✅ GKE 정책의 주요 범주

 

1. 🔐 보안 정책(Security Policies)

▶️ PodSecurityPolicy (PSP) → 이제 사용 중단됨

• Kubernetes 기본 보안 기능이었지만 deprecated
• 대신 GKE에서는 PodSecurity Admission (PSA) 또는 OPA/Gatekeeper 사용 권장

▶️ Workload Identity

• GKE Pod에 IAM 역할을 안전하게 부여
• 서비스 계정 키를 사용하지 않고도 GCP 리소스 접근 허용

▶️ Binary Authorization

• 서명된 컨테이너 이미지만 배포 가능하게 제한
• 신뢰된 이미지 외에는 차단

---

2. 🛡️ 정책 제어 도구

▶️ GKE Autopilot Policy Enforcement

• Autopilot 클러스터에서 자동 정책 적용
• 예: 리소스 제한, readOnlyRootFilesystem 강제 등

▶️ OPA/Gatekeeper

• Custom 정책을 Rego 언어로 정의해 배포 차단/허용
• 예: 특정 Namespace 외 배포 금지, Label 미부착 금지

---

3. ⚙️ 리소스 및 네트워크 정책

▶️ Resource Quotas & LimitRanges

• CPU, 메모리 사용량 제한 설정 가능

▶️ Network Policy

• Pod 간 통신을 Namespace 또는 Label 기반으로 허용/차단
• CNI 플러그인이 있어야 동작

---

🧭 GKE에서 정책을 적용하는 방법

정책 유형설정 위치

IAM 권한 정책	GCP IAM 설정
Pod 보안 정책	GKE 클러스터 또는 Gatekeeper
이미지 서명 검사	Binary Authorization
리소스 제한	Kubernetes LimitRange, ResourceQuota
네트워크 제어	NetworkPolicy

---

🏁 예시: Gatekeeper 정책 (예: 모든 Pod에 label team 필요)

apiVersion: constraints.gatekeeper.sh/v1beta1
kind: K8sRequiredLabels
metadata:
  name: must-have-team-label
spec:
  match:
    kinds:
      - apiGroups: [""]
        kinds: ["Pod"]
  parameters:
    labels: ["team"]

---

✨ 요약

분류예시 정책

보안 정책	Binary Authorization, Workload Identity
리소스 정책	LimitRange, ResourceQuota
네트워크 정책	NetworkPolicy
커스텀 정책	OPA Gatekeeper
이미지 배포 제한	Binary Authorization
GCP 연동 보안	Workload Identity