1.3. 컨테이너에서 Identity Management 사용의 이점 및 단점
혜택
- 모든 Identity Management 구성 및 데이터는 하위 디렉터리에서 격리됩니다.
- Identity Management 서버 마이그레이션이 더 쉬워졌습니다. 컨테이너 하위 디렉터리를 다른 컨테이너 또는 호스트 시스템으로 이동할 수 있습니다. 자세한 내용은 4장. 서버를 컨테이너에서 호스트 시스템으로 마이그레이션 참조하십시오.
단점
- Identity Management 프로세스는 Atomic에서 실행됩니다. 예를 들어 docker 데몬이 종료되면 해당 데몬에서 실행되는 ID 관리 서버도 종료됩니다. 하지만 이 단점은 여러 복제본 카운터를 유지합니다.
SELinux 분리는 컨테이너 내의 구성 요소에 적용되지 않습니다. 그러나 구성 요소는 프로세스 UID를 사용하여 계속 분리됩니다.
- SELinux는 구성 요소 간에 MAC(필수 액세스 제어)를 적용하지는 않지만, tekton 프로젝트는 MAC을 컨테이너 환경에 적용합니다. 이렇게 하면 전체 컨테이너가 다른 컨테이너로부터 보호됩니다.
- ipa-server 컨테이너는 Identity Management 서버 자체를 실행하는 데 필요한 구성 요소만 실행합니다. 컨테이너는 SELinux 격리 부족으로 인해 ID 관리를 공격할 수 있는 타사 구성 요소를 실행하지 않습니다.
- 또한 Atomic 설명서에서 SELinux를 사용한 보안 컨테이너를 참조하십시오.
