1장. OpenShift 샌드박스 컨테이너 이해
Red Hat OpenShift에 대한 OpenShift 샌드박스 컨테이너 지원은 Kata Containers를 추가 선택적 런타임으로 실행하는 데 대한 기본 지원을 제공합니다. 새로운 런타임은 전용 VM(가상 머신)의 컨테이너를 지원하므로 워크로드 격리가 개선되었습니다. 이 기능은 다음 작업을 수행하는 데 특히 유용합니다.
- 권한 있거나 신뢰할 수 없는 워크로드 실행
OpenShift 샌드박스 컨테이너(OSC)를 사용하면 권한 있는 컨테이너를 실행하여 클러스터 노드를 손상시킬 위험 없이 특정 권한이 필요한 워크로드를 안전하게 실행할 수 있습니다. 특수 권한이 필요한 워크로드에는 다음이 포함됩니다.
- CRI-O와 같은 표준 컨테이너 런타임에서 부여하는 기본 컨테이너 런타임 이외의 커널의 특수 기능이 필요한 워크로드(예: 낮은 수준의 네트워킹 기능에 액세스하는 경우)는 다음과 같습니다.
- 예를 들어 특정 물리적 장치에 액세스하기 위해 승격된 루트 권한이 필요한 워크로드입니다. OpenShift 샌드박스 컨테이너를 사용하면 특정 장치만 VM에 전달하여 워크로드가 나머지 시스템에 액세스하거나 잘못 구성할 수 없습니다.
-
set-uid루트 바이너리를 설치하거나 사용하는 워크로드입니다. 이러한 바이너리는 특수 권한을 부여하므로 보안 위험이 발생할 수 있습니다. OpenShift 샌드박스 컨테이너에서는 추가 권한이 가상 머신으로 제한되고 클러스터 노드에 대한 특별한 액세스 권한이 부여되지 않습니다.
일부 워크로드에는 특히 클러스터 노드를 구성하기 위한 권한이 필요할 수 있습니다. 가상 머신에서 실행하면 작동하지 않기 때문에 이러한 워크로드에서는 권한 있는 컨테이너를 계속 사용해야 합니다.
- 각 워크로드에 대한 커널 격리 보장
-
OpenShift 샌드박스 컨테이너는 사용자 정의 커널 튜닝(예:
sysctl, 스케줄러 변경 또는 캐시 튜닝)과 사용자 정의 커널 모듈 생성(예:out of tree또는 special arguments)이 필요한 워크로드를 지원합니다. - 테넌트 간에 동일한 워크로드 공유
-
OpenShift 샌드박스 컨테이너를 사용하면 동일한 OpenShift 클러스터를 공유하는 다른 조직의 여러 사용자(테넌트)를 지원할 수 있습니다. 또한 이 시스템을 사용하면 컨테이너 네트워크 기능(CNF) 및 엔터프라이즈 애플리케이션과 같은 여러 공급업체의 타사 워크로드를 실행할 수 있습니다. 예를 들어 타사 CNF는 패킷 튜닝 또는 다른 애플리케이션에서 설정한
sysctl변수를 사용하는 사용자 지정 설정을 원하지 않을 수 있습니다. 완전히 분리된 커널 내부에서 실행하는 것은 "아마운" 구성 문제를 방지하는 데 도움이 됩니다. - 소프트웨어 테스트를 위한 적절한 격리 및 샌드박스 보장
-
OpenShift 샌드박스 컨테이너를 사용하여 알려진 취약점이 있는 컨테이너화된 워크로드를 실행하거나 레거시 애플리케이션의 문제를 처리할 수 있습니다. 또한 이러한 격리를 통해 관리자는 개발자에게 포드에 대한 제어 권한을 부여할 수 있습니다. 이는 개발자가 해당 관리자 이외의 구성을 테스트하거나 검증하려는 경우 일반적으로 관리자에게 부여되는 경우에 유용합니다. 예를 들어 관리자는 eBPF(커널 패킷 필터링)를 안전하게 개발자에게 위임할 수 있습니다. 커널 패킷 필터링에는
CAP_ADMIN또는CAP_BPF권한이 필요하므로 표준 CRI-O 구성에서는 컨테이너 호스트 작업자 노드의 모든 프로세스에 대한 액세스 권한을 부여할 수 없습니다. 마찬가지로 관리자는 SystemTap과 같은 개입 도구에 대한 액세스 권한을 부여하거나 개발 중에 사용자 지정 커널 모듈 로드를 지원할 수 있습니다. - VM 경계를 통한 기본 리소스 격리 확인
- 기본적으로 CPU, 메모리, 스토리지 또는 네트워킹과 같은 리소스는 OpenShift 샌드박스 컨테이너에서 보다 강력하고 안전한 방식으로 관리됩니다. OpenShift 샌드박스 컨테이너는 VM에 배포되므로 추가 격리 및 보안 계층을 통해 리소스에 대한 액세스를 세밀하게 제어할 수 있습니다. 예를 들어 잘못된 컨테이너는 VM에서 사용할 수 있는 메모리보다 더 많은 메모리를 할당할 수 없습니다. 반대로 네트워크 카드 또는 디스크에 대한 전용 액세스 권한이 필요한 컨테이너는 다른 장치에 액세스하지 않고도 해당 장치를 완전히 제어할 수 있습니다.
1.1. OpenShift 샌드박스 컨테이너 지원 플랫폼
베어 메탈 서버 또는 AWS(Amazon Web Services) 베어 메탈 인스턴스에 OpenShift 샌드박스 컨테이너를 설치할 수 있습니다. 다른 클라우드 공급자가 제공하는 베어 메탈 인스턴스는 지원되지 않습니다.
RHCOS(Red Hat Enterprise Linux CoreOS)는 OpenShift 샌드박스 컨테이너에서 지원되는 유일한 운영 체제입니다. OpenShift 샌드박스 컨테이너 1.4는 RHCOS(Red Hat Enterprise Linux CoreOS) 8.6에서 실행됩니다.
OpenShift 샌드박스 컨테이너 1.4는 Red Hat OpenShift 4.11과 호환됩니다.
