Kubernetes 1.25 릴리스
이제 아코디언 2.5에서 Kubernetes 1.25 를 사용할 수 있습니다. 이번 릴리스의 주요 내용에 대해 살펴보겠습니다.
쿠버네티스 1.25의 테마는 컴바이너입니다. 컴바이너는 합체 로봇을 의미하는데 이 릴리스를 통해 전 세계에 흩어져 있는 기여자 및 사용자들이 세상을 변화시킬 수 있는 연합된 힘, 그리고 개방적인 정신을 기리는 의미를 뜻합니다. 이번 릴리스에는 40개의 향상된 기능 중 13개는 Stable로 전환되고, 개선된 기존 기능 10개과 15개 알파, 그리고 종료되는 기능 2개가 포함되어있습니다.
📒 Kubernetes 릴리스 일정
Kubernetes의 릴리스는 N-2 지원 정책을 따라 15주마다 진행됩니다. 가장 최근의 마이너 버전 3개의 보안 및 버그 수정을 합니다. 그리고 버전은 14개월 동안 지원됩니다.
Kubernetes 보안 수정 사항을 포함하여 적용 가능한 수정 사항은 심각도 및 실행 가능성에 따라 세 가지 릴리스 분기로 백포트될 수 있습니다.
| Release | Released | Active Support | Maintenance Support |
|---|---|---|---|
| 1.27 | 2023년 4월 11일 | 2024년 4월 28일 | 2024년 6월 28일 |
| 1.26 | 2022년 12월 8일 | 2023년 12월 28일 | 2024년 2월 28일 |
| 1.25 | 2022년 8월 23일 | 2023년 8월 27일 | 2023년 10월 27일 |
| 1.24 | 2022년 5월 3일 | 2023년 5월 28일 | 2023년 7월 28일 |
🪗 아코디언 Pick:
먼저, PSP(PodSecurityPolicies) 지원 중단입니다. 이미 이전 버전부터 결정된 사항으로 PSP를 대신하여 Stable로 전환된 PodSecurity admission 으로 대체됩니다.
그리고 User namespaces 지원 , 포렌식 분석을 위한 체크포인트 , 볼륨 마운트 시 SELinux 개선 , Node Expansion secrets , 공식 CVE 피드 개선 등 정말 반가운 몇 가지 새로운 보안 기능이 추가되었습니다 .
또한 Job Pod 실패시 재시도 불가 정책 , KMS v2 개선 기능을 통해 클러스터 관리자의 작업이 더 쉽게 되었습니다. 그리고 CSI 마이그레이션이 3년 이상 진행되어 마침내 최종 단계에 접어들었습니다.
- #127 Add support for user namespaces
- #2008 Forensic Container Checkpointing
- #3329 Retriable and non-retriable Pod failures for Jobs
- #3299 KMS v2 improvements
- #5 PodSecurityPolicy + #2529 Pod Security Control
#127 Add support for user namespaces
이 개선 사항은 거의 6년 전에 처음 요청되었습니다. Kubernetes 1.5에서 시작되었고 오랫동안 기다려온 기능입니다. Pod에 부여된 과도한 권한으로 인해 호스트가 손상되는 취약점이 많이 있습니다.
유저 네임스페이스는 컨테이너 내부에서 실행 중인 사용자를 호스트에 있는 사용자와 격리합니다. 컨테이너에서 루트로 실행되는 프로세스는 호스트에서 루트가 아닌 사용자로 실행될 수 있습니다. 프로세스는 유저 네임스페이스 내부 작업에 대한 모든 권한을 갖지만 네임스페이스 외부 작업에 대해서는 권한이 없습니다.
이 기능을 사용하여 손상된 컨테이너가 동일한 노드의 호스트 또는 다른 포드에 미칠 수 있는 손상을 줄일 수 있습니다.
예를 들어 그동안 컨테이너 취약점으로 지적되었던 CAP_SYS_MODULE, CAP_SYS_ADMIN 기능을 포드 유저 네임스페이스로 제한하여 호스트에서는 유효하게 작동됩니다.
