17.4. 보안
17.4.1. 보안 기본 사항
보안은 특히 클라우드 네이티브 네트워크 기능(CNF)을 실행할 때 OpenShift Container Platform에서 통신 배포의 중요한 구성 요소입니다.
주요 보안 고려 사항에 따라 통신(telco) 환경에서 대역폭이 높은 네트워크 배포에 대한 보안을 강화할 수 있습니다. 이러한 표준 및 모범 사례를 구현하면 통신사별 사용 사례에서 보안을 강화할 수 있습니다.
17.4.1.1. RBAC 개요
RBAC(역할 기반 액세스 제어) 오브젝트에 따라 사용자가 프로젝트 내에서 지정된 작업을 수행할 수 있는지가 결정됩니다.
클러스터 관리자는 클러스터 역할 및 바인딩을 사용하여 OpenShift Container Platform 플랫폼 자체 및 모든 프로젝트에 대해 다양한 액세스 수준을 보유한 사용자를 제어할 수 있습니다.
개발자는 로컬 역할 및 바인딩을 사용하여 프로젝트에 액세스할 수 있는 사용자를 제어할 수 있습니다. 권한 부여는 인증과 별도의 단계이며, 여기서는 조치를 수행할 사용자의 신원을 파악하는 것이 더 중요합니다.
권한 부여는 다음 권한 부여 오브젝트를 사용하여 관리됩니다.
- 규칙
- 특정 오브젝트에 대해 허용된 작업 세트입니다. 예를 들어 규칙은 사용자 또는 서비스 계정에서 Pod를 생성할 수 있는지 여부를 결정할 수 있습니다. 각 규칙은 API 리소스, 해당 API 내의 리소스 및 허용된 작업을 지정합니다.
- 역할
사용자 또는 그룹이 수행할 수 있는 작업을 정의하는 규칙 컬렉션입니다. 규칙을 여러 사용자 또는 그룹에 연결하거나 바인딩할 수 있습니다. 역할 파일에는 해당 역할에 허용된 작업 및 리소스를 지정하는 하나 이상의 규칙이 포함될 수 있습니다.
역할은 다음 유형으로 분류됩니다.
- 클러스터 역할: 클러스터 수준에서 클러스터 역할을 정의할 수 있습니다. 단일 네임 스페이스에 연결되어 있지 않습니다. 사용자, 그룹 또는 서비스 계정에 바인딩할 때 모든 네임스페이스 또는 특정 네임스페이스에 적용할 수 있습니다.
- 프로젝트 역할: 특정 네임스페이스에서 프로젝트 역할을 생성할 수 있으며 해당 네임스페이스에만 적용됩니다. 특정 사용자에게 권한을 할당하여 해당 네임스페이스 내에서 역할 및 역할 바인딩을 생성하여 다른 네임스페이스에 영향을 미치지 않도록 할 수 있습니다.
- 바인딩
역할이 있는 사용자 및/또는 그룹 간 연결입니다. 역할 바인딩을 생성하여 역할의 규칙을 특정 사용자 ID 또는 그룹에 연결할 수 있습니다. 그러면 역할과 사용자 또는 그룹을 결합하여 수행할 수 있는 작업을 정의합니다.
참고사용자 또는 그룹에 둘 이상의 역할을 바인딩할 수 있습니다.
RBAC에 대한 자세한 내용은 "RBAC를 사용하여 권한 정의 및 적용"을 참조하십시오.
운영 RBAC 고려 사항
운영 오버헤드를 줄이려면 여러 클러스터에서 개별 사용자 ID를 처리하는 대신 그룹을 통한 액세스를 관리하는 것이 중요합니다. 조직 수준에서 그룹을 관리하면 액세스 제어를 간소화하고 조직 전체의 관리를 간소화할 수 있습니다.
추가 리소스
17.4.1.2. 보안 계정 개요
서비스 계정은 구성 요소가 API에 직접 액세스할 수 있는 OpenShift Container Platform 계정입니다. 서비스 계정은 각 프로젝트 내에 존재하는 API 오브젝트입니다. 서비스 계정을 사용하면 일반 사용자의 자격 증명을 공유하지 않고도 API 액세스 권한을 유연하게 제어할 수 있습니다.
