쿠버네티스 v1.36: 쿠버네티스 사용자 네임스페이스가... 노트

쿠버네티스 v1.36: 쿠버네티스 사용자 네임스페이스가 드디어 GA(정식 출시)됩니다.

"Kubernetes v1.36은 컨테이너화된 워크로드에 대한 향상된 보안 격리를 지원하는 Linux 전용 기능인 사용자 네임스페이스에 대한 일반 공급(General Availability) 지원을 도입했습니다. 이 오랫동안 기다려온 이정표는 Kubernetes 애플리케이션에 대한 "루트 없는(rootless)" 보안 격리를 가능하게 합니다.중요한 기능은 hostUsers: false를 설정하여 사용자 네임스페이스 내에 격리된 상태로 권한을 가진 워크로드를 실행하는 것입니다. 이를 통해 CAP_NET_ADMIN과 같은 특정 기능이 네임스페이스화되어 로컬 컨테이너 리소스에 대한 관리자 권한만 부여됩니다. 이전에는 컨테이너 내에서 루트 권한을 가진 프로세스가 호스트에서도 루트 권한을 가졌기 때문에 탈출 시 상당한 보안 위험을 초래했습니다.이 기능의 핵심적인 지원 기술은 ID 매핑 마운트(ID-mapped mounts)로, 디스크 소유권을 변경하지 않고 마운트 시점에 UID 및 GID를 투명하게 다시 매핑합니다. 이는 초기 개발 단계에서 문제가 되었던 볼륨 소유권 업데이트와 관련된 성능 문제를 해결합니다.사용자 네임스페이스 구현은 간단합니다. Pod 사양에서 hostUsers: false를 설정하기만 하면 되며, 컨테이너 이미지나 복잡한 구성 변경이 필요하지 않습니다. 이 기능은 알파 단계에서 도입된 것과 동일한 인터페이스를 활용합니다. 이러한 발전은 Kubernetes SIG Node, 컨테이너 런타임 및 Linux 커널 간의 수년간의 프로젝트 간 협업을 대표합니다."