다음을 통해 공유

네트워크 격리된 AKS(Azure Kubernetes Service) 클러스터(미리 보기)

  • 아티클

조직에서는 일반적으로 데이터 반출 위험을 제거하기 위해 클러스터에서 송신(아웃바운드) 네트워크 트래픽을 규제하기 위한 엄격한 보안 및 규정 준수 요구 사항이 있습니다. 기본적으로 AKS(Azure Kubernetes Service) 클러스터에는 무제한 아웃바운드 인터넷 액세스가 있습니다. 이러한 수준의 네트워크 액세스가 있으면 사용자가 실행하는 노드와 서비스는 필요할 때마다 외부 리소스에 액세스할 수 있습니다. 송신 트래픽을 제한하려면 정상적인 클러스터 유지 관리 작업을 유지할 수 있도록 제한된 수의 포트 및 주소에 액세스할 수 있어야 합니다. AKS 클러스터에 대한 아웃바운드 네트워크 및 FQDN 규칙에 대한 개념 문서는 AKS 클러스터 에 필요한 엔드포인트 목록과 선택적 추가 기능 및 기능을 제공합니다.

클러스터에서 아웃바운드 트래픽을 제한하는 한 가지 솔루션은 방화벽 디바이스를 사용하여 도메인 이름에 따라 트래픽을 제한하는 것입니다. 필요한 송신 규칙 및 FQDN을 사용하여 방화벽을 수동으로 구성하는 것은 번거롭고 복잡한 프로세스입니다.

또 다른 솔루션인 네트워크 격리 AKS 클러스터(미리 보기)는 클러스터에 대한 아웃바운드 제한 설정을 간소화합니다. 그런 다음 클러스터 운영자는 사용하도록 설정하려는 각 시나리오에 대해 허용된 아웃바운드 트래픽을 증분 방식으로 설정할 수 있습니다. 따라서 네트워크 격리 AKS 클러스터는 데이터 반출 위험을 줄입니다.

Important

AKS 미리 보기 기능은 셀프 서비스에서 사용할 수 있습니다(옵트인 방식). 미리 보기는 "있는 그대로" 및 "사용 가능한 상태로" 제공되며 서비스 수준 계약 및 제한적 보증에서 제외됩니다. AKS 미리 보기의 일부는 고객 지원팀에서 최선을 다해 지원합니다. 따라서 이러한 기능은 프로덕션 용도로 사용할 수 없습니다. 자세한 내용은 다음 지원 문서를 참조하세요.

네트워크 격리 클러스터의 작동 방식

다음 다이어그램은 AKS 네트워크 격리 클러스터에 대한 종속성 간의 네트워크 통신을 보여 줍니다.

네트워크 격리 AKS 클러스터의 트래픽 다이어그램.

AKS 클러스터는 MICROSOFT 아티팩트 레지스트리(MAR)에서 클러스터 및 해당 기능 또는 추가 기능에 필요한 이미지를 가져옵니다. 이 이미지 풀을 사용하면 AKS가 최신 버전의 클러스터 구성 요소를 제공하고 중요한 보안 취약성을 해결할 수 있습니다. 네트워크 격리 클러스터는 MAR에서 끌어오는 대신 클러스터에 연결된 프라이빗 ACR(Azure Container Registry) 인스턴스에서 해당 이미지를 끌어오려고 시도합니다. 이미지가 없는 경우 프라이빗 ACR은 MAR에서 끌어와 프라이빗 엔드포인트를 통해 제공하므로 클러스터에서 공용 MAR 엔드포인트로 송신할 필요가 없습니다.

다음 옵션은 네트워크 격리 클러스터를 사용하는 프라이빗 ACR에 대해 지원됩니다.

  • AKS 관리 ACR - AKS는 이 옵션에서 ACR 리소스를 만들고, 관리하고, 조정합니다. 사용 권한을 할당하거나 ACR을 관리할 필요가 없습니다. AKS는 네트워크 격리 클러스터에서 사용되는 캐시 규칙, 프라이빗 링크 및 프라이빗 엔드포인트를 관리합니다. AKS 관리 ACR은 인프라 리소스 그룹의 다른 리소스(경로 테이블, Azure Virtual Machine Scale Sets 등)와 동일한 동작을 따릅니다. 클러스터 구성 요소 또는 새 노드 부트스트랩 실패의 위험을 방지하려면 ACR, 해당 캐시 규칙 또는 시스템 이미지를 업데이트하거나 삭제하지 마세요. AKS 관리 ACR은 클러스터 구성 요소 및 새 노드가 예상대로 작동할 수 있도록 지속적으로 조정됩니다.

    참고 항목

    AKS 네트워크 격리 클러스터를 삭제하면 AKS 관리형 ACR, 프라이빗 링크 및 프라이빗 엔드포인트와 같은 관련 리소스가 자동으로 삭제됩니다.