서비스 계정을 사용하여 Pod에 역할 기반 액세스 제어(RBAC)를 적용할 수 있습니다. Pod 및 배포와 같은 워크로드에 서비스 계정을 할당하면 다른 레지스트리에서 가져오는 것과 같은 추가 권한을 부여할 수 있습니다. 또한 서비스 계정에 더 낮은 권한을 할당하여 해당 Pod에서 실행되는 Pod의 보안 공간을 줄일 수 있습니다.
서비스 계정에 대한 자세한 내용은 "서비스 계정 이해 및 생성"을 참조하십시오.
추가 리소스
17.4.1.3. ID 공급자 구성
ID 공급자를 구성하는 것은 클러스터에서 사용자를 설정하는 첫 번째 단계입니다. ID 공급자를 사용하여 조직 수준에서 그룹을 관리할 수 있습니다.
ID 공급자는 클러스터 수준이 아닌 조직 수준에서 유지 관리되는 특정 사용자 그룹을 가져올 수 있습니다. 이를 통해 조직의 기존 사례를 따르는 그룹에서 사용자를 추가하고 제거할 수 있습니다.
클러스터의 변경 사항을 가져오려면 자주 실행하도록 cron 작업을 설정해야 합니다.
ID 공급자를 사용하여 조직 내의 특정 그룹에 대한 액세스 수준을 관리할 수 있습니다. 예를 들어 다음 작업을 수행하여 액세스 수준을 관리할 수 있습니다.
-
클러스터 수준 권한이 필요한 팀에
cluster-admin역할을 할당합니다. - 애플리케이션 관리자에게 해당 프로젝트만 관리할 수 있는 특정 권한을 부여합니다.
-
운영 팀에 클러스터 전체의
보기액세스 권한을 제공하여 수정을 허용하지 않고 모니터링을 활성화합니다.
ID 공급자 구성에 대한 자세한 내용은 "ID 공급자 구성 이해"를 참조하십시오.
추가 리소스
17.4.1.4. kubeadmin 사용자를 cluster-admin 사용자로 교체
cluster-admin 권한이 있는 kubeadmin 사용자는 기본적으로 모든 클러스터에서 생성됩니다. 클러스터 보안을 강화하기 위해'kubeadmin' 사용자를 cluster-admin 사용자로 교체한 다음 kubeadmin 사용자를 비활성화하거나 제거할 수 있습니다.
사전 요구 사항
-
cluster-admin권한이 있는 사용자를 생성했습니다. -
OpenShift CLI(
oc)가 설치되어 있습니다. - 보안 스토리지를 위해 가상 자격 증명 모음에 대한 관리자 액세스 권한이 있습니다.
프로세스
-
htpasswdID 공급자를 사용하여 긴급cluster-admin사용자를 생성합니다. 자세한 내용은 " htpasswd 인증 정보"를 참조하십시오. 다음 명령을 실행하여 새 사용자에게
cluster-admin권한을 할당합니다.$ oc adm policy add-cluster-role-to-user cluster-admin <emergency_user>
긴급 사용자 액세스를 확인합니다.
- 새 긴급 사용자를 사용하여 클러스터에 로그인합니다.
다음 명령을 실행하여 사용자에게
cluster-admin권한이 있는지 확인합니다.$ oc whoami
출력에 긴급 사용자의 ID가 표시되는지 확인합니다.
긴급 사용자의 암호 또는 인증 키를 가상 자격 증명 모음에 안전하게 저장합니다.
참고중요한 인증 정보를 보호하려면 조직의 모범 사례를 따르십시오.
다음 명령을 실행하여
kubeadmin사용자를 비활성화하거나 제거하여 보안 위험을 줄입니다.$ oc delete secrets kubeadmin -n kube-system
추가 리소스
17.4.1.5. 통신 CNF의 보안 고려 사항
통신 워크로드는 대량의 민감한 데이터를 처리하고 높은 신뢰성을 요구합니다. 단일 보안 취약점으로 인해 클러스터 전체 손상이 발생할 수 있습니다. 단일 노드 OpenShift 클러스터에서 다양한 구성 요소가 실행되므로 각 구성 요소를 보호하여 위반이 발생하지 않도록 해야 합니다. 모든 구성 요소를 포함한 전체 인프라 전반에 걸쳐 보안을 보장하는 것은 통신 네트워크의 무결성을 유지하고 취약점을 방지하는 데 중요합니다.
다음과 같은 주요 보안 기능은 통신에 필수적입니다.
- SCC(보안 컨텍스트 제약 조건): OpenShift 클러스터에서 Pod 보안을 세부적으로 제어합니다.
