피드로 돌아가기
Dev.toInfrastructure
원문 읽기
K8s 1.36: API Server 내장 정책과 User Namespace GA를 통한 운영 복잡도 제거 및 보안 강화
Kubernetes 1.36: 8 Features Worth Your Attention
AI 요약
Context
기존 Admission Webhook 기반의 설정 자동화는 외부 서비스 운영 및 TLS 인증서 관리로 인한 높은 운영 오버헤드를 초래함. 또한 컨테이너 내부 root 권한이 호스트 OS의 root와 매핑되는 구조적 한계로 인해 Container Escape 공격 시 호스트 장악 위험이 상존함.
Technical Solution
- CEL expression을 API Server 내에 직접 구현한 Mutating Admission Policies 도입으로 Webhook 의존성 제거
- 컨테이너 내부 root 사용자를 호스트의 비특권 사용자로 매핑하는 User Namespaces GA를 통한 격리 수준 강화
- RBAC 세분화를 통한 Kubelet Authorization 구현으로 nodes/proxy 권한 남용 방지 및 최소 권한 원칙 적용
- OCI Registry를 Volume 소스로 직접 마운트하는 구조를 통해 ML 모델 및 정적 자산 배포 파이프라인 단일화
- CPU, Memory, I/O의 실제 대기 시간을 측정하는 PSI Metrics 도입으로 단순 사용률 지표의 한계 극복
- Suspended Job 상태에서의 Resource Request/Limit 수정 가능 구조를 통한 배치 워크로드 유연성 확보
실천 포인트
- 기존 Admission Webhook의 CEL 전환 가능 여부를 검토하여 Webhook 서비스 운영 비용 제거 - hostUsers: false 설정을 통해 컨테이너 런타임 보안 격리 수준 상향 조정 - SSH 접속 없이 API를 통한 Node Log 쿼리로 트러블슈팅 프로세스 자동화 - OCI Registry를 활용한 설정 및 데이터셋 버전 관리 체계 구축 검토