Remote access/command for a cluster

[sykim-etri]

대부분의 CSP에서 쿠버네티스 서비스에 대해 Public과 Private 모드를 제공하고 있습니다. 현재 CB-SP에서는 Public Cluster에 대해서만 지원하고 있으나 Private Cluster에 대해서도 고려할 필요가 있으며 이를 위해 CB-TB 수준에서 해당 Private Cluster에 대한 원격 접근을 지원하기 위한 방안이 필요합니다.

관련: #1501

[sykim-etri]

Azure의 AKS의 경우 Private AKS에 대해 원격 명령을 실행할 수 있도록 지원하고 있습니다.
https://learn.microsoft.com/ko-kr/azure/aks/access-private-cluster?tabs=azure-cli

[seokho-son]

@sykim-etri
프라이빗 클러스터의 경우, 해당 프라이빗 네트워크에 VM을 배포할 수 있다면,

1. VM을 bastion화 하여, 원격 접속할 수 있게 만들어주는 것이 기본(기초) 기능이 될 것 같습니다. (내부에서 kubectl 설치/설정 등은 사용자의 역할)

2. 추가적으로 더 지원하자면,
   Azure의 CLI와 유사 기능을 VM bastion을 통해서 구현할 수 있을 것 같습니다. (현재도 적절한 구성을 통해 제공 가능한 기능)
   다만, 이 부분은 핵심 기술이라기 보다는 편의 기능에 가까울 것 같습니다. 결국 "보안"을 어떻게 보장해줄 수 있을지가 주요 포인트가 될 것 같습니다.

우선은 1번은 프라이빗 클러스터 제공을 위해서 필수 기능이므로 구현에 동의합니다.

• 프라이빗 클러스터의 컨트롤플래인 엔드포인트가 포함된 프라이빗 네트워크에 VM (public ip)를 배포해보고, 이 VM을 통해서 kubectl을 수행 가능한지 확인해보고, 기능 구현을 진행하면 좋을 것 같습니다.

말씀하신 바와 같이, MCIS의 형상에 대한 논의가 필요한 시점인 것 같네요. #1501 의 관점에서 추가적으로 이야기 나누면 좋을 것 같습니다.

[yunkon-kim]

@sykim-etri

Private Cluster에 대한 원격 접근 또는 명령을 지원하기 위해 2가지 방식(Bastion host, VPN)을 활용할 수 있을 것 같습니다.

1. Bastion host 방식 - 위에서 자세히 설명해 주셔서 한 가지 측면만 추가로 말씀드리면 될 것 같습니다.
   Bastion host (VM)가 Public network에 배포되는 것도 함께 고려되면 좋을 것 같습니다.

2. VPN 방식 - CB에서 아직 지원되지 않는 자원
   보안적인 측면에서 Bastion host 보다 안전한 방식이기 때문에 VPN에 대한 니즈가 있을 것으로 생각합니다. 예를 들어, 사용자 단말과 Cluster 간에 VPN 네트워크 연결 후, 단말에서 접근/명령을 수행하는 방식이 있습니다. VPN 연결과 관련해서는 네트워크 자원/서비스 차원에서 고민해 보도록 하겠습니다.