Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

7.9. 컨테이너의 sysctl 사용

Sysctl 설정은 Kubernetes를 통해 공개되므로 사용자는 런타임에 특정 커널 매개변수를 수정할 수 있습니다. 네임스페이스가 지정된 sysctl만 Pod에 독립적으로 설정할 수 있습니다. sysctl이 노드 수준 이라고 하는 네임스페이스가 지정되지 않은 경우, 노드 튜닝 연산자를 사용하는 등 다른 방법으로 sysctl을 설정해야 합니다.

네트워크 sysctl은 sysctl의 특수한 범주입니다. 네트워크 시스템에는 다음이 포함됩니다.

  • 모든 네트워킹에 유효한 시스템 전체 sysctl(예: net.ipv4.ip_local_port_range ) 노드의 각 포드에 대해 이를 독립적으로 설정할 수 있습니다.
  • 예를 들어 net.ipv4.conf.IFNAME.accept_local 과 같은 인터페이스별 sysctl은 주어진 Pod의 특정 추가 네트워크 인터페이스에만 적용됩니다. 추가 네트워크 구성마다 이를 독립적으로 설정할 수 있습니다. 네트워크 인터페이스가 생성된 후 tuning-cni 에서 구성을 사용하여 이를 설정합니다.

또한 기본적으로 안전한 것으로 간주되는 sysctl만 허용 목록에 포함됩니다. 노드의 다른 안전하지 않은 sysctl을 사용자에게 제공하도록 수동으로 활성화할 수 있습니다.

sysctl을 설정하고 노드 수준인 경우 노드 튜닝 연산자 사용 섹션에서 이 절차에 대한 정보를 찾을 수 있습니다.

7.9.1. sysctl 정보
링크 복사

Linux에서 sysctl 인터페이스를 사용하면 관리자가 런타임에 커널 매개변수를 수정할 수 있습니다. 매개변수는 /proc/sys/ 가상 프로세스 파일 시스템에서 사용할 수 있습니다. 해당 매개변수는 다음과 같이 다양한 하위 시스템에 적용됩니다.

  • 커널(일반적인 접두사: 커널 )
  • 네트워킹(일반적인 접두사: net. )
  • 가상 메모리(일반적인 접두사: vm. )
  • MDADM(일반 접두사: dev. )

커널 설명서에 더 많은 하위 시스템이 설명되어 있습니다. 모든 매개변수 목록을 가져오려면 다음을 실행합니다. 

$ sudo sysctl -a
Copy to Clipboard Toggle word wrap

7.9.2. 네임스페이스 및 노드 수준 sysctl
링크 복사

대다수의 sysctl은 Linux 커널에 네임스페이스가 지정됩니다. 즉 노드의 각 Pod에 개별적으로 설정할 수 있습니다. Kubernetes 내의 Pod 컨텍스트에서 sysctl에 액세스하려면 네임스페이스를 지정해야 합니다.

다음 sysctl은 네임스페이스로 알려져 있습니다.

  • kernel.shm*
  • kernel.msg*
  • kernel.sem
  • fs.mqueue.*

또한, net.* 그룹의 대부분 sysctl은 네임스페이스가 있는 것으로 알려져 있습니다. 해당 네임스페이스 채택은 커널 버전 및 배포자에 따라 다릅니다.

네임스페이스가 없는 Sysctl은 노드 수준 이라고 하며, 클러스터 관리자가 노드의 기본 Linux 배포판(예: /etc/sysctls.conf 파일 수정)을 통해 수동으로 설정하거나 권한이 있는 컨테이너가 있는 데몬 세트를 사용하여 설정해야 합니다. 노드 튜닝 연산자를 사용하여 노드 수준 sysctl을 설정할 수 있습니다.

참고

특수 sysctl이 있는 노드를 테인트로 표시하는 것이 좋습니다. 이러한 sysctl 설정이 필요한 노드에만 Pod를 예약하십시오. 테인트 및 허용 오차 기능을 사용하여 노드를 표시합니다.

7.9.3. 안전한 sysctl과 안전하지 않은 sysctl
링크 복사

sysctl은 안전한 sysctl 및 안전하지 않은 sysctl로 그룹화됩니다.

