4장. 기술 프리뷰
이 섹션에서는 OpenShift 샌드박스 컨테이너 1.8에서 사용할 수 있는 모든 기술 프리뷰 목록을 제공합니다.
자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.
IBM Z 및 IBM LinuxONE에 대한 피어 Pod 지원
IBM Z® 및 IBM® LinuxONE(s390x 아키텍처)에서 피어 Pod를 사용하여 중첩된 가상화 없이 OpenShift 샌드박스 컨테이너 워크로드를 배포할 수 있습니다.
Jira:KATA-2030
Microsoft Azure Cloud Computing Services, IBM Z 및 IBM LinuxONE의 기밀 컨테이너
기밀 컨테이너는 클라우드 네이티브 애플리케이션에 대한 향상된 보안을 제공하여 사용 중인 경우에도 컨테이너와 해당 데이터를 보호하는 TEE(신뢰할 수 있는 실행 환경)라는 보안 및 격리된 환경에서 실행할 수 있습니다.
다음 제한 사항을 확인합니다.
- CVM(비밀 가상 머신) 루트 파일 시스템(rootfs)의 암호화 및 무결성 보호 없음: CVM은 TEE 내에서 실행되며 컨테이너 워크로드를 실행합니다. rootfs의 암호화 및 무결성 보호 부족으로 인해 악의적인 관리자가 rootfs에 기록된 중요한 데이터를 추출하거나 rootfs 데이터를 변조할 수 있습니다. rootfs에 대한 무결성 보호 및 암호화는 현재 진행 중입니다. 모든 애플리케이션 쓰기가 메모리에 있는지 확인해야 합니다.
- 암호화된 컨테이너 이미지 지원 없음: 서명된 컨테이너 이미지 지원만 현재 사용할 수 있습니다. 암호화된 컨테이너 이미지 지원이 진행 중입니다.
- Kata shim과 CVM 내부의 에이전트 구성 요소 간의 통신에는 변조가 적용됩니다. CVM 내부의 에이전트 구성 요소는 OpenShift 작업자 노드에서 실행되는 Kata shim에서 Kubernetes API 명령을 실행해야 합니다. CVM에서 컨테이너의 Kubernetes exec 및 로그 API를 해제하는 에이전트 정책을 사용하여 Kubernetes API를 통한 중요한 데이터 유출을 방지합니다. 그러나 이는 완료되지 않으며 shim과 에이전트 구성 요소 간의 통신 채널을 강화하기 위한 추가 작업이 진행 중입니다. 에이전트 정책은 Pod 주석을 사용하여 런타임 시 재정의할 수 있습니다. 현재 Pod의 런타임 정책 주석은 인증 프로세스에서 확인하지 않습니다.
- 암호화된 pod-to-pod 통신에 대한 기본 지원이 없습니다. Pod-to-pod 통신은 암호화되지 않습니다. 모든 pod-to-pod 통신에 대해 애플리케이션 수준에서 TLS를 사용해야 합니다.
- 작업자 노드와 CVM 내부에서 이미지를 이중 가져오기: 컨테이너 이미지가 TEE 내에서 실행되는 CVM에서 다운로드 및 실행됩니다. 그러나 현재 이미지는 작업자 노드에도 다운로드됩니다.
- 기밀 컨테이너를 위한 CVM 이미지를 빌드하려면 클러스터에서 OpenShift 샌드박스 컨테이너 Operator를 사용할 수 있어야 합니다.
Jira:KATA-2416
