전체 글34 gVisor 및 runsc를 활용한 Host와의 컨테이너 커널 격리 컨테이너가 가진 장점이자 단점으로 host의 커널을 사용한다는 것이다. 이는 Host가 만약 해킹으로 인해 커널의 파라미터가 수정되는 등 이러한일이 발생하게 된다면 해당 Host에 속한 모든 Container들은 동일하게 적용되어 매우 심각한 상황이 초래될 수 있다. 이러한 문제점을 해결하기 위해 Google은 gVisor라는 도구를 만들었다. gVisor는 Sandbox환경을 만들어 Host와 완전하게 격리된, 가상화된 환경을 제공해준다. 그리고 gVisor를 사용하게 된다면 기존 Container Runtime인 runc에서 runsc으로 변경해주어야 한다. gVisor설치 및 활용방법 설치 참고 사이트: https://gvisor.dev/docs/user_guide/install/ gVisor 설치.. 2024. 3. 21. kube-bench 사용법 및 Install kube-bench란? CIS(Center for Internet Security)에서 채택한 보안권장수준이 있다. 해당 보안권장 수준을 Kubernetes에도 적용시켜 보안 감사를 통해 취약점을 사용자에게 알려주는 솔루션이 kube-bench이며, 해당 솔루션을 통해 사용자는 클러스터 내 해당 취약점을 보완하여 한층 강화된 클러스터를 운용할 수 있다. CIS: https://www.cisecurity.org/cis-benchmarks 설치하기 설치방법은 매우 간단하다 git clone https://github.com/aquasecurity/kube-bench.git cd kube-bench/ root@k8s-m:~/kube-bench# ls CONTRIBUTING.md Dockerfile.ubi OW.. 2024. 3. 20. kubesec install 및 사용법 kubesec이란? kubesec은 kubernetes manifest 파일과 kubernetes내 오브젝트들의 보안 이슈사항들을 점검 및 분석하고 보완까지 도와주는 도구이다. 설치하기 ## 설치경로: https://github.com/controlplaneio/kubesec/releases/tag/v2.14.0 root@k8s-m:/build# wget https://github.com/controlplaneio/kubesec/releases/download/v2.14.0/kubesec_linux_amd64.tar.gz root@k8s-m:/build# tar -xvf kubesec_linux_amd64.tar.gz CHANGELOG.md LICENSE README.md kubesec root@k8s-.. 2024. 3. 19. Dockerfile Best Practice #2 1. Application Decoupling구성 예를들면 Web, WAS구성이 필요한 컨테이너의 경우, 하나의 컨테이너에 Web-WAS를 구성하는것 보단 애플리케이션 별로 2개의 컨테이너로 분리하여 구성하는 것이 좋다는 것이다. 애플리케이션별로 컨테이너를 분리하게 되면, 애플리케이션별로 스케일 인, 아웃, 업, 다운을 하게되어 필요한 애플리케이션에 대한 가용성을 신속하게 확보할 수 있을 것이고, 애플리케이션간 간섭 및 충돌도 최소화 할 수 있다는 장점이 있다. 2. Dockerfile의 Layer수를 최소화 한다. Dockerfile은 각각의 명령어별로 실행되는 라인마다 Layer가 생겨 해당 Layer가 많아지면 많아질 수록 Size가 커지게 되고, 빌드하는 시간도 길어지게 된다. 그리고, &&연산자.. 2024. 3. 18. 이전 1 2 3 4 5 6 7 8 9 다음
