October 2024
Beginner to intermediate
452 pages
10h 12m
Korean
Content preview from 쿠버네티스 창시자에게 배우는 모범 사례 2판
Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
Start your free trial
390
쿠버네티스 창시자에게 배우는 모범 사례 2판
AppArmor
와
SELinux
는 컨테이너별로 꼭 필요한 액세스 제어를 세밀하게 구성할 수 있는
리눅스 커널의 보안 모듈이다. 컨테이너가 무슨 일을 할 수 있는지 클러스터 관리자가 정교
하게 제어할 수 있게 해준다. 이러한 리눅스의 자체 보안 메커니즘과 파드 시큐리티 어드미
션을 결합하면 컨테이너가 운영 체제에 액세스하는 수준을 정밀하게 조종할 수 있다.
19.3.3
어드미션 컨트롤러
어드미션 컨트롤러는 워크로드 보안의 핵심 요소다. 쿠버네티스는 통합 어드미션 컨트롤러
를 여럿 제공하는데, 보안 관련 어드미션 컨트롤러는 모두 기본적으로 활성화된다. 예를 들
어,
NodeRestriction
은 특정 노드에 할당된 파드만 수정할 수 있도록
kubelet
퍼미션을 제
한하는 어드미션 컨트롤러다. 어드미션 컨트롤러은 방대한 주제이니, 자세한 내용은
17
장을
참조하자.
19.3.4
오퍼레이터
오퍼레이터는 쿠버네티스
API
를 통해 애플리케이션 단위로 조정이 필요한 워크로드에 커스
텀 리소스를 제공하는 컨트롤러다 (오퍼레이터 패턴에 관한 자세한 내용은
21
장 참고 ). 보안
관점에서 많은 오퍼레이터의
RBAC
이 사용 편의상 기본적으로 매우 관대한
permissive
구성을
제공하는 것은 다소 아쉬운 부분이다. 보통
cluster
-
admin
나 이와 동등한 권한을 부여하는
데, 이로 인해 해커들의 공격 타깃이 되기 쉽다. 또 드물긴 하나 이런 오퍼레이터가 다른
API
를 직접 표출할 수 있으므로 권한 상승 ...