Red Hat Summit12.2. 사용자 정의 seccomp 프로필 구성
애플리케이션 요구 사항에 따라 필터를 업데이트할 수 있는 사용자 지정 seccomp 프로필을 구성할 수 있습니다. 이를 통해 클러스터 관리자는 OpenShift Container Platform에서 실행되는 워크로드의 보안을 보다 효과적으로 제어할 수 있습니다.
seccomp 보안 프로필은 프로세스에서 수행할 수 있는 시스템 호출(syscall)을 나열합니다. 권한은 시스템 전체에 쓰기 와 같은 작업을 제한하는 SELinux보다 넓습니다.
12.2.1. seccomp 프로필 생성
MachineConfig 오브젝트를 사용하여 프로필을 생성할 수 있습니다.
seccomp는 컨테이너 내에서 시스템 호출(syscall)을 제한하여 애플리케이션 액세스를 제한할 수 있습니다.
사전 요구 사항
- 클러스터 관리자 권한이 있어야 합니다.
- 사용자 정의 SCC(보안 컨텍스트 제약 조건)를 생성했습니다. 자세한 내용은 추가 리소스 항목을 참조하십시오.
프로세스
MachineConfig오브젝트를 생성합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow
12.2.2. 사용자 정의 seccomp 프로필 설정
사전 요구 사항
- 클러스터 관리자 권한이 있어야 합니다.
- 사용자 정의 SCC(보안 컨텍스트 제약 조건)를 생성했습니다. 자세한 내용은 "추가 리소스"를 참조하십시오.
- 사용자 지정 seccomp 프로필을 생성했습니다.
프로세스
-
Machine Config를 사용하여 사용자 정의 seccomp 프로필을
/var/lib/kubelet/seccomp/<custom-name>.json에 업로드합니다. 자세한 단계는 "추가 리소스"를 참조하십시오. 생성된 사용자 지정 seccomp 프로필에 대한 참조를 제공하여 사용자 정의 SCC를 업데이트합니다.
seccompProfiles: - localhost/<custom-name>.json
seccompProfiles: - localhost/<custom-name>.json1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- 사용자 지정 seccomp 프로필의 이름을 제공합니다.
12.2.3. 워크로드에 사용자 정의 seccomp 프로필 적용
사전 요구 사항
- 클러스터 관리자가 사용자 지정 seccomp 프로필을 설정했습니다. 자세한 내용은 "사용자 지정 seccomp 프로필 설정"을 참조하십시오.
프로세스
securityContext.seccompProfile.type필드를 다음과 같이 설정하여 워크로드에 seccomp 프로필을 적용합니다.예제
spec: securityContext: seccompProfile: type: Localhost localhostProfile: <custom-name>.jsonspec: securityContext: seccompProfile: type: Localhost localhostProfile: <custom-name>.json1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- 사용자 지정 seccomp 프로필의 이름을 제공합니다.
또는 Pod 주석
seccomp.security.alpha.kubernetes.io/pod: localhost/<custom-name>.json을 사용할 수 있습니다. 그러나 이 방법은 OpenShift Container Platform 4.13에서 더 이상 사용되지 않습니다.
배포하는 동안 승인 컨트롤러는 다음을 확인합니다.
- 사용자 역할에서 허용하는 현재 SCC에 대한 주석입니다.
- seccomp 프로필을 포함하는 SCC를 pod에 사용할 수 있습니다.
Pod에 SCC가 허용되면 kubelet은 지정된 seccomp 프로필을 사용하여 Pod를 실행합니다.
seccomp 프로필이 모든 작업자 노드에 배포되었는지 확인합니다.
사용자 정의 SCC에는 CAP_NET_ADMIN 허용과 같은 Pod에 필요한 다른 조건을 충족하거나 Pod에 자동으로 할당되는 적절한 우선순위가 있어야 합니다.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}