시스템 전체 sysctl이 안전한 것으로 간주되려면 네임스페이스가 있어야 합니다. 네임스페이스화된 sysctl은 네임스페이스와 포드 사이에 격리가 유지되도록 보장합니다. 한 Pod에 sysctl을 설정한 경우 다음 중 어떤 것도 추가해서는 안 됩니다.

  • 노드의 다른 Pod에 영향을 미침
  • 노드 건강에 해를 끼칩니다
  • Pod의 리소스 제한을 벗어나는 CPU 또는 메모리 리소스 확보
참고

네임스페이스만으로는 sysctl이 안전하다고 간주될 수 없습니다.

OpenShift Container Platform의 허용 목록에 추가되지 않은 모든 sysctl은 OpenShift Container Platform에서 안전하지 않은 것으로 간주됩니다.

안전하지 않은 sysctl은 기본적으로 허용되지 않습니다. 시스템 전체 sysctl의 경우 클러스터 관리자가 노드별로 수동으로 활성화해야 합니다. 안전하지 않은 sysctl이 비활성화된 Pod는 예약은 되지만 시작되지 않습니다.

참고

인터페이스별 안전하지 않은 sysctl을 수동으로 활성화할 수 없습니다.

OpenShift Container Platform은 허용되는 안전 목록에 다음과 같은 시스템 전체 및 인터페이스별 안전 sysctl을 추가합니다.

Expand
표 7.4. 시스템 전체의 안전한 sysctls
sysctl설명

kernel.shm_rmid_forced

1 로 설정하면 현재 IPC 네임스페이스에 있는 모든 공유 메모리 개체는 자동으로 IPC_RMID를 사용하도록 강제됩니다. 자세한 내용은 shm_rmid_forced를 참조하세요.

net.ipv4.ip_local_port_range

TCP 및 UDP가 로컬 포트를 선택하는 데 사용하는 로컬 포트 범위를 정의합니다. 첫 번째 숫자는 첫 번째 포트 번호이고, 두 번째 숫자는 마지막 로컬 포트 번호입니다. 가능하다면 이러한 숫자의 패리티가 서로 다른 것이 좋습니다(짝수 값 하나와 홀수 값 하나). ip_unprivileged_port_start 보다 크거나 같아야 합니다. 기본값은 각각 3276860999 입니다. 자세한 내용은 ip_local_port_range를 참조하세요.

net.ipv4.tcp_syncookies

net.ipv4.tcp_syncookies가 설정되면 커널은 반쯤 열린 연결 대기열이 가득 찰 때까지 TCP SYN 패킷을 정상적으로 처리합니다. 반쯤 열린 연결 대기열이 가득 차면 SYN 쿠키 기능이 작동합니다. 이 기능을 사용하면 서비스 거부 공격을 받는 경우에도 시스템이 유효한 연결을 계속 허용할 수 있습니다. 자세한 내용은 tcp_syncookies를 참조하세요.

net.ipv4.ping_group_range

이렇게 하면 ICMP_PROTO 데이터그램 소켓이 그룹 범위 내의 사용자로 제한됩니다. 기본값은 1 0 이며, 이는 root를 포함한 누구도 ping 소켓을 생성할 수 없음을 의미합니다. 자세한 내용은 ping_group_range를 참조하세요.

net.ipv4.ip_unprivileged_port_start

이는 네트워크 네임스페이스의 첫 번째 권한이 없는 포트를 정의합니다. 모든 권한이 있는 포트를 비활성화하려면 이 값을 0 으로 설정합니다. 권한이 있는 포트는 ip_local_port_range 와 겹치면 안 됩니다. 자세한 내용은 ip_unprivileged_port_start를 참조하세요.

net.ipv4.ip_local_reserved_ports

애플리케이션이나 서비스를 위해 예약할 로컬 포트 범위를 쉼표로 구분하여 지정합니다.

net.ipv4.tcp_keepalive_time

연결이 유휴 상태가 된 후 첫 번째 Keepalive 프로브를 보내기 전의 간격을 초 단위로 지정합니다.

net.ipv4.tcp_fin_timeout

연결이 중단되기 전에 FIN-WAIT-2 상태를 유지하는 시간(초)을 지정합니다.

net.ipv4.tcp_keepalive_intvl

Keepalive 프로브 사이의 간격을 초 단위로 지정합니다. 이 값은 tcp_keepalive_probes 값에 곱해져 연결이 끊어졌다고 판단하기까지 필요한 총 시간을 결정합니다.

net.ipv4.tcp_keepalive_probes

연결이 끊어졌다고 판단될 때까지 몇 개의 Keepalive 프로브를 보낼지 지정합니다.

