Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

2.7. 멀티테넌트 클러스터의 운영자

Operator Lifecycle Manager(OLM)의 기본 동작은 Operator 설치 시 단순성을 제공하는 것을 목표로 합니다. 그러나 이러한 동작은 특히 멀티테넌트 클러스터에서 유연성이 부족할 수 있습니다. OpenShift Container Platform 클러스터의 여러 테넌트가 Operator를 사용하려면 OLM의 기본 동작에 따라 관리자가 모든 네임스페이스 모드로 Operator를 설치해야 하는데, 이는 최소 권한의 원칙을 위반하는 것으로 간주될 수 있습니다.

다음 시나리오를 고려하여 사용자 환경과 요구 사항에 가장 적합한 Operator 설치 워크플로를 확인하세요.

2.7.1. 기본 운영자 설치 모드 및 동작
링크 복사

관리자 권한으로 웹 콘솔을 사용하여 Operator를 설치하는 경우 일반적으로 Operator의 기능에 따라 설치 모드에 대한 두 가지 선택 사항이 제공됩니다.

단일 네임스페이스
선택한 단일 네임스페이스에 Operator를 설치하고 Operator가 요청한 모든 권한을 해당 네임스페이스에서 사용할 수 있도록 합니다.
모든 네임스페이스
클러스터의 모든 네임스페이스를 감시하고 사용할 수 있도록 기본 openshift-operators 네임스페이스에 Operator를 설치합니다. 운영자가 요청한 모든 권한을 모든 네임스페이스에서 사용할 수 있도록 합니다. 어떤 경우에는 운영자 작성자가 메타데이터를 정의하여 사용자에게 해당 운영자가 제안하는 네임스페이스에 대한 두 번째 옵션을 제공할 수 있습니다.

이 선택은 영향을 받는 네임스페이스의 사용자가 Operators API에 액세스할 수 있음을 의미하며, 이를 통해 네임스페이스에서의 역할에 따라 사용자가 소유한 사용자 지정 리소스(CR)를 활용할 수 있습니다.

  • 네임스페이스 관리자네임스페이스 편집 역할은 운영자 API를 읽고 쓸 수 있으므로 이를 사용할 수 있습니다.
  • 네임스페이스-뷰 역할은 해당 운영자의 CR 객체를 읽을 수 있습니다.

단일 네임스페이스 모드의 경우, Operator 자체가 선택한 네임스페이스에 설치되므로 해당 Pod와 서비스 계정도 해당 네임스페이스에 위치합니다. 모든 네임스페이스 모드에서는 운영자의 권한이 모두 자동으로 클러스터 역할로 승격되므로 운영자는 모든 네임스페이스에서 해당 권한을 갖습니다.

2.7.2. 멀티테넌트 클러스터에 권장되는 솔루션
링크 복사

Multinamespace 설치 모드는 존재하지만 이를 지원하는 운영자는 매우 적습니다. 표준 모든 네임스페이스단일 네임스페이스 설치 모드 사이의 중간 솔루션으로, 다음 워크플로를 사용하여 각 테넌트에 대해 동일한 Operator의 여러 인스턴스를 설치할 수 있습니다.

  1. 테넌트 네임스페이스와 별도로 테넌트 운영자에 대한 네임스페이스를 만듭니다.
  2. 테넌트 네임스페이스에만 국한된 테넌트 Operator에 대한 Operator 그룹을 만듭니다.
  3. 테넌트 Operator 네임스페이스에 Operator를 설치합니다.

결과적으로 Operator는 테넌트 Operator 네임스페이스에 상주하며 테넌트 네임스페이스를 감시하지만 Operator의 Pod나 서비스 계정은 테넌트에게 표시되지 않거나 사용할 수 없습니다.

이 솔루션은 리소스 사용을 희생하여 더 나은 테넌트 분리, 최소 권한 원칙을 제공하고 제약 조건이 충족되도록 보장하는 추가 오케스트레이션을 제공합니다. 자세한 절차는 "멀티 테넌트 클러스터를 위한 Operator의 여러 인스턴스 준비"를 참조하세요.

제한 사항 및 고려 사항

이 솔루션은 다음 제약 조건이 충족되는 경우에만 작동합니다.

  • 동일한 Operator의 모든 인스턴스는 동일한 버전이어야 합니다.
  • 연산자는 다른 연산자에 대한 종속성을 가질 수 없습니다.
  • 운영자는 CRD 변환 웹훅을 전송할 수 없습니다.
중요

동일한 클러스터에서 동일한 Operator의 서로 다른 버전을 사용할 수 없습니다. 결국, 다음 조건을 충족하는 경우 Operator의 다른 인스턴스를 설치하는 것은 차단됩니다.

  • 해당 인스턴스는 최신 버전의 Operator가 아닙니다.
  • 인스턴스는 클러스터에서 이미 사용 중인 최신 개정판의 정보가 없거나 버전이 부족한 이전 개정판 CRD를 제공합니다.
주의

관리자는 "클러스터가 아닌 관리자가 Operator를 스스로 설치하도록 허용"에서 설명한 대로, 클러스터가 아닌 관리자가 Operator를 스스로 설치하도록 허용할 때 주의해야 합니다. 이러한 테넌트는 종속성이 없는 것으로 알려진 운영자의 큐레이션된 카탈로그에만 액세스할 수 있어야 합니다. 이러한 세입자는 CRD가 변경되지 않도록 동일한 버전의 Operator를 사용해야 합니다. 이렇게 하려면 네임스페이스 범위 카탈로그를 사용해야 하며 글로벌 기본 카탈로그를 비활성화해야 할 가능성이 높습니다.

2.7.3. 운영자 공동 배치 및 운영자 그룹
링크 복사

운영자 수명 주기 관리자(OLM)는 동일한 네임스페이스에 설치된 OLM 관리 운영자를 처리합니다. 즉, 해당 구독 리소스는 관련 운영자와 동일한 네임스페이스에 함께 배치됩니다. 실제로 관련이 없더라도 OLM은 해당 항목 중 하나가 업데이트되면 버전 및 업데이트 정책과 같은 상태를 고려합니다.

운영자 공동 배치 및 운영자 그룹의 효과적인 사용에 대한 자세한 내용은 운영자 수명 주기 관리자(OLM) 다중 테넌시 및 운영자 공동 배치를 참조하세요.

맨 위로 이동
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2025 Red Hat