크레이지 슬롯 프로젝트의 관점에서 볼 수있는 현실!
숙련 된 프로젝트는 "Kubernetes Wall"및 보안 조치에 대해 이야기합니다

중재자
◆ Scsk Co., Ltd.Oku HiroshiMr.
Red Hat Product Division의 관리자로서 그는 2008 년 JBoss를 시작한 이후 10 년 동안 주로 Java의 미들웨어 제품 판매에 참여해 왔습니다.

경험이 풍부한 패널리스트

◆ Hewlett-Packard Japan LLCHirayama SoichiroMr. 기업을위한 인터넷 기반 시스템에 대한 보안 조치에 참여했으며 J-SOX 및 PCI DSS도 지원 프로젝트를 구현했습니다. 라면을 좋아하는 선임 컨설턴트는 합병과 분할으로 인해 일자리를 바꾸지 않고 3 개의 회사에 대한 경험을 가지고 있습니다.

◆ MR. Ishikawa Aiko, Scsk Co., Ltd. SYSDIG 제품 기술. OpenShift를 포함한 다양한 컨테이너 플랫폼에서 작업하는 클라우드 엔지니어. 주요 전장은 특히 컨테이너 모니터링 및 보안의 주요 초점입니다.

◆ Red Hat Co., Ltd.Tsuchida TakafumiMr. 인프라 SI 서비스에 종사하는 장기 실행. 그는 현재 OpenShift 및 Middleware를 엔터프라이즈 회사에 제안하는 영업 관리자입니다.

뒤 :우선,이 행사에 가장 적합한 테마에 대해 생각할 때 OpenShift 및 컨테이너 분야에 모범 사례가 거의 없다고 생각 했으므로 진실이 무엇인지 알고 싶다고 확신합니다. 이 중에서도 보안은 특히 고려해야 할 영역이라고 생각했습니다. 따라서 우리는 고객에게 Sysdig라는 제품을 제안한 다음 실제 프로젝트를 진행하고있는 Hirayama 씨와 대화하고 싶습니다.

MR. 히라야마 :예. 내가 참여한 프로젝트는 Kubernetes 인프라 온 프레미스를 만드는 것이 었습니다. 저는 엔터프라이즈 고객이기 때문에 Red Hat OpenShift Container 플랫폼 (OCP라고 함)을 선택하기로 결정했습니다. 또한 PCI DSS (지불 카드 산업 데이터 보안 표준)를 준수해야합니다. 바이러스 예방, 변조 탐지 및 취약성 점검과 같은 대책이 필요하며 Kubernetes, 관찰 가능성 또는 운영 모니터링에서도 수행해야합니다. 그래서 우리는 Sysdig를 소개했습니다.

뒤 :나는 당신에게 대단히 감사합니다. 엔터프라이즈 회사를 대상으로했기 때문에 우리는 OpenShift에 대해 이야기했지만 다양한 옵션 가운데서 왜 OpenShift가 되었습니까? 이것에 대해 어떻게 생각하십니까? Tsuchida-san?

MR. Tsuchida :맞습니다. Keyword Enterprise Grade를 사용하여 OpenShift가 선택된 사례 수는 크게 증가하지만 유일한 이유는 운영 측면의 차이 때문이라고 생각합니다. Kubernetes에서 이러한 컨테이너 애플리케이션을 호스팅하는 것은 실제로 작동하기가 어렵고 전반적인 작동이 복잡해집니다. 나는 또한 당신이 원하는 혜택을 얻을 수 없다고 들었습니다. OpenShift를 사용하면 기본 구성 요소가 요구하는 작업을 최대한 활용하기 위해 컨테이너 애플리케이션을 호스팅하기 위해 오프로드 할 수 있습니다. 최근에 사람들이 실제로 이것을 선택한 경우가 있었으므로 기업 등급으로 알려진 영역 중 하나라고 생각합니다.

뒤 :감사합니다. Red Hat은 OpenShift에 대해 이야기 할 때 상업 (LOL)처럼 보이면 히라야마는 크레이지 슬롯로 무엇을 했습니까?

MR. 히라야마 :Tsuchida 씨가 말한 것과 똑같으며 이상하게 느끼지 않습니다.

뒤 :이 프로젝트는 SysDig를 사용하여 보안 요구 사항을 충족하지만 Red Hat은 OpenShift에 Kubernetes (이하 ACS라고 함)에 대한 Red Hat Advanced Cluster Security라는 컨테이너 보안 제품도 있습니다 ... 그것에 대해 어떻게 생각하십니까?

