11장. seccomp 프로필 구성

OpenShift Container Platform 컨테이너 또는 Pod는 하나 이상의 잘 정의된 작업을 수행하는 단일 애플리케이션을 실행합니다. 애플리케이션에는 일반적으로 기본 운영 체제 커널 API의 작은 하위 집합만 필요합니다. 보안 컴퓨팅 모드 seccomp는 컨테이너에서 실행 중인 프로세스를 사용 가능한 시스템 호출의 일부만 사용하도록 제한하는 데 사용할 수 있는 Linux 커널 기능입니다.

restricted-v2 SCC는 4.11에서 새로 생성된 모든 Pod에 적용됩니다. 기본 seccomp 프로필 런타임/기본값 은 이러한 pod에 적용됩니다.

seccomp 프로필은 디스크에 JSON 파일로 저장됩니다.

중요

seccomp 프로필은 권한 있는 컨테이너에 적용할 수 없습니다.

11.1. Pod에 적용된 기본 seccomp 프로필 확인

OpenShift Container Platform에는 런타임/기본값으로 참조되는 기본 seccomp 프로필이 제공됩니다. 4.11에서 새로 생성된 Pod에는 restricted-v2 로 설정된 SCC(Security Context Constraint)가 있으며 기본 seccomp 프로필이 포드에 적용됩니다.

절차

  1. 다음 명령을 실행하여 Pod에 설정된 기본 seccomp 프로필 및 SCC(보안 컨텍스트 제약 조건)를 확인할 수 있습니다.

    1. 네임스페이스에서 실행 중인 포드를 확인합니다. 

      $ oc get pods -n <namespace>

      예를 들어 워크샵 네임스페이스에서 실행 중인 포드를 확인하려면 다음을 실행합니다. 

      $ oc get pods -n workshop

      출력 예

      NAME                READY   STATUS      RESTARTS   AGE
parksmap-1-4xkwf    1/1     Running     0          2m17s
parksmap-1-deploy   0/1     Completed   0          2m22s

    2. Pod를 검사합니다. 

      $ oc get pod parksmap-1-4xkwf -n workshop -o yaml

      출력 예

      apiVersion: v1
kind: Pod
metadata:
  annotations:
    k8s.v1.cni.cncf.io/network-status: |-
      [{
          "name": "openshift-sdn",
          "interface": "eth0",
          "ips": [
              "10.131.0.18"
          ],
          "default": true,
          "dns": {}
      }]
    k8s.v1.cni.cncf.io/networks-status: |-
      [{
          "name": "openshift-sdn",
          "interface": "eth0",
          "ips": [
              "10.131.0.18"
          ],
          "default": true,
          "dns": {}
      }]
    openshift.io/deployment-config.latest-version: "1"
    openshift.io/deployment-config.name: parksmap
    openshift.io/deployment.name: parksmap-1
    openshift.io/generated-by: OpenShiftWebConsole
    openshift.io/scc: restricted-v2 1
    seccomp.security.alpha.kubernetes.io/pod: runtime/default 2

      1
      워크로드에 다른 SCC에 액세스할 수 없는 경우 restricted-v2 SCC는 기본적으로 추가됩니다.
      2
      4.11에서 새로 생성된 Pod에는 SCC의 요구 사항에 따라 runtime/default 에 seccomp 프로필이 구성됩니다.

11.1.1. 업그레이드된 클러스터

4.11로 업그레이드된 클러스터에서 인증된 모든 사용자는 제한되고 restricted -v2 SCC에 액세스할 수 있습니다.

업그레이드 시 OpenShift Container Platform v4.10 클러스터에서 제한된 SCC에서 승인한 워크로드는 restricted-v2 에 의해 허용될 수 있습니다. restricted-v2가 restricted-v2 restricted -v2 간에 보다 제한적인 SCC이기 때문입니다.

참고

워크로드는 retricted-v2 와 함께 실행할 수 있어야 합니다.

반대로 privilegeEscalation 이 필요한 워크로드와 반대로 이 워크로드는 인증된 모든 사용자에 대해 제한된 SCC를 계속 사용할 수 있습니다. restricted-v2privilegeEscalation 을 허용하지 않기 때문입니다.

11.1.2. 새로 설치된 클러스터

새로 설치된 OpenShift Container Platform v4.11 클러스터의 경우 restricted-v2 는 인증된 사용자가 사용할 수 있는 SCC로 제한된 SCC를 대체합니다. privilegeEscalation: true 인 워크로드는 기본적으로 인증된 사용자에게 유일하게 사용 가능한 SCC이므로 클러스터에 허용되지 않습니다.

기능 privilegeEscalation 은 제한적으로 허용되지만 restricted -v2 에서는 사용할 수 없습니다. 제한된 SCC에서 허용하는 것보다 많은 기능이 restricted -v2 에서 거부됩니다.

privilegeEscalation: true 인 워크로드는 새로 설치된 OpenShift Container Platform v4.11 클러스터에 등록할 수 있습니다. RoleBinding을 사용하여 워크로드를 실행하는 ServiceAccount (또는 이 워크로드를 허용할 수 있는 다른 SCC)에 제한된 SCC에 대한 액세스 권한을 부여하려면 다음 명령을 실행합니다. 

$ oc -n <workload-namespace> adm policy add-scc-to-user <scc-name> -z <serviceaccount_name>

OpenShift Container Platform 4.11에서 pod 주석 seccomp.security.alpha.kubernetes.io/pod: runtime/defaultcontainer.seccomp.security.alpha.kubernetes.io/<container_name>: runtime/default 는 더 이상 사용되지 않습니다.