- PSA(Pod Security Admission): Kubernetes 네이티브 Pod 보안 제어
- 암호화: 처리량이 높은 네트워크 환경에서 데이터 기밀성을 보장합니다.
17.4.1.6. Kubernetes 및 OpenShift Container Platform의 Pod 보안 개선
처음에는 Kubernetes에 제한된 Pod 보안이 있었습니다. OpenShift Container Platform 통합 Kubernetes는 Red Hat에서 SCC(보안 컨텍스트 제약 조건)를 통해 Pod 보안을 추가했습니다. Kubernetes 버전 1.3에서는 PodSecurityPolicy (PSP)가 유사한 기능으로 도입되었습니다. 그러나 PSA(Pod Security Admission)가 Kubernetes 버전 1.21에 도입되어 Kubernetes 버전 1.25에서 PSP가 더 이상 사용되지 않습니다.
PSA는 OpenShift Container Platform 버전 4.11에서도 사용할 수 있습니다. PSA는 Pod 보안이 향상되지만 telco 사용 사례에는 여전히 필요한 SCC에서 제공하는 일부 기능이 없습니다. 따라서 OpenShift Container Platform은 PSA 및 SCC를 계속 지원합니다.
17.4.1.7. CNF 배포를 위한 주요 영역
CNF(클라우드 네이티브 네트워크 기능) 배포에는 다음과 같은 주요 영역이 포함되어 있습니다.
- 코어
- CNF의 첫 번째 배포는 무선 네트워크의 핵심에서 발생했습니다. CNF를 코어에 배포하면 일반적으로 중앙 사무실 또는 데이터 센터에 배치된 서버의 랙을 의미합니다. 이러한 서버는 인터넷과 radio Access Network (RAN) 둘 다에 연결되지만 종종 여러 보안 방화벽 뒤에 있거나 종종 인터넷과 연결이 끊어지는 경우가 있습니다. 이 유형의 설정을 오프라인 또는 연결이 끊긴 클러스터라고 합니다.
- RAN
- CNF가 코어 네트워크에서 성공적으로 테스트되고 효과적인 것으로 확인된 후 RAN(Radio Access Network)에 배포하도록 고려되었습니다. RAN에 CNF를 배포하려면 대규모 배포에서 다수의 서버(최대 100,000개)가 필요합니다. 이러한 서버는 portable Tower에 위치하며 일반적으로 확장이 필요한 단일 노드 OpenShift 클러스터로 실행됩니다.
17.4.1.8. Telco 관련 인프라
- 하드웨어 요구 사항
- 통신 네트워크에서 클러스터는 주로 베어 메탈 하드웨어를 기반으로 합니다. 즉, 가상 머신을 사용하지 않고 운영 체제(op-system-first)가 물리적 시스템에 직접 설치됩니다. 이렇게 하면 네트워크 연결의 복잡성이 줄어들고 대기 시간을 최소화하고 애플리케이션의 CPU 사용량을 최적화합니다.
- 네트워크 요구 사항
- 통신 네트워크는 표준 IT 네트워크에 비해 훨씬 더 많은 대역폭을 필요로 합니다. 통신 네트워크는 일반적으로 듀얼 포트 25GB 연결 또는 100GB NIC(네트워크 인터페이스 카드)를 사용하여 대규모 데이터 처리량을 처리합니다. 보안은 매우 중요하며 민감한 개인 데이터를 보호하기 위해 암호화된 연결 및 보안 끝점이 필요합니다.
17.4.1.9. 라이프사이클 관리
업그레이드는 보안을 위해 중요합니다. 취약점이 발견되면 최신 z-stream 릴리스에서 패치됩니다. 그런 다음 이 수정 사항은 지원되는 모든 버전이 패치될 때까지 각 하위 y-stream 릴리스를 통해 롤백됩니다. 더 이상 지원되지 않는 릴리스는 패치를 받지 않습니다. 따라서 지원되는 릴리스를 유지하고 취약점으로부터 계속 보호되도록 OpenShift Container Platform 클러스터를 정기적으로 업그레이드하는 것이 중요합니다.
라이프사이클 관리 및 업그레이드에 대한 자세한 내용은 "telco 코어 CNF 클러스터 업그레이드"를 참조하십시오.