쿠버네티스의 유저 네임스페이스는 워크로드에 부과된 많은 제약을 완화하는 데 도움이 될 수 있으므로 그동안 보안상 문제가 있었던 일부 기능을 사용할 수 있게 되었습니다.
유저 네임스페이스 지원을 통해 컨테이너 보안이 더욱 강화될 것으로 기대됩니다.
#2008 Forensic Container Checkpointing
컨테이너 체크포인팅을 사용하면 특정 컨테이너에서 스냅샷을 생성할 수 있어 사본에서 분석 및 조사를 수행할 수 있습니다. 스냅샷은 포렌식 조사를 시작할 수 있는 다른 노드로 전송할 수 있습니다.
영향을 받는 컨테이너의 복사본에서 분석이 수행되기 때문에 원본에 액세스할 수 있는 공격자는 이러한 분석을 인식하지 못합니다.
컨테이너 체크포인팅 및 해당 통합의 도움으로 나중에 포렌식 분석을 위해 디스크에서 실행 중인 컨테이너에 대한 모든 정보와 상태를 얻을 수 있습니다.
중지하거나 영향을 주지 않고 의심스러운 컨테이너를 검사하려면 포렌식 분석이 중요합니다.
컨테이너가 실제로 공격을 받고 있는 경우, 공격자는 컨테이너를 검사하려는 시도를 감지할 수 있습니다. 체크포인트를 취하고 샌드박스 환경에서 컨테이너를 분석하면 원래 컨테이너 없이 컨테이너를 검사할 수 있고 공격자가 분석 및 검사를 인식할 수 없습니다.
포렌식 컨테이너 체크포인트 사용 사례 외에도 내부 상태를 유지하고 한 노드에서 다른 노드로 컨테이너를 마이그레이션하는 것도 가능합니다.
현재 CRI-O에서만 포렌식 컨테이너 체크포인팅을 지원하며 containerd runtime은 논의 중에 있습니다.
포렌식 컨테이너 체크포인팅은 Kubernetes에 대한 보안 및 사고 대응을 제공하는 모든 도구를 바꿀 것으로 기대됩니다.
#3329 Retriable and non-retriable Pod failures for Jobs
그 다음은 Kubernetes Jobs에서 매우 필요한 개선 사항입니다.
현재 잡 재시도를 제한하는 데 사용할 수 있는 유일한 옵션은 .spec.backoffLimit를 사용하는 것입니다. Job의 최대 재시도를 제한하며 그 이후에는 Job이 실패한 것으로 간주됩니다.
그러나 자체적으로 수정되지 않는 애플리케이션 오류로 인해 오류가 발생한 경우에는 이 방법이 적합하지 않고 그동안은 컨테이너 실패의 원인을 식별할 수 없습니다.
복구할 수 없는 오류를 알리는 종료 코드가 있는 경우, 더 이상의 실패를 실행하기 위해 시간을 낭비하는 대신 Job을 실패한 것으로 표시하는 것이 바람직합니다. 반면에 포드 선점, 메모리 부족으로 인한 제거 또는 노드 드레인와 같은 인프라 이벤트로 인해 컨테이너가 실패하는 것도 바람직하지 않습니다.
이러한 개선 사항을 job .spec.backFailurePolicy 을 통해 조치할 수 있도록 되었습니다.
실패의 다양한 원인에 대한 정책을 설정할 수 있게 됨으로써 Pod 제거에 대한 Jobs의 안정성을 높여 장애 원인에 따라 다른 동작을 함으로써 Job을 조기에 종료하여 인프라 장애 또는 애플리케이션 오류가 발생한 경우 백오프 시간이 늘어나는 것을 방지할 수 있게 되었습니다.
#3299 KMS v2 개선 사항
Kubernetes 클러스터를 보호할 때 가장 먼저 고려해야 할 사항 중 하나는 유휴 상태에서 지속되는 API 데이터를 암호화하는 것입니다.
