Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

4.3. Kernel Module Management Operator 구성

대부분의 경우 KMM(커널 모듈 관리) Operator의 기본 구성을 수정할 필요가 없습니다. 그러나 다음 절차에 따라 Operator 설정을 환경에 맞게 수정할 수 있습니다.

Operator 구성은 Operator 네임스페이스의 kmm-operator-manager-config ConfigMap 에 설정됩니다.

프로세스

  1. 설정을 수정하려면 다음 명령을 입력하여 ConfigMap 데이터를 편집합니다. 

    $ oc edit configmap -n "$namespace" kmm-operator-manager-config

    출력 예

    healthProbeBindAddress: :8081
job:
  gcDelay: 1h
leaderElection:
  enabled: true
  resourceID: kmm.sigs.x-k8s.io
webhook:
  disableHTTP2: true  # CVE-2023-44487
  port: 9443
metrics:
  enableAuthnAuthz: true
  disableHTTP2: true  # CVE-2023-44487
  bindAddress: 0.0.0.0:8443
  secureServing: true
worker:
  runAsUser: 0
  seLinuxType: spc_t
  setFirmwareClassPath: /var/lib/firmware

    Expand
    표 4.1. Operator 구성 매개변수
    매개변수설명

    healthProbeBindAddress

    Operator에서 kubelet 상태 프로브를 모니터링하는 주소를 정의합니다. 권장 값은 :8081 입니다.

    job.gcDelay

    빌드 Pod를 삭제하기 전에 성공적으로 유지해야 하는 기간을 정의합니다. 이 설정에 권장되는 값은 없습니다. 이 설정에 유효한 값에 대한 자세한 내용은 ParseDuration 을 참조하십시오.

    leaderElection.enabled

    언제든지 KMM Operator의 복제본이 실행 중인지 확인하는 데 리더 선택을 사용할지 여부를 결정합니다. 자세한 내용은 Leases 를 참조하십시오. 권장 값은 true 입니다.

    leaderElection.resourceID

    리더 선택에서 리더 잠금을 유지하는 데 사용하는 리소스의 이름을 결정합니다. 권장 값은 kmm.sigs.x-k8s.io 입니다.

    webhook.disableHTTP2

    true 인 경우 cve-2023-44487 의 완화 조치로 웹 후크 서버의 HTTP/2를 비활성화합니다. 권장 값은 true 입니다.

    webhook.port

    Operator가 Webhook 요청을 모니터링하는 포트를 정의합니다. 권장 값은 9443 입니다.

    metrics.enableAuthnAuthz

    kube-apiserver와 함께 SubjectAccessReviews 를 사용하여 TokenReviews 를 사용하여 메트릭이 인증되었는지 여부를 확인합니다.

    인증 및 권한 부여의 경우 컨트롤러에 다음 규칙이 있는 ClusterRole 이 필요합니다.

    • apiGroups: authentication.k8s.io, resources: tokenreviews, verbs: create
    • apiGroups: authorization.k8s.io, resources: subjectaccessreviews, verbs: create

    예를 들어 Prometheus를 사용하여 메트릭을 스크랩하려면 클라이언트에 다음 규칙이 있는 ClusterRole 이 필요합니다.

    • nonResourceURLs: "/metrics", verbs: get

    권장 값은 true 입니다.

    metrics.disableHTTP2

    true 인 경우 지표 서버의 HTTP/2를 CVE-2023-44487 의 완화 조치로 비활성화합니다. 권장 값은 true 입니다.

    metrics.bindAddress

    지표 서버의 바인딩 주소를 결정합니다. 지정되지 않은 경우 기본값은 :8080 입니다. 메트릭 서버를 비활성화하려면 0 으로 설정합니다. 권장 값은 0.0.0.0:8443 입니다.

    metrics.secureServing

    HTTP 대신 HTTPS를 통해 메트릭이 제공되는지 여부를 결정합니다. 권장 값은 true 입니다.

    worker.runAsUser

    작업자 컨테이너의 보안 컨텍스트의 runAsUser 필드 값을 결정합니다. 자세한 내용은 SecurityContext 를 참조하십시오. 권장 값은 9443 입니다.

    worker.seLinuxType

    작업자 컨테이너의 보안 컨텍스트의 seLinuxOptions.type 필드의 값을 결정합니다. 자세한 내용은 SecurityContext 를 참조하십시오. 권장 값은 spc_t 입니다.

    worker.setFirmwareClassPath

    커널의 펌웨어 검색 경로를 노드의 /sys/module/firmware_class/parameters/path 파일로 설정합니다. 작업자 앱을 통해 해당 값을 설정해야 하는 경우 권장 값은 /var/lib/firmware 입니다. 그렇지 않으면 설정되지 않습니다.

  2. 설정을 수정한 후 다음 명령을 사용하여 컨트롤러를 다시 시작합니다. 

    $ oc delete pod -n "<namespace>" -l app.kubernetes.io/component=kmm
    참고

    <namespace>의 값은 원래 설치 방법에 따라 다릅니다.

4.3.1. 커널 모듈 언로드
링크 복사

최신 버전으로 이동할 때 커널 모듈을 언로드하거나 노드에 바람직하지 않은 부작용이 발생하는 경우 이를 언로드해야 합니다.

프로세스

  • 노드에서 KMM으로 로드된 모듈을 언로드하려면 해당 모듈 리소스를 삭제합니다. 그런 다음 KMM에서 modprobe -r 을 실행하고 노드에서 커널 모듈을 언로드하는 데 필요한 작업자 Pod를 생성합니다.

    주의

    작업자 Pod를 언로드할 때 KMM에는 커널 모듈을 로드할 때 사용하는 모든 리소스가 필요합니다. 여기에는 모듈에서 참조되는 ServiceAccount 와 권한이 있는 KMM 작업자 Pod를 실행하기 위해 정의된 RBAC가 포함됩니다. 또한 .spec.imageRepoSecret 에서 참조하는 풀 시크릿을 포함합니다.

    KMM이 노드에서 커널 모듈을 언로드할 수 없는 상황을 방지하려면 모듈 리소스가 여전히 클러스터에 있는 동안 해당 리소스가 삭제되지 않도록 합니다(예: 종료 등). KMM에는 하나 이상의 Module 리소스가 포함된 네임스페이스 삭제를 거부하는 검증 승인 Webhook가 포함되어 있습니다.

4.3.2. 커널 펌웨어 검색 경로 설정
링크 복사

Linux 커널은 펌웨어 검색 경로에 설명된 대로 firmware_class.path 매개변수를 펌웨어의 검색 경로로 허용합니다.

KMM 작업자 Pod는 kmods를 로드하기 전에 sysfs에 작성하여 노드에서 이 값을 설정할 수 있습니다.

프로세스

  • 펌웨어 검색 경로를 정의하려면 Operator 구성에서 worker.setFirmwareClassPath/var/lib/firmware 로 설정합니다.
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2026 Red Hat맨 위로 이동