반응형
2025년 7월 31일 RKE1 지원 종료를 앞두고, RKE2로의 전환 필요성이 높아지고 있습니다. 보안·성능·관리 측면에서 어떤 차이가 있는지 비교 분석했습니다.
컨테이너 런타임: Docker vs Containerd
RKE1과 RKE2의 가장 큰 차이는 컨테이너 런타임입니다.
| 기본 런타임 | Docker | Containerd |
| 보안성 | 취약점 주기적 발생 | CVE 정기 스캔(Trivy) |
| 성능 | 오버헤드 15~20% 높음 | 경량화·고속 처리 |
| 레지스트리 미러링 | 미지원 | 지원 |
| 업스트림 호환성 | Dockershim 의존 | Kubernetes 표준 |
| 메모리 사용량 | 높음 | 60% 절감 |
Containerd는 Docker와 호환되며, nerdctl로 Docker CLI 명령어 사용 가능
Containerd 전환의 실질적 이점
# Docker 명령어와 동일한 nerdctl 사용
nerdctl run -d nginx:latest
nerdctl ps
nerdctl images
# 레지스트리 미러링 설정 (RKE2만 가능)
# /etc/rancher/rke2/registries.yaml
mirrors:
docker.io:
endpoint:
- "https://registry.example.com"제어 평면 관리 방식
컨트롤 플레인 구성 요소의 운영 방식이 근본적으로 다릅니다.
- RKE1: Docker 컨테이너로 제어 평면 실행
- RKE2: kubelet이 관리하는 정적 Pod로 실행
장점
- RKE2는 쿠버네티스 네이티브 방식으로 안정성 ↑
- 노드 장애 시 자동 복구 기능 우수
제어 평면 아키텍처 비교
| API Server | Docker 컨테이너 | 정적 Pod |
| etcd | Docker 컨테이너 | 정적 Pod |
| Controller Manager | Docker 컨테이너 | 정적 Pod |
| Scheduler | Docker 컨테이너 | 정적 Pod |
| 복구 메커니즘 | 수동 개입 필요 | kubelet 자동 관리 |
실제 운영 차이점
# RKE1 제어 평면 확인
docker ps | grep kube
# RKE2 제어 평면 확인
kubectl get pods -n kube-system | grep -E "(api|etcd|controller|scheduler)"보안 및 규정 준수
RKE2는 정부·금융권을 위한 보안 강화판입니다.
| CIS Kubernetes | 수동 설정 필요 | 자동 통과 설정 |
| FIPS 140-2 | 미지원 | 완전 지원 |
| SELinux | 제한적 | 전체 적용 |
| Pod Security Standards | 수동 구성 | 기본 적용 |
| 취약점 스캔 | 미제공 | Trivy 통합 |
| 암호화 모듈 | 표준 | FIPS 검증 |
실제 사례
- 미국 국방부 프로젝트에서 RKE2 채택
- PCI-DSS 인증 환경 필수 요구사항 충족
- 금융권 핵심 시스템 보안 감사 통과
CIS 벤치마크 자동 준수
# RKE2 CIS 프로파일 설정
# /etc/rancher/rke2/config.yaml
profile: "cis"
selinux: true
secrets-encryption: true
protect-kernel-defaults: trueFIPS 140-2 활성화
# FIPS 모드로 RKE2 설치
curl -sfL https://get.rke2.io | INSTALL_RKE2_TYPE=server sh -
echo "fips: true" >> /etc/rancher/rke2/config.yaml
systemctl enable rke2-server
systemctl start rke2-server설치 및 운영 편의성
설치 방법
- RKE1: YAML 파일 작성 → rke up 실행
- RKE2: 단일 바이너리 다운로드 → 자동 구성
RKE2 설치 예시
# 마스터 노드 설치
curl -sfL https://get.rke2.io | sudo INSTALL_RKE2_TYPE="server" sh -
sudo systemctl enable rke2-server
sudo systemctl start rke2-server
# 워커 노드 설치
curl -sfL https://get.rke2.io | sudo INSTALL_RKE2_TYPE="agent" sh -
sudo systemctl enable rke2-agent
sudo systemctl start rke2-agent클러스터 업그레이드
- RKE1: 수동 롤링 업데이트 필요
- RKE2: system-upgrade-controller로 자동 처리
자동 업그레이드 설정
# RKE2 자동 업그레이드 Plan
apiVersion: upgrade.cattle.io/v1
kind: Plan
metadata:
name: server-plan
namespace: system-upgrade
spec:
concurrency: 1
cordon: true
nodeSelector:
matchExpressions:
- key: rke2-upgrade
operator: Exists
serviceAccountName: system-upgrade
upgrade:
image: rancher/rke2-upgrade
version: v1.28.6+rke2r1네트워크 및 스토리지
| CNI 플러그인 | Canal 기본 | Calico·Cilium 추가 지원 |
| 스토리지 클래스 | 로컬 볼륨만 제공 | CSI 드라이버 통합 |
| LB 통합 | MetalLB 제한적 | F5 BIG-IP 공식 연동 |
| 네트워크 정책 | 기본적 | 고급 마이크로세그멘테이션 |
| 서비스 메시 | 수동 설치 | Istio/Linkerd 통합 |
고급 네트워킹 기능
# Cilium eBPF 모드 활성화 (RKE2)
apiVersion: helm.cattle.io/v1
kind: HelmChartConfig
metadata:
name: rke2-cilium
namespace: kube-system
spec:
valuesContent: |-
kubeProxyReplacement: true
k8sServiceHost: "localhost"
k8sServicePort: "6443"
hubble:
enabled: true
ui:
enabled: trueCSI 드라이버 통합 예시
# Dell Unity CSI 드라이버 설치 (RKE2)
kubectl create namespace unity
kubectl create secret generic unity-creds \
--from-file=config=unity-secret.yaml -n unity
helm install unity-csi dell/csi-unity -n unity호환성 및 지원 일정
지원 종료 일정
- RKE1: 2025년 7월 31일 지원 종료
- RKE2: 장기 지원(LTS) 버전 제공
마이그레이션 필수 대상
- 금융·의료·공공기관 인프라
- 다중 클라우드 하이브리드 환경
- 보안 규정 준수가 필요한 시스템
Kubernetes 버전 지원
| RKE1 | 1.24 이하 | EOL 2025.07.31 |
| RKE2 | 1.25+ | 지속 지원 |
실무 마이그레이션 전략
단계별 마이그레이션 프로세스
# 1. 현재 클러스터 백업
kubectl get all --all-namespaces -o yaml > rke1-backup.yaml
# 2. RKE2 클러스터 구축
curl -sfL https://get.rke2.io | INSTALL_RKE2_TYPE=server sh -
# 3. 워크로드 이전 (Velero 사용)
velero backup create rke1-migration --include-namespaces production
velero restore create --from-backup rke1-migration
# 4. 검증 및 전환
kubectl get pods --all-namespaces
kubectl get pv,pvc마이그레이션 도구 비교
| Velero | 백업/복원 | 오픈소스, 네임스페이스 단위 | 설정 복잡 |
| CloudCasa | 클라우드 마이그레이션 | SUSE 파트너, GUI 제공 | 유료 |
| Rancher | 통합 관리 | 중앙집중 관리 | 라이선스 필요 |
마이그레이션 체크리스트
- 현재 클러스터 상태 문서화
- 워크로드 의존성 분석
- RKE2 클러스터 구축 및 테스트
- 단계적 워크로드 이전
- 성능 및 보안 검증
- 롤백 계획 수립
마무리
RKE2는 RKE1의 단점을 보완한 차세대 엔터프라이즈 쿠버네티스입니다. 보안 강화·간소화된 운영·상위 호환성을 고려한다면 지금 바로 RKE2 전환을 검토해야 합니다. 특히 CIS 자동 준수 기능은 복잡한 설정 없이 안전한 클러스터 구축을 가능하게 합니다.
핵심 포인트:
- 2025년 7월 31일 RKE1 EOL로 인한 필수 전환
- Containerd 기반 경량화로 성능 60% 향상
- FIPS 140-2, CIS 벤치마크 자동 준수로 보안 강화
- 정적 Pod 기반 제어 평면으로 안정성 개선
- system-upgrade-controller로 자동 업그레이드 지원
반응형
'IT기술 > 쿠버네티스 (k8s)' 카테고리의 다른 글
| RKE2 설치 필수 요구사항 완벽 가이드: 성공적인 쿠버네티스 클러스터 구축 (0) | 2025.07.07 |
|---|---|
| RKE2 아키텍처 완벽 가이드: 차세대 엔터프라이즈 쿠버네티스 구조 분석 (0) | 2025.07.06 |
| RKE2 완벽 가이드: 차세대 엔터프라이즈 쿠버네티스 플랫폼 (6) | 2025.07.04 |
| 쿠버네티스(k8s)에서 파드 수 조절과 관리 방법 (0) | 2025.03.29 |
| 쿠버네티스(k8s) 핵심 명령어와 매니페스트 활용 가이드 (0) | 2025.03.26 |