Expand
표 7.5. 인터페이스별 안전한 sysctl
sysctl설명

net.ipv4.conf.IFNAME.accept_redirects

IPv4 ICMP 리디렉션 메시지를 수락합니다.

net.ipv4.conf.IFNAME.accept_source_route

엄격한 소스 경로(SRR) 옵션을 사용하여 IPv4 패킷을 허용합니다.

net.ipv4.conf.IFNAME.arp_accept

ARP 테이블에 아직 없는 IPv4 주소를 사용하는 무상 ARP 프레임에 대한 동작을 정의합니다.

  • 0 - ARP 테이블에 새로운 항목을 생성하지 않습니다.
  • 1 - ARP 테이블에 새로운 항목을 만듭니다.

net.ipv4.conf.IFNAME.arp_notify

IPv4 주소 및 장치 변경 사항에 대한 알림 모드를 정의합니다.

net.ipv4.conf.IFNAME.disable_policy

이 IPv4 인터페이스에 대해 IPSEC 정책(SPD)을 비활성화합니다.

net.ipv4.conf.IFNAME.secure_redirects

인터페이스의 현재 게이트웨이 목록에 나열된 게이트웨이에만 ICMP 리디렉션 메시지를 허용합니다.

net.ipv4.conf.IFNAME.send_redirects

노드가 라우터 역할을 하는 경우에만 리디렉션 보내기 기능이 활성화됩니다. 즉, 호스트는 ICMP 리디렉션 메시지를 보내서는 안 됩니다. 라우터가 특정 목적지에 사용 가능한 더 나은 라우팅 경로를 호스트에 알리는 데 사용됩니다.

net.ipv6.conf.IFNAME.accept_ra

IPv6 라우터 광고를 수락하고 이를 사용하여 자동 구성합니다. 또한 라우터 요청을 전송할지 여부도 결정합니다. 라우터 요청은 기능 설정이 라우터 광고를 수락하는 경우에만 전송됩니다.

net.ipv6.conf.IFNAME.accept_redirects

IPv6 ICMP 리디렉션 메시지를 수락합니다.

net.ipv6.conf.IFNAME.accept_source_route

SRR 옵션을 사용하여 IPv6 패킷을 허용합니다.

net.ipv6.conf.IFNAME.arp_accept

ARP 테이블에 아직 없는 IPv6 주소가 있는 무상 ARP 프레임에 대한 동작을 정의합니다.

  • 0 - ARP 테이블에 새로운 항목을 생성하지 않습니다.
  • 1 - ARP 테이블에 새로운 항목을 만듭니다.

net.ipv6.conf.IFNAME.arp_notify

IPv6 주소 및 장치 변경 사항에 대한 알림 모드를 정의합니다.

net.ipv6.neigh.IFNAME.base_reachable_time_ms

이 매개변수는 IPv6의 이웃 테이블에서 하드웨어 주소와 IP 매핑 수명을 제어합니다.

net.ipv6.neigh.IFNAME.retrans_time_ms

이웃 검색 메시지에 대한 재전송 타이머를 설정합니다.

참고

튜닝 CNI 플러그인을 사용하여 이러한 값을 설정하는 경우 IFNAME 값을 그대로 사용하세요. 인터페이스 이름은 IFNAME 토큰으로 표현되며 런타임에 인터페이스의 실제 이름으로 대체됩니다.

7.9.4. 인터페이스별 안전 sysctls 목록 업데이트
링크 복사

OpenShift Container Platform에는 안전한 인터페이스별 sysctls 의 사전 정의된 목록이 포함되어 있습니다. openshift-multus 네임스페이스에서 cni-sysctl-allowlist를 업데이트하여 이 목록을 수정할 수 있습니다.

