Red Hat Summit2장. 베어 메탈에 기밀 컨테이너 배포
베어 메탈에서 실행되는 Red Hat OpenShift Container Platform 클러스터에 기밀 컨테이너 워크로드를 배포할 수 있습니다.
베어 메탈의 기밀 컨테이너는 기술 프리뷰 기능 전용입니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 따라서 프로덕션 환경에서 사용하는 것은 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.
Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.
2.1. 준비
베어 메탈에 기밀 컨테이너를 배포하기 전에 이러한 사전 요구 사항과 개념을 검토하십시오.
2.1.1. 사전 요구 사항
- 기밀 컨테이너 워크로드를 실행하는 클러스터에 최신 버전의 Red Hat OpenShift Container Platform을 설치했습니다.
- 신뢰할 수 있는 환경의 OpenShift Container Platform 클러스터에 Red Hat build of Trustee를 배포했습니다. 자세한 내용은 Red Hat build of Trustee를 참조하십시오.
2.1.2. Initdata
initdata 사양은 런타임 시 워크로드별 데이터로 Pod를 초기화할 수 있는 유연한 방법을 제공하므로 이러한 데이터를 VM(가상 머신) 이미지에 포함할 필요가 없습니다.
이 접근 방식은 기밀 정보의 노출을 줄이고 사용자 정의 이미지 빌드를 제거하여 유연성을 개선합니다. 예를 들어 initdata에는 세 가지 구성 설정이 포함될 수 있습니다.
- 보안 통신을 위한 X.509 인증서입니다.
- 인증을 위한 암호화 키입니다.
-
기본 Kata Agent 정책을 덮어쓸 때 런타임 동작을 적용하는 선택적 Kata Agent
policy.rego파일입니다.
initdata 콘텐츠는 다음 구성 요소를 구성합니다.
- 인증 에이전트(AA)는 검증에 대한 증명을 전송하여 Pod의 신뢰성을 확인합니다.
- Pod VM 내에서 시크릿 및 보안 데이터 액세스를 관리하는 CDH(비밀 데이터 허브)입니다.
- Kata 에이전트는 런타임 정책을 적용하고 Pod VM 내부의 컨테이너의 라이프사이클을 관리합니다.
initdata.toml 파일을 생성하여 Base64로 인코딩된 gzip-format 문자열로 변환합니다. Pod 매니페스트에 주석을 추가하여 워크로드에 initdata 문자열을 적용합니다.
2.1.3. Kata 런타임 배포 모드
배포 모드 MachineConfig,DaemonSet 또는 DaemonSetFallback 을 사용하여 Operator가 Kata 런타임을 설치하고 구성하는 방법을 선택할 수 있습니다. osc-feature-gates 구성 맵에 data.deploymentMode 키를 지정합니다. 이러한 유연성을 통해 Operator는 MCO(Machine Config Operator)를 사용하거나 사용하지 않고 클러스터에서 일관되게 작업할 수 있습니다.
MachineConfig-
MCO(Machine Config Operator)를 사용하는 클러스터의 경우 구성 맵에
deploymentMode키가 없는 경우 Operator는 이전 버전과의 호환성을 위해 기본적으로MachineConfig로 설정됩니다. DaemonSet-
MCO가 없는 클러스터의 경우 Operator는
DaemonSet을 사용하여 kata-containers RPM을 설치하고 호스트 드롭인 파일을 사용하여 CRI-O 구성을 관리합니다. 노드 레이블(예: 설치 )을 통해설치진행 상황을추적합니다. DaemonSetFallback-
클러스터 환경에 따라 조건부 배포를 활성화합니다. 설정된 경우 Operator는 MCO가 있는지 확인합니다.
MachineConfig애드온을 사용할 수 없는 경우DaemonSet을 사용하며 기본값은MachineConfig입니다.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}