ACL 개요

애플리케이션 레벨

가상 프라이빗 클라우드 서브넷

기본 동작

VPC를 작성할 때 기본 ACL은 VPC에 해당하는 allow-all-network-acl-<VPC_ID> 형식으로 작성됩니다. ACL에는 서브넷과의 모든 양방향 트래픽을 허용하는 인바운드 규칙 및 아웃바운드 규칙이 포함됩니다. 기본적으로 VPC에서 작성하는 서브넷은 이 ACL에 연결됩니다. ACL 규칙은 특정 순서대로 적용됩니다. 인바운드 또는 아웃바운드 규칙을 작성하여 한 방향으로의 트래픽을 허용하는 경우, 응답은 자동으로 허용되지 않으므로 반대 방향으로의 응답에 대한 규칙 또한 작성해야 합니다.

유스 케이스

VPC 서브넷의 작업자 노드에 허용되는 트래픽을 지정할 경우 VPC의 서브넷마다 사용자 정의 ACL을 작성할 수 있습니다. 예를 들어, 클러스터가 작동하는 데 필요한 통신을 허용하면서 클러스터의 대부분의 인바운드 및 아웃바운드 네트워크 트래픽을 차단하도록 다음과 같은 ACL 규칙 세트를 작성할 수 있습니다.

제한사항

하나의 VPC에서 동일한 서브넷을 사용하는 여러 클러스터를 작성하는 경우 이들은 동일한 서브넷을 공유하므로 ACL을 사용하여 클러스터 간의 트래픽을 제어할 수 없습니다. 사설 네트워크에서 클러스터를 격리하도록 Calico 네트워크 정책을 사용할 수 있습니다.

사용자 지정 ACL을 만들면 ACL 규칙에 지정된 네트워크 트래픽만 VPC 서브넷과 주고받는 것이 허용됩니다. ACL에 지정되지 않은 다른 모든 트래픽은 서드파티 서비스와의 클러스터 통합과 같은 서브넷에 대해 차단됩니다.