December 2019
Beginner to intermediate
420 pages
8h 34m
Korean
Content preview from 쿠버네티스를 활용한 클라우드 네이티브 데브옵스
Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
Start your free trial
216
쿠버네티스를 활용한 클라우드 네이티브 데브옵스
도커 공식 문서
6
를 참고하면 컨테이너에 기본으로 설정되는 캐퍼빌리티와 필요에 따라 추가할
수 있는 목록을 확인할 수 있다.
최대한의 보안을 위해서는 모든 컨테이너의 캐퍼빌리티를 삭제하고 필요한 것만 추가하면 된다.
containers:
- name: demo
image: cloudnatived/demo:hello
securityContext:
capabilities:
drop:
["all"]
add:
["NET_BIND_SERVICE"]
캐퍼빌리티 메커니즘은 컨테이너가
root
로 실행되더라도 내부 프로세스가 수행할 수 있는 작
업을 제한한다. 컨테이너 수준에서 캐퍼빌리티를 제거한다면 악성 프로세스가 최대 권한을 갖
고 있더라도 다시 복구할 수 없다.
8.3.6
파드 보안 컨텍스트
앞서 설명한 개별 컨테이너 수준의 보안 컨텍스트 설정 중 일부는 파드 수준에서도 설정 가능
하다.
apiVersion: v1
kind: Pod
...
spec:
securityContext:
runAsUser:
1000
runAsNonRoot:
false
allowPrivilegeEscalation:
false
이러한 설정은 파드 내의 모든 컨테이너에 적용된다. 컨테이너 자체에 보안 컨텍스트 설정이
있을 경우에는 파드의 설정은 덮어써진다. ...