Horiba클라우드를 지원하는 기초 기술의 가상화는 이제 완전히 확립되었으며 새로운 기술이 떠오르고 있습니다. 이 중 컨테이너 기술은 애플리케이션 개발 분야에서 가장 인기있는 기술 중 하나입니다. 많은 회사가 IT 시스템의 효율성을 향상시키기 위해 주로 해외 회사를 도입 한 것으로 보이지만 왜 컨테이너가 필요한가요?

Black요컨대, 컨테이너는 DX를 실현하는 응용 프로그램을 지원하는 최적의 아키텍처입니다. Gafa (Google, Apple, Facebook, Amazon)와 같은 자이언트의 컨테이너 사용에서 볼 수 있듯이, 발전하려는 DX 서비스는 컨테이너 없이는 달성하기가 어렵습니다. 또한 컨테이너는 새로운 기술이 아니지만 10 년 넘게 OSS (오픈 소스 소프트웨어)의 세계에서 성숙해 왔으며 최근 몇 년 동안 실질적으로 사용되어 DX에서 사용되고 있으며 혁신으로 이어졌습니다. 이 기술은 확실히 미래에 사용될 수 있습니다.

Horiba그렇다면 어떻게 컨테이너가 시스템을보다 효율적으로 만들 수 있습니까?

BlackDX 시대에 회사는 시장에 만든 아이디어를 신속하게 형성하고 경쟁 우위를 확보하기 위해 신속하게 아이디어를 개선하고 진화해야합니다. 전통적인 모 놀리 식 애플리케이션 아키텍처와 같은 폭포 시스템 (상류에서 다운 스트림 프로세스로 순차적으로 이동하는 개발 방법)을 개발하려면 계획에서 1 년까지 1 년으로 충분하지 않을 것입니다. 필연적으로, 민첩한 유형 (소규모 단위로 구현 및 테스트를 반복하는 개발 방법)으로 개조하고 수정하여 진화해야합니다. 컨테이너를 사용하면 여러 팀을 동시에 개발하고 생산 환경으로 방출 할 수 있으며 DX와 같은 응용 프로그램 개발주기와 매우 호환됩니다.

Horiba이는 컨테이너 별 컨테이너별로 테스트 환경을 복제하고 테스트 환경을 생산 환경과 결합하는 것이 더 효율적이라는 것을 의미합니다.

Black맞습니다. 컨테이너는 호스트 OS에서 응용 프로그램 자체, 필요한 라이브러리, 구성 파일 등을 수집 한 다음 컨테이너 엔진에서 실행하는 기술입니다. 컨테이너에서 기능을 캡슐화함으로써, 주요 장점은 미들웨어와 같은 다른 버전의 애플리케이션 실행 환경간에 차이가 있더라도 개발 환경 및 생산 환경에서의 운영이 보장된다는 것입니다.

또한, 마이크로 서비스 아키텍처의 개념은 응용 프로그램 기능을 소규모 독립적 인 구성 요소로 나누어 빠른 개발 및 구현, 빈번한 기능 향상, 우수한 가용성 및 재사용을 제공하는 것이 포함됩니다. 다른 서비스를 시작할 때에도 컨테이너를 복제하고 재사용하면 새로운 서비스로 즉시 시장에 전달할 수 있습니다. 컨테이너는 또한 이런 종류의 사고 방식과 매우 호환됩니다.

Horiba다재다능한 것처럼 보이는 컨테이너조차도 일본에서는 여전히 인기가있을 것 같습니다. 그러나 그 이유는 무엇입니까?

블랙마이크로 서비스 및 CI/CD (연속 통합/연속 전달)와 같은 응용 분야에서 멀티 클라우드 및 하이브리드 클라우드와 같은 인프라 영역에 이르기까지 컨테이너와 관련된 아키텍처에는 광범위한 기술 영역이 필요하지만 반면에, 스프레드를 방해하는 요소 중 하나 일 수있는 많은 모범 사례가 없습니다. 많은 수의 컨테이너를 관리하기위한 오케스트레이션 도구는 이제 Kubernetes와 거의 통합되어 있지만 Kubernetes를 사용하려면 특정 수준의 기술이 필요하며 도전은 인적 자원을 개발하는 방법도 필요합니다. 또한 컨테이너를 사용하려면 많은 OSS를 사용해야하므로 OSS에 대한 지식도 필요합니다.

