2.3. RHCOS 강화
RHCOS는 RHCOS 노드에 필요한 변경이 거의 없이 OpenShift Container Platform에 배포되도록 생성되고 조정되었습니다. OpenShift Container Platform을 채택한 모든 조직에는 시스템 강화를 위한 고유 요구 사항이 있습니다. OpenShift 고유 수정 사항 및 기능(예: 제한된 불변성을 제공하는 Ignition, ostree 및 읽기 전용 /usr
등)이 추가된 RHEL 시스템으로 RHCOS는 다른 RHEL 시스템과 마찬가지로 강화될 수 있습니다. 차이점은 강화 관리 방법에 있습니다.
OpenShift Container Platform과 쿠버네티스 엔진의 주요 기능은 필요에 따라 애플리케이션과 인프라를 빠르게 확장하고 축소할 수 있다는 것입니다. 불가피한 경우가 아니라면 호스트에 로그인하고 소프트웨어를 추가하거나 설정을 변경하여 RHCOS를 직접 변경하지 않게 합니다. OpenShift Container Platform 설치 프로그램 및 컨트롤 플레인에서 RHCOS의 변경 사항을 관리하여 수동 조작없이 새 노드를 구동할 수 있습니다.
따라서 보안 요구 사항을 충족하기 위해 OpenShift Container Platform에서 RHCOS 노드를 강화하려는 경우 강화할 대상과 강화를 수행하는 방법을 모두 고려해야 합니다.
2.3.1. RHCOS에서 강화할 대상 선택
RHEL 8 보안 강화 가이드에서는 RHEL 시스템의 보안 접근 방법을 설명합니다.
이 가이드를 사용하여 암호화에 접근하고 취약점을 평가하며 다양한 서비스에 대한 위협을 평가하는 방법을 알아봅니다. 마찬가지로 컴플라이언스 표준을 스캔하고, 파일 무결성을 확인하며, 감사를 수행하고, 스토리지 장치를 암호화하는 방법을 배울 수 있습니다.
강화하려는 기능에 관한 지식을 통해 RHCOS에서 강화할 방법을 결정할 수 있습니다.
2.3.2. RHCOS 강화 방법 선택
OpenShift Container Platform에서 RHCOS 시스템을 직접 수정하지 않는 것이 좋습니다. 대신 작업자 노드 및 컨트롤 플레인 노드와 같은 노드 풀의 시스템 수정을 고려해야 합니다. 베어 메탈이 아닌 설치에서 새 노드가 필요한 경우 원하는 유형의 새 노드를 요청할 수 있으며 RHCOS 이미지와 이전에 수정한 사항으로 노드를 생성합니다.
설치 전, 설치 중 및 클러스터가 가동되어 실행된 후에 RHCOS를 수정할 기회가 있습니다.
2.3.2.1. 설치 전 강화
베어 메탈 설치의 경우 OpenShift Container Platform 설치를 시작하기 전에 RHCOS에 강화 기능을 추가할 수 있습니다. 예를 들어 RHCOS 설치 프로그램을 부팅할 때 커널 옵션을 추가하여 다양한 SELinux 부울 또는 하위 수준 설정(예: 대칭 멀티스레딩)과 같은 보안 기능을 켜거나 끌 수 있습니다.
RHCOS 노드에서 SELinux를 비활성화하는 것은 지원되지 않습니다.
베어 메탈 RHCOS 설치는 더 어렵지만 OpenShift Container Platform 설치를 시작하기 전에 운영 체제를 변경할 수 있는 기회를 제공합니다. 디스크 암호화 또는 특수 네트워킹 설정과 같은 특정 기능을 가능한 빨리 설정해야 할 때 중요할 수 있습니다.
2.3.2.2. 설치 중 강화
OpenShift Container Platform 설치 프로세스를 중단하고 Ignition 구성을 변경할 수 있습니다. Ignition 구성을 통해 자체 파일 및 systemd 서비스를 RHCOS 노드에 추가할 수 있습니다. 또한 설치에 사용되는 install-config.yaml
파일에서 기본 보안 관련 사항을 변경할 수 있습니다. 이 방식으로 추가된 콘텐츠는 각 노드의 첫 부팅 시 사용할 수 있습니다.
2.3.2.3. 클러스터가 실행된 후 강화
OpenShift Container Platform 클러스터가 가동되어 실행된 후 RHCOS에 강화 기능을 적용하는 방법은 몇 가지가 있습니다.
-
데몬 세트: 모든 노드에서 서비스를 실행해야 하는 경우 Kubernetes
DaemonSet
오브젝트로 해당 서비스를 추가할 수 있습니다. -
머신 구성:
MachineConfig
오브젝트에는 동일한 형식의 Ignition 구성 서브 세트가 있습니다. 머신 구성을 모든 작업자 또는 컨트롤 플레인 노드에 적용하면 클러스터에 추가된 동일한 유형의 다음 노드에 동일한 변경 사항이 적용될 수 있습니다.
여기에 언급된 모든 기능은 OpenShift Container Platform 제품 설명서에 설명되어 있습니다.