Rechercher

1.4. Changements techniques notables

download PDF

OpenShift Container Platform 4.12 introduit les changements techniques notables suivants.

Points d'extrémité régionaux du service de jetons de sécurité AWS

L'utilitaire Cloud Credential Operator (ccoctl) crée désormais des secrets qui utilisent des points d'extrémité régionaux pour le service de jetons de sécurité AWS (AWS STS). Cette approche est conforme aux meilleures pratiques recommandées par AWS.

Paramètre du répertoire des demandes d'informations d'identification pour la suppression des ressources GCP à l'aide de l'utilitaire Cloud Credential Operator

Avec cette version, lorsque vous supprimez des ressources GCP avec l'utilitaire Cloud Credential Operator, vous devez spécifier le répertoire contenant les fichiers des objets du composant CredentialsRequest.

Application restreinte à l'avenir pour l'admission à la sécurité des pods

Actuellement, les violations de la sécurité des pods sont affichées sous forme d'avertissements et enregistrées dans les journaux d'audit, mais n'entraînent pas le rejet du pod.

Une application restreinte globale pour l'admission de la sécurité des pods est actuellement prévue pour la prochaine version mineure d'OpenShift Container Platform. Lorsque cette application restreinte est activée, les pods présentant des violations de la sécurité des pods seront rejetés.

Pour vous préparer à ce changement, assurez-vous que vos charges de travail correspondent au profil d'admission de sécurité du pod qui s'applique à elles. Les charges de travail qui ne sont pas configurées conformément aux normes de sécurité appliquées définies globalement ou au niveau de l'espace de noms seront rejetées. Le SCC restricted-v2 admet les charges de travail conformément à la définition de Kubernetes restreint.

Si vous recevez des violations de la sécurité des pods, consultez les ressources suivantes :

  • Reportez-vous à la section Identification des violations de sécurité des pods pour savoir comment identifier les charges de travail à l'origine des violations de sécurité des pods.
  • Voir Synchronisation des contraintes de contexte de sécurité avec les normes de sécurité des pod s pour comprendre quand la synchronisation des étiquettes d'admission à la sécurité des pods est effectuée. Les étiquettes d'admission à la sécurité des pods ne sont pas synchronisées dans certaines situations, notamment dans les cas suivants :

    • La charge de travail s'exécute dans un espace de noms créé par le système et préfixé par openshift-.
    • La charge de travail s'exécute sur un pod qui a été créé directement sans contrôleur de pod.
  • Si nécessaire, vous pouvez définir un profil d'admission personnalisé pour l'espace de noms ou le pod en définissant l'étiquette pod-security.kubernetes.io/enforce.

Cataloguer les sources et les pods restreints, appliquer les règles d'admission à la sécurité

Les sources de catalogue construites en utilisant le format de catalogue basé sur SQLite et une version de l'outil CLI opm publiée avant OpenShift Container Platform 4.11 ne peuvent pas fonctionner sous l'application de la sécurité des pods restreints.

Dans OpenShift Container Platform 4.12, les espaces de noms n'ont pas de mise en œuvre de la sécurité restreinte des pods par défaut et le mode de sécurité de la source du catalogue par défaut est défini sur legacy.

Si vous ne souhaitez pas exécuter vos pods de source de catalogue basés sur SQLite dans le cadre d'une application restreinte de la sécurité des pods, vous n'avez pas besoin de mettre à jour votre source de catalogue dans OpenShift Container Platform 4.12. Cependant, pour garantir l'exécution de vos sources de catalogue dans les futures versions d'OpenShift Container Platform, vous devez mettre à jour vos sources de catalogue pour qu'elles s'exécutent dans le cadre d'une application restreinte de la sécurité des pods.

En tant qu'auteur de catalogue, vous pouvez activer la compatibilité avec l'application de la sécurité des pods restreints en effectuant l'une des actions suivantes :

  • Migrez votre catalogue vers le format de catalogue basé sur les fichiers.
  • Mettez à jour votre image de catalogue avec une version de l'outil opm CLI publiée avec OpenShift Container Platform 4.11 ou une version ultérieure.

Si vous ne souhaitez pas mettre à jour l'image du catalogue de votre base de données SQLite ou migrer votre catalogue vers le format de catalogue basé sur des fichiers, vous pouvez configurer votre catalogue pour qu'il s'exécute avec des autorisations élevées.

Pour plus d'informations, voir Sources du catalogue et admission de la sécurité des pods.

Opérateur SDK 1.25.4

OpenShift Container Platform 4.12 supporte Operator SDK 1.25.4. Voir Installer l'Operator SDK CLI pour installer ou mettre à jour cette dernière version.

Note

Operator SDK 1.25.4 prend en charge Kubernetes 1.25.

Pour plus d'informations, voir Beta APIs removed from Kubernetes 1.25 et Validating bundle manifests for APIs removed from Kubernetes 1.25.

Si vous avez des projets Operator qui ont été précédemment créés ou maintenus avec Operator SDK 1.22.0, mettez à jour vos projets pour maintenir la compatibilité avec Operator SDK 1.25.4.

L'opérateur LVM s'appelle désormais Logical Volume Manager Storage

L'opérateur LVM qui était précédemment livré avec Red Hat OpenShift Data Foundation nécessite une installation via OpenShift Data Foundation. Dans OpenShift Container Platform v4.12, l'opérateur LVM a été renommé Logical Volume Manager Storage. Désormais, vous l'installez en tant qu'opérateur autonome à partir du catalogue OpenShift Operator. Logical Volume Manager Storage permet le provisionnement dynamique du stockage en bloc sur un cluster OpenShift unique à nœud unique et à ressources limitées.

Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.