MR. Tsuchida :예. 당신이 말했듯이, OpenShift에는 실제로 보안 구성 요소가 있습니다. 물론 CI/CD를 포함한 보안뿐만 아니라 필요한 구성 요소가 있으며 OpenShift에서 이러한 구성 요소를 직접 사용하는 데 분명히 이점이 있다고 생각합니다. 그러나 선택 해야하는 기본 구성 요소는 실제 운영 저항과 호스팅하는 작업 부하에 따라 다릅니다. 따라서 나는 OpenShift가 제공하는 구성 요소 만 최상의 솔루션이라고 생각하지 않습니다. 나는 그것이 가장 잘 읽히고 있다고 생각하지만 OpenShift는 타사 제품을 올바르게 호스팅 할 수 있으며 SysDig 가이 프로젝트의 최고의 보안 구성 요소라고 생각합니다.

그림 1 슬라이드 크레이지 슬롯;프로젝트 요약크레이지 슬롯;

뒤 :나는 본다. 그것을 생각해보십시오. 아마도 Sysdig를 처음 모르는 사람들이있을 것입니다. Ishikawa 씨, 간단한 소개를 주시겠습니까?

Ishikawa :네, 맞습니다. Sysdig는 Linux 호스트에서 시스템 호출을 수집하고 해당 정보를 기반으로 모니터링 보안 기능을 제공하는 제품입니다. 컨테이너 취약성 스캔이 가능하며 이제 필수적입니다. SysDig의 또 다른 독특한 특징은 컨테이너 내부에서 실행되는 패키지와 사용되는 패키지를 식별 할 수 있다는 것입니다. 이것을 위대하게 만드는 것은 많은 취약점을 우선시함으로써 필요한 조치에 신속하게 대응할 수 있다는 것입니다. 또한 OpenShift 환경에서는 컨테이너와 보안 기능을 모두 데몬 세트로 배포하여 사용할 수 있으므로 작동하기 쉬운 기능이됩니다. 광고와 비슷해졌습니다.

뒤 :(lol) 공유하고 싶은 기능이 너무 많다는 것을 의미합니다. 히라야마 씨, 그러나 크레이지 슬롯로이 프로젝트의 선택 측면에서 결정을 내렸습니까?

MR. 히라야마 :두 가지 결정 요인이있었습니다.
처음에, 나는 에이전트를 사용하고 엔터프라이즈 회사의 프로젝트에서 일반적 인 관리자와 함께 관리하는 아키텍처를 사용하는 시스템을 생각하고있었습니다. 그러나 그들은 OCP에서 그 접근법을 취할 수 없었습니다. 모든 에이전트는 핵심 OS 또는 컨테이너를 지원하지 않습니다. 둘째, 이것은 OCP를 경험 한 것은 처음이며, 정상적으로 실행하면 수백 개의 컨테이너가 필요합니다. SysDig와 같은 도구를 사용하지 않고 어떻게 알아 봅니까? 나는 그것을 시각화하는 방법이 궁금했다. 이런 종류의 도구는 Kubernetes 환경에서 필수적이라고 생각합니다.

뒤 :감사합니다. 따라서이 배경 속에서 오늘날의 주제는 "벽"입니다. 얼굴에 다양한 범프가 있다는 일반적인 우려에서 크레이지 슬롯로 당신이 크레이지 슬롯로 어려움을 겪고있는 것을 알려주십시오. Hirayama-san은 어떻습니까?

MR. 히라야마 :예. 어느 날, 응용 프로그램 팀은 테스트를하고있었습니다. 그런 다음 약 몇 주 후, 컨테이너가 더 이상 시작되지 않을 것이라고 들었습니다. 다행스럽게도 HPE의 다른 프로젝트에서 비슷한 현상을 만났고 원인을 조사하기위한 노하우를 축적하여 다양한 것들을 분석했습니다. 통나무는 제어 평면과 CRI-O 사이에 불일치가있는 것으로 보인다. 이 문제는 프로젝트 환경 밖에서 재현 될 수 있으며, 다재다능하고 재현 가능한 문제로 확인되었으므로, 우리는 티켓을 Red Hat Bugzilla (※)에 개설하고 게시하도록 요청했습니다.
몇 가지 추가 조사를 진행하면서 과거에 유사한 사건이 전 세계적으로보고되었으며 CRI-O의 수정 된 버전이있는 최신 버전의 OCP와 함께 시도해 달라는 요청을 받았습니다. 언뜻보기에, 그것은 해결 된 것처럼 보였지만, 긴 연속 테스트 후에 다시 재발했습니다. 빨간 모자 분석에 따르면 원인은 CRI-O와 Sysdig가 크레이지 슬롯;.lock크레이지 슬롯;파일을 잠그었기 때문입니다.

