본문 바로가기

Kubernetes16

Kubernetes ServiceAccount 관리 일단 쿠버네티스는 Account에 대한 기준이 두가지로 나뉜다. 1. UserAccount - 실제 사용자에게 필요한 Account이다 - 특정 Namespace에 종속적이지 않고 Global하다. 2. ServiceAccount - Container(Pod 내)안의 어플리케이션 및 프로세스가 kube-apiserver와 통신하기 위해 필요한 Account이다 - 특정 Namespace에 종속적이다. 따라서 foo라는 namespace에서 생성한 ServiceAccount는 foo namespace에서 동작하는 Pod와만 연결 가능하다. - 때에 따라서, ServiceAccount와, Token을 별도로 생성하여 해당 Token을 기반으로 Kubeconfig파일을 만들어 RBAC기반 사용자 권한 제어 관.. 2024. 3. 30.
trivy를 활용한 Container Image 취약점 스캔하기 trivy는 Aqua Security에서 개발한 Container Image 취약점 스캐너이다. Scan 대상으로는 아래와 같다. scan target - Container Image - Filesystem - Git Repository(remote) - Kubernetes cluster or Resource Scanners - 사용중인 OS패키지 및 소프트웨어 종속성이 있는 패키지들(SBOM) - 표준 취약점들(Vulnerabilities)(CVE) - IaC 코드 관련 구성오류 위와 같은 Scan 대상들을 Scanner에 대한 취약점 진단을 하게 되면 Low, Medium, High, Critical과 같은 Level로 나타내어 취약점을 Report해준다. Trivy Install 및 활용 방법 Tr.. 2024. 3. 27.
Kubernetes에서 App Armor를 활용하여 Container 내부 디렉토리 Write 제한하기 App Armor는 무엇이고, 왜 쓰는걸까 App Armor(Application Armor)는 특정 어플리케이션의 동작 또는 특정 File, Directory에 대한 Read, Write, 을 제한하여 사용자의 무분별한 어플리케이션, 파일 및 디렉토리에 대한 접근을 통제할 수 있다. 예를들면, / 이하 디렉토리는 쓰기가 불가능하도록 설정 한다던가, curl을 사용하지 못하도록 한다던가, a.txt파일에 대해 cat명령어를 쓰지 못하도록 한다던가 이러한 것들이 가능하다. 요약. - AppArmor는 리눅스 커널 보안모듈로서 MAC(Mandatory Access Control)기반 Security Mondule이다. - Node에서도 사용가능하고, Container에서도 사용 가능하다. - 커널단의 Sys.. 2024. 3. 23.
gVisor 및 runsc를 활용한 Host와의 컨테이너 커널 격리 컨테이너가 가진 장점이자 단점으로 host의 커널을 사용한다는 것이다. 이는 Host가 만약 해킹으로 인해 커널의 파라미터가 수정되는 등 이러한일이 발생하게 된다면 해당 Host에 속한 모든 Container들은 동일하게 적용되어 매우 심각한 상황이 초래될 수 있다. 이러한 문제점을 해결하기 위해 Google은 gVisor라는 도구를 만들었다. gVisor는 Sandbox환경을 만들어 Host와 완전하게 격리된, 가상화된 환경을 제공해준다. 그리고 gVisor를 사용하게 된다면 기존 Container Runtime인 runc에서 runsc으로 변경해주어야 한다. gVisor설치 및 활용방법 설치 참고 사이트: https://gvisor.dev/docs/user_guide/install/ gVisor 설치.. 2024. 3. 21.