중요

인터페이스별 안전 sysctls 목록을 업데이트하는 지원은 기술 미리 보기 기능에만 해당됩니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 따라서 프로덕션 환경에서 사용하는 것은 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.

Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.

안전한 sysctls 의 사전 정의된 목록을 수정하려면 다음 절차를 따르세요. 이 절차에서는 기본 허용 목록을 확장하는 방법을 설명합니다.

프로세스

  1. 다음 명령을 실행하여 기존의 미리 정의된 목록을 확인하세요. 

    $ oc get cm -n openshift-multus cni-sysctl-allowlist -oyaml
    Copy to Clipboard Toggle word wrap

    예상 출력

    apiVersion: v1
data:
  allowlist.conf: |-
    ^net.ipv4.conf.IFNAME.accept_redirects$
    ^net.ipv4.conf.IFNAME.accept_source_route$
    ^net.ipv4.conf.IFNAME.arp_accept$
    ^net.ipv4.conf.IFNAME.arp_notify$
    ^net.ipv4.conf.IFNAME.disable_policy$
    ^net.ipv4.conf.IFNAME.secure_redirects$
    ^net.ipv4.conf.IFNAME.send_redirects$
    ^net.ipv6.conf.IFNAME.accept_ra$
    ^net.ipv6.conf.IFNAME.accept_redirects$
    ^net.ipv6.conf.IFNAME.accept_source_route$
    ^net.ipv6.conf.IFNAME.arp_accept$
    ^net.ipv6.conf.IFNAME.arp_notify$
    ^net.ipv6.neigh.IFNAME.base_reachable_time_ms$
    ^net.ipv6.neigh.IFNAME.retrans_time_ms$
kind: ConfigMap
metadata:
  annotations:
    kubernetes.io/description: |
      Sysctl allowlist for nodes.
    release.openshift.io/version: 4.19.0-0.nightly-2022-11-16-003434
  creationTimestamp: "2022-11-17T14:09:27Z"
  name: cni-sysctl-allowlist
  namespace: openshift-multus
  resourceVersion: "2422"
  uid: 96d138a3-160e-4943-90ff-6108fa7c50c3
    Copy to Clipboard Toggle word wrap

  2. 다음 명령을 사용하여 목록을 편집합니다. 

    $ oc edit cm -n openshift-multus cni-sysctl-allowlist -oyaml
    Copy to Clipboard Toggle word wrap

    예를 들어, 더 엄격한 역방향 경로 전달을 구현하려면 다음과 같이 ^net.ipv4.conf.IFNAME.rp_filter$^net.ipv6.conf.IFNAME.rp_filter$를 목록에 추가해야 합니다. 

    # Please edit the object below. Lines beginning with a '#' will be ignored,
# and an empty file will abort the edit. If an error occurs while saving this file will be
# reopened with the relevant failures.
#
apiVersion: v1
data:
  allowlist.conf: |-
    ^net.ipv4.conf.IFNAME.accept_redirects$
    ^net.ipv4.conf.IFNAME.accept_source_route$
    ^net.ipv4.conf.IFNAME.arp_accept$
    ^net.ipv4.conf.IFNAME.arp_notify$
    ^net.ipv4.conf.IFNAME.disable_policy$
    ^net.ipv4.conf.IFNAME.secure_redirects$
    ^net.ipv4.conf.IFNAME.send_redirects$
    ^net.ipv4.conf.IFNAME.rp_filter$
    ^net.ipv6.conf.IFNAME.accept_ra$
    ^net.ipv6.conf.IFNAME.accept_redirects$
    ^net.ipv6.conf.IFNAME.accept_source_route$
    ^net.ipv6.conf.IFNAME.arp_accept$
    ^net.ipv6.conf.IFNAME.arp_notify$
    ^net.ipv6.neigh.IFNAME.base_reachable_time_ms$
    ^net.ipv6.neigh.IFNAME.retrans_time_ms$
    ^net.ipv6.conf.IFNAME.rp_filter$
    Copy to Clipboard Toggle word wrap

  3. 파일의 변경 사항을 저장하고 종료합니다.

    참고

    sysctls 제거도 지원됩니다. 파일을 편집하고 sysctl 또는 sysctls를 제거한 다음 변경 사항을 저장하고 종료합니다.

