<?xml version="1.0" encoding="utf-8" standalone="yes"?>
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom" xmlns:content="http://purl.org/rss/1.0/modules/content/">
  <channel>
    <title>Networkpolicy on homelab89</title>
    <link>https://blog.homelab89.com/tags/networkpolicy/</link>
    <description>Recent content in Networkpolicy on homelab89</description>
    <generator>Hugo</generator>
    <language>ko-KR</language>
    <lastBuildDate>Mon, 08 Jun 2026 00:00:00 +0000</lastBuildDate>
    <atom:link href="https://blog.homelab89.com/tags/networkpolicy/index.xml" rel="self" type="application/rss+xml" />
    <item>
      <title>Egress 신원, 이중 TLS 없이 — passthrough &#43; Calico가 HTTPS over mTLS를 대체하는 근거</title>
      <link>https://blog.homelab89.com/docs/istio/egress/identity-without-mtls/</link>
      <pubDate>Mon, 08 Jun 2026 00:00:00 +0000</pubDate>
      <guid>https://blog.homelab89.com/docs/istio/egress/identity-without-mtls/</guid>
      <description>&lt;div class=&#34;callout abstract&#34;&gt;
&lt;div class=&#34;ct&#34;&gt;ABSTRACT&lt;/div&gt;
&lt;p&gt;&amp;ldquo;egress에서 호출 워크로드 신원을 통제하려면 HTTPS over mTLS(이중 TLS)가 필요하다&amp;quot;는 통념에 대한 반론.
멘탈모델 한 줄: &lt;strong&gt;강제(enforcement)는 어차피 chokepoint(egress gateway)에서 일어난다 — 패턴 선택은 &amp;ldquo;그 앞에서
호출자를 &lt;em&gt;어떻게 식별&lt;/em&gt;하느냐&amp;quot;의 문제일 뿐이다.&lt;/strong&gt; 식별을 메시 mTLS handshake로 할지, &lt;strong&gt;CNI(Calico)가 커널에서
이미 하는 pod-selector&lt;/strong&gt;로 할지. 단일 클러스터·노드 신뢰·Calico 단독관리 환경에선 후자가 &lt;strong&gt;동일 결과를 더 싸게&lt;/strong&gt;
낸다. 이중 TLS의 추가 비용(handshake 2회·포트분리 함정·L7 사각)은 그 위협모델에서 보안 이득이 0에 가깝다.
대상 구조의 상세는 &lt;a href=&#34;../../docs/istio/egress/https-over-mtls/&#34;&gt;HTTPS over mTLS 구조 정본&lt;/a&gt; 참조 — 본 문서는 그 &lt;strong&gt;반대 선택의 근거&lt;/strong&gt;다.&lt;/p&gt;</description>
    </item>
  </channel>
</rss>
