🔭Kubernetes 1.30 버전 릴리즈!

안녕하세요 구독자님, 최신 DevOps 소식을 정리해서 공유해드리는 DevOps 여행을 위한 소식지입니다.

어느새 봄이 껑충 찾아온 것 같습니다. 요즘 벚꽃도 한창 피고 있어서 나들이도 많이 가실 것 같은데요. 이번 한 주도 구독자님이 봄을 한껏 느낄 수 있었으면 합니다.

이번 소식지에선 컨테이너 오케스트레이션 툴, Kubernetes의 최신 버전 소식을 다뤄보도록 할게요.

Kubernetes 1.30 버전은 2024년 1월부터 배포 준비 과정이 시작되어 2024년 4월 17일에 배포될 예정입니다.

이번 버전에선 Kubernetes 클러스터의 보안성과 운영성을 더욱 개선할 예정이라고 하는데요. 어떤 점이 업데이트될 예정인지 함께 알아보겠습니다.

User Namespace 기능 추가 (Beta)

기존 Kubernetes의 Pod는 Host 서버와 동일한 User Namespace를 공유하였습니다. User Namespace란, Linux 서버에 접근하는 여러 사용자를 시스템에 등록하여 구분짓는 영역을 말하는데요.

이렇게 서버에 사용자(User ID)를 등록할 경우, 어떤 파일이나 폴더를 특정 사용자만 읽기/수정/실행이 가능하도록 설정 가능하므로 사용자 간의 활동 영역을 구분할 수 있습니다.

그렇기 때문에 위에서 언급했던 'Pod가 Host 서버와 동일한 User Namespace를 공유'한다는 것은, Pod가 해킹 및 공격 대상이 된다면 그 Pod가 동작 중인 Host도 위험해진다는 뜻입니다.

이런 보안 위험을 막기 위해 이번 릴리즈에선 Pod 내부에서 사용되는 User ID를 Host와 다르게 설정할 수 있게 되었습니다. 이로써 얻을 수 있는 이점은 아래와 같습니다.

Host와 User Namespace가 분리되면, 서로 사용하는 리소스에 접근하거나 서로에게 예상치 못한 영향을 주는 일을 방지할 수 있습니다.

Pod의 Host User Namespace 분리 옵션은 Pod yaml 파일(Manifest)에서 아래와 같이 설정합니다.

apiVersion: v1
kind: Pod
.
:
spec:
  hostUsers: false
.
:

다만 위에서 소개한 Host User Namespace 분리 기능은 아직 Beta 단계이기 때문에 실제 운영 중인 Kubernetes 환경에 적용할 땐 주의가 필요합니다.

또한 사용 중인 Container Runtime이 해당 기능을 지원하는지 먼저 확인이 필요하겠습니다.

Secret으로 Container Image Pull 시 보안 강화 (Alpha)

Pod에서 Container Image를 받아올 때 다양한 정책(imagePullPolicy)을 적용할 수 있습니다. 그 중 하나가 IfNotPresent인데요.

IfNotPresent는 Pod가 생성되는 Node에 만약 Pod에 필요한 Image가 존재한다면 따로 받지 않고 저장되어 있는 Image를 사용하도록 해서 Pod 생성 시간을 단축시키는 옵션입니다.

만약 공개되지 않는 내부 저장소(Private Registry)에서 Kubernetes Secret을 이용해서 Image를 받아올 경우, IfNotPresent 옵션이 있다면 Secret 검증 없이 기존에 존재하는 Image를 쓰게 됩니다.

하지만 Node에 이미 저장된 Image라고 해도, Pod가 Secret 검증 없이 내부 저장소에 취급되는 Image를 사용 가능한 것은 보안 측면에서 취약점이 될 수 있습니다.

그래서 이번 릴리즈 이후 IfNotPresent 옵션의 보안성이 강화될 예정입니다.

앞으로는 imagePullPolicy의 IfNotPresent 옵션이 설정되어 있더라도 Image 다운로드에 필요한 Secret이 유효한지 먼저 검증하도록 업데이트되는 것이죠.

이 업데이트는 아직 Alpha 단계이지만, 운영 중인 Kubernetes 클러스터에 Kubernetes 1.30 릴리즈를 적용 예정이라면 Image 다운로드에 사용되는 Secret을 미리 다시 체크해보는 것이 좋겠습니다.

이번 Kubernetes 1.30 릴리즈에서 다양한 보안 관련 기능들이 업데이트되고 있는데요.

Kubernetes 클러스터를 더욱 안전한 환경으로 만들어주는 업데이트들이지만, 이번 릴리즈를 실제 운영 중인 클러스터에 적용할 예정이시라면 이에 대한 정책 설정이나 기술적인 대비가 미리 필요할 것으로 보입니다.

혹시 이번 내용 관련해서 더 궁금한 점이 있으시다면 아래 메일리 댓글 남겨주세요.😀

그럼, 다음 소식지에서 보다 알차고 흥미로운 내용으로 찾아뵙겠습니다.

감사합니다. 😺

DevOps와 클라우드 관련 기술 지식을 공유하는 블로그도 운영 중입니다 :)

Kubernetes