검증

IPv4에 대해 더 엄격한 역방향 경로 전달을 시행하려면 다음 절차를 따르세요. 역방향 경로 전달에 대한 자세한 내용은 역방향 경로 전달을 참조하세요.

  1. 다음 내용을 포함하여 reverse-path-fwd-example.yaml 과 같은 네트워크 연결 정의를 만듭니다. 

    apiVersion: "k8s.cni.cncf.io/v1"
kind: NetworkAttachmentDefinition
metadata:
  name: tuningnad
  namespace: default
spec:
  config: '{
    "cniVersion": "0.4.0",
    "name": "tuningnad",
    "plugins": [{
      "type": "bridge"
      },
      {
      "type": "tuning",
      "sysctl": {
         "net.ipv4.conf.IFNAME.rp_filter": "1"
        }
    }
  ]
}'
    Copy to Clipboard Toggle word wrap

  2. 다음 명령을 실행하여 yaml을 적용합니다. 

    $ oc apply -f reverse-path-fwd-example.yaml
    Copy to Clipboard Toggle word wrap

    출력 예

    networkattachmentdefinition.k8.cni.cncf.io/tuningnad created
    Copy to Clipboard Toggle word wrap

  3. 다음 YAML을 사용하여 examplepod.yaml 과 같은 포드를 만듭니다. 

    apiVersion: v1
kind: Pod
metadata:
  name: example
  labels:
    app: httpd
  namespace: default
  annotations:
    k8s.v1.cni.cncf.io/networks: tuningnad
    1 
    
spec:
  securityContext:
    runAsNonRoot: true
    seccompProfile:
      type: RuntimeDefault
  containers:
    - name: httpd
      image: 'image-registry.openshift-image-registry.svc:5000/openshift/httpd:latest'
      ports:
        - containerPort: 8080
      securityContext:
        allowPrivilegeEscalation: false
        capabilities:
          drop:
            - ALL
    Copy to Clipboard Toggle word wrap
    1
    구성된 NetworkAttachmentDefinition 의 이름을 지정합니다.

  4. 다음 명령을 실행하여 yaml을 적용합니다. 

    $ oc apply -f examplepod.yaml
    Copy to Clipboard Toggle word wrap

  5. 다음 명령을 실행하여 Pod가 생성되었는지 확인하세요. 

    $ oc get pod
    Copy to Clipboard Toggle word wrap

    출력 예

    NAME      READY   STATUS    RESTARTS   AGE
example   1/1     Running   0          47s
    Copy to Clipboard Toggle word wrap

  6. 다음 명령을 실행하여 Pod에 로그인합니다. 

    $ oc rsh example
    Copy to Clipboard Toggle word wrap

  7. 구성된 sysctl 플래그의 값을 확인합니다. 예를 들어, 다음 명령을 실행하여 net.ipv4.conf.net1.rp_filter 값을 찾으세요. 

    sh-4.4# sysctl net.ipv4.conf.net1.rp_filter
    Copy to Clipboard Toggle word wrap

    예상 출력

    net.ipv4.conf.net1.rp_filter = 1
    Copy to Clipboard Toggle word wrap

7.9.5. 안전한 sysctls로 포드 시작하기
링크 복사

Pod의 securityContext를 사용하여 Pod에 sysctl을 설정할 수 있습니다. securityContext는 동일한 Pod의 모든 컨테이너에 적용됩니다.

안전한 sysctl은 기본적으로 허용됩니다.

이 예제에서는 pod securityContext를 사용하여 다음과 같은 안전한 sysctl을 설정합니다.

  • kernel.shm_rmid_forced
  • net.ipv4.ip_local_port_range
  • net.ipv4.tcp_syncookies
  • net.ipv4.ping_group_range
주의

운영 체제가 불안정해지는 것을 방지하기 위해 sysctl 매개변수 수정이 미치는 영향을 파악한 후에만 수정하십시오.

구성된 sysctl 설정으로 Pod를 시작하려면 이 절차를 사용하세요.

참고

대부분의 경우 기존 Pod 정의를 수정하고 securityContext 사양을 추가합니다.

