POD 보안
Astra Control Center는 POD 보안 정책(PSP) 및 POD 보안 등록(PSA)을 통해 권한 제한을 지원합니다. 이러한 프레임워크를 통해 컨테이너를 실행할 수 있는 사용자 또는 그룹과 해당 컨테이너에 사용할 수 있는 권한을 제한할 수 있습니다.
일부 Kubernetes 배포 시 기본 POD 보안 구성이 너무 제한적이고 Astra Control Center 설치 시 문제가 발생할 수 있습니다.
여기에 포함된 정보와 예제를 사용하여 Astra Control Center가 수행하는 POD 보안 변경 사항을 이해하고, Astra Control Center 기능을 방해하지 않으면서 필요한 보호 기능을 제공하는 POD 보안 접근 방식을 사용할 수 있습니다.
Astra Control Center에서 시행한 PSA
Astra Control Center를 사용하면 Astra가 설치된 네임스페이스(NetApp-acc 또는 사용자 지정 네임스페이스)와 백업을 위해 생성된 네임스페이스에 다음 레이블을 추가하여 POD 보안 입원을 적용할 수 있습니다.
pod-security.kubernetes.io/enforce: privileged
Astra Control Center에서 설치한 PSP
Kubernetes 1.23 또는 1.24에 Astra Control Center를 설치할 경우 설치 중에 몇 가지 POD 보안 정책이 생성됩니다. 이 중 일부는 영구적이며 일부 작업은 특정 작업 중에 생성되며 작업이 완료되면 제거됩니다. Astra Control Center는 호스트 클러스터에서 Kubernetes 1.25 이상을 실행 중인 경우 이러한 버전에서 지원되지 않으므로 PSP 설치를 시도하지 않습니다.
설치 중에 PSP가 생성되었습니다
Astra Control Center를 설치하는 동안, Astra Control Center 운영자는 사용자 정의 POD 보안 정책(a)을 설치합니다 Role
개체, 및 RoleBinding
Astra Control Center 네임스페이스에서 Astra Control Center 서비스 배포를 지원하는 개체입니다.
새 정책 및 객체에는 다음과 같은 특성이 있습니다.
kubectl get psp NAME PRIV CAPS SELINUX RUNASUSER FSGROUP SUPGROUP READONLYROOTFS VOLUMES netapp-astra-deployment-psp false RunAsAny RunAsAny RunAsAny RunAsAny false * kubectl get role -n <namespace_name> NAME CREATED AT netapp-astra-deployment-role 2022-06-27T19:34:58Z kubectl get rolebinding -n <namespace_name> NAME ROLE AGE netapp-astra-deployment-rb Role/netapp-astra-deployment-role 32m
백업 작업 중에 PSP가 생성되었습니다
백업 작업 중에 Astra Control Center는 동적 POD 보안 정책인 을 생성합니다 ClusterRole
개체, 및 RoleBinding
오브젝트. 이러한 백업 프로세스는 별도의 네임스페이스에서 수행됩니다.
새 정책 및 객체에는 다음과 같은 특성이 있습니다.
kubectl get psp NAME PRIV CAPS SELINUX RUNASUSER FSGROUP SUPGROUP READONLYROOTFS VOLUMES netapp-astra-backup false DAC_READ_SEARCH RunAsAny RunAsAny RunAsAny RunAsAny false * kubectl get role -n <namespace_name> NAME CREATED AT netapp-astra-backup 2022-07-21T00:00:00Z kubectl get rolebinding -n <namespace_name> NAME ROLE AGE netapp-astra-backup Role/netapp-astra-backup 62s
클러스터 관리 중에 생성된 PSP입니다
클러스터를 관리할 때 Astra Control Center는 NetApp 모니터링 연산자를 관리형 클러스터에 설치합니다. 이 운영자는 POD 보안 정책인 을 생성합니다 ClusterRole
개체, 및 RoleBinding
Astra Control Center 네임스페이스에 원격 측정 서비스를 구축하는 객체
새 정책 및 객체에는 다음과 같은 특성이 있습니다.
kubectl get psp NAME PRIV CAPS SELINUX RUNASUSER FSGROUP SUPGROUP READONLYROOTFS VOLUMES netapp-monitoring-psp-nkmo true AUDIT_WRITE,NET_ADMIN,NET_RAW RunAsAny RunAsAny RunAsAny RunAsAny false * kubectl get role -n <namespace_name> NAME CREATED AT netapp-monitoring-role-privileged 2022-07-21T00:00:00Z kubectl get rolebinding -n <namespace_name> NAME ROLE AGE netapp-monitoring-role-binding-privileged Role/netapp-monitoring-role-privileged 2m5s