본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

POD 보안

기여자

Astra Control Center는 POD 보안 정책(PSP) 및 POD 보안 등록(PSA)을 통해 권한 제한을 지원합니다. 이러한 프레임워크를 통해 컨테이너를 실행할 수 있는 사용자 또는 그룹과 해당 컨테이너에 사용할 수 있는 권한을 제한할 수 있습니다.

일부 Kubernetes 배포 시 기본 POD 보안 구성이 너무 제한적이고 Astra Control Center 설치 시 문제가 발생할 수 있습니다.

여기에 포함된 정보와 예제를 사용하여 Astra Control Center가 수행하는 POD 보안 변경 사항을 이해하고, Astra Control Center 기능을 방해하지 않으면서 필요한 보호 기능을 제공하는 POD 보안 접근 방식을 사용할 수 있습니다.

Astra Control Center에서 시행한 PSA

설치 중에 Astra Control Center는 에 다음 레이블을 추가하여 POD 보안 입원을 적용할 수 있습니다 netapp-acc 또는 사용자 지정 네임스페이스:

pod-security.kubernetes.io/enforce: privileged

Astra Control Center에서 설치한 PSP

Kubernetes 1.23 또는 1.24에 Astra Control Center를 설치할 경우 설치 중에 몇 가지 POD 보안 정책이 생성됩니다. 이 중 일부는 영구적이며 일부 작업은 특정 작업 중에 생성되며 작업이 완료되면 제거됩니다. Astra Control Center는 호스트 클러스터에서 Kubernetes 1.25 이상을 실행 중인 경우 이러한 버전에서 지원되지 않으므로 PSP 설치를 시도하지 않습니다.

설치 중에 PSP가 생성되었습니다

Astra Control Center를 설치하는 동안, Astra Control Center 운영자는 사용자 정의 POD 보안 정책(a)을 설치합니다 Role 개체, 및 RoleBinding Astra Control Center 네임스페이스에서 Astra Control Center 서비스 배포를 지원하는 개체입니다.

새 정책 및 객체에는 다음과 같은 특성이 있습니다.

kubectl get psp

NAME                           PRIV    CAPS          SELINUX    RUNASUSER          FSGROUP     SUPGROUP    READONLYROOTFS   VOLUMES
netapp-astra-deployment-psp    false                 RunAsAny   RunAsAny           RunAsAny    RunAsAny    false            *

kubectl get role -n <namespace_name>

NAME                                     CREATED AT
netapp-astra-deployment-role             2022-06-27T19:34:58Z

kubectl get rolebinding -n <namespace_name>

NAME                                     ROLE                                          AGE
netapp-astra-deployment-rb               Role/netapp-astra-deployment-role             32m

백업 작업 중에 PSP가 생성되었습니다

백업 작업 중에 Astra Control Center는 동적 POD 보안 정책인 을 생성합니다 ClusterRole 개체, 및 RoleBinding 오브젝트. 이러한 백업 프로세스는 별도의 네임스페이스에서 수행됩니다.

새 정책 및 객체에는 다음과 같은 특성이 있습니다.

kubectl get psp

NAME                           PRIV    CAPS                            SELINUX    RUNASUSER          FSGROUP     SUPGROUP    READONLYROOTFS   VOLUMES
netapp-astra-backup            false   DAC_READ_SEARCH                 RunAsAny   RunAsAny           RunAsAny    RunAsAny    false            *

kubectl get role -n <namespace_name>

NAME                  CREATED AT
netapp-astra-backup   2022-07-21T00:00:00Z

kubectl get rolebinding -n <namespace_name>

NAME                  ROLE                       AGE
netapp-astra-backup   Role/netapp-astra-backup   62s

클러스터 관리 중에 생성된 PSP입니다

클러스터를 관리할 때 Astra Control Center는 NetApp 모니터링 연산자를 관리형 클러스터에 설치합니다. 이 운영자는 POD 보안 정책인 을 생성합니다 ClusterRole 개체, 및 RoleBinding Astra Control Center 네임스페이스에 원격 측정 서비스를 구축하는 객체

새 정책 및 객체에는 다음과 같은 특성이 있습니다.

kubectl get psp

NAME                           PRIV    CAPS                            SELINUX    RUNASUSER          FSGROUP     SUPGROUP    READONLYROOTFS   VOLUMES
netapp-monitoring-psp-nkmo     true    AUDIT_WRITE,NET_ADMIN,NET_RAW   RunAsAny   RunAsAny           RunAsAny    RunAsAny    false            *

kubectl get role -n <namespace_name>

NAME                                           CREATED AT
netapp-monitoring-role-privileged              2022-07-21T00:00:00Z

kubectl get rolebinding -n <namespace_name>

NAME                                                  ROLE                                                AGE
netapp-monitoring-role-binding-privileged             Role/netapp-monitoring-role-privileged              2m5s