27.18. 볼륨 보안
27.18.1. 개요
이 주제에서는 볼륨 보안과 관련된 포드 보안에 대한 일반적인 가이드를 제공합니다. Pod 수준 보안에 대한 자세한 내용은 보안 컨텍스트 제약 조건(SCC) 및 보안 컨텍스트 제약 조건의 주제를 참조하십시오. 일반적으로 OpenShift Container Platform PV(영구 볼륨) 프레임워크에 대한 자세한 내용은 영구 스토리지 개념 주제를 참조하십시오.
영구 스토리지에 액세스하려면 클러스터 및/또는 스토리지 관리자와 최종 개발자 간의 조정이 필요합니다. 클러스터 관리자가 PV를 생성하여 기본 물리 스토리지를 추상화합니다. 개발자는 Pod를 생성하고 용량과 같은 기준에 따라 PV에 바인딩하는 PVC(선택 사항)를 생성합니다.
동일한 프로젝트 내의 여러 PVC(영구 볼륨 클레임)는 동일한 PV에 바인딩할 수 있습니다. 그러나 PVC가 PV에 바인딩되면 해당 PV는 첫 번째 클레임 프로젝트 외부의 클레임에서 바인딩할 수 없습니다. 여러 프로젝트에서 기본 스토리지에 액세스해야 하는 경우 각 프로젝트에는 동일한 물리 스토리지를 가리킬 수 있는 자체 PV가 필요합니다. 이러한 의미에서는 바인딩된 PV가 프로젝트에 연결됩니다. 자세한 PV 및 PVC 예제는 영구 볼륨을 사용하여 WordPress 및 MySQL 배포 예를 참조하십시오.
클러스터 관리자의 경우 PV에 대한 Pod 액세스 권한을 부여하려면 다음을 수행해야 합니다.
- 실제 스토리지에 할당된 그룹 ID 및/또는 사용자 ID를 알 수 있습니다.
- SELinux 고려 사항 이해
- 이러한 ID가 포드의 요구 사항과 일치하는 SCC 및/또는 프로젝트에 대해 정의된 법률 ID 범위 내에서 허용되는지 확인합니다.
그룹 ID, 사용자 ID 및 SELinux 값은 포드 정의의 SecurityContext
섹션에 정의됩니다. 그룹 ID는 Pod에 전역적으로 적용되며 포드에 정의된 모든 컨테이너에 적용됩니다. 사용자 ID는 글로벌이거나 각 컨테이너에 따라 다를 수도 있습니다. 4개의 섹션은 볼륨에 대한 액세스를 제어합니다.