Network Policy

• 트래픽에는 Ingress와 Egress가 있다.

• Ingress는 들어오는 트래픽이라는 뜻으로, 가령 유저가 웹사이트를 접속할 때 포트 80으로 들어오는 트래픽을 Ingress라고 부른다.

• 반대로 이 웹서버가 백엔드 API 서버 포트 8080으로 요청하면 이 경우 웹서버로 부터 나가는 트래픽을 Egress라고 부르게 된다.

• k8s로 돌아가서, 노드 위에 배포된 모든 파드들은 별도의 라우팅 없이도 노드를 가로질러 Virtual Private Network 위에서 서로 통신이 가능하다.

• k8s는 기본적으로 All Allow라는 네트워크 트래픽 정책을 갖는다. 이는 모든 파드들과 서비스가 클러스터내에서 서로 연결될 수 있음을 의미한다.

• 가령 웹 프론트 서버가 DB 서버에 직접 연결하고 싶지 않게 DB 서버에 제한을 두고 싶을 수 있다. 이런 경우 NetworkPolicy라는 k8s 오브젝트를 사용할 수 있다.

• 조심해야할 점은, 모든 k8s 네트워크 오픈소스들이 Network Policy를 지원하는 것은 아니라는 점이다. 가령 Flannel과 같은 오픈소스는 Network Policy를 지원하지 않는다.