VKS 3.7 출시: 기업용 Kubernetes에 자동 보안·확장·무결성 추가 기능 제공

출처: VMware 블로그

현대 규모의 애플리케이션을 관리하려면 섬세한 균형을 맞춰야 합니다. 이러한 워크로드를 성공적으로 배포하려면 플랫폼 팀은 개발자 속도 향상, 보안 강화, 최신 에코시스템 도구 채택이라는 경쟁적인 우선순위를 지속적으로 조율해야 하며, 이를 엄격한 준수 규범 내에서 수행해야 합니다. VMware vSphere Kubernetes Service (VKS) 3.7 출시가 이 요구사항을 직접 해결합니다.

VKS는 VMware Cloud Foundation (VCF), 기업이 현대 애플리케이션과 전통적인 워크로드를 함께 실행할 수 있도록 하는 통합된 프라이빗 클라우드 플랫폼에 내장된 CNCF 인증 Kubernetes 런타임입니다. VKS를 통해 플랫폼 팀은 VCF에 포함된 풍부한 클라우드 서비스 및 모든 Conformant 서드파티 서비스를 활용하면서 Kubernetes 클러스터를 배포, 관리, 규모 조정할 수 있습니다.

자동화된 준수,Critical 섹터 규모, 운영 효율성, 그리고 전면 재설계된 Add- on 프레임워크에 집중함으로써 이번 VKS 릴리스는 플랫폼 엔지니어링 팀의 일상을 크게 간소화하면서 명확한 비즈니스 이점을 제공합니다. VKS 3.7은 Kubernetes 버전 1.36을 지원하여 Broadcom이 현대 기업용으로 설계된 CNCF 인증 Kubernetes를 제공하는 데 대한 약속을 지속합니다.

VKS 3.7는 네 가지 핵심 축에 걸쳐 가치를 전달합니다.

1. 플랫폼 보안 및 준수 강화

• 대상 파일시스템 잠금 해제: /usr와 같은 특정 운영 체제 디렉터리에 대한 무단 접근을 차단하여 보안을 강화합니다. 이 새로운 기능은 Secure Boot에서 검증된 OS 레이어 보안 강화를 기반으로 추가적인 보호 계층을 제공합니다. 워크로드와 비인가 프로세스가 핵심 운영 체제 디렉터리를 수정하는 것을 방지함으로써 노드 손상 위험을 줄이고, Kubernetes 클러스터 전체에 일관된 보안 상태를 유지하도록 돕습니다.

• 사용자 지정 TLS 프로필: 최소 TLS 버전 강제 및 맞춤 암호 세트 선택으로 VKS 클러스터 구성 요소에 대한 일반적인 준수 표준을 충족합니다. 플랫폼은 스케일링 및 기타 수명 주기 작업을 포함하여 클러스터 전체에서 이러한 설정을 자동으로 유지하여 수동 드리프트와 지속적인 수정 작업을 없애줍니다.

• 신속한 CVE 완화: 기존에는 OS 보안 패치가 Kubernetes 패치 버전과 연동되어 광범위한 계획 및 중단 유지보수 창구가 필요했습니다. VKS 3.7은 이러한 주기를 분리합니다. 통합된 Image Baker 도구를 사용해 자체 OS 이미지를 가져와Critical 보안 패치를 적용하고, 워크로드에 영향을 주지 않고 모든 클러스터에 원활하게 배포할 수 있습니다.

그림 1: 비파괴적 OS 보안 패치 업데이트를 통한 신속한 CVE 완화

인프라를 보호하는 것은 필요한 기반이지만, 텔레커뮤니케이션, 정부, 의료, 에너지 등Critical 섹터의 조직에서는 보안만으로는 충분하지 않습니다.