프로세스

  1. 다음 예와 같이 예제 Pod를 정의하고 securityContext 사양을 추가하는 YAML 파일 sysctl_pod.yaml 을 만듭니다. 

    apiVersion: v1
kind: Pod
metadata:
  name: sysctl-example
  namespace: default
spec:
  containers:
  - name: podexample
    image: centos
    command: ["bin/bash", "-c", "sleep INF"]
    securityContext:
      runAsUser: 2000
    1 
    
      runAsGroup: 3000
    2 
    
      allowPrivilegeEscalation: false
    3 
    
      capabilities:
    4 
    
        drop: ["ALL"]
  securityContext:
    runAsNonRoot: true
    5 
    
    seccompProfile:
    6 
    
      type: RuntimeDefault
    sysctls:
    - name: kernel.shm_rmid_forced
      value: "1"
    - name: net.ipv4.ip_local_port_range
      value: "32770       60666"
    - name: net.ipv4.tcp_syncookies
      value: "0"
    - name: net.ipv4.ping_group_range
      value: "0           200000000"
    Copy to Clipboard Toggle word wrap
    1
    runAsUser는 컨테이너가 어떤 사용자 ID로 실행되는지 제어합니다.
    2
    runAsGroup은 컨테이너가 실행되는 기본 그룹 ID를 제어합니다.
    3
    allowPrivilegeEscalation은 Pod가 권한 상승을 허용하도록 요청할 수 있는지 여부를 결정합니다. 지정하지 않으면 기본적으로 true로 설정됩니다. 이 부울 값은 컨테이너 프로세스에서 no_new_privs 플래그가 설정되는지 여부를 직접 제어합니다.
    4
    기능은 전체 루트 액세스 권한을 부여하지 않고도 특권적인 작업을 허용합니다. 이 정책은 모든 기능이 포드에서 삭제되도록 보장합니다.
    5
    runAsNonRoot: true는 컨테이너가 0이 아닌 UID를 가진 사용자로 실행되어야 함을 요구합니다.
    6
    RuntimeDefault는 Pod 또는 컨테이너 워크로드에 대한 기본 seccomp 프로필을 활성화합니다.

  2. 다음 명령을 실행하여 Pod를 생성합니다. 

    $ oc apply -f sysctl_pod.yaml
    Copy to Clipboard Toggle word wrap

  3. 다음 명령을 실행하여 Pod가 생성되었는지 확인하세요. 

    $ oc get pod
    Copy to Clipboard Toggle word wrap

    출력 예

    NAME              READY   STATUS            RESTARTS   AGE
sysctl-example    1/1     Running           0          14s
    Copy to Clipboard Toggle word wrap

  4. 다음 명령을 실행하여 Pod에 로그인합니다. 

    $ oc rsh sysctl-example
    Copy to Clipboard Toggle word wrap

  5. 구성된 sysctl 플래그의 값을 확인합니다. 예를 들어, 다음 명령을 실행하여 kernel.shm_rmid_forced 값을 찾으세요. 

    sh-4.4# sysctl kernel.shm_rmid_forced
    Copy to Clipboard Toggle word wrap

    예상 출력

    kernel.shm_rmid_forced = 1
    Copy to Clipboard Toggle word wrap

7.9.6. 안전하지 않은 sysctls로 포드 시작하기
링크 복사

안전하지 않은 sysctl이 있는 Pod는 클러스터 관리자가 해당 노드에 대해 안전하지 않은 sysctl을 명시적으로 활성화하지 않는 한 어떠한 노드에서도 시작되지 않습니다. 노드 수준 sysctl과 마찬가지로 노드에 테인트 및 허용 오차 기능을 사용하여 해당 Pod를 올바른 노드에 예약합니다.

다음 예제에서는 pod securityContext를 사용하여 안전한 sysctl kernel.shm_rmid_forced 와 두 개의 안전하지 않은 sysctl net.core.somaxconnkernel.msgmax를 설정합니다. 사양에서는 안전안전하지 않은 sysctl이 구분되지 않습니다.

주의

운영 체제가 불안정해지는 것을 방지하기 위해 sysctl 매개변수 수정이 미치는 영향을 파악한 후에만 수정하십시오.

