1.4. 일반 용어

샌드박스는 프로그램을 실행할 수 있는 격리된 환경입니다. 샌드박스에서는 호스트 시스템이나 운영 체제에 손상을 주지 않고 테스트되지 않았거나 신뢰할 수 없는 프로그램을 실행할 수 있습니다.

OpenShift 샌드박스 컨테이너의 경우 가상화를 사용하여 다른 커널에서 워크로드를 실행하여 동일한 호스트에서 실행되는 여러 워크로드 간의 상호 작용을 보다 효과적으로 제어할 수 있습니다.

Pod는 Kubernetes 및 OpenShift Container Platform에서 상속된 구성 요소입니다. 컨테이너를 배포할 수 있는 리소스를 나타냅니다. 컨테이너는 Pod 내부에서 실행되며 Pod는 여러 컨테이너 간에 공유할 수 있는 리소스를 지정하는 데 사용됩니다.

OpenShift 샌드박스 컨테이너의 컨텍스트에서 Pod가 가상 시스템으로 구현됩니다. 동일한 가상 시스템의 동일한 Pod에서 여러 컨테이너를 실행할 수 있습니다.

OpenShift 샌드박스 컨테이너의 피어 Pod는 표준 Pod의 개념을 확장합니다. 가상 머신이 작업자 노드 자체에서 생성되는 표준 샌드박스 컨테이너와 달리 피어 Pod에서 지원되는 하이퍼바이저 또는 클라우드 공급자 API를 사용하여 원격 하이퍼바이저를 통해 가상 머신이 생성됩니다.

피어 포드는 작업자 노드에서 일반 pod 역할을 하며 해당 VM이 다른 위치에서 실행됩니다. VM의 원격 위치는 사용자에게 투명하며 Pod 사양의 런타임 클래스에 의해 지정됩니다. 피어 Pod 설계는 중첩된 가상화의 필요성을 우회합니다.

기밀 컨테이너는 워크로드가 TEE(신뢰할 수 있는 실행 환경)에서 실행되고 있는지 확인하여 컨테이너 및 데이터를 보호합니다. 이 기능을 배포하여 빅 데이터 분석 및 머신 러닝 추론의 개인 정보를 보호할 수 있습니다.

신뢰 자는 기밀 컨테이너의 구성 요소입니다. 신뢰할 수 있는 서비스는 워크로드를 실행하려는 위치 또는 기밀 정보를 보낼 계획의 위치를 확인하는 인증 서비스입니다. 신뢰에는 신뢰할 수 있는 측에 배포되고 원격 워크로드가 신뢰할 수 있는 실행 환경(TEE)에서 실행되고 있는지 확인하는 데 사용되는 구성 요소가 포함되어 있습니다. 신뢰자는 유연하며 다양한 애플리케이션 및 하드웨어 플랫폼을 지원하기 위해 여러 다른 구성으로 배포할 수 있습니다.