Menu Close

2.4.2. 확인된 문제

  • 웹 콘솔에서 사용 가능한 파일 시스템 그래프는 Windows 노드에 표시되지 않습니다. 이 문제는 파일 시스템 쿼리의 변경으로 인해 발생하며, 이는 향후 WMCO 릴리스에서 해결될 예정입니다. (BZ#1930347)
  • VMware vSphere에 설치된 클러스터의 경우 WMCO는 삭제 단계 알림 이벤트를 무시하고 windows-exporter 지표 끝점에 잘못된 노드 정보를 남겨 둡니다. 이로 인해 Prometheus 지표 끝점에 대한 잘못된 매핑이 발생했습니다. 이 버그가 수정되었습니다. 이제 WMCO가 삭제 단계 알림 이벤트를 인식하고 Prometheus 지표 끝점을 적절하게 매핑합니다. (BZ#1995341)
  • Linux 기반 포드의 보안 컨텍스트에 RunAsUser 권한이 설정된 경우 예상 파일에는 컨테이너 사용자 소유권을 포함하여 올바른 권한이 설정되어 있습니다. 그러나 Windows와 동등한 RunAsUsername 권한이 Windows Pod에 설정된 경우 kubelet은 예상 볼륨의 파일에 올바른 소유권을 설정하지 못합니다. 모범 사례가 따르지 않는 hostPath 볼륨 과 함께 사용하면 이 문제가 발생할 수 있습니다. 예를 들어 Pod에서 C:\var\lib\kubelet\pods\pods\ 폴더에 대한 액세스 권한을 부여하면 Pod가 다른 Pod의 서비스 계정 토큰에 액세스할 수 있습니다.

    기본적으로 이 예제와 같이 예상된 파일은 다음과 같은 소유권을 갖게 됩니다. Windows 예상 볼륨 파일은 다음과 같습니다.

    Path   : Microsoft.PowerShell.Core\FileSystem::C:\var\run\secrets\kubernetes.io\serviceaccount\..2021_08_31_22_22_18.318230061\ca.crt
    Owner  : BUILTIN\Administrators
    Group  : NT AUTHORITY\SYSTEM
    Access : NT AUTHORITY\SYSTEM Allow  FullControl
             BUILTIN\Administrators Allow  FullControl
             BUILTIN\Users Allow  ReadAndExecute, Synchronize
    Audit  :
    Sddl   : O:BAG:SYD:AI(A;ID;FA;;;SY)(A;ID;FA;;;BA)(A;ID;0x1200a9;;;BU)

    이는 ContainerAdministrator 역할과 마찬가지로 모든 관리자 사용자에게 읽기, 쓰기, 실행 액세스 권한이 있음을 나타내지만 관리자 이외의 사용자는 읽기 및 실행 액세스 권한이 있습니다.

    중요

    OpenShift Container Platform은 운영 체제와 관계없이 RunAsUser 보안 컨텍스트를 모든 Pod에 적용합니다. 즉, Windows Pod에는 보안 컨텍스트에 자동으로 RunAsUser 권한이 적용됩니다.

    또한 기본 RunAsUser 권한이 설정된 예상 볼륨으로 Windows Pod가 생성되면 Pod가 ContainerCreating 단계에서 중단됩니다.

    이러한 문제를 처리하기 위해 OpenShift Container Platform은 Pod의 보안 컨텍스트에 설정된 예상 서비스 계정 볼륨에서 파일 권한을 처리하도록 강제 적용합니다. Windows에서 예상 볼륨에는 적용되지 않습니다(BZ#1971745). Windows Pod에 대한 이 동작은 OpenShift Container Platform 4.7 이전의 모든 Pod 유형에서 작동하는 데 사용되는 파일 권한 처리 방법입니다.