다음 예제는 포드 사양에 안전한 sysctl과 안전하지 않은 sysctl을 추가하면 어떤 일이 발생하는지 보여줍니다.

프로세스

  1. 다음 예와 같이 예제 Pod를 정의하고 securityContext 사양을 추가하는 YAML 파일 sysctl-example-unsafe.yaml 을 만듭니다. 

    apiVersion: v1
kind: Pod
metadata:
  name: sysctl-example-unsafe
spec:
  containers:
  - name: podexample
    image: centos
    command: ["bin/bash", "-c", "sleep INF"]
    securityContext:
      runAsUser: 2000
      runAsGroup: 3000
      allowPrivilegeEscalation: false
      capabilities:
        drop: ["ALL"]
  securityContext:
    runAsNonRoot: true
    seccompProfile:
      type: RuntimeDefault
    sysctls:
    - name: kernel.shm_rmid_forced
      value: "0"
    - name: net.core.somaxconn
      value: "1024"
    - name: kernel.msgmax
      value: "65536"
    Copy to Clipboard Toggle word wrap

  2. 다음 명령을 사용하여 포드를 생성합니다. 

    $ oc apply -f sysctl-example-unsafe.yaml
    Copy to Clipboard Toggle word wrap

  3. 다음 명령을 사용하여 노드에 대해 안전하지 않은 sysctl이 허용되지 않아 포드가 예약되었지만 배포되지 않았는지 확인합니다. 

    $ oc get pod
    Copy to Clipboard Toggle word wrap

    출력 예

    NAME                       READY             STATUS            RESTARTS   AGE
sysctl-example-unsafe      0/1               SysctlForbidden   0          14s
    Copy to Clipboard Toggle word wrap

7.9.7. 안전하지 않은 sysctl 활성화
링크 복사

클러스터 관리자는 고성능 또는 실시간 애플리케이션 튜닝과 같이 매우 특별한 상황에 대해 안전하지 않은 특정 sysctl을 허용할 수 있습니다.

안전하지 않은 sysctl을 사용하려면 클러스터 관리자가 특정 유형의 노드에 대해 개별적으로 활성화해야 합니다. sysctl에 네임스페이스가 지정되어 있어야 합니다.

보안 컨텍스트 제약 조건의 allowedUnsafeSysctls 필드에 sysctl 또는 sysctl 패턴 목록을 지정하여 포드에 설정되는 sysctl을 추가로 제어할 수 있습니다.

  • allowedUnsafeSysctls 옵션은 고성능 또는 실시간 애플리케이션 튜닝과 같은 특정 요구 사항을 제어합니다.
주의

안전하지 않은 상태의 특성으로 인해 안전하지 않은 sysctl을 사용하는 경우 사용자가 위험을 감수해야 하고 부적절한 컨테이너 동작, 리소스 부족 또는 노드 중단과 같은 심각한 문제가 발생할 수 있습니다.

프로세스

  1. 다음 명령을 실행하여 OpenShift Container Platform 클러스터의 기존 MachineConfig 객체를 나열하고 머신 구성에 레이블을 지정하는 방법을 결정합니다. 

    $ oc get machineconfigpool
    Copy to Clipboard Toggle word wrap

    출력 예

    NAME     CONFIG                                             UPDATED   UPDATING   DEGRADED   MACHINECOUNT   READYMACHINECOUNT   UPDATEDMACHINECOUNT   DEGRADEDMACHINECOUNT   AGE
master   rendered-master-bfb92f0cd1684e54d8e234ab7423cc96   True      False      False      3              3                   3                     0                      42m
worker   rendered-worker-21b6cb9a0f8919c88caf39db80ac1fce   True      False      False      3              3                   3                     0                      42m
    Copy to Clipboard Toggle word wrap

  2. 다음 명령을 실행하여 안전하지 않은 sysctls가 있는 컨테이너가 실행될 머신 구성 풀에 레이블을 추가합니다. 