추가 리소스
17.4.1.10. CNFs에 대한 네트워크 기능 진화
NFV(네트워크 기능)는 목적으로 구축된 하드웨어 장치인 물리적 네트워크 기능(PNF)으로 시작되었습니다. 시간이 지남에 따라 PNF는 CPU, 메모리, 스토리지 및 네트워크와 같은 리소스를 제어하는 동시에 기능을 가상화한 VNF(가상 네트워크 기능)로 발전했습니다.
기술 발전으로 VNF는 클라우드 네이티브 네트워크 기능(CNF)으로 전환되었습니다. CNF는 가볍고 안전하며 확장 가능한 컨테이너에서 실행됩니다. 루트가 아닌 실행과 최소한의 호스트 간섭을 포함하여 엄격한 제한을 적용하여 보안 및 성능을 향상시킵니다.
pNFS는 간섭 없이 독립적으로 작동할 수 있는 무제한 루트 액세스 권한을 가지고 있었습니다. VNF로 전환하면서 리소스 사용량이 제어되었지만 프로세스는 가상 머신 내에서 root로 실행될 수 있었습니다. 반면 CNF는 다른 컨테이너 또는 호스트 운영 체제와의 간섭을 방지하기 위해 루트 액세스 및 컨테이너 기능을 제한합니다.
CNF로 마이그레이션하는 주요 문제는 다음과 같습니다.
- 모놀리식 네트워크 기능을 컨테이너화된 더 작은 프로세스로 분리합니다.
- 통신 수준의 성능 및 안정성을 유지하면서 루트가 아닌 실행 및 격리와 같은 클라우드 네이티브 원칙을 준수.
17.4.2. 호스트 보안
17.4.2.1. RHCOS(Red Hat Enterprise Linux CoreOS)
RHCOS(Red Hat Enterprise Linux CoreOS)는 주요 영역의 RHEL(Red Hat Enterprise Linux)과 다릅니다. 자세한 내용은 "RHCOS 정보"를 참조하십시오.
통신 관점에서 주요 차이점은 Machine Config Operator를 통해 업데이트되는 rpm-ostree 의 제어입니다.
RHCOS는 OpenShift Container Platform의 Pod에 사용되는 변경 불가능한 설계를 따릅니다. 이렇게 하면 클러스터 전체에서 운영 체제가 일관되게 유지됩니다. RHCOS 아키텍처에 대한 자세한 내용은 "RHCOS(Red Hat Enterprise Linux CoreOS)를 참조하십시오.
보안을 유지하면서 호스트를 효과적으로 관리하려면 가능한 경우 직접 액세스를 피하십시오. 대신 호스트 관리에 다음 방법을 사용할 수 있습니다.
- 디버그 Pod
- 직접 SSH
- 콘솔 액세스
호스트 보안을 유지 관리하는 데 통합된 다음 RHCOS 보안 메커니즘을 검토하십시오.
- Linux 네임스페이스
- 프로세스 및 리소스에 대한 격리 제공. 각 컨테이너는 자체 네임스페이스에 프로세스 및 파일을 유지합니다. 사용자가 컨테이너 네임스페이스에서 이스케이프하면 호스트 운영 체제에 액세스할 수 있어 보안이 손상될 수 있습니다.
- Security-Enhanced Linux (SELinux)
필수 액세스 제어를 적용하여 프로세스별 파일 및 디렉터리에 대한 액세스를 제한합니다. 프로세스에서 제한을 제거하려고 하는 경우 파일에 무단 액세스를 방지하여 추가 보안 계층을 추가합니다.
SELinux는 명시적으로 허용되지 않는 한 모든 것을 거부하는 보안 정책을 따릅니다. 프로세스가 권한 없이 파일을 수정하거나 액세스하려고 하면 SELinux에서 액세스를 거부합니다. 자세한 내용은 SELinux 소개를 참조하십시오.
- Linux 기능
- 세분화된 수준의 프로세스에 특정 권한을 할당하여 전체 루트 권한의 필요성을 최소화합니다. 자세한 내용은 "Linux 기능"을 참조하십시오.
- 제어 그룹(cgroups)
- 프로세스 및 컨테이너의 CPU 및 메모리와 같은 시스템 리소스를 할당하고 관리하여 효율적으로 사용할 수 있도록 합니다. OpenShift Container Platform 4.16부터 cgroups의 두 가지 버전이 있습니다. 이제 cgroup v2가 기본적으로 구성되어 있습니다.
