샌드박스 처리된 컨테이너란?

샌드박스는 애플리케이션 실행을 위해 엄격히 제어된 환경입니다. 샌드박스 처리된 환경은 리소스를 영구적으로 제한하고, 호스트 시스템이나 운영 체제에 해를 끼치지 않으면서도 검증되지 않았거나 신뢰할 수 없는 프로그램을 격리하고 실행하는 데 자주 사용됩니다. 샌드박스 처리된 컨테이너는 컨테이너 플랫폼에 새로운 런타임을 추가하고 경량 가상 머신을 사용하여 프로그램을 시스템의 나머지 부분으로부터 격리한 다음 이러한 포드 내에서 컨테이너를 시작합니다.

샌드박스 처리된 컨테이너는 일반적으로 Linux 컨테이너 내에 있는 보안 기능에 추가로 사용됩니다.

샌드박스 처리된 컨테이너는 신뢰할 수 없거나 검증되지 않은 코드를 실행하는 권한 있는 워크로드 및 쿠버네티스 네이티브 환경과 같이 매우 엄격한 애플리케이션 수준의 격리와 보안이 필요한 워크로드에 적합합니다. 샌드박스 처리된 컨테이너를 사용하면 다음을 격리하여 원격 실행, 메모리 누수 또는 권한 없는 액세스로부터 애플리케이션을 추가로 보호할 수 있습니다.

• 개발자 환경 및 권한 범위 지정
• 컨테이너화된 레거시 워크로드
• 제 3사 워크로드
• 리소스 공유(CI/CD 작업, CNF 등), 안전한 멀티테넌시 제공

Kata Containers 오픈소스 프로젝트를 기반으로 하는 Red Hat OpenShift 샌드박스 처리 컨테이너는 격리된 자체 커널에서 워크로드를 실행하는 경량 가상 머신을 사용하여 OCI(Open Container Initiative) 호환 컨테이너 런타임을 통해 보안 요구 사항이 엄격한 애플리케이션에 대해 추가 격리 계층을 제공합니다. Red Hat OpenShift는 Red Hat OpenShift 샌드박스 처리 컨테이너 Operator를 관리, 배포, 업데이트하는 인증된 오퍼레이터 프레임워크를 통해 이를 실현합니다. 

Red Hat OpenShift 샌드박스 처리 컨테이너의 오퍼레이터는 클러스터에서 Kata Containers를 선택적 런타임으로 사용할 수 있도록 필요한 모든 요소를 제공하고 지속적으로 업데이트합니다. 여기에는 다음이 포함되지만 이에 국한되지 않습니다.

• 노드에 Red Hat CoreOS 확장으로 Kata Containers RPM 및 QEMU 설치
• CRI-O 런타임 처리기를 사용하여 런타임 수준에서, 그리고 Kata Containers 전용 RuntimeClass를 추가 및 구성하여 클러스터 수준에서 Kata Containers 런타임 구성
• Kata Containers를 배포할 노드 선택과 같이 사용자 정의 방식으로 설치하기 위한 선언적 구성
• 전반적인 배포 상태 확인 및 설치 중 문제 보고

Red Hat OpenShift 샌드박스 처리 컨테이너가 이제 상용화됩니다.