Runtime Wrapper를 활용하여 containerd에서 oci-seccomp-bpf-hook이용하기 kt넥스알 2021년 상반기 테크리포트 by 기술블로그 I. 서론 K8S 위에 다중 사용자들의 컨테이너 실행을 허용하거나 사용자들이 직접 컨테이너에 접근하여 컨테이너 실행 내용을 변경할 수 있는 상황일 경우 클러스터 보안을 위해 사용자의 컨테이너에서 요청할 수 있는 시스템 콜의 종류를 제한 하는 것이좋다.
이를 위해 리눅스 기반의 컨테이너 엔진들은 seccomp 라는 샌드박싱 기술을 통하여 컨테이너의 시스템 콜을 감시하고 허용되지 않은 시스템 콜에 대해 정해진 반응을 취할 수 있는 기능을 제공한다. 또 한 K8S 는 각 컨테이너 엔진으로 이러한 기능을 이용할..........
Runtime Wrapper를 활용하여 containerd에서 oci-seccomp-bpf-hook이용하기 : kt NexR 기술블로그 ‘21 테크리포트에 대한 요약내용입니다.
자세한 내용은 아래에 원문링크를 확인해주시기 바랍니다.