- CRI-O
- 보안 경계를 적용하고 컨테이너 워크로드를 관리하는 경량 컨테이너 런타임 역할을 합니다.
17.4.2.2. 명령줄 호스트 액세스
호스트에 대한 직접 액세스는 호스트를 수정하거나 액세스해서는 안 되는 Pod에 액세스하지 않도록 제한해야 합니다. 호스트에 직접 액세스해야 하는 사용자의 경우 LDAP에서 SSSD와 같은 외부 인증기를 사용하여 액세스를 관리하는 것이 좋습니다. 이렇게 하면 Machine Config Operator를 통해 클러스터 전체에서 일관성을 유지할 수 있습니다.
OpenShift Container Platform 클러스터 서버의 루트 ID에 대한 직접 액세스를 구성하지 마십시오.
다음 방법을 사용하여 클러스터의 노드에 연결할 수 있습니다.
- 디버그 Pod 사용
노드에 액세스하는 데 권장되는 방법입니다. 디버그하거나 노드에 연결하려면 다음 명령을 실행합니다.
$ oc debug node/<worker_node_name>
노드에 연결한 후 다음 명령을 실행하여 root 파일 시스템에 액세스합니다.
# chroot /host
이렇게 하면 노드의 디버그 Pod 내에서 root 액세스 권한이 제공됩니다. 자세한 내용은 "root 액세스 권한으로 디버그 Pod 시작"을 참조하십시오.
- 직접 SSH
root 사용자를 사용하지 마십시오. 대신 코어 사용자 ID(또는 사용자 ID)를 사용합니다. SSH를 사용하여 노드에 연결하려면 다음 명령을 실행합니다.
$ ssh core@<worker_node_name>
중요코어 사용자 ID에는 처음에 클러스터 내에서
sudo권한이 부여됩니다.SSH를 사용하여 노드에 연결할 수 없는 경우 SSH bastion Pod를 사용하여 OpenShift Container Platform 4.x 클러스터 노드에 연결하는 방법을 참조하십시오. 코어 사용자에게 SSH 키를 추가합니다.
SSH를 사용하여 노드에 연결한 후 다음 명령을 실행하여 root 쉘에 액세스합니다.
$ sudo -i
- 콘솔 액세스
콘솔이 안전한지 확인합니다. 루트 ID로 직접 로그인을 허용하지 마십시오. 대신 개별 ID를 사용합니다.
참고콘솔 액세스 보안을 위해 조직의 모범 사례를 따르십시오.
추가 리소스
17.4.2.3. Linux 기능
Linux 기능은 프로세스가 호스트 시스템에서 수행할 수 있는 작업을 정의합니다. 보안 조치를 적용하지 않는 한 기본적으로 Pod에는 여러 기능이 부여됩니다. 이러한 기본 기능은 다음과 같습니다.
-
CHOWN -
DAC_OVERRIDE -
FSETID -
FOWNER -
SETGID -
SETUID -
SETPCAP -
NET_BIND_SERVICE -
KILL
SCC(보안 컨텍스트 제약 조건)를 구성하여 Pod에서 수신할 수 있는 기능을 수정할 수 있습니다.
Pod에 다음 기능을 할당해서는 안 됩니다.
-
SYS_ADMIN: 승격된 권한을 부여하는 강력한 기능입니다. 이 기능을 허용하면 보안 경계가 손상되고 심각한 보안 위험이 발생할 수 있습니다. -
NET_ADMIN: SR-IOV 포트와 같은 네트워킹을 제어하지만 최신 설정의 대체 솔루션으로 대체할 수 있습니다.
Linux 기능에 대한 자세한 내용은 Linux 기능 도움말 페이지를 참조하십시오.
17.4.3. 보안 컨텍스트 제약 조건
RBAC 리소스에서 사용자 액세스를 제어하는 방식과 유사하게 관리자는 SCC(보안 컨텍스트 제약 조건)를 사용하여 Pod에 대한 권한을 제어할 수 있습니다. 이러한 권한은 Pod에서 수행할 수 있는 작업과 액세스할 수 있는 리소스를 결정합니다. SCC를 사용하여 Pod에서 실행해야 하는 조건 집합을 정의할 수 있습니다.
보안 컨텍스트 제약 조건을 통해 관리자는 다음 보안 제약 조건을 제어할 수 있습니다.
