Private Kubernetes Deployment for Autonomous Reliability Infrastructure
Run Zof execution-compatible agents in customer-managed Kubernetes clusters. Control plane and execution plane stay separable; Zof does not claim to install a full Kubernetes platform for you.
고객 관리형 클러스터
제어 플레인 / 실행 플레인 분리
네임스페이스 격리 패턴
하이브리드 및 엔클레이브 모델과 호환
기업이 프라이빗 오케스트레이션을 요구하는 이유
많은 팀이 이미 내부 플랫폼을 Kubernetes로 표준화하고 있습니다. Zof는 기존 오케스트레이션 투자를 포기하지 않고도 해당 클러스터에 실행을 배치할 수 있도록 지원합니다.
- -기존 클러스터 표준 및 GitOps 파이프라인
- -노드 및 네트워킹에 대한 플랫폼 팀의 소유권
- -민감한 워크로드를 멀티테넌트 SaaS 실행 환경에서 분리해야 하는 필요성
- -네임스페이스 수준 격리가 적용되는 규제 환경
고객 관리형 클러스터에서 실행 인프라 운영
실행 에이전트는 고객이 운영하는 클러스터의 워크로드로 배포할 수 있습니다. 계획 및 승인은 정책에 따라 클라우드, 프라이빗 클라우드, 온프레미스 제어 플레인에서 실행될 수 있습니다.
- -다른 내부 서비스와 동일하게 스케줄링되는 에이전트
- -고객의 CNI 및 정책 엔진과 호환
- -클러스터에 대한 인바운드 접근 불필요
- -시간이 지남에 따라 멀티 클러스터 플릿 지원
제어 플레인과 실행 플레인의 분리
제어 플레인은 정책, 그래프 컨텍스트, 승인, 스케줄링을 담당합니다. 실행 플레인은 클러스터 내부 또는 연결된 네트워크의 애플리케이션을 대상으로 서명된 캡슐을 실행합니다.
프라이빗 Kubernetes 실행
전체 플랫폼 설치가 아닌, 고객 관리 클러스터 내 실행 호환 에이전트.
- -명확한 보안 검토 경계
- -민감한 런타임 데이터는 실행 네임스페이스에 유지됩니다
- -제어 플레인 API는 보호된 앱을 대상으로 테스트를 직접 실행하지 않습니다
- -엔터프라이즈 롤아웃에서는 하이브리드 분할이 일반적입니다
Kubernetes 실행 에이전트
에이전트는 플랫폼 팀을 대체하기 위한 것이 아니라 고객 Kubernetes와의 호환성을 위해 설계되었습니다. 사이징, HA, 업그레이드는 고객의 클러스터 표준을 따릅니다.
- -고객이 승인한 매니페스트 또는 오퍼레이터를 통한 배포
- -리소스 제한 및 파드 보안 정책 준수
- -실행 호스트의 러너 아이덴티티 및 허용 목록
- -네임스페이스 또는 클러스터별 단계적 롤아웃
보안 실행 경계
네임스페이스, 네트워크 정책, 서비스 계정이 무관한 워크로드로부터 실행을 격리합니다. 시크릿은 런타임에 마운트되며 Zof Cloud에 저장되지 않습니다.
- -네임스페이스 범위의 RBAC
- -지원되는 경우 외부 시크릿 관리자와의 통합
- -선택적 서비스 메시 정렬
- -에이전트 라이프사이클 이벤트 감사
내부 전용 애플리케이션 테스트
마이크로서비스, 내부 API, 관리 UI를 공용 인터넷에 노출하지 않고 클러스터 네트워크에서 접근 가능한 상태로 검증합니다.
- -클러스터 내 서비스 간 테스트
- -정책이 허용하는 경우 인그레스 전용
- -클러스터 외부 레거시 시스템을 위한 엣지 러너와 연계
- -그래프 인식 타게팅으로 노이즈 감소
네임스페이스 격리
팀은 사업부 또는 환경을 고유한 정책, 보존 기간, 증거 모드를 갖는 네임스페이스에 매핑합니다.
- -개발 / 스테이징 / 프로덕션 분리
- -팀별 할당량 및 동시 실행 제한
- -네임스페이스 범위로 한정된 증거 저장소
- -네임스페이스 간 승격 워크플로
시크릿 처리
자격 증명은 실행 시점에 PAM 또는 클러스터 시크릿 통합을 통해 중개됩니다. 장기 시크릿은 기본적으로 외부 SaaS에 복사되지 않습니다.
- -단기 토큰 우선 사용
- -PAM 호환 패턴
- -승인 없이는 계획 플레인에 시크릿이 유지되지 않음
- -고객 표준에 맞춘 로테이션
아티팩트 라우팅
정제 또는 메타데이터 송신을 구성하지 않는 한 테스트 아티팩트와 번들은 고객이 제어하는 스토리지에 유지됩니다.
하이브리드 실행 아키텍처
분산된 로컬 실행 플릿을 갖춘 클라우드 오케스트레이션.
- -S3 호환, NFS 또는 클러스터 내 볼륨
- -네임스페이스별 보존 정책
- -번들에 대한 체크섬 및 서명
- -중앙 증거 카탈로그로의 선택적 승격
텔레메트리 경계
에이전트의 메트릭과 로그는 클러스터 내 관측성 스택에 유지될 수 있습니다. 중앙 대시보드는 메타데이터 전용 요약을 수신할 수 있습니다.
- -지원되는 경우 OpenTelemetry 호환 패턴
- -경계 간 내보내기 전 마스킹
- -감사를 위한 상관관계 ID
- -전체 로그 반출 의무 없음
엔터프라이즈 거버넌스
캡슐 서명, 사람의 승인, 자동 복구 게이트는 실행이 VM, 베어메탈, Kubernetes 중 어디에서 이루어지든 동일하게 적용됩니다.
- -실행에 고정된 정책 버전
- -프로덕션 경로에 대한 승인 체인
- -ITSM 변경 기록과의 통합
- -GRC 및 내부 감사를 위한 내보내기
하이브리드 아키텍처 패턴
Kubernetes 실행은 단일 제어 플레인 아래에서 VPC 러너, 엣지 사이트, 엔드포인트 에이전트와 함께 공존하는 경우가 많습니다.
- -단일 그래프 및 플릿 오케스트레이션
- -모든 표면에서 일관된 캡슐 모델
- -표면별 증거 정책
- -아키텍처 검토가 롤아웃 순서를 정의합니다
온프레미스 배포 관련 질문
인프라 및 보안 팀이 자주 묻는 질문입니다.
Zof와 함께 보안 배포를 논의하세요
규제 산업의 엔터프라이즈를 지원하는 팀과 함께 세그먼트화, 캡슐 거버넌스, 러너 배치를 검토하세요.