ging또한, 개발 중 또는 작동 후 컨테이너가 갑자기 내려가는 것으로보고되었지만 경고없이 다시 시작될 수있어 컨테이너가 반복적으로 위아래로 이동하는 "충돌 루프 백 오프"로 알려진 현상이 발생할 수 있습니다. 따라서 우리는 불안정한 운영을 감지하고 서비스의 지속적인 운영을 관리하는 모니터링 메커니즘이 필수적이라고 생각합니다. 또한, 마이크로 서비스 아키텍처를 채택하면 개별 서비스가 컨테이너 당 세분성을 갖기 때문에 수백에서 수천까지의 거대한 컨테이너가 생성됩니다. 모니터링은 또한 한 번에 이러한 것들을 모두 모니터링하는 데 어려움입니다.

Horiba반면, 보안 관점에서 컨테이너로 어떤 종류의 위험이 있다고 생각하십니까?

ging미국의 NIST (National Institute of Standards and Technology)는 컨테이너 보안 가이드 라인 (NIST SP800-190)을 발표했으며, 이는 정부 조달 요구 사항으로 설정되었습니다. 여기서 우리는 5 가지 주요 보안 위험을 도입 할 것입니다.

첫 번째는 컨테이너 이미지에 대한 위험입니다. 컨테이너는 이미지 파일로 개별적으로 관리되며 내부에는 많은 코드와 미들웨어가 저장되지만 개발자가 개발에서 생산 릴리스에 이르기까지 이러한 취약점을 고려하지 않고 이러한 취약점을 사용하는 경우가 많이 있습니다.

두 번째는 레지스트리의 위험입니다. 컨테이너에는 이미지를 한 번에 관리하고 개발자가 자주 액세스하는 레지스트리 (Registry)라는 기능이 있습니다. 이 레지스트리에 대한 불안한 연결 또는 무단 액세스가있는 경우 위험이됩니다.

세 번째는 Kubernetes와 같은 오케스트레이터가 직면하는 위험슬롯 게임다. 실제로 Kubernetes는 기본적으로 사용하기위한 안전한 제품이 아니며 특정 위험을 허용하는 제품이라고 생각합니다. 예를 들어, 기본 환경을 고려할 때 권한을 쉽게 확대 할 수있는 기능과 같은 문제가 있습니다. 따라서 우리는 고객에게 SCSK가 조치를 취하지 않는 Kubernetes가 큰 위험이라고 알려줍니다.

네 번째는 런타임 소프트웨어에 숨겨진 취약점입니다. 런타임 소프트웨어는 "Docker"와 같은 컨테이너를 실행하는 데 사용되는 엔진입니다. 해당 런타임에도 보안 위험이 있습니다.

다섯 번째는 호스트 OS의 위험슬롯 게임다. 이것은 OS 자체가 기본 하드웨어에 대한 위험슬롯 게임다.

Horiba그렇다면 그러한 슬롯 게임에 어떤 종류의 해결책이 있습니까?

ging일반적인 예는 서버 및 소프트웨어 메트릭 정보를 수집하고 모니터링하는 OSS "Prometheus"입니다. 또한 컨테이너 취약점을 정적으로 검사하는 OSS "Clair"및 CVE (공통 취약성 식별자) 데이터 및 사용자 정의 정책을 사용하여 컨테이너 보안을 검사하는 OSS "Anchore"도 있습니다. 그러나 내가 이것을 말해야한다면, 최상의 솔루션은 한 번에 모니터링 및 보안을 해결할 수있는 솔루션임을 확신 할 수 있습니다.

HoribaSCSK는 Kubernetes 환경을위한 보안 모니터링 플랫폼 인 "Sysdig Secure DevOps 플랫폼"(SYSDIG라고 함)을위한 SysDig, Inc.와 국내 일반 판매 에이전트 계약을 체결했으며 2019 년 11 월에 가장 많이 판매하는 포인트는 모니터링 기술을 기반으로 한 보안을 구현하는 세계 최초의 제품이라는 것이 었습니다.

ging맞습니다. SysDig는 컨테이너 환경을 전문으로하는 유일한 솔루션으로 1) 모니터링, 2) 보안, 3) 문제 해결 및 4) 단일 측정 지점에서 법의학 (법적 증거를 식별)을 제공합니다. 단일 측정 지점은 SYSDIG 에이전트가 에이전트를 모니터링 및 보안과 같은 전문 공급 업체와 분리 할 필요없이 중공 방식으로 관리 할 수 ​​있음을 의미합니다.