-
Pod에서
allowPrivilegedContainer플래그를 사용하여 권한 있는 컨테이너를 실행할 수 있는지 여부 -
Pod가
allowPrivilegeEscalation플래그로 제한되는지 여부 - 컨테이너에서 요청할 수 있는 기능
- 호스트 디렉터리를 볼륨으로 사용
- 컨테이너의 SELinux 컨텍스트
- 컨테이너 사용자 ID
- 호스트 네임스페이스 및 네트워킹 사용
-
Pod 볼륨을 보유한
FSGroup의 할당 - 허용되는 추가 그룹의 구성
- 컨테이너에 루트 파일 시스템에 대한 쓰기 액세스 권한이 필요한지 여부
- 볼륨 유형 사용
-
허용 가능한
seccomp프로필 구성
기본 SCC는 설치 중에 그리고 일부 Operator 또는 기타 구성 요소를 설치할 때 생성됩니다. 클러스터 관리자는 OpenShift CLI(oc)를 사용하여 고유한 SCC를 생성할 수도 있습니다.
기본 보안 컨텍스트 제약 조건에 대한 자세한 내용은 기본 보안 컨텍스트 제약 조건 을 참조하십시오.
기본 SCC를 수정하지 마십시오. 기본 SCC를 사용자 정의하면 일부 플랫폼 Pod 배포 또는 OpenShift Container Platform이 업그레이드되는 경우 문제가 발생할 수 있습니다. 또한 일부 클러스터 업그레이드 중에 기본 SCC 값이 기본값으로 재설정되므로 해당 SCC에 대한 모든 사용자 정의를 삭제합니다.
기본 SCC를 수정하는 대신 필요에 따라 자체 SCC를 생성하고 수정합니다. 자세한 단계는 보안 컨텍스트 제약 조건 생성 을 참조하십시오.
다음 기본 SCC를 사용할 수 있습니다.
-
restricted -
restricted-v2
restricted-v2 SCC는 새 설치에서 제공하는 가장 제한적인 SCC이며 기본적으로 인증된 사용자에게 사용됩니다. 원래 restricted SCC가 덜 제한되므로 PSA(Pod Security Admission) 제한 사항에 맞게 보안을 향상시킵니다. 또한 여러 릴리스에서 원래 SCC에서 v2로 전환하는 데 도움이 됩니다. 결국 원래 SCC는 더 이상 사용되지 않습니다. 따라서 restricted-v2 SCC를 사용하는 것이 좋습니다.
다음 명령을 실행하여 restricted-v2 SCC를 검사할 수 있습니다.
$ oc describe scc restricted-v2
출력 예
Name: restricted-v2
Priority: <none>
Access:
Users: <none>
Groups: <none>
Settings:
Allow Privileged: false
Allow Privilege Escalation: false
Default Add Capabilities: <none>
Required Drop Capabilities: ALL
Allowed Capabilities: NET_BIND_SERVICE
Allowed Seccomp Profiles: runtime/default
Allowed Volume Types: configMap,downwardAPI,emptyDir,ephemeral,persistentVolumeClaim,projected,secret
Allowed Flexvolumes: <all>
Allowed Unsafe Sysctls: <none>
Forbidden Sysctls: <none>
Allow Host Network: false
Allow Host Ports: false
Allow Host PID: false
Allow Host IPC: false
Read Only Root Filesystem: false
Run As User Strategy: MustRunAsRange
UID: <none>
UID Range Min: <none>
UID Range Max: <none>
SELinux Context Strategy: MustRunAs
User: <none>
Role: <none>
Type: <none>
Level: <none>
FSGroup Strategy: MustRunAs
Ranges: <none>
Supplemental Groups Strategy: RunAsAny
Ranges: <none>
restricted-v2 SCC는 명시적으로 허용하는 것을 제외한 모든 것을 명시적으로 거부합니다. 다음 설정은 허용되는 기능 및 보안 제한을 정의합니다.
-
기본 추가 기능: <
none>로 설정합니다. 즉, 기본적으로 Pod에 기능이 추가되지 않습니다. -
필수 드롭 기능:
모두로 설정합니다. 이렇게 하면 Pod의 모든 기본 Linux 기능이 삭제됩니다. -
허용되는 기능:
NET_BIND_SERVICE. Pod는 이 기능을 요청할 수 있지만 기본적으로 추가되지 않습니다. -
허용된
seccomp프로필:runtime/default.
자세한 내용은 보안 컨텍스트 제약 조건 관리를 참조하십시오.
