Kubernetes v1.36: Service Exte... 노트

Kubernetes v1.36: Service ExternalIPs의 지원 중단 및 제거

Kubernetes 서비스의 .spec.externalIPs 필드는 원래 클라우드 외부 로드 밸런서 기능을 위해 설계되었으나, CVE-2020-8554에서 식별된 보안 취약점으로 인해 현재 사용 중단되었습니다. 이 필드는 서비스가 응답하는 추가 IP 주소를 지정할 수 있도록 하지만, 모든 사용자 간의 신뢰를 가정하기 때문에 내재된 보안 위험이 있습니다. Kubernetes 1.21에서는 이미 .spec.externalIPs 비활성화를 권장했으며, 이를 강제하기 위한 admission controller가 도입되었습니다. 대안으로는 수동으로 관리되는 LoadBalancer 서비스 또는 MetalLB와 같은 클라우드 외부 로드 밸런서 컨트롤러가 더 나은 보안과 제어를 제공합니다. MetalLB는 관리자가 IP 주소 할당을 제어할 수 있도록 하여 보안 문제를 완화합니다. Gateway API 또한 Gateway 리소스를 통해 관리자에게 IP에 대한 제어를 제공하는 안전한 솔루션을 제공합니다. Kubernetes 1.36에서는 .spec.externalIPs가 공식적으로 사용 중단되었으며, 사용에 대한 경고가 발급되기 시작했습니다. 향후 릴리스에서는 kube-proxy의 해당 기능 지원이 비활성화될 예정이며, 이후 버전에서는 완전히 제거될 계획입니다. 사용자들은 이 안전하지 않은 기능에서 마이그레이션하도록 권장됩니다.