*Red Hat Bugzilla ...

Bugzilla는 오픈 소스 버그 관리 서비스이며 Red Hat Bugzilla는 Red Hat Products에 크레이지 슬롯되는 Bugzilla입니다

뒤 :나는 본다. 우리는 그 원인에 대해 간단히 이야기했지만, 우리 가이 시점에 도달하기 전에 많은 어려움을 겪었을 것입니다. 이시카와 씨, 키워드 크레이지 슬롯;Cri-o크레이지 슬롯;가 나타 났습니까?

그림 2 슬라이드 크레이지 슬롯;OpenShift Atchtechure 개요크레이지 슬롯;

Ishikawa :맞습니다. 그림 1 은이 사건이 발생했을 때 히라야마 씨와 다른 사람들로부터 들었던 내용을 요약합니다. OpenShift는 컨테이너가 움직이는 바닥에서 두 번째 레이어에서 컨테이너 런타임으로 CRI-O를 제공합니다. 기본적 으로이 CRI-O는 관련되어 있지만 Sysdig의 무언가가 영향을 미치는 것 같습니다. 그러나 이것은 상당히 깊은 층이므로 컨테이너를 쉽게 알기가 쉽습니다. 아래로 이동하는 그룹은 호스트이므로보기가 어렵고 운동을 특별히 알지 못해서 이것이 문제가 아니라고 생각했습니다.

뒤 :CRI-O 크레이지 슬롯은 OpenShift에 대한 요구 사항입니다.

Ishikawa :예. 먼저 우리는 Sysdig가 크레이지 슬롯로 관여했는지 확인해야했습니다. 원인을 조사해야하며 관련이없는 경우 결백 한 것으로 입증되어야합니다. 관련이 있다면 원인을 식별하기 위해 기술 지원을 요청해야했으며 경우에 따라 수리해야했습니다. 그러나 하나의 CRI-O 문제가 있었으므로 다양한 연구를 수행하는 동안 몇 가지 문제를 발견했습니다.

MR. 히라야마 :앞에서 언급했듯이,이 문제는 다소 깊은 계층과 응용 프로그램 및 응용 프로그램 팀의 사용자에게 발생합니다. 새로운 컨테이너가 시작되지 않는다는 것입니다. 그러나 실제 문제는 CRI-O에서 처음이었고 일단 해결되면 문제는 .lock 파일이 잠겨 있다는 것이 문제였습니다.

뒤 :나는 본다. 한 팀이 이번에는 Red Hat Bugzilla를 크레이지 슬롯하여 문제를 해결하기 위해 노력했다고 들었지만 정확히 무엇을 했습니까?

그림 3 슬라이드 크레이지 슬롯;노력으로부터의 학습크레이지 슬롯;

MR. 히라야마 :한 팀은 그림 3에 표현되어 있습니다. 두꺼운 화살표는 중앙에 Red Hat Bugzilla 웹 화면이있는 통신 경로를 나타냅니다. 우리는 Red Hat에 있었지만 프로젝트에 참여한 Sysdig 및 SCSK를 포함한 모든 사람 과이 화면을 공유 할 수 있었기 때문에 이메일이 메시지 게임이나 시간 지연처럼되면 빠르게 공유 할 수있었습니다. 특히, 공유와 동시에 데이터를 분석 할 수 있다는 사실은 속도로 정확하게 응답 할 수있는 요인이라고 생각합니다.

뒤 :Red Hat도 컨설팅 회사로서 지원을 제공하고있는 것 같습니다. 그러나 그는 어떤 종류의 지원을 지원 했습니까? 컨설턴트가 계속 발전했는지 알려주십시오.

MR. 히라야마 :예, SCSK의 TAM (기술 계정 관리)이 사전에 응답했습니다.