    $ oc label machineconfigpool worker custom-kubelet=sysctl
    Copy to Clipboard Toggle word wrap

  3. KubeletConfig 사용자 정의 리소스(CR)를 정의하는 YAML 파일 set-sysctl-worker.yaml을 만듭니다. 

    apiVersion: machineconfiguration.openshift.io/v1
kind: KubeletConfig
metadata:
  name: custom-kubelet
spec:
  machineConfigPoolSelector:
    matchLabels:
      custom-kubelet: sysctl
    1 
    
  kubeletConfig:
    allowedUnsafeSysctls:
    2 
    
      - "kernel.msg*"
      - "net.core.somaxconn"
    Copy to Clipboard Toggle word wrap
    1
    머신 구성 풀에서 라벨을 지정합니다.
    2
    허용할 안전하지 않은 sysctl을 나열합니다.

  4. 다음 명령을 실행하여 객체를 생성합니다. 

    $ oc apply -f set-sysctl-worker.yaml
    Copy to Clipboard Toggle word wrap

  5. 다음 명령을 실행하여 Machine Config Operator가 새로 렌더링된 구성을 생성하고 이를 머신에 적용할 때까지 기다리세요. 

    $ oc get machineconfigpool worker -w
    Copy to Clipboard Toggle word wrap

    몇 분 후 UPDATING 상태가 True에서 False로 변경됩니다. 

    NAME     CONFIG                                             UPDATED   UPDATING   DEGRADED   MACHINECOUNT   READYMACHINECOUNT   UPDATEDMACHINECOUNT   DEGRADEDMACHINECOUNT   AGE
worker   rendered-worker-f1704a00fc6f30d3a7de9a15fd68a800   False     True       False      3              2                   2                     0                      71m
worker   rendered-worker-f1704a00fc6f30d3a7de9a15fd68a800   False     True       False      3              2                   3                     0                      72m
worker   rendered-worker-0188658afe1f3a183ec8c4f14186f4d5   True      False      False      3              3                   3                     0                      72m
    Copy to Clipboard Toggle word wrap

  6. 다음 예제와 같이 예제 Pod를 정의하고 securityContext 사양을 추가하는 YAML 파일 sysctl-example-safe-unsafe.yaml 을 만듭니다. 

    apiVersion: v1
kind: Pod
metadata:
  name: sysctl-example-safe-unsafe
spec:
  containers:
  - name: podexample
    image: centos
    command: ["bin/bash", "-c", "sleep INF"]
    securityContext:
      runAsUser: 2000
      runAsGroup: 3000
      allowPrivilegeEscalation: false
      capabilities:
        drop: ["ALL"]
  securityContext:
    runAsNonRoot: true
    seccompProfile:
      type: RuntimeDefault
    sysctls:
    - name: kernel.shm_rmid_forced
      value: "0"
    - name: net.core.somaxconn
      value: "1024"
    - name: kernel.msgmax
      value: "65536"
    Copy to Clipboard Toggle word wrap

  7. 다음 명령을 실행하여 Pod를 생성합니다. 

    $ oc apply -f sysctl-example-safe-unsafe.yaml
    Copy to Clipboard Toggle word wrap

    예상 출력

    Warning: would violate PodSecurity "restricted:latest": forbidden sysctls (net.core.somaxconn, kernel.msgmax)
pod/sysctl-example-safe-unsafe created
    Copy to Clipboard Toggle word wrap

  8. 다음 명령을 실행하여 Pod가 생성되었는지 확인하세요. 

    $ oc get pod
    Copy to Clipboard Toggle word wrap

    출력 예

    NAME                         READY   STATUS    RESTARTS   AGE
sysctl-example-safe-unsafe   1/1     Running   0          19s
    Copy to Clipboard Toggle word wrap

  9. 다음 명령을 실행하여 Pod에 로그인합니다. 

    $ oc rsh sysctl-example-safe-unsafe
    Copy to Clipboard Toggle word wrap

  10. 구성된 sysctl 플래그의 값을 확인합니다. 예를 들어, 다음 명령을 실행하여 net.core.somaxconn 값을 찾으세요. 

    sh-4.4# sysctl net.core.somaxconn
    Copy to Clipboard Toggle word wrap

    예상 출력

    net.core.somaxconn = 1024
    Copy to Clipboard Toggle word wrap

안전하지 않은 sysctl이 이제 허용되고 값은 업데이트된 Pod 사양의 securityContext 사양에 정의된 대로 설정됩니다.

맨 위로 이동
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2025 Red Hat