Sysdig의 플랫폼은 두 가지 주요 기능으로 구성됩니다. 첫 번째는 "Sysdig Secure"입니다. 개발에서 실행 환경으로의 취약성 스캔, 런타임 정책 적용, 심사 보안 경보 (심각도 순위), 사고 응답 및 법의학 속도를 높이는 등 클라우드 네이티브 컨테이너 환경 보안 및 규정 준수 메커니즘입니다.

두 번째는 "SysDig 모니터"입니다. OS 시스템 호출을 시각화하는 특허 기술은 Kubernetes 환경과 빠른 문제 해결을 자세히 모니터링 할 수있을뿐만 아니라 블랙 박스 컨테이너 내부의 응용 프로그램 및 컨테이너 간의 네트워크 활동으로 전환 된 컨테이너 내부의 응용 프로그램을 시각화 할 수 있습니다.

또 다른 주요 요점은 Sysdig를 소개함으로써 Kubernetes 기술이 부족하더라도 신속하게 문제를 해결할 수 있다는 것슬롯 게임다. SysDig에는 Rich GUI가 있으며 자세한 모니터링을 제공하므로 문제가 있으면 검출하면 경고가 발행되며 화면을 확인하여 원인을 결정할 수 있습니다. 원인이 이해되면 응답 임무를 신속하게 할당하여 손상을 최소화하고 회복 속도를 높일 수 있습니다.

블랙마이크로 서비스는 많은 컨테이너를 서로 연결하여 단일 서비스를 형성하므로 컨테이너 간의 통신의 병목 현상과 같은 원인을 이해하기가 어렵습니다. 또한 Crash Loop Backoff와 같은 현상은 추적 메커니즘없이 조사하기가 거의 불가능합니다. SysDig를 사용하면 시스템 호출 레벨에서 모든 현상을 포착하여 나중에 법의학을 만들 수 있으므로 원인을 빠르게 조사 할 수 있습니다. 한 고객은 Sysdig의 도입에 매우 만족했으며, 한 달 이상 보냈고 하루 만에 조사 할 수 없었던 현상을 조사 할 수 없었습니다.

Horiba슬롯 게임를 설치 한 고객에게 어떤 종류의 지원을 제공하고 있습니까?

블랙SCSK는 SYSDIG 제품의 운영 및 출시를 지원하기위한 완전한 기술 지원 시스템을 구축했습니다. 특히, 우리는 Kubernetes 기술을 증명할 수있는 자격 인 CKA (Certified Kubernetes Administrator)와 엔지니어를 배치함으로써 제품 지원을 제공하며 CKAD (Certified Kubernetes Application Developer)는 클라우드 빈 애플리케이션을 설계, 빌드, 구성 및 배포 할 수 있음을 증명할 수있는 자격입니다. 또한 "CarePlus SPSS"(소프트웨어 제품 지원 서비스)라는 고유 한 클라우드 서비스를 통해 지원을 제공합니다. CarePlus SPSS에는 고객이 자신의 요구를 해결하도록 장려하는 강력한 검색 기능과 과거 지원 실적을 통해 풍부한 정보가 풍부합니다.

ging비즈니스의 변화로 인해 컨테이너 환경도 조정해야합니다. 따라서 당사의 TAM (Technical Account Manager)은 현재 시스템 상태를 이해하고 발사에서 운영에 이르기까지 일관된 지원을 제공하는 전용 지원 엔지니어이며 고객과 함께 일하는 동안 도움을 줄 것입니다. 이것은 SCSK에서만 사용할 수있는 서비스이며 다른 회사에서는 사용할 수 없습니다.

Horiba이번에는 컨테이너 모니터링 및 보안을위한 모범 사례로 SysDig에 대한 개요를 소개했습니다. SCSK는 일본 최고의 OSS 지식 중 하나를 기반으로 컨테이너 기술의 확산 및 홍보에 계속 기여할 것입니다. 봐주세요.