2.4. 확인된 문제

OpenShift Container Platform 클러스터의 hostPath 볼륨에서 마운트된 파일 또는 디렉터리에 액세스할 때 SELinux 거부를 수신할 수 있습니다. 권한 있는 샌드박스 컨테이너가 SELinux 검사를 비활성화하지 않기 때문에 권한 있는 샌드박스 컨테이너를 실행하는 경우에도 이러한 거부가 발생할 수 있습니다.

호스트의 SELinux 정책에 따라 기본적으로 샌드박스 워크로드에서 호스트 파일 시스템을 완전히 격리할 수 있습니다. 또한 virtiofsd 데몬 또는 QEMU의 잠재적인 보안 결함에 대해 더 강력한 보호 기능을 제공합니다.

마운트된 파일 또는 디렉터리에 호스트에 특정 SELinux 요구 사항이 없는 경우 로컬 영구 볼륨을 대안으로 사용할 수 있습니다. 컨테이너 런타임의 SELinux 정책에 따라 파일이 자동으로 container_file_t 로 레이블이 다시 지정됩니다. 로컬 볼륨을 사용한 영구 스토리지를 참조하십시오.

마운트된 파일 또는 디렉터리에 호스트의 특정 SELinux 레이블이 있을 것으로 예상되는 경우 자동 레이블은 옵션이 아닙니다. 대신 virtiofsd 데몬이 이러한 특정 라벨에 액세스할 수 있도록 호스트에서 사용자 지정 SELinux 규칙을 설정할 수 있습니다. (KATA-469)

일부 OpenShift 샌드박스 컨테이너 Operator Pod는 컨테이너 CPU 리소스 제한을 사용하여 Pod에 사용 가능한 CPU 수를 늘립니다. 이러한 Pod는 요청된 것보다 적은 CPU를 수신할 수 있습니다. 컨테이너 내에서 기능을 사용할 수 있는 경우 oc rsh <pod >를 사용하여 Pod에 액세스하고 lscpu 명령을 실행하여 CPU 리소스 문제를 진단할 수 있습니다.

lscpu

$ lscpu

CPU(s):                          16
On-line CPU(s) list:             0-12,14,15
Off-line CPU(s) list:            13

CPU(s):                          16
On-line CPU(s) list:             0-12,14,15
Off-line CPU(s) list:            13

오프라인 CPU 목록은 실행에서 실행으로 예기치 않게 변경될 수 있습니다.

이 문제를 해결하려면 Pod 주석을 사용하여 CPU 제한을 설정하지 않고 추가 CPU를 요청할 수 있습니다. 프로세서 할당 방법이 다르기 때문에 Pod 주석을 사용하는 CPU 요청은 이 문제의 영향을 받지 않습니다. CPU 제한을 설정하지 않고 Pod의 메타데이터에 다음 주석을 추가해야 합니다.

metadata:
  annotations:
    io.katacontainers.config.hypervisor.default_vcpus: "16"

metadata:
  annotations:
    io.katacontainers.config.hypervisor.default_vcpus: "16"

(KATA-1376)

컨테이너의 보안 컨텍스트에서 SELinux MCS(Multi-Category Security) 레이블을 설정하면 Pod가 시작되지 않고 Pod 로그에 다음 오류가 표시됩니다.

Error: CreateContainer failed: EACCES: Permission denied: unknown

Error: CreateContainer failed: EACCES: Permission denied: unknown

샌드박스 컨테이너가 생성될 때 런타임은 컨테이너의 보안 컨텍스트에 액세스할 수 없습니다. 즉 virtiofsd 는 적절한 SELinux 레이블로 실행되지 않으며 컨테이너의 호스트 파일에 액세스할 수 없습니다. 결과적으로 MCS 레이블을 사용하여 컨테이너별로 샌드박스 컨테이너의 파일을 격리할 수 없습니다. 즉, 모든 컨테이너가 샌드박스 컨테이너 내의 모든 파일에 액세스할 수 있습니다. 현재 이 문제에 대한 해결방법이 없습니다.

(KATA-1875)

임시 메모리 볼륨의 sizeLimit 옵션은 OpenShift 샌드박스 컨테이너에서 작동하지 않습니다. 임시 볼륨 크기는 기본적으로 샌드박스 컨테이너에 할당된 메모리의 50%입니다. 볼륨을 다시 마운트하여 이 볼륨의 크기를 수동으로 변경할 수 있습니다. 예를 들어 샌드박스 컨테이너에 할당된 메모리가 6GB이고 임시 볼륨이 /var/lib/containers 에 마운트된 경우 다음 명령을 사용하여 VM 메모리의 기본 50% 이상으로 이 볼륨의 크기를 늘릴 수 있습니다.

mount -o remount,size=4G /var/lib/containers

$ mount -o remount,size=4G /var/lib/containers

(KATA-2579)

io.katacontainers.config.hypervisor.default_vcpus 및 io.katacontainers.config.hypervisor.default_memory 주석은 QEMU의 의미 체계를 따릅니다. 여기에는 피어 Pod에 대한 다음과 같은 제한 사항이 있습니다.

대신 유연한 Pod VM 크기에 io.katacontainers.config.hypervisor.machine_type: <instance type/instance size > 주석을 사용하는 것이 좋습니다. (KATA-2575, KATA-2577, KATA-2578)

OpenShift 샌드박스 컨테이너 Operator 1.4.1에서 버전 1.5로 자동 업그레이드하는 동안 업그레이드가 보류 중 상태로 유지됩니다.

서브스크립션이 자동 업데이트로 설정된 경우 OpenShift 샌드박스 컨테이너의 업그레이드가 설치됩니다. 그러나 KataConfig CR(사용자 정의 리소스)이 설치된 경우 CSV가 보류 중 상태로 유지됩니다.

다음 명령을 실행하여 Subscription 오브젝트의 상태를 확인할 수 있습니다.

oc get sub osc-operator -n openshift-osc-operator -o yaml

$ oc get sub osc-operator -n openshift-osc-operator -o yaml

다음 오류는 Subscription 오브젝트의 status 섹션과 upgrade InstallPlan 오브젝트의 status 섹션에 표시됩니다.

message: 'error validating existing CRs against new CRD''s schema for "kataconfigs.kataconfiguration.openshift.io":
      error validating custom resource against new schema for KataConfig /example-kataconfig:
      [].status.runtimeClass: Invalid value: "string": status.runtimeClass in body
      must be of type array: "string"'

message: 'error validating existing CRs against new CRD''s schema for "kataconfigs.kataconfiguration.openshift.io":
      error validating custom resource against new schema for KataConfig /example-kataconfig:
      [].status.runtimeClass: Invalid value: "string": status.runtimeClass in body
      must be of type array: "string"'

이 오류가 발생하면 OpenShift 샌드박스 컨테이너 Operator를 제거한 다음 다시 설치해야 합니다.

(KATA-2593)