3장. Microsoft Azure Red Hat OpenShift에 기밀 컨테이너 배포

피어 Pod가 공용 인터넷과 같은 외부 네트워크와 통신할 수 있도록 하려면 Pod VM(가상 머신) 서브넷에 대한 아웃바운드 연결을 구성해야 합니다. 이를 위해서는 NAT 게이트웨이를 설정해야 하며, 선택적으로 Azure에서 서브넷이 클러스터의 가상 네트워크(VNet)와 통합되는 방법을 정의합니다.

아웃바운드 연결은 다음 두 가지 방법으로 구성할 수 있습니다.

클러스터에 충분한 리소스가 있는지 확인해야 합니다.

피어 Pod 가상 머신(VM)에는 다음 두 위치에 있는 리소스가 필요합니다.

Kubernetes 작업자 노드에 사용되는 CPU 및 메모리 리소스는 피어 Pod를 생성하는 데 사용되는 RuntimeClass(kata-remote) 정의에 포함된 Pod 오버헤드 에 의해 처리됩니다.

클라우드에서 실행되는 총 피어 Pod VM 수는 Kubernetes 노드 확장 리소스로 정의됩니다. 이 제한은 노드당이며 peer-pods-cm 구성 맵의 PEERPODS_LIMIT_PER_NODE 속성에 의해 설정됩니다.

확장된 리소스의 이름은 kata.peerpods.io/vm 이며 Kubernetes 스케줄러에서 용량 추적 및 계정을 처리할 수 있습니다.

OpenShift 샌드박스 컨테이너 Operator를 설치한 후 환경의 요구 사항에 따라 노드당 제한을 편집할 수 있습니다.

변경 웹 후크 는 확장된 리소스 kata.peerpods.io/vm 을 Pod 사양에 추가합니다. 또한 Pod 사양에서 리소스별 항목도 제거합니다(있는 경우). 이를 통해 Kubernetes 스케줄러에서 이러한 확장 리소스를 고려하여 리소스를 사용할 수 있는 경우에만 피어 Pod를 예약할 수 있습니다.

변경 웹 후크는 다음과 같이 Kubernetes Pod를 수정합니다.

initdata 사양은 런타임 시 워크로드별 데이터로 Pod를 초기화할 수 있는 유연한 방법을 제공하므로 이러한 데이터를 VM(가상 머신) 이미지에 포함할 필요가 없습니다.

이 접근 방식은 기밀 정보의 노출을 줄이고 사용자 정의 이미지 빌드를 제거하여 유연성을 개선합니다. 예를 들어 initdata에는 세 가지 구성 설정이 포함될 수 있습니다.

initdata 콘텐츠는 다음 구성 요소를 구성합니다.

initdata.toml 파일을 생성하여 Base64로 인코딩된 gzip-format 문자열로 변환합니다. 다음 방법 중 하나로 워크로드에 initdata 문자열을 적용합니다.

그런 다음 initdata 파일에서 해시를 생성합니다. 이 해시는 Red Hat build of Trustee의 RVPS(Reference Value Provider Service) 구성 맵의 참조 값으로 필요합니다.