KMS는 공급자가 이 암호화를 수행하기 위해 외부 키 서비스에 저장된 키를 활용할 수 있는 인터페이스를 제공합니다. 원래 KMS v1 는 Kubernetes 사용자가 etcd 데이터를 암호화하는 데 성공했지만 몇 가지 주요 측면에서 부족했습니다. 키 관리 시스템의 성능 및 유지 관리를 개선이 필요했습니다.
KMS v2는 암호화 키 관리가 더 쉬워지고 수동 단계가 줄어듭니다. 동시에 해당 키를 사용한 작업이 더 빨라졌습니다.
기존에는 각 개체에 대해 서로 다른 DEK(데이터 암호화 키)를 관리할 때 발생하는 성능 문제가 존재했습니다.
이는 캐시를 비우는 kube-apiserver 프로세스를 다시 시작한 후 모든 시크릿을 LIST하는 작업이 수행될 때 특히 심각했습니다. 기존에는 키 로테이션을 수행할때 각 kube-apiserver 인스턴스를 여러 번 다시 시작해야 합니다. 모든 서버가 새 키를 사용하여 암호화하고 해독할 수 있도록 하기 위해 필요한 작업이지만 클러스터의 모든 시크릿을 무차별적으로 재암호화하는 것은 클러스터를 몇 초 동안 서비스하지 않는 문제가 있습니다.
이러한 부분을 개선하여 클러스터를 보호하는 데 더 나은 보안과 향상된 성능으로 관리 능력을 높였습니다.
Kubernetes 1.25 제거 및 주요 변경 사항
이 릴리스에서는 Kubernetes에서 두 가지 기능이 더 이상 사용되지 않거나 제거되었습니다 .
#5 PodSecurityPolicy + #2529 PodSecurityPolicy
Kubernetes v1.25의 릴리스에서 PSA이 stable으로 전환되고 PSP이 제거되었습니다. PSP는 Kubernetes v1.21에서 더 이상 사용되지 않으며 Kubernetes v1.25 이상에서 더 이상 작동하지 않습니다.
PSP(Pod Security Policies) 는 실행을 사용자 목록으로 제한하거나 네트워크 또는 볼륨과 같은 리소스에 액세스하는 것과 같이 배포가 수행할 수 있는 작업을 제한하는 훌륭한 Kubernetes 기본 도구입니다. 하지만 쿠버네티스 에코시스템에서 가장 오해를 많이 받는 구성 요소 중 하나였습니다.
PSP 대체하기 위해 이제 새로운 PodSecurity admission controller 기본적으로 활성화됩니다 .
PSA는 PSP를 대체하여 네임스페이스에 레이블을 추가하기만 하면 미리 정의된 Pod 보안 표준을 보다 쉽게 적용할 수 있습니다 . 포드 보안 표준은 쿠버네티스 커뮤니티에서 유지 관리하므로 보안에 영향을 미치는 새로운 Kubernetes 기능이 도입될 때마다 자동으로 업데이트된 보안 정책을 받게 됩니다.
Kubernetes v1.23의 베타 이후로 많이 변경되지 않았으며 사용자 경험을 개선하는 데 중점을 두었습니다.
이번 PSP 중단으로 인해 PSA 컨트롤러로 마이그레이션 작업이 필요합니다.
마이그레이션은 가이드 문서와 pspmigrator 도구를 이용하여 넘길 수 있도록 지원하고 있습니다.
API 및 기능 제거
- – CronJob
batch/v1beta1 - – EndpointSlice
discovery.k8s.io/v1beta1 - – Event
events.k8s.io/v1beta1 - – HorizontalPodAutoscaler
autoscaling/v2beta1 - – PodDisruptionBudget
policy/v1beta1 - – PodSecurityPolicy
policy/v1beta1 - – RuntimeClass
node.k8s.io/v1beta1
자세한 중단되는 API 리스트는 링크를 참고하시기 바랍니다.
🔗 Related Links
Kubernetes 1.25에 대한 자세한 내용을 알아보려면 공식 릴리스 발표를 참조하세요.
