아 변환하는 방식이죠.

서드파티 툴을 사용하는 선택지도 있습니다. 아래에서 소개할 Kyverno도 k8s 클러스터에서 사용되도록 개발된 정책 엔진입니다.

💡Kubernetes를 위한 정책 엔진, Kyverno

Kyverno의 아키텍처는 위 Admission Controller 아키텍처와 함께 보면 더욱 이해하기 쉽습니다.

위에서 Kyverno가 Admission Controller로 사용 가능한 서드파티 툴이라고 했는데요. k8s 클러스터에서 기본으로 제공하는 Admission Controller 말고 Kyverno를 사용했을 때 얻을 수 있는 이점은 아래와 같습니다.

클러스터 정책을 k8s 리소스로 생성 가능하기 때문에 새로운 언어를 학습하지 않고도 정책 정의 가능
정책을 통해서 검증(Validate)과 변경(Mutate)뿐만 아니라 리소스 생성(Generate) 또는 제거(Cleanup)도 가능
추가로 제공되는 Kyverno CLI를 사용하면 특정 정책을 클러스터에 적용하기 전에 테스트 가능

Kyverno는 Helm 또는 매니페스트 파일(YAML 파일)로 클러스터 내에 설치합니다. 클러스터 내 특정 Namespace(kyverno) 안에 Kyverno 동작에 필요한 여러 구성 요소가 설치되는 방식인데요. 각 구성요소는 아래와 같습니다.

Admission Controller

k8s API 서버로부터 Admission Control 요청을 받는 역할 수행
Validate, Mutate 등의 정책 수행

Reports Controller

정책에 대한 리포트를 생성하는 역할 수행

Background Controller

정책 추가, 업데이트, 삭제 담당

Cleanup Controller

Cleanup 정책 수행

🔭마치며...

이번 소식지에선 Kubernetes에서 조금은 깊은 내용인 Admission Control과 관련 서드파티 툴에 대해 다뤄봤습니다. 직관적으로 이해하긴 어려울 수 있는 개념이지만 k8s에서 중요한 부분이니 한 번쯤 짚어가면 좋을 것 같아서 이번 주제로 잡아봤습니다.🤓

혹시 이번 내용 관련해서 더 궁금한 점이 있으시다면 아래 메일리 댓글 남겨주세요.😀

그럼, 다음 소식지에서 보다 알차고 흥미로운 내용으로 찾아뵙겠습니다.

감사합니다. 😺