본문 바로가기

kubernetes77

728x90
Kubernetes DaemonSet 운영 Worker / Master 노드 스케줄링 구조 Kubernetes에서 DaemonSet은 “클러스터의 모든 노드 또는 특정 조건의 노드에 동일한 Pod을 하나씩 배포”하기 위한 워크로드입니다. 하지만 마스터 노드(Control Plane 노드) 에서 DaemonSet을 생성했다고 해서 자동으로 모든 노드에 무조건 적용되는 것은 아닙니다.실제 동작은 다음 3가지 요소에 의해 결정됩니다.기본 개념: DaemonSet의 배포 방식DaemonSet은 각 노드마다 1개의 Pod을 자동 배포하는 컨트롤러입니다.예를 들어 아래와 같은 구조입니다.Cluster ├─ Node1 → Pod (DaemonSet) ├─ Node2 → Pod (DaemonSet) ├─ Node3 → Pod (DaemonSet) └─ Node4 → Pod (DaemonSet)즉 클러.. 2026. 3. 3.
LLM 생성 코드 실행의 위협 모델과 방어 설계: 탈출·유출·DoS 통제 LLM이 만든 코드는 “우리 코드”가 아니라 외부 입력(External Input) 과 동일하게 취급해야 합니다.즉, LLM 생성 코드를 실행하는 순간부터는 서버가 ‘코드 실행 플랫폼’이 되며, 공격자 관점에서 아래가 모두 가능합니다.악성 코드 실행: 파일 삭제/변조, 데이터 유출, 채굴 등샌드박스 탈출: 커널/런타임/설정 실수로 호스트·클러스터 권한 획득리소스 고갈(DoS): 무한 루프/메모리·디스크 폭주로 노드/네임스페이스 장애네트워크 악용: 내부망 스캔, C2 통신, 데이터 외부 반출따라서 핵심은 단일 기법이 아니라 “다단계 격리 + 최소권한 + 정책 강제 + 감시/증적” 조합입니다.(A) LLM/에이전트→ 코드/입력/리소스 한도/필요 권한(capabilities)을 “선언”(B) Code Exec.. 2026. 2. 25.
Docker·containerd·CRI-O·Kubernetes 환경 컨테이너 탈출 탐지 전략 컨테이너 탈출 탐지의 현실컨테이너 탈출은 “하나의 이벤트”가 아니라 “행위 조합”컨테이너 탈출 시도는 보통 다음 요소들이 연속적으로 나타납니다.격리 경계 접근: /proc, /sys, /dev, namespace 조작권한 상승 시도: CAP_SYS_ADMIN, setcap, SUID, unshare, nsenter호스트 제어면 접근: Docker 소켓(/var/run/docker.sock), kubelet API, container runtime socket호스트 지속성: cron/systemd 변조, ssh key 추가, 바이너리 드롭👉 따라서 실무에서는 “A 단독이면 경고”, “A+B면 중간”, “A+B+C면 고위험” 같은 스코어링/상관분석이 맞습니다.osquery의 강점/한계강점: 프로세스/권한/.. 2026. 2. 12.
컨테이너 이미지 변경 REFRESH·REINDEX 무중단 인덱스 재생성 Playbook DB 생성 시기와 운영체제(glibc/ICU)·PostgreSQL 바이너리(업그레이드/컨테이너 이미지 변경 등)이 달라졌을 때 발생할 수 있는 각 상황에 대한 영향·진단·우선순위별 대응(명령·스크립트·무중단 옵션 포함)과 운영·보안 관점의 체크리스트 예시입니다.어떤 변화가 위험을 만드는가?OS(glibc/locale/ICU) 업그레이드 또는 변경 — DB가 만들어진 시점의 libc/ICU와 실행 환경이 달라지면 collation(문자열 정렬 규칙) 버전 불일치 경고가 발생할 수 있으며, 문자열 인덱스의 정렬 순서가 달라져 인덱스 불일치/쿼리 결과 변화 가능성이 있습니다.PostgreSQL 바이너리 업그레이드(버전 변경) 또는 재빌드 — 빌드 시 사용된 libc/ICU와 운영체제의 차이로 경고가 나타날 수.. 2026. 1. 22.
Woodpecker 기반 K8s·API·LLM 다계층 통합 레드팀 자동화 플랫폼 1. 목적과 범위목적: 프로덕트·플랫폼·AI 서비스 전반의 공격 시뮬레이션 자동화로, 취약점 빠른 탐지 → 우선순위화 → 시정 → 재검증(회귀) 를 CI/CD에 내재화합니다.대상K8s: 권한·격리·네트워킹·스토리지·이미지·시크릿API: 인증·인가·입력검증·데이터 노출·레이트리밋·MisconfigAI/LLM: 프롬프트 인젝션·데이터 포이즈닝·출력 유출·도구 오남용원칙: 스테이징 우선, 운영은 Change 승인 하 비파괴·저충격 범위로 제한.2. 도구 개념과 구성Experiments: 실제 공격 행동을 YAML/JSON 시나리오로 정의, 실행해 증거를 남깁니다.Verifiers: 실행 결과를 기준(상태코드/패턴/메트릭)으로 판정(성공/실패/심각도).Components: 특정 실험이 의존하는 K8s 배포물/보.. 2025. 8. 28.
728x90
728x90

티스토리툴바