第2章 新機能および機能拡張

OpenShift Sandboxed Containers の Google Cloud サポート

Google Cloud で OpenShift Sandboxed Containers のワークロードを実行できるようになりました。OpenShift Sandboxed Containers は、昇格権限を必要とする CI などのワークロードの分離を強化します。

Confidential Containers の initdata

Confidential Containers は、実行時にピア Pod を設定するための initdata 仕様をサポートするようになりました。これにより、ピア Pod の仮想マシンイメージに機密データを埋め込む必要がなくなります。この機能により、機密情報の漏洩が減り、セキュリティーが強化され、カスタムイメージビルドが不要になるため柔軟性が向上します。initdata 設定をグローバルに適用することも、特定の Pod に適用することもできます。

カスタムピア Pod 仮想マシンイメージのサポート

OpenShift Sandboxed Containers および Confidential Containers は、ピア Pod のカスタム仮想マシンイメージをサポートするようになりました。この機能を使用すると、ワークロード要件に合わせて調整されたイメージを選択できます。カスタムイメージは、Pod マニフェストにアノテーションを追加することによって参照され、ピア Pod の config map で指定されたデフォルトイメージをオーバーライドします。

Kata エージェントポリシーのカスタマイズ

Kata エージェントポリシーは、Kata ランタイムで実行されている Pod のエージェント API 要求を制御するセキュリティーメカニズムです。このポリシーは、どの操作が許可または拒否されるかを決定します。ピア Pod マニフェストにアノテーションを追加することで、testing または development のカスタムポリシーでデフォルトポリシーをオーバーライドできます。実稼働環境では、initdata を使用してポリシーを変更します。

デフォルトのクラスター認証情報の上書き

バージョン 1.7 以降、OpenShift sandboxed containers は、デフォルトで Cloud Credentials Operator によって提供される OpenShift Container Platform クラスターの認証情報を使用します。クラウドプロバイダーの認証情報を指定するピア Pod シークレットを作成することで、デフォルトの認証情報を上書きできます。Cloud Credentials Operator をアンインストールする場合は、ピア Pod シークレットを作成する必要があります。