쿠버네티스 네트워크 정책 운영: 흔한 실수와 교정 방법 AI 생성 이미지: 쿠버네티스 네트워크 정책 운영 시 흔한 실수 및 교정 방법 네트워크 정책의 목적과 기본 개념을 오해하는 경우 많은 운영팀이 NetworkPolicy를 배포하면 클러스터 전체 트래픽이 차단된다고 오해합니다. 실제로 NetworkPolicy는 기본적으로 모든 트래픽을 차단하지 않으며, 오직 PodSelector로 선택된 파드에만 적용됩니다. 어떤 NetworkPolicy에도 포함되지 않은 파드는 들어오고 나가는 트래픽이 모두 허용됩니다. PodSelector : 같은 네임스페이스 안의 파드를 선택합니다. 정책을 적용하려면 정확한 selector로 대상 파드를 지정해야 합니다. NamespaceSelector : 피어를 지정할 때 네임스페이스 범위를 정합니다. 네임스페이스 수준으로 허용 대상을 지정할 뿐, 개별 파드 선택과는 별개입니다. policyTypes : Ingress와 Egress 중 어떤 방향을 제어할지 명시합니다. Egress를 제어하려면 'Egress'를 포함하거나 egress 룰을 반드시 추가하세요. 구현에 따라 명시하지 않으면 동작을 추론할 수 있으니 주의해야 합니다. 교정 포인트: 파드를 '격리(deny-by-default)'하려면 해당 파드를 선택하는 NetworkPolicy를 생성하고 빈 ingress/egress(또는 policyTypes 명시)를 통해 허용 항목만 열어야 합니다. 또한 사용 중인 CNI가 NetworkPolicy를 지원하는지 확인하고, hostNetwork, 노드 대상 트래픽, 서비스 IP 경로처럼 예외가 존재할 수 있는 부분도 점검하세요. 실무 체크리스트 예시 — 1) 대상 파드가 정확히 선택되는지, 2) 필요한 Ingress/Egress 규칙이 빠짐없이 포함되었는지, 3) CNI와 서비스/노드 트래픽 처리 방식을 검증했는지 순서대로 확인하면 효과적입니다. 이 내용은 쿠버네티스 네트워크...