쿠버네티스 v1.33: 사용자 네임스페이스 기본 활성화... 노트

쿠버네티스 v1.33: 사용자 네임스페이스 기본 활성화!

Kubernetes v1.33에서는 기본적으로 사용자 네임스페이스를 활성화하여 파드 보안을 강화합니다. 사용자 네임스페이스는 Kubernetes 네임스페이스와 구별되는 Linux 커널 기능으로, 컨테이너 UID 및 GID를 호스트에서 격리합니다. 이러한 격리 기능은 컨테이너가 탈출하더라도 호스트 보안을 강화하고 컨테이너 간의 수평 이동을 방지합니다. 사용자 네임스페이스를 활성화하면 호스트의 완전한 루트 액세스를 부여하지 않고도 특권 작업이 필요한 애플리케이션을 실행할 수 있습니다. 파드는 파드 사양에 hostUsers: false를 설정하여 사용자 네임스페이스에 옵트인할 수 있습니다. 이 기능은 idmap 마운트를 지원하는 파일 시스템이 필요하며, Linux 커널 버전 6.3 이상이 완전한 지원을 위해 권장됩니다. 그러나 이전 커널 버전에서는 제한 사항이 있을 수 있습니다. 사용자 네임스페이스는 호스트의 루트 권한을 방지하여 컨테이너가 손상되더라도 호스트 보안을 강화하고 전체 시스템 보호를 개선합니다. 더 깊은 이해와 구현을 위해 추가 정보 및 리소스가 제공됩니다.