  • BYO(Bring Your Own) ACR - BYO ACR 옵션을 사용하려면 ACR 리소스와 AKS 클러스터 간에 프라이빗 링크가 있는 ACR을 만들어야 합니다. 레지스트리에 대한 프라이빗 엔드포인트를 구성하는 방법을 이해하려면 Azure Private Link를 사용하여 Azure 컨테이너 레지스트리에 비공개로 연결을 참조하세요.

    참고 항목

    AKS 클러스터를 삭제하면 BYO ACR, 프라이빗 링크 및 프라이빗 엔드포인트가 자동으로 삭제되지 않습니다. BYO ACR에 사용자 지정된 이미지 및 캐시 규칙을 추가하는 경우 클러스터 조정 후, 기능을 사용하지 않도록 설정한 후 또는 AKS 클러스터를 삭제한 후에도 유지됩니다.

네트워크 격리 AKS 클러스터를 만들 때 다음 프라이빗 클러스터 모드 중 하나를 선택할 수 있습니다.

  • 프라이빗 링크 기반 AKS 클러스터 - 컨트롤 플레인 또는 API 서버가 AKS 관리 Azure 리소스 그룹에 있고 노드 풀이 리소스 그룹에 있습니다. 서버와 노드 풀은 API 서버 가상 네트워크의 Azure Private Link 서비스 및 AKS 클러스터의 서브넷에 노출되는 프라이빗 엔드포인트를 통해 서로 통신할 수 있습니다.
  • API Server VNet 통합(미리 보기) - API Server VNet 통합으로 구성된 클러스터는 API 서버 엔드포인트를 AKS가 배포된 가상 네트워크의 위임된 서브넷에 직접 투영합니다. API 서버 VNet 통합을 통해 프라이빗 링크나 터널 없이도 API 서버와 클러스터 노드 간의 네트워크 통신이 가능합니다.

제한 사항

자주 묻는 질문

네트워크 격리 클러스터와 Azure Firewall의 차이점은 무엇인가요?

네트워크 격리 클러스터는 클러스터 부트스트래핑 프로세스 전체에서 VNet 이외의 송신 트래픽이 필요하지 않습니다. 네트워크 격리 클러스터는 아웃바운드 유형 중 하나 none 또는 block. 아웃바운드 형식이 설정된 none경우 AKS는 클러스터에 대한 아웃바운드 연결을 설정하지 않으므로 사용자가 직접 구성할 수 있습니다. 아웃바운드 형식이 설정된 block경우 모든 아웃바운드 연결이 차단됩니다.

방화벽은 일반적으로 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크(예: 인터넷) 사이에 장벽을 설정합니다. 예를 들어 Azure Firewall은 대상의 FQDN을 기반으로 아웃바운드 HTTP 및 HTTPS 트래픽을 제한하여 세분화된 송신 트래픽 제어를 제공하지만 동시에 AKS 클러스터의 아웃바운드 종속성을 포함하는 FQDN에 대한 액세스를 제공할 수 있습니다(NSG에서 수행할 수 없는 작업). 예를 들어 방화벽을 통해 아웃바운드 트래픽을 강제로 적용하도록 userDefinedRouting 클러스터의 아웃바운드 유형을 설정한 다음 아웃바운드 트래픽에 대한 FQDN 제한을 구성할 수 있습니다.

요약하자면, Azure Firewall을 사용하여 아웃바운드 요청이 있는 클러스터에 대한 송신 제한을 정의할 수 있지만, 네트워크 격리 클러스터는 아웃바운드 요청을 모두 제거하거나 차단하여 기본값으로 보안 상태를 더욱 강화합니다.

네트워크 격리 클러스터가 작동하려면 허용 목록 엔드포인트를 설정해야 하나요?

클러스터 만들기 및 부트스트래핑 단계에서는 네트워크 격리 클러스터의 아웃바운드 트래픽이 필요하지 않습니다. AKS 구성 요소 및 추가 기능에 필요한 이미지는 퍼블릭 엔드포인트를 통해 MAR(Microsoft 아티팩트 레지스트리)에서 끌어오는 대신 클러스터에 연결된 프라이빗 ACR에서 가져옵니다.

네트워크 격리 클러스터를 설정한 후 서비스 엔드포인트에 아웃바운드 요청을 수행해야 하는 기능 또는 추가 기능을 사용하도록 설정하려면 프라이빗 엔드포인트를 Azure Private Link에서 제공하는 서비스에 설정할 수 있습니다.

노드 풀 이미지를 업그레이드하도록 패키지를 수동으로 업그레이드할 수 있나요?

송신을 기반으로 패키지를 패키지 리포지토리로 수동으로 업그레이드하는 것은 지원되지 않습니다. 대신 노드 OS 이미지를 자동 업그레이드할 수 있습니다. 네트워크 격리 클러스터에는 노드 OS 자동 업그레이드 채널만 NodeImage 지원됩니다.

다음 단계