(SUSE korea) 쿠버네티스 무중단 운영을 위한 Istio, OPA Gatekeeper

목차

https://youtu.be/2Vk9ShkPxh8

 

개요

수세 코리아 ‘랜처톡톡’ 시리즈 리뷰

ISTIO 1.5 이전과 이후 아키텍처 변화 설명 + 랜처 실제 구축 데모

OPA gatekeeper 의 간단한 소개와 데모

 

세션

istio는 플랫폼 서비스에 포함되어있고 OPA gatekeeper는 정책 관련 부분에 포함되어있다

설치하기 어렵고 장점이 쉽게 와 닿지 않는다고 함

 

서비스 메쉬 소개

각각의 워크로드를 분산네트워크 상에서 쉽게 구현할 수 있게 해줌

istio 는 이런 워크로드에 대해 대표적인 오픈소스 프로젝트

트래픽에 대한 명확한 관리

dataplane - control plane 으로 구성되어있음

dataplane 은 실제로 트래픽을 받아 처리하는 파트 - 서비스간 통신이 이루어지는 구간

 

mTLS 란?

서비스간 암호화 통신, 인증서를 프록시 서버가 보유하고 있기 때문에 상호 암호화 통신이 가능함

 

control plane 역할

트래픽을 라우팅하도록 프록시를 관리+구성 함

 

istio 아키텍처 구성

특정 버전 이후로 구축 및 운영이 비교적 쉽게 바뀌었다고 함

istio 1.5 버전 이후부터는 기존 복잡한 컴포넌트를 istiod 라는 단일 컴포넌트로 구축하여 사용할 수 있게 되었다고 함

 

istio 장점

app 마켓 플레이스에서 통합되어 지원되고 있다고 함

프로메테우스와 그라파나 설치 동반을 권장하고 있다고 함

Kiali 도 같이 설치됨

 

마스터1대 워커3대의 RKE 기반 클러스터에서 데모 진행

helm 기반 마켓플레이스에서 monitoring 패키지 설치

데모 중 kiali 디스플레이

 

OPA gatekeeper

 

opa gatekeeper 개요

Open Policy Agnet

플랫폼 관리자에게 체계적이고 세밀한 권한 관리를 손쉽게 할 수 있는 툴을 제공하는 오픈소스

쿠버네티스 뿐 아니라 OPA 엔진을 이해하는 어떤 플랫폼 위에서도 동작함 (Microservices, K8S, CI/CD Pipeline, API G/W emd)

‘Rego’ language 를 통해 policy 를 쉽게 구현 가능

policy as a code - 정책을 코드로 관리함

예를들어 특정 네임 스페이스에만 정책 적용 등

마켓플레이스 통해 쉽게 설치 가능

예제 조건 탬플릿 제공

이후 데모 진행

 

데모 내용:

• 유저아이디 그룹아이디 정책 적용
• privileged 모드 정책 적용
• 화이트리스트 리포지토리 정책 적용

 

추가

istio

• 일관된 서비스 네트워킹 달성
  • 네트워킹 운영자는 개발자 오버헤드를 추가하지 않고도 모든 서비스의 네트워킹을 일관성 있게 관리할 수 있음
• istio 이점을 통한 서비스 보호
  • 보안 운영자는 인증, 승인, 암호화를 비롯한 서비스간 보안을 쉽게 구현할 수 있음
• 애플리케이션 성능 향상
  • 카나리아 롤아웃과 같은 권장사항을 구현하고 애플리케이션을 심도있게 파악하여 성능을 개선하기 위해 집중해야 하는 부분을 파악할 수 있음

OPA gatekeeper

OPA 는 정책을 통합하여 적용/관리 하도록 도와주는 오픈소스 프로젝트

다양한 플랫폼 서비스에 배포할 수 있는 경량 범용 정책 엔진

선언적 언어를 이용해 컴플라이언스 정책을 코드로 정의할 수 있게 해줌

하나의 정책 엔진을 사용해서 다른 많은 오픈소스 제품들과 통합하여 사용할 수 있도록 하게 해주는 프로젝트

 

참고

https://cloud.google.com/learn/what-is-istio?hl=ko 

Istio란?  |  Google Cloud

https://yjiwony.tistory.com/14

OPA 와 OPA Gatekeeper

https://blog.naver.com/PostView.naver?blogId=isc0304&logNo=222493652804 

(쿠버네티스 보안)OPA/게이트키퍼(gatekeeper)를 활용한 포드 특권 방지 정책 설정과 위반 모니터링