뉴렐릭 Kubernetes 통합은 기본적으로 권한 있는 모드 에서 실행되므로, 국방부 에이전트(DaemonSet 사이드카로 실행)가 기본 호스트 정보에 직접 액세스할 수 있습니다.
이는 가장 완전한 텔메트리를 제공하지만 일부 보안 정책(예: 파드 보안 표준 또는 OpenShift 표준 계약 조항(SCC))에서는 워크로드를 비특권 모드 로 실행해야 할 수도 있습니다.
특권 모드가 필요한 이유
뉴렐릭 인프라 에이전트는 Kubelet 파드에 포함되어 있으며 심층적인 시스템 지표를 수집하려면 노드의 운영 시스템에 대한 낮은 수준의 액세스가 필요합니다.
공통 라이브러리 에서 privileged 의 기본값은 false 이지만, 이 차트에서는 에이전트가 다음을 수행할 수 있도록 기본값을 true 로 설정합니다(참고: values.yaml).
- 호스트의
/proc및/sys파일 시스템을 읽습니다. - 해당 호스트 의 CPU, 메모리, 스토리지 및 네트워크 통계를 정확하게 수집합니다.
- 인프라 상태와 Kubernetes 객체 간의 연관성을 보여주는 전체 프로세스 목록 및 메타데이터를 수집합니다.
권한 없이 실행 중
만약 컨테이너 보안 정책이 파드 보안 컨텍스트에서 privileged 허용하지 않는다면, privileged false 로 설정하여 이를 비활성화할 수 있습니다.
데이터 수집에 미치는 영향
중요
권한 모드를 비활성화하면 호스트 수준의 메트릭 및 메타데이터가 손실됩니다.
권한이 없는 경우 인프라 에이전트는 호스트의 리소스 사용량을 볼 수 없습니다. 다음과 같은 표준 호스트 메트릭에 대한 접근 권한을 잃게 됩니다.
- SystemSample: 호스트 수준의 CPU, 메모리 및 부하 평균.
- StorageSample: 노드의 파일 시스템에 대한 디스크 사용량 및 I/O.
- NetworkSample: 물리적 네트워크 인터페이스 통계.
- ProcessSample: 블루렐릭 컨테이너 외부에서 실행되는 프로세스에 대한 데이터입니다.
권한 없는 모드에서 사용할 수 없는 속성 및 메트릭에 대한 자세한 목록은 Linux 에이전트 실행 모드 설명서를 참조하십시오.
설정 방법
사용자 지정 값 파일을 업데이트하여 전역 권한 플래그를 false 으로 설정하십시오.
global: privileged: false권한이 없는 모드의 Windows
표준 Windows 컨테이너는 컨테이너 격리로 인해 호스트 콘솔에 직접 액세스할 수 없습니다. HostProcess는 이러한 접근을 제공할 수 있지만 추가적인 보안 위험을 초래할 수 있으며 현재 뉴럴릭 Kubernetes 통합에서는 사용되지 않습니다. 따라서 Windows DaemonSet은 권한 없는 모드에서만 실행되며, Windows 노드에서는 권한 있는 모드가 지원되지 않습니다.
이 모드에서 수집되는 메트릭에 대한 자세한 내용은 Windows용 Kubernetes 통합의 제한 사항을 참조하세요.