2. Critical 섹터에서의 워크로드 배포 가속화

미션크리티컬 애플리케이션은 가용성과 성능 요구사항을 충족할 수 있는 인프라가 없음을 의미합니다. Telco 5G 코어 배포, 대규모 데이터 처리 파이프라인, 정부 워크로드는 Kubernetes 인프라에 대한 독특한 요구사항을 가지고 있습니다: 고수량 노드, 로컬화된 실패에 대한 내결함성, 그리고 고강도 트래픽을 격리된 고성능 네트워크 인터페이스를 통해 라우팅할 수 있는 능력.

이러한 과제를 해결하기 위해 VKS 3.7은 다음 세 가지 핵심 기능을 제공합니다:

• VKS 제어 평면의 강화된 내결함성: 제어 평면을 5개 노드로 확장하여 VKS API 서버가 높은 가용성과 회복력을 유지합니다.

• Telco 및 미션크리티컬 애플리케이션 규모 확장: 클러스터당 노드 수를 대폭 늘려 Telco 5G 코어와 같은 엄격한 요구사항을 충족합니다.

• 고성능 네트워킹 활성화: VKS 3.7은 대기감도가 낮은 고강도 워크로드가 전용 보조 네트워크와 고성능 네트워크 인터페이스를 활용하도록 지원합니다. Multus CNI 및 Whereabouts를 통해 SR-IOV 및 DPDK 가속 NIC 가상 기능을 활용하는 첨단 네트워킹 아키텍처를 구축할 수 있어 미션크리티컬 애플리케이션에 최적화됩니다.

이 기능들은 다운타임 또는 성능 저하가 실제적인 결과를 초래하는 산업에 바로 적용 가능하도록 합니다. 비즈니스 이해관계자는 5G 코어, 정부, 의료, 에너지 워크로드를 실행할 수 있는 인프라를 확보하여 요구사항에 맞는 우수한 사용자 경험과 낮은 지연을 얻을 수 있습니다.

플랫폼 팀은 API 서버의 내결함성과 고성능 네트워킹 기능을 확보하며, Multus와 Whereabouts 통합으로 보조 네트워크를 처음부터 구성하는 수동 복잡성을 제거합니다.

이러한 섹터가 요구하는 규모에 도달하는 것은 문제의 한 차원을 해결하지만, 해당 규모에서 인프라를 오랜 기간 건강하게 유지하는 데 필요한 운영 부담을 줄이는 것이 다른 차원입니다. 이는 다음 투자 영역인 운영 효율성에 집중되는 목표입니다.

3. 운영 효율성 증가

두 번째 날Operations(일상 운영)은 Kubernetes의 숨겨진 비용이 발생하는 부분입니다. VKS 3.7은 클러스터 배포와 업그레이드에 대한 수동적인 부담과 불안을 줄이는 데 집중합니다.

• 고급 Helm 패키지 관리: VKS 3.6.2에 소개된 Helm Controller를 기반으로, VKS 3.7은 선언적이며 업계 표준인 애플리케이션 수명 주기와 새로운 Add- on 프레임워크(Add- on API)를 결합하여 VKS 클러스터 플릿 전체에서 서비스 설치를 단순화합니다.

비즈니스 이해관계자는 템플릿화된 구성과 최신 오픈소스 혁신을 활용한 원활한 배포를 통해 가속화된 애플리케이션 전달로 측정 가능한 이점을 얻게 됩니다: 더 빠른 시간 내에 가치 창출.

플랫폼 팀에는 감지된 실패에 대한 자동 롤백, 플릿 전체에 걸친 간소화된 원하는 상태 관리, 그리고 수동 수정 대신 배포에 집중할 수 있는 자유가 의미합니다.

이러한 이점은 VKS 운영 모델의 두 핵심 약속을 기반으로 구축됩니다: VKS 업그레이드는 제어 평면과 분리되어 있어 Supervisor가 더 오래된 버전을 계속 실행해 팀 진행을 방해하지 않으며, Broadcom은 Kubernetes 버전당 24개월 연장 지원을 추가 비용 없이 제공하고, 겹치는 버전 커버리지를 통해 대기업이 자체 일정에 맞춰 진행할 수 있는 여지를 줍니다.