AKS(Azure Kubernetes Service)에서 Pod 보안 정책 사용
Pod 보안 허용(PSA)은 네임스페이스에서 실행되는 Pod에 Pod 보안 표준 정책을 적용합니다. AKS에서는 Pod 보안 승인이 기본적으로 사용하도록 설정됩니다. Pod 보안 허용 및 Pod 보안 표준에 대한 자세한 내용은 네임스페이스 레이블 및 Pod 보안 표준을 사용하여 Pod 보안 표준 적용을 참조하세요.
Pod 보안 승인은 단일 클러스터 구현을 위한 기본 제공 정책 솔루션입니다. 엔터프라이즈급 정책을 사용하려면 Azure 정책을 사용하는 것이 좋습니다.
시작하기 전에
- Azure 구독 Azure 구독이 없는 경우 무료 계정을 만들 수 있습니다.
- Azure CLI 설치
- Kubernetes 버전 1.23 이상을 실행하는 기존 AKS 클러스터
클러스터의 네임스페이스에 Pod 보안 허용을 사용하도록 설정
단일 네임스페이스에 PSA 사용
클러스터의 네임스페이스에 대해 PSA를 사용하도록 설정하려면
kubectl label
적용하려는 정책 값으로pod-security.kubernetes.io/enforce
레이블을 설정합니다. 다음 예제에서는restricted
NAMESPACE 네임스페이스에 대한 정책을 사용하도록 설정합니다.kubectl label --overwrite ns NAMESPACE pod-security.kubernetes.io/enforce=restricted
모든 네임스페이스에 PSA 사용
클러스터의 네임스페이스에 대해 PSA를 사용하도록 설정하려면
kubectl label
적용하려는 정책 값으로pod-security.kubernetes.io/warn
레이블을 설정합니다. 다음 예제에서는 클러스터의 모든 네임스페이스에 대한baseline
정책을 사용하도록 설정합니다. 이 정책은 Pod가 기준 정책을 충족하지 않는 네임스페이스에 배포된 경우 사용자 관련 경고를 생성합니다.kubectl label --overwrite ns --all pod-security.kubernetes.io/warn=baseline
배포를 사용하여 Pod 보안 허용 정책을 적용
kubectl create namespace
명령을 사용하여 두 개의 네임스페이스를 만듭니다.kubectl create namespace test-restricted kubectl create namespace test-privileged
kubectl label
명령을 사용하여 하나는restricted
정책, 다른 하나는baseline
정책을 가지고 각 네임스페이스에 대해 PSA 정책을 사용하도록 합니다.kubectl label --overwrite ns test-restricted pod-security.kubernetes.io/enforce=restricted pod-security.kubernetes.io/warn=restricted kubectl label --overwrite ns test-privileged pod-security.kubernetes.io/enforce=privileged pod-security.kubernetes.io/warn=privileged
구성된 정책을 충족하지 않는 Pod가 실행하려고 하면
test-restricted
및test-privileged
네임스페이스 모두 실행 중인 Pod를 차단하고 사용자 관련 경고를 생성합니다.kubectl apply
명령을 사용하여test-restricted
네임스페이스에 Pod를 배포하려고 시도합니다. 이 명령은test-restricted
네임스페이스가restricted
정책을 충족 하지 않는 Pod를 차단하도록 구성되었기 때문에 오류가 발생합니다.kubectl apply --namespace test-restricted -f https://raw.githubusercontent.com/Azure-Samples/azure-voting-app-redis/master/azure-vote-all-in-one-redis.yaml
다음 예제 출력에서는 Pod가 구성된 정책을 위반했다는 경고를 보여 줍니다.
... Warning: would violate PodSecurity "restricted:latest": allowPrivilegeEscalation != false (container "azure-vote-back" must set securityContext.allowPrivilegeEscalation=false), unrestricted capabilities (container "azure-vote-back" must set securityContext.capabilities.drop=["ALL"]), runAsNonRoot != true (pod or container "azure-vote-back" must set securityContext.runAsNonRoot=true), seccompProfile (pod or container "azure-vote-back" must set securityContext.seccompProfile.type to "RuntimeDefault" or "Localhost") deployment.apps/azure-vote-back created service/azure-vote-back created Warning: would violate PodSecurity "restricted:latest": allowPrivilegeEscalation != false (container "azure-vote-front" must set securityContext.allowPrivilegeEscalation=false), unrestricted capabilities (container "azure-vote-front" must set securityContext.capabilities.drop=["ALL"]), runAsNonRoot != true (pod or container "azure-vote-front" must set securityContext.runAsNonRoot=true), seccompProfile (pod or container "azure-vote-front" must set securityContext.seccompProfile.type to "RuntimeDefault" or "Localhost") deployment.apps/azure-vote-front created service/azure-vote-front created
test-restricted
네임스페이스에서kubectl get pods
명령을 사용하여 실행 중인 Pod가 없는지 확인합니다.kubectl get pods --namespace test-restricted
다음 출력 예는
test-restricted
네임스페이스에서 실행되는 Pod가 없음을 보여 줍니다.No resources found in test-restricted namespace.
kubectl apply
명령을 사용하여test-privileged
네임스페이스에 Pod를 배포하려고 시도합니다. 이번에는test-privileged
네임스페이스가privileged
정책을 위반 하는 Pod를 허용하도록 구성되었으므로 Pod가 성공적으로 배포되어야 합니다.kubectl apply --namespace test-privileged -f https://raw.githubusercontent.com/Azure-Samples/azure-voting-app-redis/master/azure-vote-all-in-one-redis.yaml
다음 예제 출력에서는 성공적으로 배포된 Pod를 보여줍니다.
deployment.apps/azure-vote-back created service/azure-vote-back created deployment.apps/azure-vote-front created service/azure-vote-front created
test-privileged
네임스페이스에서kubectl get pods
명령을 사용하여 실행 중인 Pod가 있는지 확인합니다.kubectl get pods --namespace test-privileged
다음 출력 예는
test-privileged
네임스페이스에서 Pod 2개가 실행되고 있음을 보여 줍니다.NAME READY STATUS RESTARTS AGE azure-vote-back-6fcdc5cbd5-svbdf 1/1 Running 0 2m29s azure-vote-front-5f4b8d498-tqzwv 1/1 Running 0 2m28s
kubectl delete
명령을 사용하여test-restricted
및test-privileged
네임스페이스를 제거합니다.kubectl delete namespace test-restricted test-privileged
다음 단계
이 문서에서는 AKS 클러스터에서 Pod 보안 허용을 사용하도록 설정하는 방법을 알아보았습니다. Pod 보안 허용에 대한 자세한 내용은 네임스페이스 레이블을 사용하여 Pod 보안 표준 적용을 참조하세요. Pod 보안 허용에서 사용하는 Pod 보안 표준에 대한 자세한 내용은 Pod 보안 표준을 참조하세요.
Azure Kubernetes Service