Amazon EKS 환경에서 컨트롤 플레인 영역은 AWS 관리형 서비스로 동작합니다.
이에 따라 쿠버네티스 API 서버의 접근에 대한 방법으로 Endpoint Access를 3가지 형태로 정의하고 있습니다.
1. Public Cluster Endpoint Access
Endpoint Public Access
•
True
Endpoint Private Access
•
False
Public Cluster Endpoint Access 동작
•
신규 Amazon EKS Cluster를 생성할 때 기본 동작입니다.
•
퍼블릭 인터넷을 통해 쿠버네티스 API 서버에 접근할 수 있습니다.
◦
외부 시스템에서 API 서버 접근: 퍼블릭 인터넷
◦
내부 시스템에서 API 서버 접근: 퍼블릭 인터넷
Public Cluster Endpoint Access 아키텍처
[Caption] API 서버 - Public Cluster Endpoint Access 아키텍처
•
적용 사례
◦
퍼블릭 네트워크 상의 클라이언트에서 EKS 클러스터와 상호작용해야 하는 경우
◦
초기 개발 및 테스트 환경
•
장점
◦
설정이 간단하고 별도의 프라이빗 네트워크 구성 없이 접근 가능
◦
인터넷 연결만 있으면 어디에서나 클러스터 접근 가능
•
단점
◦
엔드포인트를 퍼블릭 환경에 노출하기 때문에 보안 리스크 증가
◦
접근 대상의 White List를 관리하는 작업이 필요
2. Private Cluster Endpoint Access
Endpoint Public Access
•
False
Endpoint Private Access
•
True
Private Cluster Endpoint Access 동작
•
VPC 내부의 프라이빗 네트워크를 통해서만 쿠버네티스 API 서버에 접근할 수 있습니다.
◦
외부 시스템에서 API 서버 접근: 프라이빗 네트워크
◦
내부 시스템에서 API 서버 접근: 프라이빗 네트워크
Private Cluster Endpoint Access 아키텍처
[Caption] API 서버 - Private Cluster Endpoint Access 아키텍처
•
적용 사례
◦
프로덕션 환경과 같이 보안이 중요한 환경
◦
온프레미스 또는 Direct Connect/VPN을 통해 VPC에 접근 가능한 경우
•
장점
◦
엔드포인트를 퍼블릭 환경에 노출하지 않기 때문에 보안 강화
◦
VPC 내에서만 접근 가능하므로 외부 인터넷 트래픽이 제한
•
단점
◦
VPC 외부에서 EKS Cluster 접근에 어려움
◦
프라이빗 네트워크 접근 위한 VPN이나 Bastion 구성이 필요
3. Public & Private Cluster Endpoint Access
Endpoint Public Access
•
True
Endpoint Private Access
•
True
Public & Private Cluster Endpoint Access 동작
•
퍼블릭 인터넷 및 프라이빗 네트워크를 동시에 활성화하여 유연한 접근이 가능합니다.
◦
외부 시스템에서 API 서버 접근: 퍼블릭 인터넷
◦
내부 시스템에서 API 서버 접근: 프라이빗 네트워크
Public & Private Cluster Endpoint Access 아키텍처
[Caption] API 서버 - Public & Private Cluster Endpoint Access 아키텍처
•
적용 사례
◦
퍼블릭 및 프라이빗 접근이 모두 필요한 경우
◦
클러스터 관리자는 프라이빗 접근을 하고, 외부 시스템은 퍼블릭 접근하는 경우
•
장점
◦
퍼블릭과 프라이빗 접근 요구 사항을 모두 만족
•
단점
◦
엔드포인트를 퍼블릭 환경에 노출하기 때문에 보안 리스크 증가
◦
설정 및 관리가 복잡한 편