Ishikawa :맞습니다. 우리는이 문제에 직접 관여하지 않았지만 OpenShift를 위해 SCSK와 TAM 계약을 체결했으며 정기 회의 중에 공유되었으며, 담당자와 의사 소통하여 상황을 이해할 수있었습니다. TAM으로서의 지식을 바탕으로 Sysdig 크레이지 슬롯 연구를 수행 할 수 있다고 생각합니다. Sysdig와 Red Hat은 서로를 연구 해 왔으며 두 회사간에 직접적인 연관성이 많지 않았지만이 경우 Red Hat Bugzilla를 중심으로 한이 커뮤니케이션 경로가 잘 작동했다고 생각합니다.

뒤 :그렇습니까? TAM으로서 우리는 고객 프로젝트의 상황, 프로젝트 주변에 대한 정보 및 이번에는 Sysdig의 움직임을 포함하여 Red Hat Bugzilla를 통해 모든 것을 완전히 이해하고 전달할 수있었습니다.

MR. Tsuchida :맞습니다. Red Hat은 구독을 제공하지만 방금 언급 된 이벤트가 발생하고 레이어가 다중 계층화되어 있으며 많은 문자가 있으므로 TAM 및 전문 서비스를 기술 지원으로 제공하여 문제를 해결하기가 어렵습니다. 이 프로젝트의 일환으로 HPE와 SCSK는 서비스를 매우 잘 크레이지 슬롯하며 커뮤니케이션 경로와 열린 공간에서 긴밀히 협력 할 것입니다. 그것이 잘 작동했으며 윤활 솔루션이 빠르게 해결되어 기쁩니다.

Ishikawa :그것에 대해 조금 더 이야기하려면 이번에는 Cri-O가 크레이지 슬롯하는 충돌하는 잠금 파일이 있었지만 Sysdig가 독특하게 나쁜 일을하고있는 것은 아닙니다. CRI-O를 크레이지 슬롯하는 환경에서 실행되는 모든 타사 제품이 관련되어 있습니다. 다행히 Sysdig는이를 해결할 수있었습니다.

- 감사합니다. 이 상황 이이 문제를 해결하기 위해 많은 노력을 기울 였다는 것이 분명하다고 생각합니다.

MR. Tsuchida :당신은 아마도 다양한 도전에 직면하게 될 것입니다. 그러나이 경우와 같이 HPE와 SCSK가 열린 도로가 있으며, 팁과 노하우와 같은 기술 정보가 무한히 열려 있으므로 일단 가면 정말 이해할 수 있다고 생각합니다. 나는 이것이 이미 열린 경로를 따라 더 확장되기를 바랍니다.

Ishikawa :이 기사의 주제는 Kubernetes이므로 약 4 년 동안이 분야에 참여해 왔기 때문에 매일 문제 해결을하고 있지만 솔직히 말하면 벽 만있는 것 같습니다. 그러나이 일을 계속하면서 벽은 점차적으로 벽처럼 점점 더 적습니다. Zen과 같지만 일단 도착하면 컨테이너가 정말 편리하고 오케스트레이션을 오케스트레이션하는 OpenShift도 매우 편리합니다. 더 이상 컨테이너가없는 시절로 돌아갈 수 없다고 생각하게하기 때문에 너무 편리하다고 생각합니다. SysDig를 사용하면 더욱 편리하게 만들어 지므로 OpenShift와 SysDig를 함께 사용할 수 있기를 바랍니다.

MR. 히라야마 :기업 회사의 시스템은 일반적으로 5 년 또는 7 년 안에 감가 상각 될 것이라고 가정하지만 Kubernetes 세계에서 만료 날짜는 약 6 개월입니다. 따라서 지속적으로 업데이트하는 동안 계속 사용해야합니다. 우리는 정말로 우리의 사고 방식을 바꿔야한다고 생각합니다. 이시카와는 벽을 언급했지만 벽은 균일하지는 않지만 높고 낮은 곳이 있습니다. 크레이지 슬롯로 Kubernetes는 오랫동안 확립 된 UNIX 기술을 기반으로합니다. 지금까지 우리가하고있는 노하우 문제 해결은 Kubernetes와 함께 사용할 수 있습니다. 나는 이번에 그것을 시도한 후에 그것에 대해 정말로 생각했다. 그래서 나는이 문제에 대해 계속 노력하고 앞으로 계속 당신과 함께 일하는 것을 두려워하지 않기를 바랍니다.