서비스마다 개별적으로 IP 주소를 부여하는 이유

• 누군가가 외부에서 기계에 접근하려면 해당 POD가 돌고 있는 기계의 public IP 필요 + port번호 필요

  → 접근 불가능, 이러한 정보들은 노출되면 보안에 취약

VM은 OS가 있다.

POD는 OS가 없지만 그 안의 컨테이너는 컨테이너 엔진 위에서 돌아가고, 그 컨테이너 밑에도 OS가 있다. (논리적)

kube-proxy (POD)

• 모든 워커 노드에 반드시 하나씩만 있음
• 서버로부터 명령(새로운 서비스, POD 생성)을 받아 → 컨트롤 플레인에서 어떤 곳이 비었는지 판단, 모든 POD에 알려주고 → kube proxy에서 라우팅 테이블에 새로 생긴 클러스터 IP를 업데이트한다.
• netfilter 에게, 새롭게 업데이트된 테이블의 내용을 읽고 바꾸라고 명령